Usar intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de la nube privada virtual (VPC) de Google Cloud Platform (GCP) permite la conectividad privada RFC 1918 entre dos redes de VPC, sin importar si pertenecen al mismo proyecto o a la misma organización.

Si deseas obtener información detallada acerca del intercambio de tráfico entre redes de VPC, consulta la Descripción general del intercambio de tráfico entre redes de VPC.

Configuración del intercambio de tráfico entre redes de VPC

Dentro del mismo nodo de organización, una red puede alojar servicios que tienen que ser accesibles para otras redes de VPC en el mismo proyecto o en uno distinto.

Por otra parte, una organización podría desear acceder a servicios ofrecidos por otras organizaciones. Este es el caso de la oferta de servicios de terceros.

Los ID de proyecto son únicos en todo GCP, por lo que no tienes que especificar la organización cuando configuras el intercambio de tráfico. GCP sabe de qué organización se trata gracias al ID del proyecto.

Cómo configurar una sesión de intercambio de tráfico entre redes de VPC

Considera una organización A que necesita establecer el intercambio de tráfico entre redes de VPC entre la red A en el proyecto A y la red B en el proyecto B. Para que el intercambio de tráfico entre redes de VPC se establezca correctamente, los administradores de las redes A y B deben configurar por separado la asociación de intercambio de tráfico.

Paso 1: Establece el intercambio de tráfico de la red A con la red B

Un usuario que cuente con los permisos de IAM adecuados en el proyecto A debe configurar la red A para que intercambie el tráfico con la red B. Por ejemplo, los usuarios con la función roles/editor o roles/compute.networkAdmin pueden configurar el intercambio de tráfico.

Intercambio de tráfico de la red A a la red B (haz clic para agrandar)
Intercambio de tráfico de la red A a la red B (haz clic para agrandar)

Antes de empezar, necesitarás los ID de proyecto y los nombres de las redes que quieres que intercambien el tráfico.

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en Google Cloud Platform Console.
    Ir a la página Intercambio de tráfico entre redes de VPC
  2. Haz clic en Crear conexión.
  3. Haz clic en Continuar.
  4. Ingresa un Nombre de peer-ab para este lado de la conexión.
  5. En Tu red de VPC, selecciona la red con la que quieras intercambiar el tráfico.
  6. Establece los botones de selección de Intercambio de tráfico entre redes de VPC en In another project, excepto que quieras intercambiar el tráfico dentro del mismo proyecto.
  7. Especifica el ID del otro proyecto.
  8. Especifica el nombre de red de VPC de la otra red.
  9. Haz clic en Crear.

gcloud

gcloud compute networks peerings create peer-ab \
    --network network-A \
    --peer-project project-B \
    --peer-network network-B \
    --auto-create-routes

En esta etapa, el estado del intercambio de tráfico permanece como INACTIVE debido a que no hay una configuración equivalente en la red B en el proyecto B.

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en Google Cloud Platform Console.
    Ir a la página Intercambio de tráfico entre redes de VPC
  2. El estado dice "Esperando que se conecte la red de intercambio de tráfico".

gcloud

gcloud compute networks peerings list --network network-A
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE    STATE_DETAILS
peer-ab   network-A project-B    network-B    True               INACTIVE The peering network has not been configured.

Paso 2: Establece el intercambio de tráfico de la red B con la red A

Un NetworkAdmin o un usuario que cuente con permisos de IAM adecuados en el proyecto B debe establecer la configuración equivalente de la red B a la red A para que el intercambio de tráfico se vuelva ACTIVE en los dos extremos.

Intercambio de tráfico de la red B a la red A (haz clic para agrandar)
Intercambio de tráfico de la red B a la red A (haz clic para agrandar)

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en Google Cloud Platform Console.
    Ir a la página Intercambio de tráfico entre redes de VPC
  2. Haz clic en Crear conexión.
  3. Haz clic en Continuar.
  4. Ingresa un Nombre de peer-ba para este lado de la conexión.
  5. En Tu red de VPC, selecciona la red con la que quieras intercambiar el tráfico.
  6. Establece los botones de selección de Intercambio de tráfico entre redes de VPC en In another project, excepto que quieras intercambiar el tráfico dentro del mismo proyecto.
  7. Especifica el ID del otro proyecto.
  8. Especifica el nombre de red de VPC de la otra red.
  9. Haz clic en Crear.

gcloud

gcloud compute networks peerings create peer-ba \
     --network network-B \
     --peer-project project-A \
     --peer-network network-A \
     --auto-create-routes

Paso 3: El intercambio de tráfico entre redes de VPC pasa a ser ACTIVE y se intercambian las rutas.

