Intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de la nube privada virtual (VPC) de Google Cloud Platform (GCP) permite la conectividad privada RFC 1918 entre dos redes de VPC, independientemente de si pertenecen o no al mismo proyecto o a la misma organización.

Descripción general

El intercambio de tráfico de redes de VPC te permite compilar ecosistemas SaaS (Software como servicio) en GCP. Esto hace que los servicios estén disponibles de forma privada en diferentes redes de VPC, dentro de una misma organización y entre organizaciones diferentes, y permite que las cargas de trabajo se comuniquen en un espacio RFC 1918 privado.

El intercambio de tráfico de redes de VPC sirve para los siguientes casos:

  • Organizaciones que tienen varios dominios de administración de red
  • Organizaciones que quieren intercambiar tráfico con otras organizaciones

Si tienes varios dominios administrativos de red dentro de tu organización, el intercambio de tráfico de redes de VPC hace que tus servicios estén disponibles en las redes de VPC en un espacio RFC 1918 privado. Si ofreces servicios a otras organizaciones, el intercambio de tráfico de redes de VPC hace que esos servicios estén disponibles en el espacio RFC 1918 privado para esas organizaciones. La habilidad de ofrecer servicios entre organizaciones resulta útil si quieres proveer servicios a otras empresas; también es útil dentro de tu empresa si tienes varios nodos de organización separados debido a tu estructura o a fusiones o adquisiciones.

Utilizar el intercambio de tráfico de redes de VPC tiene más ventajas que utilizar direcciones IP externas o VPN para conectar las redes. Estas son algunas de las ventajas:

  • Latencia de red: las redes de IP pública experimentan mayor latencia que las redes privadas.
  • Seguridad de red: no es necesario que los propietarios del servicio tengan sus servicios expuestos a la Internet pública y lidiar con los riesgos asociados.
  • Costos de red: GCP cobra el precio de ancho de banda de salida en redes que utilizan direcciones IP externas para comunicarse, incluso si el tráfico ocurre dentro de la misma zona. En el caso de que haya redes de intercambio de tráfico, se pueden comunicar a través de direcciones IP internas y evitar esos gastos de salida. El precio de red normal se aplica a todo el tráfico.

Propiedades principales

Las redes de intercambio de tráfico de red de VPC presentan las siguientes propiedades principales:

  • El intercambio de tráfico de red de VPC funciona con Compute Engine, GKE y con el entorno flexible de App Engine.
  • La administración de cada red de VPC de intercambio de tráfico se mantiene separada. Las rutas, firewalls, VPN y otras herramientas de administración de tráfico se administran y aplican de forma separada en cada una de las redes de VPC.
  • Cada extremo de la asociación de intercambio de tráfico se configura de forma independiente. El intercambio de tráfico se activa solo cuando la configuración de ambos extremos coincida. Cualquiera de los extremos puede borrar la asociación de intercambio de tráfico en cualquier momento.
  • El intercambio de tráfico se puede configurar en una red de VPN incluso antes de que se cree la otra red de VPC.
  • Una determinada red de VPC puede realizar el intercambio de tráfico con varias redes VPC, pero existe un límite.
  • Un prefijo de subred de CIDR en una red de intercambio de tráfico de red de VPC no puede superponerse con un prefijo de subred de CIDR de otra red de intercambio de tráfico. Esto significa que dos redes de VPC en modo automático, que tengan solo las subredes predeterminadas, no podrán realizar un intercambio de tráfico. GCP verifica la superposición en las siguientes situaciones:
    • Cuando realizas un intercambio de tráfico de red de VPC por primera vez
    • Cuando creas una subred nueva en una red de intercambio de tráfico de red de VPC
  • Un rango de subred de CIDR en una red de VPC de intercambio de tráfico, no puede superponerse con una ruta de otra red de intercambio de tráfico. Esta regla se aplica a las rutas de las subredes y a las rutas personalizadas. GCP verifica la superposición en las siguientes situaciones y genera un error cuando encuentra una superposición.
    • Cuando realizas un intercambio de tráfico de red de VPC por primera vez
    • Cuando creas una ruta estática en una red de VPC de intercambio de tráfico
    • Cuando creas una subred nueva en una red de intercambio de tráfico de red de VPC
  • En el intercambio de tráfico de red de VPC solo se admiten las redes de VPC. Este intercambio NO se admite para redes heredadas.
  • Permisos de IAM: existen permisos de IAM nuevos para crear y borrar el intercambio de tráfico de red de VPC. Estos permisos están incluidos en las funciones de propietario y de editor del proyecto, y en la de administrador de la red.
  • Una vez configurado el intercambio de tráfico entre redes, todas las IP privadas internas de esas redes serán accesibles. El intercambio de tráfico de red de VPC no otorga controles de ruta detallados para filtrar qué subredes de CIDR pueden alcanzar las redes de intercambio de tráfico. Si necesitas este tipo de filtro, debes utilizar reglas de firewall para filtrar el tráfico. A través de las redes de intercambio de tráfico directo, se pueden alcanzar los siguientes tipos de extremos/recursos:
    • Las direcciones IP internas de las máquinas virtuales (VM) en todas las subredes
    • Las direcciones IP del balanceo de cargas en todas las subredes
  • Los siguientes tipos de extremos/recursos NO se propagan hacia las redes de intercambio de tráfico directo:
    • Rutas estáticas
    • VPN
  • Solo las redes de intercambio de tráfico directo pueden comunicarse. No se admite el intercambio de tráfico transitivo. En otras palabras, si la red de VPC N1 tiene un intercambio de tráfico con N2 y N3, pero N2 y N3 no están conectadas de forma directa, la red de VPC N2 no se puede comunicar con la red de VPC N3 a través del intercambio de tráfico.
  • El tráfico del intercambio (el tráfico que fluye entre redes de intercambio de tráfico) tiene la misma latencia, capacidad de procesamiento y disponibilidad que el tráfico privado de la misma red.
  • En el intercambio de tráfico se mantiene la política de facturación que la política de facturación del tráfico privado en la misma red.

Funciones de las herramientas de redes en situaciones de intercambio de tráfico de red de VPC

Balanceo de cargas interno

En el balanceo de cargas interno entre redes de intercambio de tráfico, las reglas de reenvío que se basan en el balanceo de cargas interno de una red, también se instalan de forma automática en las instancias de VM de la red de intercambio de tráfico. No es necesario que agregues ninguna configuración adicional. En la figura que se muestra a continuación, se describe de qué forma acceden las instancias de VM de la red B a los backend del balanceo de cargas de la red A. En este caso, la configuración del balanceo de cargas interno de la red A se aplica de forma automática a la red B. Los servicios de balanceo de cargas interno solo se encuentran disponibles para clientes de redes de intercambio de tráfico directo. Esto significa que, en el caso de que se realice un intercambio de tráfico entre la red B y la red C, los clientes de la red C no podrán conectarse a los backend del balanceo de cargas de la red A.

Balanceo de cargas interno con intercambio de tráfico de red de VPC (haz clic para ampliar la imagen)
Balanceo de cargas interno con intercambio de tráfico de red de VPC (haz clic para ampliar la imagen)

El balanceo de cargas interno es un servicio por regiones y solo pueden conectarse las VM de la misma región del balanceador de cargas interno. Esto también se aplica a las VM en las redes de intercambio de tráfico. Las VM de una red de intercambio de tráfico que no se encuentren en la misma región que el balanceador de cargas interno, no podrán utilizarlo.

Firewall

Las reglas de firewall no se importan a las redes de intercambio de tráfico. Puedes configurar reglas de firewall en cada red por separado para controlar el tráfico que quieres permitir o bloquear desde las redes de intercambio de tráfico.

Si tienes un intercambio de tráfico entre tu red de VPC y otra red de VPC, deberías bloquear el tráfico a un conjunto específico de instancias de VM o de extremos de balanceo de cargas interno. Para hacerlo, debes utilizar reglas de firewall, ya que no hay forma de excluir determinadas instancias de VM o balanceadores de cargas internos del intercambio de tráfico. Si quieres rechazar la comunicación con determinada instancia de VM o balanceador de cargas interno, puedes instalar reglas de firewall de entrada en la red para la que quieres bloquear la comunicación.

  • Instancias de VM: en este caso, puedes instalar un firewall de entrada que permita el tráfico solo desde determinadas IP de origen. Estas direcciones IP de origen se pueden asignar a la subred de CIDR en tu red de VPC. Esto bloqueará el tráfico que se origine en las redes de VPC de intercambio de tráfico.
Firewall con intercambio de tráfico de red de VPC (haz clic para ampliar la imagen)
Firewall con intercambio de tráfico de red de VPC (haz clic para ampliar la imagen)
  • Balanceador de cargas interno: en este caso, puedes instalar reglas de firewall de entrada en la red de VPC con el balanceador de cargas interno. Estas direcciones IP de origen se pueden asignar a toda o a una parte del CIDR de subred en tu red. Si se implementan reglas de firewall de entrada en todos los rangos del CIDR de las subredes en la red de intercambio de tráfico, ninguna instancia de esa red podrá alcanzar las VM de backend del balanceador de cargas interno.

VPC compartida

El intercambio de tráfico de red de VPC se puede realizar con una VPC compartida. Un proyecto host de VPC compartida es un proyecto que permite que otros proyectos utilicen una de sus redes. En el siguiente diagrama se muestra esta configuración.

VPC compartida con intercambio de tráfico de red (haz clic para ampliar la imagen)
VPC compartida con intercambio de tráfico de red (haz clic para ampliar la imagen)

Network-SVPC es una red de VPC compartida en el proyecto host P1. Los proyectos de servicio P3 y P4 pueden adjuntar instancias de VM a Network-SVPC. Hay un intercambio de tráfico entre Network-SVPC y Network-A. Esto genera los siguientes resultados:

  • Las instancias de VM en proyectos de servicio de VPC compartida que utilizan Network-SVPC (VM3 y VM4) tienen una conectividad de IP interna y privada, con cualquier extremo asociado a Network-A.
  • Las instancias de VM asociadas a Network-A tendrán conectividad de IP interna y privada con alguno de los extremos asociados a Network-SVPC, independientemente de si el proyecto en el que residen es el proyecto host o un proyecto de servicio.

Es posible configurar el intercambio de tráfico de red de VPC entre dos redes de VPC compartida.

Interfaces de red múltiples por instancia

Una instancia puede tener interfaces de red múltiples, una en cada red de VPC diferente.

En el siguiente diagrama se muestra una situación en la que se puede observar la interacción entre estas dos características. En este caso, VM1 tiene una interfaz de red en network-A y una en network-B. Network-B tiene un intercambio de tráfico con Network-C.

Interfaces de red múltiples con intercambio de tráfico de red (haz clic para ampliar la imagen)
Interfaces de red múltiples con intercambio de tráfico de red (haz clic para ampliar la imagen)

IP3 puede enviar tráfico a IP2 porque está en Network-B, y las rutas de Network-B se propagan de forma automática a Network-C cuando hay un intercambio de tráfico entre las dos redes. Sin embargo, para que IP2 pueda enviar tráfico a IP3, debes configurar la política de ruta en la interfaz de IP2.

Los flujos de IP1 no están instalados en Network-C. Es por eso que Network-C no puede acceder a IP1.

Alias de IP

Con un alias de IP, una subred puede tener rangos de IP principales y secundarios. Las instancias de VM en esa subred pueden tener una IP del rango principal y una o más del rango secundario.

Con el intercambio de tráfico de red de VPC de Cloud, las instancias de VM en la red de intercambio de tráfico pueden alcanzar a los rangos de IP principales y secundarios de una subred.

A través de la verificación de superposición de subredes en las redes de intercambio de tráfico, te aseguras de que el rango principal y secundario no se superpongan con algún rango del intercambio de tráfico.

Alias de IP con intercambio de tráfico de red (haz clic para ampliar la imagen)
Alias de IP con intercambio de tráfico de red (haz clic para ampliar la imagen)

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión: