Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC de Google Cloud conecta dos redes de nube privada virtual (VPC) para que los recursos de cada red puedan comunicarse entre sí:

  • Todas las subredes pueden comunicarse mediante direcciones IPv4 internas.
  • Las subredes de pila doble también pueden comunicarse mediante direcciones IPv6 internas o externas.

Las redes de VPC con intercambio de tráfico pueden estar en el mismo proyecto, en proyectos diferentes de la misma organización o en proyectos diferentes de diferentes organizaciones.

El intercambio de tráfico entre redes de VPC ofrece los siguientes beneficios:

Beneficios del intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC tiene los siguientes beneficios:

  • Latencia de red: una conectividad que usa solo direcciones internas proporciona una latencia más baja que una que usa direcciones externas.
  • Seguridad de red: los propietarios del servicio no necesitan que se expongan sus servicios a la Internet pública ni lidiar con los riesgos asociados.
  • Costos de red: Google Cloud cobra el precio del ancho de banda de salida en las redes que usan direcciones IP externas para comunicarse, incluso si el tráfico circula dentro de la misma zona. Sin embargo, si las redes tienen intercambio de tráfico, se pueden comunicar a través de direcciones IP internas y evitar los costos de salida. El precio regular de la red aún se aplica a todo el tráfico.

Para obtener información sobre cómo crear conexiones de intercambio de tráfico, consulta Usa el intercambio de tráfico entre redes de VPC.

Especificaciones

El intercambio de tráfico entre redes de VPC tiene las siguientes especificaciones.

Especificaciones generales:

  • El intercambio de tráfico entre redes de VPC funciona con Compute Engine, GKE y el entorno flexible de App Engine.
    • De forma predeterminada, el intercambio de tráfico entre redes de VPC con GKE es compatible cuando se usa con alias de IP. Si no se usan alias de IP, puede exportar rutas personalizadas para que se pueda acceder a los contenedores de GKE desde redes con intercambio de tráfico.
  • En el intercambio de tráfico entre redes de VPC, solo se admiten las redes de VPC. El intercambio de tráfico no se admite en las redes heredadas.
  • El intercambio de tráfico entre redes de VPC admite la conectividad IPv4 e IPv6. Puedes configurar el intercambio de tráfico entre redes de VPC en una red de VPC que contenga subredes de doble pila. Sin embargo, para IPv6, solo se intercambian las rutas dinámicas.
  • Una determinada red de VPC puede intercambiar tráfico con varias redes de VPC, pero existe un límite.

Separación administrativa:

  • La administración de cada red de VPC de intercambio de tráfico se mantiene separada. Las rutas, los firewalls, las VPN y otras herramientas de administración de tráfico se administran y aplican por separado en cada una de las redes de VPC.
  • A fin de establecer la conectividad de intercambio de tráfico, un administrador de red para cada red de VPC debe crear una conexión de intercambio de tráfico con la otra red de VPC. Un administrador de red de cualquiera de las redes de VPC puede desconectar una conexión de intercambio de tráfico.
  • Cada extremo de la asociación de intercambio de tráfico se configura de forma independiente. El intercambio de tráfico se activa solo cuando la configuración de ambos extremos coincida. Cualquiera de los extremos puede borrar la asociación de intercambio de tráfico en cualquier momento.
  • La creación de una conexión de intercambio de tráfico no te otorga ningún rol de Identity and Access Management (IAM) en la otra red de VPC. Por ejemplo, si tienes el rol de administrador de red de Compute o de administrador de seguridad de Compute en una red, no te conviertes en administrador de red ni en administrador de seguridad de la otra red.

IAM:

  • Los permisos de IAM para crear y borrar el intercambio de tráfico entre redes de VPC se incluyen como parte del rol Administrador de red de Compute (roles/compute.networkAdmin).
  • Puedes usar un rol personalizado si incluye los siguientes permisos:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

Intercambio de rutas:

  • El intercambio de tráfico y la opción de importar y exportar rutas personalizadas se pueden configurar para una red de VPC, incluso antes de que se cree la otra. Sin embargo, el intercambio de rutas solo ocurre después de que se hayan configurado ambos lados.
  • Los pares de VPC siempre exportan rutas de subred.
  • Los intercambios de tráfico de VPC siempre importan rutas de subred si la subred usa direcciones IP privadas. Si la subred usa direcciones IP públicas usadas de forma privada, las redes con intercambio de tráfico deben importar de forma explícita rutas de subredes de IP pública de uso privado para recibirlas de otras redes. Para obtener más información sobre las direcciones IP privadas y las direcciones IP públicas usadas de forma privada, consulta Rangos válidos.
  • No se puede inhabilitar el intercambio de rutas de la subred ni seleccionar las rutas de la subred que se intercambian. Una vez establecido el intercambio de tráfico, se puede acceder a todos los recursos dentro de las direcciones IP de la subred en las redes con intercambio de tráfico directo. El intercambio de tráfico entre redes de VPC no proporciona controles detallados de rutas para filtrar los rangos CIDR de la subred a los que se puede acceder en las redes con intercambio de tráfico. De ser necesario, debes usar reglas de firewall para filtrar el tráfico. Se puede acceder a los siguientes tipos de extremos y recursos en cualquier red con intercambio de tráfico directo:
    • Las direcciones IP internas de las máquinas virtuales (VM) en todas las subredes
    • Las direcciones IP del balanceo de cargas en todas las subredes
  • Puedes intercambiar rutas personalizadas (estáticas y dinámicas) en función de si la configuración del intercambio de tráfico se establece para que se importen o exporten. Para obtener más información, consulta Importa y exporta rutas personalizadas.
  • Las rutas estáticas y de subred son globales. Las rutas dinámicas pueden ser regionales o globales, en función del modo de enrutamiento dinámico de la red de VPC.
  • Un rango de CIDR de la subred en una red de VPC con intercambio de tráfico no se puede superponer con una ruta estática en otra red con intercambio de tráfico. Esta regla abarca las rutas de la subred y las estáticas. Google Cloud comprueba la presencia de superposiciones en las siguientes circunstancias y genera un error cuando se produce una:
    • Cuando realizas un intercambio de tráfico de red de VPC por primera vez
    • Cuando creas una ruta estática en una red de VPC de intercambio de tráfico
    • Cuando creas una subred nueva en una red de VPC con intercambio de tráfico
  • Una ruta dinámica se puede superponer con una ruta de la subred en una red de intercambio de tráfico. En el caso de las rutas dinámicas, los rangos de destino que se superponen con una ruta de la subred de la red de intercambio de tráfico se descartan en silencio. Google Cloud usa la ruta de la subred.

Limitaciones:

  • Solo las redes de intercambio de tráfico directo pueden comunicarse. No se admite el intercambio de tráfico transitivo. En otras palabras, si la red de VPC N1 intercambia tráfico con las redes N2 y N3, pero estas no están conectadas directamente, la red de VPC N2 no se podrá comunicar con la N3 mediante el intercambio de tráfico entre redes de VPC.
  • Las reglas de firewall de VPC no pueden usar una etiqueta de red o una cuenta de servicio desde una red de intercambio de tráfico. Para obtener más información, consulta Seguridad de red.
  • Los nombres de DNS internos de Compute Engine creados en una red no son accesibles para las redes de intercambio de tráfico. Usa la dirección IP para acceder a las instancias de VM en una red con intercambio de tráfico.
  • Las rutas basadas en políticas nunca se intercambian a través del intercambio de tráfico.

Importa y exporta rutas personalizadas

Seguridad de red

El intercambio de tráfico entre redes de VPC no intercambia ninguna regla de firewall de VPC ni políticas de firewall jerárquicas. En las reglas de firewall de VPC de una red de VPC, no se pueden especificar destinos ni orígenes mediante etiquetas de red o cuentas de servicio de la otra red de VPC. Sin embargo, se puede usar la misma etiqueta de red de destino en ambas redes.

Cada red de VPC contiene reglas de firewall implícitas. Debido a las reglas de firewall de denegación de entrada implícitas, los administradores de seguridad para una red de VPC local deben crear reglas de firewall de permisión de entrada adecuadas o políticas de firewall jerárquicas. Estas reglas o políticas permiten paquetes de los rangos de direcciones IP de origen necesarios en la red de VPC de intercambio de tráfico.

Debido a las reglas de firewall de permisión de salida implícitas, no es necesario crear reglas de firewall de permisión de salida o políticas de firewall jerárquicas a fin de permitir paquetes a los destinos en la red de VPC con intercambio de tráfico. Sin embargo, si los administradores de seguridad para la red de VPC local crearon reglas explícitas de denegación de salida, debes crear reglas o políticas de permisión de salida.

Compatibilidad con DNS

Los recursos de una red de VPC con intercambio de tráfico no pueden usar nombres DNS internos de Compute Engine creados por una red de VPC local.

Una red de VPC con intercambio de tráfico no puede usar zonas privadas administradas de Cloud DNS que están autorizadas solo para una red de VPC local. A fin de que los nombres de DNS estén disponibles para los recursos de una red de VPC con intercambio de tráfico, usa una de las siguientes técnicas:

Compatibilidad con el balanceador de cargas interno

Los clientes de una red de VPC local pueden acceder a los balanceadores de cargas de TCP/UDP internos en una red de VPC de intercambio de tráfico. A fin de obtener más información, consulta Usa el intercambio de tráfico entre redes de VPC para el balanceador de cargas TCP/UDP interno. Las redes con intercambio de tráfico pueden intercambiar rutas estáticas personalizadas mediante balanceadores de cargas TCP/UDP internos como siguientes saltos. Para obtener más información, consulta Opciones de intercambio de rutas.

Los clientes en una red de VPC local pueden acceder a los balanceadores de cargas de HTTP(S) internos en una red de VPC de intercambio de tráfico. A fin de obtener más información, consulta Usa el intercambio de tráfico entre redes de VPC para el balanceo de cargas de HTTP(S) interno.

Límites de intercambio de tráfico entre redes de VPC

Los límites de intercambio de tráfico entre redes de VPC controlan lo siguiente:

  • La cantidad de recursos, como las instancias de máquina virtual (VM) o las reglas de reenvío internas que pueden estar presentes en un grupo de intercambio de tráfico.
  • Cantidad de redes a las que se puede conectar una red de VPC determinada.

Los límites de intercambio de tráfico de VPC dependen de un concepto llamado grupo de intercambio de tráfico. Cada red de VPC tiene su propio grupo de intercambio de tráfico, que consta de esa misma red y todas las otras redes de VPC conectadas a ella mediante el intercambio de tráfico entre redes de VPC. En la situación más simple, si dos redes de VPC, net-a y net-b, intercambian tráfico entre sí, hay dos grupos de intercambio de tráfico: uno desde la perspectiva de net-a y el otro desde la perspectiva de net-b.

Para obtener más información, consulta Límites de intercambio de tráfico entre redes de VPC.

Opciones de intercambio de rutas

Cuando una red de VPC comparte rutas locales con una red de VPC con intercambio de tráfico, exporta las rutas. Luego, la red de VPC con intercambio de tráfico puede importar las rutas. Las rutas de subred, excepto las rutas de subred IPv4 que usan direcciones IPv4 públicas de uso privado, siempre se intercambian.

La configuración del intercambio de tráfico entre redes de VPC te permite controlar lo siguiente:

  • Si se intercambian rutas IPv6.
  • Si se exportan o importan las rutas para las subredes que usan direcciones IPv4 públicas de uso privado.
  • Si se exportan o importan rutas estáticas y dinámicas personalizadas.

Puedes actualizar la configuración antes de que se establezca el intercambio de tráfico o mientras la conectividad de intercambio de tráfico esté activa.

Opciones para intercambiar rutas de subred

En la siguiente tabla, se describen las opciones de intercambio de rutas para las rutas de subred:

Tipo de ruta Condiciones de exportación de rutas Condiciones de importación de ruta
Rutas de subredes IPv4 (rangos de subredes IPv4 principales y secundarias) que usan rangos de direcciones IPv4 privadas Siempre se exportan

No se pueden inhabilitar		 Siempre se importan

No se pueden inhabilitar
Rutas de subredes IPv4 (rangos de subredes IPv4 principales y secundarias) que usan rangos de direcciones IPv4 públicas de uso privado Se exportan de forma predeterminada

La exportación se controla con la marca --export-subnet-routes-with-public-ip 		No se importan de forma predeterminada

La importación se controla con la marca --import-subnet-routes-with-public-ip
Rangos de subredes IPv6 internas
(ipv6-access-type=INTERNAL) 		No se exportan de forma predeterminada

La exportación se habilita mediante la configuración de --stack-type=IPV4_IPV6 		No se importan de forma predeterminada

La importación se habilita mediante la configuración de --stack-type=IPV4_IPV6
Rangos de subredes IPv6 externas
(ipv6-access-type=EXTERNAL) 		No se exportan de forma predeterminada

La exportación se habilita mediante la configuración de --stack-type=IPV4_IPV6 		No se importan de forma predeterminada

La importación se habilita mediante la configuración de --stack-type=IPV4_IPV6

Opciones para intercambiar rutas estáticas personalizadas

En la siguiente tabla, se describen las opciones de intercambio de rutas para rutas estáticas personalizadas:

Tipo de ruta Condiciones de exportación de rutas Condiciones de importación de ruta
Rutas estáticas personalizadas con etiquetas de red (todos los tipos de siguiente salto) No se pueden exportar No se pueden importar
Rutas estáticas personalizadas mediante el siguiente salto de puerta de enlace de Internet predeterminado No se pueden exportar No se pueden importar
Rutas estáticas de IPv4 personalizadas (sin etiquetas de red) que usan la dirección IPv4 privada de un balanceador de cargas de TCP/UDP interno como el siguiente salto Siempre se exportan (como rutas IPv4 de subred)

No se pueden inhabilitar 		Siempre se importan (como rutas IPv4 de subred)

No se pueden inhabilitar
Rutas estáticas de IPv4 personalizadas (sin etiquetas de red) que usan el nombre de regla de reenvío de un balanceador de cargas de TCP/UDP interno como el siguiente salto No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes 		No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes
Rutas estáticas de IPv4 personalizadas (sin etiquetas de red) que usan otros tipos de siguiente salto No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes 		No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes

Opciones para intercambiar rutas dinámicas

En la siguiente tabla, se describen las opciones de intercambio de rutas para las rutas dinámicas:

Tipo de ruta Condiciones de exportación de rutas Condiciones de importación de ruta
Rutas IPv4 dinámicas No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes 		No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes
Rutas IPv6 dinámicas No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes cuando el tipo de pila del intercambio de tráfico se establece en --stack-type=IPV4_IPV6 		No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes cuando el tipo de pila del intercambio de tráfico se establece en --stack-type=IPV4_IPV6

Intercambio de rutas personalizado

Cuando una red de VPC exporta rutas personalizadas y la otra red de VPC importa rutas personalizadas, la red de importación puede enviar paquetes directamente al siguiente salto para cada ruta personalizada importada en la red de VPC de intercambio de tráfico. Las rutas estáticas personalizadas y dinámicas personalizadas se aprenden juntas y no se pueden configurar de forma independiente. Los cambios en una red se reflejan en la otra, sujetos a ciertas condiciones. Para obtener más información, en este documento, consulta Rutas ignoradas, Interacciones de la ruta de subred de intercambio de tráfico y la subred e Interacciones de la ruta estática y la subred.

La importación de rutas personalizadas desde una red de VPC con intercambio de tráfico puede ser útil en los siguientes casos:

  • Si la red de VPC con intercambio de tráfico contiene clústeres de GKE basados en rutas y necesitas enviar paquetes a los Pods en esos clústeres: las direcciones IP del Pod se implementan como rangos de destino para rutas estáticas personalizadas ubicadas en la red de VPC de intercambio de tráfico.
  • Si la red de VPC con intercambio de tráfico contiene rutas a recursos locales y necesitas acceder a esos recursos en la red de VPC local: también debes crear rutas para los rangos de direcciones IP de la subred de la red de VPC local en la red local. Puedes usar anuncios de ruta personalizados de Cloud Router en la red de VPC con intercambio de tráfico para cumplir con este requisito adicional.

Importante: Los Cloud Routers no anuncian rutas de subred de intercambio de tráfico cuando usan el modo de anuncio predeterminado. Por lo tanto, debes usar anuncios de ruta personalizados para anunciar rutas de subred de intercambio de tráfico (o rangos agregados de rutas de subred de intercambio de tráfico).

Rutas ignoradas

Incluso cuando una red de VPC importa una ruta, puede ignorar la ruta importada en situaciones como las siguientes:

  • Cuando la red de VPC local tiene una ruta con un destino idéntico o más específico (máscara de subred más larga), la red de VPC local siempre usa su ruta local.

  • Cuando la red de VPC local no contiene la ruta más específica para el destino de un paquete, pero dos o más redes de VPC con intercambio de tráfico contienen el mismo destino más específico para el paquete, Google Cloud usa un algoritmo interno para seleccionar un siguiente salto de solo una de las redes de VPC con intercambio de tráfico. Esta selección se realiza antes de que se considere la prioridad de ruta y no puedes configurar el comportamiento. Como práctica recomendada, evita esta configuración porque agregar o quitar redes de VPC de intercambio de tráfico puede generar cambios no deseados en el orden de enrutamiento.

Para obtener más detalles sobre las situaciones anteriores, consulta Orden de enrutamiento.

Para los intercambios de tráfico de pila doble, si una red de VPC local que importa rutas IPv6 no tiene ninguna subred de pila doble, no se puede usar ninguna de las rutas IPv6 que recibe de las redes de VPC con intercambio de tráfico. Además, si se estableció la restricción de la política de la organización constraints/compute.disableAllIpv6, es posible que un administrador de red no pueda crear subredes de pila doble.

Interacciones de la ruta de subred de intercambio de tráfico y la subred

Las rutas de subred IPv4 en redes de VPC con intercambio de tráfico no se pueden superponer:

  • El intercambio de tráfico prohíbe rutas de subred IPv4 idénticas. Por ejemplo, dos redes de VPC con intercambio de tráfico no pueden tener una ruta de subred IPv4 cuyo destino sea 100.64.0.0/10.
  • El intercambio de tráfico prohíbe que una ruta de subred se contenga dentro de una ruta de subred de intercambio de tráfico. Por ejemplo, si la red de VPC local tiene una ruta de subred cuyo destino es 100.64.0.0/24, ninguna de las redes de VPC de intercambio de tráfico puede tener una ruta de subred cuyo destino sea 100.64.0.0/10.

Google Cloud aplica las condiciones anteriores para las rutas de subred IPv4 en los siguientes casos:

  • Cuando conectas redes de VPC por primera vez mediante el intercambio de tráfico entre redes de VPC.
  • Mientras las redes intercambian tráfico.
  • Cuando realizas un cambio de configuración de intercambio de tráfico, por ejemplo, cuando habilitas la importación de rutas IPv4 de subred con direcciones IP públicas usadas de forma privada.

Mientras realizas un intercambio de tráfico entre redes, Google Cloud muestra un error si alguna de las siguientes operaciones genera una superposición:

Las rutas de subred IPv6 (internas y externas) son únicas por definición. No puede haber dos redes de VPC que usen los mismos rangos de subredes IPv6 internas o externas.

Interacciones de la ruta estática y la subred

Google Cloud requiere que las rutas de subred y las rutas de subred de intercambio de tráfico tengan los rangos de IPv4 o IPv6 de destino más específicos. Dentro de cualquier red de VPC, una ruta estática local no puede tener un destino que coincida o se ajuste a una ruta de subred local de forma exacta. Para obtener un análisis más detallado de esta situación, consulta Interacciones con rutas estáticas personalizadas.

Este concepto se extiende al intercambio de tráfico entre redes de VPC mediante las siguientes dos reglas:

  • Una ruta estática local no puede tener un destino que coincida o se ajuste con exactitud a una ruta de subred de intercambio de tráfico. Si existe una ruta estática local, Google Cloud aplica lo siguiente:

    • No puedes establecer una conexión de intercambio de tráfico nueva a una red de VPC que ya contenga una ruta de subred que coincida de manera exacta con el destino de la ruta estática local o que la contenga, si la configuración del intercambio de tráfico da como resultado la importación de la ruta de subred en conflicto.

      Por ejemplo, si existe una ruta estática local con el destino 10.0.0.0/24, no puedes establecer una nueva conexión de intercambio de tráfico a una red de VPC con una ruta de subred cuyo destino coincida de forma exacta con 10.0.0.0/24 o contenga 10.0.0.0/24 (por ejemplo, 10.0.0.0/8).

    • No puedes actualizar una conexión de intercambio de tráfico existente si la configuración de intercambio de tráfico actualizada genera una ruta de subred en conflicto.

      Por ejemplo, si existe una ruta estática local con el destino 11.0.0.0/24 y existe una ruta de subred con el destino 11.0.0.0/8 en la red de VPC con intercambio de tráfico, no puedes configurar la red de VPC con intercambio de tráfico para exportar rutas de subredes mediante direcciones IPv4 públicas usadas de forma privada ni configurar la red de VPC local con el fin de importar rutas de subred mediante direcciones IPv4 públicas usadas de forma privada.

    • Por el contrario, si las redes de VPC ya están conectadas mediante el intercambio de tráfico entre redes de VPC, no puedes realizar las siguientes operaciones:

      • Crea una nueva ruta estática local cuyo destino coincida con exactitud o se ajuste a una ruta de subred de intercambio de tráfico importada.
      • Crea un rango de direcciones de subred nuevo en la red de VPC con intercambio de tráfico si ese rango coincidiría con exactitud o contendría una ruta estática local existente.

  • Una ruta estática de intercambio de tráfico no puede tener un destino que coincida con exactitud o se ajuste a una ruta de subred local. Si existe una ruta de subred local, Google Cloud prohíbe lo siguiente:

    • No puedes establecer una conexión de intercambio de tráfico nueva a una red de VPC que ya contenga una ruta estática que coincida de manera exacta con el destino de la ruta de subred de la red de VPC local o que se ajuste a ella si la configuración de intercambio de tráfico da como resultado la importación de la ruta personalizada desde el intercambio de tráfico.

      Por ejemplo, si existe una ruta de subred local para 10.0.0.0/8, no puedes establecer una conexión de intercambio de tráfico con una red de VPC con una ruta estática cuyo destino coincida de forma exacta con 10.0.0.0/8 o se ajusta a 10.0.0.0/8 (por ejemplo, 10.0.0.0/24).

    • No puedes actualizar una conexión de intercambio de tráfico existente si esta configuración da como resultado la importación de la ruta estática en conflicto.

    • Por el contrario, si las redes de VPC ya están conectadas mediante el intercambio de tráfico entre redes de VPC, no puedes realizar las siguientes operaciones:

      • Crea una nueva ruta de subred local cuyo destino coincida de manera exacta con una ruta estática de intercambio de tráfico importada o la contenga.
      • Crea una ruta estática nueva en la red de VPC con intercambio de tráfico cuyo destino coincida de manera exacta con una ruta de subred local existente o se ajuste a ella.

Efectos del modo de enrutamiento dinámico

El modo de enrutamiento dinámico de una red de VPC determina las regiones en las que se aplican los prefijos aprendidos de los Cloud Routers en esa red como rutas dinámicas personalizadas locales. Para obtener detalles sobre este comportamiento, consulta Efectos del modo de enrutamiento dinámico.

Este concepto se extiende al intercambio de tráfico entre redes de VPC. El modo de enrutamiento dinámico de la red de VPC de exportación (la red que contiene los Cloud Routers que aprendieron los prefijos de esas rutas dinámicas) determina las regiones en las que las rutas dinámicas de intercambio de tráfico se pueden programar en redes de intercambio de tráfico:

  • Si el modo de enrutamiento dinámico de la red de VPC de exportación es regional, esa red exporta rutas dinámicas solo en la misma región que sus Cloud Routers que aprendieron los prefijos.

  • Si el modo de enrutamiento dinámico de la red de VPC de exportación es global, esa red exporta rutas dinámicas en todas las regiones.

En ambos casos, el modo de enrutamiento dinámico de la red de VPC de importación no es relevante.

Para ver un ejemplo que ilustra este comportamiento, consulta Red de VPC local y red de VPC de intercambio de tráfico con conectividad local.

Interacciones de la ruta dinámica y la subred

Los conflictos entre rutas de subred locales o de intercambio de tráfico y rutas dinámicas se resuelven como se describe en Interacciones con rutas dinámicas personalizadas.

Ejemplos de intercambio de tráfico entre redes de VPC

En los siguientes ejemplos, se muestran dos situaciones comunes de intercambio de tráfico entre redes de VPC.

Red de VPC local y red de VPC de intercambio de tráfico con conectividad local

En este ejemplo, se configura el siguiente intercambio de tráfico entre redes:

  • network-a intercambia el tráfico con network-b; y network-b, con network-a.
    • network-a contiene una subred cuyo rango de direcciones IPv4 principal es 10.0.0.0/24 en us-west1.
    • network-a contiene una subred cuyo rango de direcciones IPv4 principal es 10.0.1.0/24 en europe-north1.
    • network-b contiene una subred cuyo rango de direcciones IPv4 principal es 10.0.2.0/23 en us-west1.
  • network-b está conectado a una red local con túneles de Cloud VPN mediante el enrutamiento dinámico. (Los mismos principios se aplican si los túneles se reemplazan por adjuntos de VLAN de Cloud Interconnect).
    • A fin de proporcionar conectividad desde las instalaciones locales a las subredes en network-a y network-b, el Cloud Router en network-b debe configurarse para usar Anuncio de ruta personalizado. Por ejemplo, el Cloud Router anuncia solo el prefijo personalizado 10.0.0.0/22, que incluye el rango de subred 10.0.2.0/23 de network-b, y los rangos de subred 10.0.0.0/24 y 10.0.1.0/24 de network-a.
    • El Cloud Router de us-west1 aprende el prefijo 10.0.0.0/8 de un router local. 10.0.0.0/8 no crea ningún conflicto porque es más amplio que la subred y las rutas de subred de intercambio de tráfico. En otras palabras, 10.0.0.0/8 no coincide de forma exacta y no se ajusta dentro de ninguna subred o ruta de subred de intercambio de tráfico.
  • La conexión de intercambio de tráfico de network-b está configurada para exportar sus rutas personalizadas, y la conexión de intercambio de tráfico de network-a está configurada para importar sus rutas personalizadas.

Sin importar el modo de enrutamiento dinámico de network-a, se aplican las siguientes características de enrutamiento:

  • Cuando el modo de enrutamiento dinámico de network-b es global, se agregan los prefijos locales (10.0.0.0/8) que aprendió el Cloud Router en network-b como rutas dinámicas en todas las regiones de network-b y como rutas dinámicas de intercambio de tráfico en todas las regiones de network-a. Si las reglas de firewall están configuradas de forma correcta, vm-a1, vm-a2 y vm-b pueden comunicarse con un recurso local con la dirección IP 10.5.6.7.

  • Si el modo de enrutamiento dinámico de network-b se cambia a regional, los prefijos locales (10.0.0.0/8) que el Cloud Router aprendió en network-b solo se agregan como rutas dinámicas en la región us-west1 de network-b y como rutas dinámicas de intercambio de tráfico en la región us-west1 de network-a. Si las reglas de firewall están configuradas de forma correcta, solo vm-a1 y vm-b pueden comunicarse con un recurso local con la dirección IP 10.5.6.7, ya que esa es la única VM en la misma región que el Cloud Router.

Red de tránsito

En el siguiente ejemplo, network-b actúa como una red de tránsito.

  • network-a intercambia el tráfico con network-b; y network-b, con network-a.
  • network-c intercambia el tráfico con network-b; y network-b, con network-c.
  • network-b está conectado a una red local con túneles de Cloud VPN que usan enrutamiento dinámico. (Los mismos principios se aplican si los túneles se reemplazaron por adjuntos de VLAN de Cloud Interconnect).
    • A fin de proporcionar conectividad desde las instalaciones locales a las subredes en network-a, network-b y network-c, el Cloud Router en network-b debe estar configurado para usar anuncio de ruta personalizado. Por ejemplo, el Cloud Router anuncia rutas de subred desde network-b más prefijos personalizados que abarcan las rutas de subred en network-a y network-c.
    • Sujeto a las interacciones de subredes y rutas dinámicas, el Cloud Router en network-b aprende prefijos locales y crea rutas dinámicas en network-b.
  • Las conexiones de intercambio de tráfico de network-b a network-a y de network-b a network-c se configuraron para exportar rutas personalizadas. Las conexiones de intercambio de tráfico de network-a a network-b y de network-c a network-b se configuraron para importar rutas personalizadas.

Si los firewalls están configurados de forma correcta, son posibles las siguientes situaciones de conectividad:

  • Las instancias de VM en network-a pueden llegar a otras VM en network-b y a sistemas locales.
  • Las instancias de VM en network-c pueden llegar a otras VM en network-b y a sistemas locales.
  • Las instancias de VM en network-b pueden llegar a otras VM en network-a y network-c, como también a sistemas en la red local.

Dado que el intercambio de tráfico entre redes de VPC no es transitivo, las instancias de VM en network-a y network-c no se pueden comunicar, a menos que también conectes las redes network-a y network-c mediante el intercambio de tráfico entre redes de VPC.

¿Qué sigue?