En cuanto el intercambio de tráfico pasa a un estado ACTIVE, se establecen los flujos de tráfico:

  • Entre instancias de VM en las redes de intercambio de tráfico: conectividad de red en malla completa.
  • De instancias de VM en una red a extremos de balanceo de cargas interno en la red de intercambio de tráfico.
Intercambio de tráfico ACTIVO (haz clic para agrandar)
Intercambio de tráfico ACTIVO (haz clic para agrandar)

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en Google Cloud Platform Console.
    Ir a la página Intercambio de tráfico entre redes de VPC
  2. El estado es "Conectado".
  3. Ve a la página Intercambio de tráfico entre redes de VPC en el otro proyecto para verificar si también dice "Conectado".

gcloud

gcloud compute networks peerings list --network network-A
NAME     NETWORK     PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE    STATE_DETAILS
peer-ab  network-A   project-B   network-B    True                ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
gcloud compute networks peerings list --network network-B
NAME     NETWORK     PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE    STATE_DETAILS
peer-ba  network-B   project-A    network-A    True               ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.

Las rutas a los prefijos CIDR de las redes de intercambio de tráfico ahora son visibles en todos los intercambios de tráfico de la red de VPC. Se trata de rutas implícitas generadas para los intercambios de tráfico activos. No tienen los recursos de ruta correspondientes. El siguiente comando enumera las rutas para todas las redes de VPC del proyecto A.

Console

  1. Ve a la página Rutas en Google Cloud Platform Console.
    Ir a la página Rutas

gcloud

gcloud compute routes list --project project-A
NAME                              NETWORK    DEST_RANGE     NEXT_HOP                  PRIORITY
default-route-2a865a00fa31d5df    network-A  0.0.0.0/0      default-internet-gateway  1000
default-route-8af4732e693eae27    network-A  10.0.0.0/16                              1000
peering-route-4732ee69e3ecab41    network-A  10.8.0.0/16    peer-ab                   1000

Cómo borrar una sesión de intercambio de tráfico entre redes de VPC

La configuración de intercambio de tráfico puede quitarse desde los dos lados. Esto hace que el intercambio de tráfico vuelva a ser INACTIVE y que se quiten todas las rutas a la red de intercambio de tráfico. En este ejemplo, la configuración de intercambio de tráfico se quita desde la red A.

Console

  1. Ve a la página Intercambio de tráfico entre redes de VPC en Google Cloud Platform Console.
    Ir a la página Intercambio de tráfico entre redes de VPC
  2. Selecciona la casilla de verificación que aparece junto al intercambio de tráfico que quieres quitar.
  3. Haz clic en Borrar.

gcloud

gcloud compute networks peerings delete peer-ab --network network-A

Cuando se borra un extremo de la sesión de intercambio de tráfico entre redes, el intercambio de tráfico se vuelve INACTIVE en el otro extremo.

Cómo configurar el intercambio de tráfico entre redes de VPC de una organización a otras

Considera una situación en la que las instancias de VM en el proyecto A en la red A necesiten acceder a servicios de dos organizaciones externas distintas: SaaS1 y SaaS2. Para acceder a estos a través del espacio de RFC 1918, la red A debe intercambiar el tráfico con la red B del proyecto B de SaaS1, y con la red C del proyecto C de SaaS2 donde se alojan los servicios.

Intercambio de tráfico de una organización a otras (haz clic para agrandar)
Intercambio de tráfico de una organización a otras (haz clic para agrandar)

Si deseas obtener esta configuración, simplemente crea dos sesiones de intercambio de tráfico distintas.

Restricciones

No se permite la superposición de rangos de IP de subredes entre redes de intercambio de tráfico de VPC

Ningún rango de IP de una subred puede superponerse con el rango de IP de otra subred en una red de intercambio de tráfico de VPC.

Pruebas realizadas en la configuración del intercambio de tráfico entre redes de VPC

En el momento de configurar el intercambio de tráfico, GCP comprueba si hay subredes con rangos de IP que se superpongan entre las dos redes de VPC o cualquiera de sus redes de intercambio de tráfico. Si existe una superposición, no se establece el intercambio de tráfico. Debido a que se crea una conectividad de red en malla completa entre instancias de VM, las subredes de las redes de VPC de intercambio de tráfico no pueden tener rangos de IP que se superpongan, pues esto generaría problemas de enrutamiento.

Subredes con rangos de IP superpuestos entre dos redes de intercambio de tráfico (haz clic para agrandar)
Subredes con rangos de IP superpuestos entre dos redes de intercambio de tráfico (haz clic para agrandar)

Si hubiera subredes con rangos de IP superpuestos entre redes de intercambio de tráfico en una red de VPC determinada, causaría un conflicto de enrutamiento. Por ejemplo, supongamos que ya se ha establecido el intercambio de tráfico de la red de VPC N1 a la red de VPC N2 y, luego, la red de VPC N3 intenta intercambiar el tráfico con N2. Este intercambio de tráfico no es válido porque N3 tiene una subred Subnet_5, cuyo rango de IP se superpone con Subnet_1 en N1.

Subredes con rangos de IP superpuestos en tres redes de intercambio de tráfico (haz clic para agrandar).
Subredes con rangos de IP superpuestos en tres redes de intercambio de tráfico (haz clic para agrandar).

Pruebas realizadas durante la creación de subredes en situaciones de intercambio de tráfico entre redes de VPC

Cuando se crea una subred de VPC o se expande el rango de IP de una subred, GCP realiza una prueba para verificar que el nuevo rango de la subred no se superponga con los rangos de IP de las subredes de la misma red de VPC o en redes de VPC con intercambio de tráfico directo. Si existe una superposición, la acción de creación o expansión falla. Por ejemplo, cuando se crea una nueva subred, subnet_3, en la red N2 en la siguiente figura, los rangos de IP no pueden superponerse con los rangos de IP definidos en la red N1 con intercambio de tráfico directo.

Prueba de creación de subred (haz clic para agrandar)
Prueba de creación de subred (haz clic para agrandar)

GCP también se asegura de que no se permita ninguna superposición en los rangos de IP de subredes entre redes de VPC que tengan una red de intercambio de tráfico en común. Si existe una superposición, la acción de creación o expansión falla. Por ejemplo, cuando se crea una nueva subred, subnet_5, en la red N3 en la siguiente figura, los rangos de IP no pueden superponerse con los rangos de IP definidos en la red N2 con intercambio de tráfico directo, o en la red N1, debido a que N1 ya intercambia el tráfico con N2.

Prueba de creación de subredes con tres redes de intercambio de tráfico (haz clic para agrandar)
Prueba de creación de subredes con tres redes de intercambio de tráfico (haz clic para agrandar)

El intercambio de tráfico entre redes de VPC no es compatible con las redes heredadas

Las redes heredadas son redes que no tienen subredes. No pueden intercambiar el tráfico con ninguna otra red y no son compatibles con el intercambio de tráfico entre redes de VPC.

Las VPN no son accesibles de una red de intercambio de tráfico a otra

No podrá alcanzarse una VPN en una red desde una red de intercambio de tráfico.

DNS de Compute Engine no disponible de un proyecto a otro

Los nombres de DNS internos de Compute Engine creados en una red no son accesibles para las redes de intercambio de tráfico. Debe usarse la dirección IP de la VM para acceder a las instancias de VM en redes de intercambio de tráfico.

Las rutas configuradas por el usuario no se propagan de una red de intercambio de tráfico a otra

Las rutas configuradas por el usuario no se propagan de una red de intercambio de tráfico a otra. Si configuras una ruta en una red a un destino en una red de VPC, no se podrá alcanzar ese destino desde una red de intercambio de tráfico.

Las etiquetas y las cuentas de servicio no pueden pasarse de una red de intercambio de tráfico a otra

No puedes usar una etiqueta o cuenta de servicio de una red de intercambio de tráfico en la otra red.

GKE con intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC con GKE se admite cuando se usa con alias de IP. Los servicios de Kubernetes, siempre que estén expuestos a través del balanceo de cargas interno, y las IP de pods pueden alcanzarse de una red de VPC a otra.

Límites

Límite de la cantidad de intercambios de tráfico

Una red puede tener hasta 25 redes de intercambio de tráfico directo en total. Esta cifra incluye tanto los intercambios de tráfico activos como los inactivos.

Límite de instancias de VM en el intercambio de tráfico entre redes de VPC

Una red de VPC puede tener hasta 15,500 instancias en sí misma y en todas las redes de intercambio de tráfico directo de VPC.

Cada red tiene un "límite de instancias de intercambio de tráfico". Se trata de la cantidad máxima de instancias que puede existir en la red y en todas las redes de intercambio de tráfico directo en conjunto.

Límite de reglas de reenvío de balanceo de cargas interno en el intercambio de tráfico entre redes de VPC

El límite por red es de 50. Es decir, la cantidad de reglas de reenvío en una red y todas sus redes de intercambio de tráfico directo no puede superar este límite.

Cada red tiene un "límite de reglas de reenvío de balanceo de cargas interno en el intercambio de tráfico". Se trata de la cantidad máxima de reglas de reenvío de balanceo de cargas interno que puede existir en la red y en todas las redes de intercambio de tráfico directo en conjunto.

Solución de problemas

Pregunta: Mi conexión de intercambio de tráfico está configurada, pero no puedo acceder a las VM de intercambio de tráfico o a los balanceadores de cargas internos.

Una vez que la conexión de intercambio de tráfico esté ACTIVA, los flujos de tráfico entre las redes de intercambio de tráfico de VPC pueden tardar hasta un minuto en configurarse. Este tiempo depende del tamaño de las redes de VPC que intercambian el tráfico. Si acabas de configurar la conexión de intercambio de tráfico, espera hasta un minuto y vuelve a intentarlo. Además, asegúrate de que no haya ninguna regla de firewall que impida el acceso hacia o desde los CIDR de las subredes de la red de intercambio de tráfico de VPC.

Pregunta: Cuando intento configurar la conexión de intercambio de tráfico, obtengo un error que indica que hay otra operación de intercambio de tráfico en curso.

Para evitar una contención entre las actualizaciones de enrutamiento y demás, GCP solo permite implementar una actividad relacionada con el intercambio de tráfico por vez en todas las redes de intercambio de tráfico. Por ejemplo, si configuras el intercambio de tráfico con una red y tratas de configurar otro inmediatamente, es posible que aún no se hayan completado todas las tareas del primer intercambio de tráfico. Puede pasar un minuto hasta que se completen todas las tareas. Otra posibilidad es que tu red de intercambio de tráfico existente esté agregando un balanceador de cargas interno o una VM, tareas que pueden afectar lo que puede alcanzarse de una red a la otra. En la mayoría de los casos, deberías esperar uno o dos minutos y reintentar la operación de intercambio de tráfico.

Pregunta: Cuando intento borrar una red de VPC con intercambios de tráfico ACTIVE, obtengo un error.

Borra tu lado de la conexión de intercambio de tráfico y vuelve a intentarlo.

Pregunta: Las redes de VPC para las que estoy intentando establecer un intercambio de tráfico tienen CIDR de subredes superpuestos. ¿Puedo hacer algo para que esto funcione?

No. Tendrás que cambiar tus redes de VPC para que los CIDR de las subredes no se superpongan.

Pregunta: Tengo una red de VPC que intercambia el tráfico con otra red. Quiero crear una subred en mi red de VPC. ¿Cómo creo esta subred de modo que no se superponga con mi red de VPC de intercambio de tráfico?

Mira las rutas de intercambio de tráfico que apuntan a tu red de VPC de intercambio de tráfico en el próximo salto. Estas rutas representan la lista de CIDR de subredes en tu red de VPC de intercambio de tráfico. Elige un CIDR que no se superponga con los CIDR de tus subredes existentes y los CIDR de las subredes de tu red de VPC de intercambio de tráfico.

Pregunta: Tengo una red de VPC que intercambia el tráfico con otra red de VPC. Quiero crear una subred en mi red de VPC. ¿Cómo creo esta subred de modo que no se superponga con las redes de VPC que intercambian el tráfico con la red que intercambia el tráfico con la mía?

En este momento, no existe ningún comando que te permita averiguar esto. Puedes pedirle al administrador de la red de intercambio de tráfico que averigüe las rutas de subredes que ya están en esa red.

Pregunta: ¿Hay riesgos de seguridad o privacidad relacionados con el intercambio de tráfico en VPC?

Después de que se haya configurado el intercambio de tráfico, cada red de VPC conoce los rangos de subredes de la otra red. Además, cada red de VPC de intercambio de tráfico puede enviar y recibir tráfico de todas las VM de la otra red, a no ser que haya alguna regla de firewall que lo impida. Por fuera de esto, las redes de intercambio de tráfico no tienen visibilidad entre sí.

Pregunta: ¿Puedo ver si hay solicitudes de intercambio de tráfico para mi red de VPC de parte de otras redes de VPC?

No. El intercambio de tráfico en VPC funciona de modo bidireccional. Tú configuras el intercambio de tráfico de tu lado, y la red con la que intercambias el tráfico hace lo mismo desde su lado. Solo puedes ver las solicitudes de intercambio de tráfico en VPC que has configurado.

¿Qué sigue?

  • Consulta la descripción general de Rutas para obtener más información acerca del enrutamiento de VPC.
¿Te sirvió esta página? Envíanos tu opinión: