Usa el intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC de Google Cloud permite la conectividad de las direcciones IP internas entre dos redes de nube privada virtual (VPC), sin importar si pertenecen al mismo proyecto o a la misma organización.

Para obtener detalles sobre el intercambio de tráfico entre redes de VPC, consulta la descripción general.

Crea una configuración de intercambio de tráfico

Antes de comenzar, debes tener el nombre de la red de VPC con la que realizarás el intercambio de tráfico. Si esa red está ubicada en otro proyecto, también debes tener el ID del proyecto.

Una configuración de intercambio de tráfico establece el intent para conectarse a otra red de VPC. Tu red y la otra red no están conectadas hasta que cada una tenga una configuración de intercambio de tráfico para la otra. Después de que la otra red tenga la configuración correspondiente para establecer el intercambio de tráfico con tu red, el estado de intercambio de tráfico cambia a ACTIVE en ambas redes y se conectan. Si no hay ninguna configuración de intercambio de tráfico que coincida en la otra red, el estado de intercambio de tráfico seguirá siendo INACTIVE, lo que indica que la red no está conectada a la otra red.

Una vez conectadas, las dos redes siempre intercambian rutas de subred. De forma opcional, puedes importar rutas personalizadas estáticas y dinámicas desde una red de intercambio de tráfico si se configuró para exportarlas. Para obtener más información, consulta Importa y exporta rutas personalizadas.

Console

  1. En Google Cloud Console, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Haz clic en Crear conexión (Create connection).
  3. Haz clic en Continuar.
  4. Ingresa un Nombre para la conexión de intercambio de tráfico.
  5. En Tu red de VPC, selecciona una red con la que quieras realizar el intercambio de tráfico.
  6. Selecciona la red con la que deseas intercambiar tráfico.

    • Si la red con la que deseas intercambiar tráfico está en el mismo proyecto, selecciona En el proyecto [NAME-OF-YOUR-PROJECT] y, luego, la red con la que deseas intercambiar tráfico.
    • Si la red con la que deseas intercambiar tráfico está en un proyecto diferente, selecciona En otro proyecto. Especifica el ID del proyecto que incluye la red con la que deseas intercambiar tráfico y el nombre de la red de VPC.
  7. Para importar o exportar rutas personalizadas, elige una o ambas opciones:

    • Importar rutas personalizadas para importar rutas personalizadas que la otra red exportó
    • Exportar rutas personalizadas para exportar rutas personalizadas a la otra red La otra red debe importar las rutas para que se puedan visualizar.
  8. Si tu red o la red de intercambio de tráfico usan rangos de IP pública de uso privado en sus subredes, estas rutas se exportan, pero no se importan según la configuración predeterminada. Para importar rutas de subred de IP pública usadas de forma privada, selecciona lo siguiente:

    • Importar rutas de subred con IP pública para importar de forma privada las rutas de subred de IP pública que exporta la otra red
  9. Haga clic en Crear.

gcloud

Crea una conexión de intercambio de tráfico entre redes de VPC.

gcloud compute networks peerings create PEERING_NAME \
    --network=NETWORK \
    --peer-project PEER_PROJECT_ID \
    --peer-network PEER_NETWORK_NAME \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--import-subnet-routes-with-public-ip] \
    [--export-subnet-routes-with-public-ip]

Actualiza lo siguiente:

  • PEERING_NAME: el nombre que le otorgas a la conexión de intercambio de tráfico
  • NETWORK: el nombre de la red en tu proyecto en la que deseas intercambiar tráfico
  • PEER_PROJECT_ID: el ID del proyecto que contiene la red con la que deseas intercambiar tráfico
  • PEER_NETWORK_NAME: el nombre de la red con la que deseas intercambiar tráfico
  • --import-custom-routes indica a la red que acepte rutas personalizadas desde la red de intercambio de tráfico. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-custom-routes indica a la red que exporte rutas personalizadas a la red con intercambio de tráfico. La red de intercambio de tráfico debe configurarse para importar las rutas.
  • --import-subnet-routes-with-public-ip le indica a la red que acepte rutas de subred desde la red de intercambio de tráfico si esa red usa direcciones IP públicas de forma privada en sus subredes. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-subnet-routes-with-public-ip le indica a la red que exporte rutas de subred que contengan direcciones IP públicas usadas de forma privada. La red de intercambio de tráfico debe configurarse para importar las rutas.

Terraform

Puedes usar un módulo de Terraform para crear una configuración de intercambio de tráfico.

module "peering1" {
  source        = "terraform-google-modules/network/google//modules/network-peering"
  version       = "~> 3.2.1"
  local_network = var.local_network # Replace with self link to VPC network "foobar" in quotes
  peer_network  = var.peer_network  # Replace with self link to VPC network "other" in quotes
}

Para las dos redes de VPC con intercambio de tráfico, cada vínculo propio incluye un ID de proyecto y el nombre de la red de VPC. Para obtener el vínculo propio de una red de VPC, puedes usar el comando gcloud compute networks describe o el método networks.get en cada proyecto de la red de VPC.

Cuando creas un intercambio de tráfico de local_network a peer_network, la relación de intercambio de tráfico es bidireccional. El intercambio de tráfico de peer_network a local_network se crea de forma automática.

Actualiza una conexión de intercambio de tráfico

Actualiza una conexión de intercambio de tráfico entre redes de VPC existente para cambiar si tu red de VPC exporta o importa rutas personalizadas o rutas de subredes de IP pública usadas de forma privada hacia o desde la red de VPC de intercambio de tráfico.

Tu red importa rutas solo si la red de intercambio de tráfico también las exporta y la red de intercambio de tráfico recibe rutas solo si las importa.

Console

  1. En Google Cloud Console, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la conexión de intercambio de tráfico que quieres actualizar.
  3. Haz clic en Editar.
  4. Para importar o exportar rutas personalizadas, elige una o ambas opciones:
    • Importar rutas personalizadas para importar rutas personalizadas que la otra red exportó
    • Exportar rutas personalizadas para exportar rutas personalizadas a la otra red La otra red debe importar las rutas para que se puedan visualizar.
  5. Si tu red o la red de intercambio de tráfico usan rangos de IP pública de uso privado en sus subredes, estas rutas se exportan, pero no se importan según la configuración predeterminada. Para importar rutas de subred de IP pública usadas de forma privada, selecciona lo siguiente:
    • Importar rutas de subred con IP pública para importar de forma privada las rutas de subred de IP pública que exporta la otra red
    • Haz clic en Guardar.

gcloud

Actualiza la conexión de intercambio de tráfico para cambiar la configuración de importación o exportación de las rutas personalizadas.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK \
    [--import-custom-routes] \
    [--export-custom-routes] \
    [--export-subnet-routes-with-public-ip] \
    [--import-subnet-routes-with-public-ip]

Actualiza lo siguiente:

  • PEERING_NAME: es el nombre de la conexión de intercambio de tráfico existente
  • NETWORK: es el nombre de la red en tu proyecto que intercambia tráfico
  • --import-custom-routes indica a la red que acepte rutas personalizadas desde la red de intercambio de tráfico. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-custom-routes indica a la red que exporte rutas personalizadas a la red con intercambio de tráfico. La red de intercambio de tráfico debe configurarse para importar las rutas.
  • --import-subnet-routes-with-public-ip le indica a la red que acepte rutas de subred desde la red de intercambio de tráfico si esa red usa direcciones IP públicas de forma privada en sus subredes. En la red de intercambio de tráfico primero se deben exportar las rutas.
  • --export-subnet-routes-with-public-ip le indica a la red que exporte rutas de subred que contengan direcciones IP públicas usadas de forma privada. La red de intercambio de tráfico debe configurarse para importar las rutas.

Enumera las conexiones de intercambio de tráfico

Enumera las conexiones de intercambio de tráfico existentes para ver su estado y si están importando o exportando rutas personalizadas.

Console

  1. En Google Cloud Console, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la conexión de intercambio de tráfico para ver sus detalles.

gcloud

gcloud compute networks peerings list

Enumera rutas de conexiones de intercambio de tráfico

Enumera las rutas que tu red de VPC importa desde una red de VPC de intercambio de tráfico o las que exporta hacia alguna. En el caso de las rutas exportadas, puedes comprobar si una red de intercambio de tráfico acepta o rechaza las rutas personalizadas. En el caso de las rutas importadas, puedes comprobar si la red acepta o rechaza rutas personalizadas desde una red de intercambio de tráfico.

Console

  1. En Google Cloud Console, ve a la página Intercambio de tráfico entre redes de VPC.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la conexión de intercambio de tráfico para ver sus detalles.
  3. Visualiza las rutas personalizadas que la red importa o exporta. Usa el selector de región para ver rutas dinámicas en una región en particular. Las rutas estáticas y de subred son globales y se muestran para todas las regiones.

    • Para ver las rutas personalizadas importadas, selecciona la pestaña Rutas importadas.
    • Para ver las rutas personalizadas exportadas, selecciona la pestaña Rutas exportadas.

gcloud

gcloud compute networks peerings list-routes PEERING_NAME \
    --network=NETWORK
    --region=REGION \
    --direction=DIRECTION

Actualiza lo siguiente:

  • PEERING_NAME: es el nombre de una conexión de intercambio de tráfico existente
  • NETWORK: es el nombre de la red en tu proyecto que intercambia tráfico
  • REGION: la región en la que quieres enumerar todas las rutas dinámicas Las rutas estáticas y de subred son globales y se muestran para todas las regiones.
  • DIRECTION: especifica si se deben enumerar las rutas importadas (incoming) o exportadas (outgoing).

Borra una conexión de intercambio de tráfico entre redes de VPC

Tú o un administrador de red de VPC de intercambio de tráfico pueden borrar una configuración de intercambio de tráfico. Cuando se borra una configuración de intercambio de tráfico, la conexión de intercambio de tráfico cambia a INACTIVE en la otra red y se quitan todas las rutas compartidas entre las redes.

Console

  1. Ve a la página Intercambio de tráfico de red de VPC en Google Cloud Console.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Selecciona la casilla de verificación que aparece junto al intercambio de tráfico que quieres quitar.
  3. Haz clic en Borrar.

gcloud

gcloud compute networks peerings delete PEERING_NAME \
    --network NETWORK

Actualiza lo siguiente:

  • PEERING_NAME: es el nombre de la conexión de intercambio de tráfico que se borrará
  • NETWORK: es el nombre de la red en tu proyecto que intercambia tráfico

Ejemplo de configuración de intercambio de tráfico entre redes de VPC

Considera una organización organization-a que necesita establecer el intercambio de tráfico en las redes de VPC entre network-a en project-a y network-b en project-b. Para que el intercambio de tráfico entre redes de VPC se establezca de manera correcta, los administradores de network-a y network-b deben configurar la asociación de intercambio de tráfico de manera independiente.

Paso 1: Establece el intercambio de tráfico de network-a a network-b

Un usuario con los permisos de IAM adecuados en project-a configura network-a para que intercambie tráfico con network-b. Por ejemplo, los usuarios con la función roles/editor o roles/compute.networkAdmin pueden configurar el intercambio de tráfico.

Intercambio de tráfico de network-a a network-b
Intercambio de tráfico de network-a a network-b (haz clic para agrandar)

Antes de empezar, necesitas los ID de proyecto y los nombres de las redes que quieres que intercambien el tráfico.

Console

  1. Ve a la página Intercambio de tráfico de red de VPC en Google Cloud Console.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Haz clic en Crear conexión (Create connection).
  3. Haz clic en Continuar.
  4. Ingresa un Nombre de peer-ab para este lado de la conexión.
  5. En Tu red de VPC, selecciona la red con la que quieras intercambiar el tráfico.
  6. Establece los botones de selección de la red de VPC con intercambio de tráfico en In another project, a menos que desees intercambiar tráfico en el mismo proyecto.
  7. Especifica el ID del otro proyecto.
  8. Especifica el nombre de red de VPC de la otra red.
  9. Selecciona Importar rutas personalizadas y Exportar rutas personalizadas.
  10. Haga clic en Crear.

gcloud

gcloud compute networks peerings create peer-ab \
    --network network-a \
    --peer-project project-b \
    --peer-network network-b \
    --import-custom-routes \
    --export-custom-routes

En este punto, el estado de intercambio de tráfico sigue siendo INACTIVE porque no hay ninguna configuración coincidente en la network-b de project-b.

Cuando el estado de intercambio de tráfico cambia a ACTIVE, el intercambio de tráfico entre redes de VPC intercambia de forma automática las rutas de subred. Google Cloud también intercambia rutas personalizadas (rutas estáticas y dinámicas) si las importas o exportas a través de la conexión de intercambio de tráfico. Ambas redes deben estar configuradas para intercambiar rutas personalizadas antes de que se compartan. Para obtener más información, consulta Importa y exporta rutas personalizadas.

Para ver el estado de intercambio de tráfico actual, consulta la conexión de intercambio de tráfico:

Console

  1. Ve a la página Intercambio de tráfico de red de VPC en Google Cloud Console.
    Ve a Intercambio de tráfico entre redes de VPC
  2. El estado dice “Esperando que se conecte la red de intercambio de tráfico”.

gcloud

gcloud compute networks peerings list --network network-a
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ab   network-a project-b    network-b    True                 True                 True                 INACTIVE The peering network has not been configured.

Paso 2: Establece el intercambio de tráfico de network-b a network-a

En project-b, un NetworkAdmin, o un usuario con permisos de IAM adecuados, debe establecer la configuración coincidente de network-b a network-a para que el intercambio de tráfico esté ACTIVE en ambos extremos.

Intercambio de tráfico de network-b a network-a (haz clic para agrandar)
Intercambio de tráfico de network-a a network-b (haz clic para agrandar)

Console

  1. Ve a la página Intercambio de tráfico de red de VPC en Google Cloud Console.
    Ve a Intercambio de tráfico entre redes de VPC
  2. Haz clic en Crear conexión (Create connection).
  3. Haz clic en Continuar.
  4. Ingresa un Nombre de peer-ba para este lado de la conexión.
  5. En Tu red de VPC, selecciona la red con la que quieras intercambiar el tráfico.
  6. Establece los botones de selección de la red de VPC con intercambio de tráfico en In another project, a menos que desees intercambiar tráfico en el mismo proyecto.
  7. Especifica el ID del otro proyecto.
  8. Especifica el nombre de red de VPC de la otra red.
  9. Selecciona Importar rutas personalizadas y Exportar rutas personalizadas.
  10. Haga clic en Crear.

gcloud

gcloud compute networks peerings create peer-ba \
     --network network-b \
     --peer-project project-a \
     --peer-network network-a \
     --import-custom-routes \
     --export-custom-routes

Paso 3: El intercambio de tráfico entre redes de VPC se vuelve ACTIVE

Apenas el intercambio de tráfico cambia a un estado ACTIVE, se intercambian las rutas de subred y las rutas personalizadas. Se configuran los siguientes flujos de tráfico:

  • Entre instancias de VM en las redes de intercambio de tráfico: conectividad en malla completa
  • Desde instancias de VM en una red hasta extremos del balanceo de cargas de TCP/UDP interno en la red con intercambio de tráfico
Intercambio de tráfico ACTIVE (haz clic para agrandar)
Intercambio de tráfico con estado ACTIVE (haz clic para agrandar)

Console

  1. Ve a la página Intercambio de tráfico de red de VPC en Google Cloud Console.
    Ve a Intercambio de tráfico entre redes de VPC
  2. El estado es “Conectado”.
  3. Ve a la página Intercambio de tráfico entre redes de VPC en el otro proyecto para verificar si también dice “Conectado”.

gcloud

gcloud compute networks peerings list --network network-a
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ab  network-a   project-b    network-b   True                 True                 True                 ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
gcloud compute networks peerings list --network network-b
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES   IMPORT_CUSTOM_ROUTES EXPORT_CUSTOM_ROUTES STATE    STATE_DETAILS
peer-ba  network-b   project-a    network-a   True                 True                 True                 ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.

Las rutas a los prefijos CIDR de las redes con intercambio de tráfico ahora son visibles en todos los intercambios de tráfico de la red de VPC. Estas son rutas implícitas que se generaron para conexiones de intercambio de tráfico activas. No tienen los recursos de ruta correspondientes. En el siguiente procedimiento, se muestran rutas para todas las redes de VPC de project-a.

Console

  1. Ve a la página Rutas en Google Cloud Console.
    Ir a las Rutas

gcloud

gcloud compute routes list --project project-a
NAME                              NETWORK    DEST_RANGE     NEXT_HOP                  PRIORITY
default-route-2a865a00fa31d5df    network-a  0.0.0.0/0      default-internet-gateway  1000
default-route-8af4732e693eae27    network-a  10.0.0.0/16                              1000
peering-route-4732ee69e3ecab41    network-a  10.8.0.0/16    peer-ab                   1000
peering-static-route              network-a  10.138.0.0/20  peer-ab                   1000

Crea varias conexiones de intercambio de tráfico

Considera la situación en la que las instancias de VM en network-a necesitan acceder a los servicios de dos organizaciones externas diferentes: SaaS1 y SaaS2. Para acceder a ambos con direcciones IP internas, se requieren dos conexiones de intercambio de tráfico:

  • network-a intercambia tráfico con network-b, que está en SaaS1.
  • network-a intercambia tráfico con network-c, que está en SaaS2.

Con el intercambio de tráfico entre redes de VPC, no importa que network-b y network-c estén en proyectos y organizaciones diferentes.

Intercambio de tráfico de una organización a otras (haz clic para agrandar)
Intercambio de tráfico de una organización a otras (haz clic para agrandar)

Si deseas obtener esta configuración, simplemente crea dos sesiones de intercambio de tráfico distintas.

Restricciones

No se permite la superposición de rangos de IP de subredes entre redes de intercambio de tráfico de VPC

Ningún rango de IP de una subred puede superponerse con el rango de IP de otra subred en una red de intercambio de tráfico de VPC.

Pruebas realizadas en la configuración de intercambio de tráfico entre redes de VPC

Al momento del intercambio de tráfico, Google Cloud comprueba si hay subredes con rangos de IP que se superpongan entre las dos redes de VPC o entre cualquiera de sus redes con intercambio de tráfico. Si existe una superposición, no se establece el intercambio de tráfico. Debido a que se crea una conectividad de red en malla completa entre instancias de VM, las subredes de las redes de VPC con intercambio de tráfico no pueden tener rangos de IP que se superpongan porque generaría problemas de enrutamiento.

Rangos de IP de subredes superpuestos entre dos redes de intercambio de tráfico (haz clic para ampliar)
Rangos de IP de subredes superpuestos entre dos redes con intercambio de tráfico (haz clic para ampliar)

Si hubiera subredes con rangos de IP superpuestos entre redes de intercambio de tráfico en una red de VPC determinada, causaría un conflicto de enrutamiento. Por ejemplo, supongamos que ya se ha establecido el intercambio de tráfico de la red de N1 a la red de N2 y, luego, la red de N3 intenta intercambiar el tráfico con N2. Este intercambio de tráfico no es válido porque N3 tiene una subred Subnet_5, cuyo rango de IP se superpone con Subnet_1 en N1.

Subredes con rangos de IP superpuestos en tres redes de intercambio de tráfico (haz clic para ampliar)
Rangos de IP de subredes superpuestos con tres redes con intercambio de tráfico (haz clic para ampliar)

Pruebas realizadas durante la creación de subredes en situaciones de intercambio de tráfico entre redes de VPC

Cuando se crea una subred o se expande un rango de IP de la subred, Google Cloud realiza una verificación para asegurarse de que el rango de subredes nuevo no se superponga con los rangos de IP de las subredes en la misma red de VPC o en redes de VPC con intercambio de tráfico directo. Si existe una superposición, la acción de creación o expansión falla. Por ejemplo, cuando se crea una nueva subred, subnet_3, en la red N2 en la siguiente figura, los rangos de IP no pueden superponerse con los rangos de IP definidos en la red N1 con intercambio de tráfico directo.

Prueba de creación de subred (haz clic para ampliar)
Prueba de creación de subred (haz clic para ampliar)

Google Cloud también garantiza que no se permita la superposición de rangos de IP de la subred en las redes de VPC que tengan una red con intercambio de tráfico en común. Si existe una superposición, la acción de creación o expansión falla. Por ejemplo, cuando se crea una subred subnet_5 nueva en la red N3 de la siguiente ilustración, los rangos de IP no se deben superponer con los rangos de IP definidos en la red N2 con intercambio de tráfico directo o en la red N1, debido a que N1 ya intercambia tráfico con N2.

Prueba de creación de subredes con tres redes de intercambio de tráfico (haz clic para ampliar)
Prueba de creación de subredes con tres redes de intercambio de tráfico (haz clic para ampliar)

El intercambio de tráfico entre redes de VPC no es compatible con las redes heredadas

Las redes heredadas son redes que no tienen subredes. No pueden intercambiar el tráfico con ninguna otra red y no son compatibles con el intercambio de tráfico entre redes de VPC.

DNS de Compute Engine no disponible de un proyecto a otro

Los nombres de DNS internos de Compute Engine creados en una red no son accesibles para las redes de intercambio de tráfico. Debe usarse la dirección IP de la VM para acceder a las instancias de VM en redes de intercambio de tráfico.

Las etiquetas y las cuentas de servicio no pueden pasarse de una red de intercambio de tráfico a otra

No puedes hacer referencia a una etiqueta o cuenta de servicio que pertenezca a una VM de una red de intercambio de tráfico en una regla de firewall de la otra red con intercambio de tráfico. Por ejemplo, si una regla de entrada en una red con intercambio de tráfico filtra su origen en función de una etiqueta, solo permitirá la aplicación al tráfico de VM que se origina dentro de esa red, no al de sus pares, incluso si una VM en una red con intercambio de tráfico tiene esa etiqueta. Esta situación es similar para las cuentas de servicio.

GKE con intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC con GKE es compatible cuando se usa con alias de IP o rutas personalizadas. Los servicios de Kubernetes, si se exponen a través del balanceo de cargas TCP/UDP interno, y las direcciones IP de pods son accesibles en las redes de VPC.

Cloud Load Balancing con intercambio de tráfico entre redes de VPC

Cloud Load Balancing no admite tener frontends y backends del balanceador de cargas en diferentes redes de VPC, incluso si intercambian tráfico con el intercambio de tráfico entre redes de VPC.

El balanceo de cargas de TCP/UDP interno y el balanceo de cargas de HTTP(S) interno admiten el intercambio de tráfico entre redes de VPC solo para el acceso de cliente desde la red de VPC con intercambio de tráfico.

Límites

Consulta Límites de intercambio de tráfico entre redes de VPC.

Soluciona problemas

Pregunta: Mi conexión de intercambio de tráfico está configurada, pero no puedo acceder a las VM de intercambio de tráfico o a los balanceadores de cargas internos.

Una vez que la conexión de intercambio de tráfico tenga el estado ACTIVE, los flujos de tráfico entre las redes de intercambio de tráfico pueden tomar hasta un minuto en configurarse. Este tiempo depende del tamaño de las redes involucradas en el intercambio de tráfico. Si configuraste la conexión de intercambio de tráfico recientemente, espera hasta un minuto y vuelve a intentarlo. Además, asegúrate de que no haya ninguna regla de firewall que impida el acceso hacia o desde los CIDR de las subredes de la red de VCP de intercambio de tráfico.

Pregunta: Cuando intento configurar la conexión de intercambio de tráfico, obtengo un error que indica que hay otra operación de intercambio de tráfico en curso.

Para evitar discrepancias entre las actualizaciones de enrutamiento y similares, Google Cloud solo permite una actividad relacionada con el intercambio de tráfico a la vez en las redes de intercambio de tráfico. Por ejemplo, si configuras el intercambio de tráfico con una red y tratas de configurar otra red de inmediato, es posible que aún no se hayan completado todas las tareas del primer intercambio de tráfico. Puede pasar un minuto hasta que se completen todas las tareas. Otra posibilidad es que tu red de intercambio de tráfico existente esté agregando un balanceador de cargas interno o una VM, tareas que pueden afectar lo que puede alcanzarse de alguna de las redes. En la mayoría de los casos, deberías esperar uno o dos minutos y, luego, reintentar la operación de intercambio de tráfico.

Pregunta: Cuando intento borrar una red de VPC con intercambios de tráfico ACTIVE, obtengo un error.

Para poder borrar una red de VPC, primero debes borrar cualquier configuración de intercambio de tráfico en la red. Consulta borra una conexión de intercambio de tráfico entre redes de VPC.

Pregunta: ¿Se puede realizar un intercambio de tráfico entre redes de VPC que tienen subredes con rangos de IP principales o secundarios superpuestos?

No. Solo puedes intercambiar tráfico entre redes de VPC cuyas subredes tengan rangos de IP de subred principales y secundarios únicos.

Pregunta: ¿Cómo me aseguro de que las subredes nuevas que creo en mi red de VPC no tengan rangos de IP de subred que entren en conflicto con subredes o rutas en redes de intercambio de tráfico?

Antes de crear subredes nuevas, puedes enumerar las rutas de las conexiones de intercambio de tráfico. Asegúrate de no usar ninguno de sus destinos como rangos de IP principales o secundarios cuando crees subredes nuevas en la red de VPC.

Pregunta: Tengo una red de VPC que intercambia el tráfico con otra red de VPC. Quiero crear una subred en mi red. ¿Cómo creo esta subred de modo que no se superponga con las subredes de intercambio de tráfico de la red de intercambio de tráfico?

En este momento, no existe ningún comando que te permita averiguar esto. Puedes pedirle al administrador de la red de intercambio de tráfico que averigüe las rutas de subredes que ya están en esa red.

P.: ¿Hay riesgos de seguridad o privacidad relacionados con el intercambio de tráfico de la red de VPC?

Después de configurar el intercambio de tráfico, cada red de VPC conoce los rangos de subredes de la otra red. Además, cada red de VPC de intercambio de tráfico puede enviar y recibir tráfico de todas las VM de la otra red, a no ser que haya alguna regla de firewall que lo impida. Por fuera de esto, las redes de intercambio de tráfico no tienen visibilidad entre sí.

P: ¿Cómo verifico que el tráfico pasa entre redes de VPC con intercambio de tráfico?

Puedes usar los registros de flujo de VPC para ver los flujos de red que envían y reciben las instancias de VM. También puedes usar el registro de reglas de firewall para verificar que el tráfico pase entre las redes. Crea reglas de firewall que permitan (o rechacen) el tráfico entre redes de intercambio de tráfico y activa el registro de las reglas de firewall para esas reglas. Luego, puedes ver qué reglas de firewall se ejecutaron mediante Cloud Logging.

P.: ¿Cómo puedo determinar si hay solicitudes de otras redes de VPC para conectarse a la mía mediante el intercambio de tráfico entre redes de VPC?

No hay forma de enumerar solicitudes de intercambio de tráfico para la red de VPC. Solo puedes ver la configuración de intercambio de tráfico que hayas creado.

El intercambio de tráfico entre redes de VPC requiere que tanto tu red como otra red creen una configuración de intercambio de tráfico entre sí antes de establecer una conexión. Incluso si un administrador de otra red de VPC crea una configuración de intercambio de tráfico para la tuya, no se crea una conexión de intercambio de tráfico, a menos que crees una para esa red.

Pregunta: ¿Cómo puedo hacer que las rutas de una red de intercambio de tráfico estén disponibles para una red local conectada a mi red de VPC mediante Cloud VPN o Cloud Interconnect?

El intercambio de tráfico entre redes de VPC no admite el enrutamiento de transición; es decir, Cloud Routers no anuncia de forma automática las rutas importadas de otras redes en tu red de VPC. Sin embargo, puedes usar los anuncios de rangos de IP personalizados de Cloud Routers en tu red de VPC para compartir rutas a destinos en la red de intercambio de tráfico.

En el caso de los túneles de VPN clásica que usan enrutamiento estático, debes configurar rutas estáticas para los rangos de destino de la red de intercambio de tráfico en la red local. Ten en cuenta que algunos casos de uso de túneles de VPN clásica son obsoletos.

Pregunta: ¿Por qué no se intercambian rutas personalizadas entre redes de intercambio de tráfico?

Primero, enumera las rutas de tus conexiones de intercambio de tráfico. Si no ves las rutas a los destinos que esperas, comprueba lo siguiente:

  • Enumera las conexiones de intercambio de tráfico. Busca la red con los rangos de destino deseados y asegúrate de que su estado de intercambio de tráfico sea ACTIVE. Si la conexión de intercambio de tráfico está INACTIVE, no existe una configuración de intercambio de tráfico para tu red en la otra red. Si no administras la otra red, tendrás que coordinar con un administrador de red que sí lo haga.

  • Actualiza la configuración de intercambio de tráfico en tu red a fin de que esté configurada para importar rutas personalizadas de la otra red. Asegúrate de que la otra red esté configurada para exportar sus rutas personalizadas.

Pregunta: ¿Por qué se descarta el tráfico destinado a una red de intercambio de tráfico?

En primer lugar, enumera las conexiones de intercambio de tráfico para asegurarte de que tu red siga conectada a la otra. Si el estado de intercambio de tráfico es INACTIVE, no existe una configuración de intercambio de tráfico para tu red en la otra red. Si no administras la otra red, deberás comunicarte con un administrador de red que sí lo haga.

A continuación, enumera las rutas de las conexiones de intercambio de tráfico. Solo puedes importar la cantidad de rutas que se permitan según los límites de intercambio de tráfico entre redes de VPC.

Pregunta: ¿Por qué se envía el tráfico a un siguiente salto inesperado?

Revisa el orden de enrutamiento para ver si se eligió otra ruta.

Pregunta: ¿Por qué mi red de VPC no puede intercambiar tráfico con una red de VPC determinada?

Si no puedes crear una configuración de intercambio de tráfico con ciertas redes de VPC, es posible que una política de la organización esté restringiendo las redes de VPC con las que tu red puede intercambiar tráfico. En la política de la organización, agrega la red a la lista de redes de intercambio de tráfico permitidas o comunícate con el administrador de la organización. Para obtener más información, consulta la restricción constraints/compute.restrictVpcPeering.

¿Qué sigue?