Descripción general de las redes de la nube privada virtual (VPC)

Una red de VPC, a veces llamada simplemente "red", es una versión virtual de una red física, como una red de centro de datos. Proporciona conectividad para tus instancias de máquina virtual (VM) de Compute Engine, clústeres de Kubernetes Engine, instancias de App Engine Flex y otros recursos del proyecto.

Los proyectos pueden contener varias redes de VPC. Los nuevos proyectos comienzan con una red default que tiene una subred en cada región (una red de modo automático).

Especificaciones

Las redes de VPC tienen las siguientes propiedades:

  • Las redes de VPC, incluidas sus reglas de firewall y rutas asociadas, son recursos globales. No están asociadas con ninguna región o zona en particular.

  • Las subredes son recursos regionales. Cada subred define un rango de direcciones IP. Si deseas obtener más información acerca de las redes y subredes, consulta redes y subredes

  • El tráfico desde y hacia las instancias puede controlarse mediante las reglas de firewall de la red.

  • Los recursos dentro de una red de VPC pueden comunicarse entre sí mediante direcciones IPv4 internas (privadas), sujetas a las reglas de firewall aplicables de la red. Si deseas obtener más información, consulta comunicación dentro de la red.

  • Las instancias con direcciones IP internas pueden comunicarse con los servicios y las API de Google. Si deseas obtener más información, consulta Opciones de acceso privado.

  • La administración de redes puede protegerse mediante las funciones de la administración de identidades y accesos (IAM).

  • Una organización puede usar VPC compartida para mantener una red de VPC en un proyecto host común. Los miembros de IAM autorizados pertenecientes a otros proyectos de la misma organización pueden crear recursos que usan subredes de la red de VPC compartida.

  • Las redes de VPC pueden conectarse con otras redes de VPC de organizaciones o proyectos diferentes con el intercambio de tráfico de red de VPC.

  • Las redes de VPC pueden conectarse de forma segura en entornos híbridos mediante Cloud VPN o Cloud Interconnect.

  • Las redes de VPC solo son compatibles con el tráfico IPv4 de unidifusión. No son compatibles con el tráfico de emisión, multidifusión o el tráfico IPv6 dentro de la red. Las VM en la red de VPC solo pueden enviar tráfico a destinos IPv4 y recibirlo de fuentes IPv4. Sin embargo, es posible crear una dirección IPv6 para un balanceador de cargas global.

Redes y subredes

Cada red de VPC consiste en una o más particiones de rangos de IP útiles llamadas subredes. Cada subred está asociada con una región. Por sí mismas, las redes de VPC no están asociadas con ningún rango de direcciones IP. Los rangos de IP se definen para las subredes.

Una red debe tener, al menos, una subred antes de que puedas usarla. Las redes de modo automático crean subredes en cada región de manera automática. Las redes de modo personalizado comienzan sin subredes, lo que te brinda el control total sobre la creación de subredes. Puedes crear más de una subred por región. Si deseas obtener más información acerca de las diferencias entre las redes de modo automático y personalizado, consulta tipos de redes de VPC.

Cuando creas un recurso en GCP, eliges una red y una subred. En el caso de otros recursos además de las plantillas de instancias, también seleccionas una zona o una región. Cuando seleccionas una zona, se selecciona una región principal de forma implícita. Debido a que las subredes son objetos regionales, la región que seleccionas para un recurso determina las subredes que puede usar:

  • El proceso de creación de una instancia incluye la selección de una zona, una red y una subred. Las subredes disponibles para la selección están restringidas a aquellas que se encuentran en la región seleccionada. GCP asigna una dirección IP a la instancia del rango de direcciones disponibles en la subred.

  • El proceso de creación de un grupo de instancias administrado incluye la selección de una zona o región, según el tipo de grupo y una plantilla de instancias. Las plantillas de instancias disponibles para la selección están restringidas a aquellas cuyas subredes definidas están en la misma región seleccionada para el grupo de instancias administrado.

    • Las plantillas de instancias son recursos globales. El proceso de creación de una plantilla de instancias incluye la selección de una red y una subred. Si seleccionas una red de modo automático, puedes elegir "subred automática" para limitar la selección de la subred a una que esté disponible en la región seleccionada de cualquier grupo de instancias administrado que use la plantilla, debido a que las redes de modo automático tienen una subred en cada región por definición.
  • El proceso de creación de un clúster de contenedores de Kubernetes incluye la selección de una zona o región (según el tipo de clúster), una red y una subred. Las subredes disponibles para la selección están restringidas a aquellas que se encuentran en la región seleccionada.

Terminología de red y subred

El término subred se usa en GCP Console, en los comandos de gcloud y en la documentación de la API.

Modo de creación de subred

GCP ofrece dos tipos de redes de VPC, determinados por el modo de creación de subredes:

  • Cuando se crea una red de modo automático, dentro de ella, también se crea automáticamente una subred para cada región. Estas subredes creadas automáticamente usan un conjunto de rangos de IP predefinidos que caben dentro del bloque CIDR 10.128.0.0/9. A medida que surgen regiones disponibles en GCP, se agregan nuevas subredes en esas regiones a las redes de modo automático con un rango de IP de ese bloque. Además de las subredes creadas automáticamente, puedes agregar más subredes manualmente a las redes de modo automático, en las regiones que elijas, con rangos de IP que estén fuera de 10.128.0.0/9.

  • Cuando se crea una red de modo personalizado, no se crea ninguna subred automáticamente. Este tipo de red te proporciona control total sobre sus subredes y rangos de IP. Tú decides qué subredes crear, en las regiones que elijas, con el rango de IP que especifiques.

Cada proyecto comienza con una red de modo automático default.

Puedes cambiar el modo de una red de automático a personalizado. Esta conversión funciona solo en una dirección; las redes de modo personalizado no pueden cambiarse a automático. Revisa con atención las consideraciones sobre redes de modo automático para obtener ayuda a la hora de decidir qué tipo de red se ajusta a tus necesidades.

Consideraciones sobre redes de modo automático

Las redes de modo automático son fáciles de configurar y de usar, y se ajustan bien a los casos prácticos con estos atributos:

  • La creación automática de subredes en cada región es útil.

  • Los rangos de IP predefinidos de las subredes no se superponen con los rangos que usarías con otros fines (por ejemplo, conexiones de Cloud VPN a recursos locales).

Sin embargo, las redes de modo personalizado son más flexibles y se ajustan mejor a la producción. Los siguientes atributos destacan casos prácticos en los que se recomienda o requiere el uso de redes de modo automático:

  • La creación automática de una subred en cada región no es necesaria.

  • La creación automática de subredes a medida que surgen nuevas regiones podría generar una superposición con las direcciones IP usadas por las subredes manuales o rutas estáticas, o podría interferir en la planificación general de la red.

  • Necesitas control total sobre las subredes creadas en tu red de VPC, incluso las regiones y los rangos de direcciones IP usados.

  • Tienes planeado conectarte a redes de VPC mediante el intercambio de tráfico entre redes de VPC o Cloud VPN. Debido a que las subredes de cada red de modo automático usan el mismo rango predefinido de direcciones IP, no puedes conectar redes de modo automático entre sí.

Subredes y rangos de IP

Cuando creas una subred, debes definir un rango de direcciones IP principal. También tienes la opción de definir hasta cinco rangos de direcciones IP secundarios:

  • Rango de direcciones IP principal: Puedes elegir cualquier bloque CIDR RFC 1918 privado para que sea el rango de direcciones IP principal de la subred. Estas direcciones IP pueden usarse como direcciones IP internas principales de VM, alias de direcciones IP de VM y las direcciones IP de los balanceadores de cargas internos.

  • Rangos de direcciones IP secundarios: Puedes definir hasta cinco rangos de direcciones IP secundarios, que constituyen bloques CIDR RFC 1918 separados. Estos rangos de direcciones IP solo se usan como alias de direcciones IP.

No es necesario que tus subredes formen un bloque CIDR contiguo predefinido, pero puedes configurar esto si así lo deseas. Por ejemplo, las redes de modo automático sí crean subredes que caben dentro de un rango de IP de modo automático predefinido.

Consulta cómo trabajar con subredes en la página Cómo usar redes de VPC para obtener más información.

IP reservadas

Cada subred tiene cuatro direcciones IP reservadas en su rango de IP principal:

Dirección reservada Descripción Ejemplo
Red La primera dirección en el rango de IP principal de la subred 10.1.2.0 en 10.1.2.0/24
Puerta de enlace predeterminada La segunda dirección en el rango de IP principal de la subred 10.1.2.1 en 10.1.2.0/24
Penúltima reserva La penúltima dirección en el rango de IP principal de la subred 10.1.2.254 en 10.1.2.0/24
Transmisión La última dirección en el rango de IP principal de la subred 10.1.2.255 en 10.1.2.0/24

Rangos de IP de modo automático

En esta tabla, se enumeran los rangos de IP para las subredes creadas automáticamente en una red de modo automático. Los rangos de IP de estas subredes caben dentro del bloque de CIDR 10.128.0.0/9. Las redes de modo automático se compilan con una subred por región en el momento de la creación y recibirán nuevas redes en las nuevas regiones automáticamente. Por lo tanto, las partes sin usar de 10.128.0.0/9 se reservan para un uso futuro en GCP.

Región Rango de IP (CIDR) Puerta de enlace predeterminada Direcciones utilizables (inclusive)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 a 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253

Rutas y reglas de firewall

Rutas

Las rutas definen rutas de acceso para instancias salientes (tráfico de salida). Las rutas de GCP se dividen en dos categorías: generadas por el sistema y personalizadas. En esta sección, se describen brevemente los dos tipos de rutas generadas por el sistema. También puedes crear rutas personalizadas en tu red. Consulta la descripción general de las rutas para obtener todos los detalles sobre el enrutamiento en GCP.

Cada nueva red comienza con dos tipos de rutas generadas por el sistema:

  • La ruta predeterminada define una ruta para el tráfico que sale de la red de VPC. Proporciona acceso general a Internet a las VM que cumplen con los requisitos de acceso a Internet. También proporciona la ruta típica para el acceso privado a Google.

  • Se crea una ruta de subred para cada uno de los rangos de IP asociados con una subred. Cada subred tiene, al menos, una ruta de subred para su rango de IP principal, y se crean rutas de subred adicionales para una subred si le agregas rangos de IP secundarios. Las rutas de subred definen rutas para que el tráfico alcance las VM que usan las subredes.

Modo de enrutamiento dinámico

Cada red de VPC tiene un modo de enrutamiento dinámico asociado que controla el comportamiento de todos sus Cloud Routers. Los Cloud Routers comparten rutas a tu red de VPC y obtienen las rutas dinámicas personalizadas desde redes conectadas cuando conectas tu red de VPC a otra red con un túnel de Cloud VPN mediante enrutamiento dinámico, interconexión dedicada o interconexión de socio.

  • El enrutamiento dinámico regional es la configuración predeterminada. En este modo, las rutas a recursos locales procesadas por un Cloud Router determinado en la red de VPC solo se aplican a las subredes en la misma región que el Cloud Router. A no ser que se modifique mediante publicidades personalizadas, cada Cloud Router comparte solo las rutas a subredes de su región con su contraparte local.

  • El enrutamiento dinámico global cambia el comportamiento de todos los Cloud Routers de la red, de modo que las rutas a recursos locales que procesen estén disponibles en todas las subredes de la red de VPC, independientemente de la región. A no ser que se modifique mediante publicidades personalizadas, cada Cloud Router comparte las rutas a todas las subredes de la red de VPC con su contraparte local.

Consulta publicidades personalizadas para obtener información sobre cómo personalizar el conjunto de rutas compartidas por un Cloud Router.

El modo de enrutamiento dinámico puede configurarse cuando creas o modificas una red de VPC. Puedes cambiar el modo de enrutamiento dinámico de regional a global, y viceversa, sin restricción. Consulta Cómo usar redes de VPC para obtener instrucciones.

Reglas de firewall

Las reglas de firewall se aplican tanto al tráfico saliente (de salida) como al entrante (de entrada) en la red. Las reglas de firewall controlan el tráfico incluso si se produce íntegramente dentro de la red, como la comunicación entre instancias de VM.

Cada red de VPC tiene dos reglas de firewall implícitas. Una regla implícita permite la mayor parte del tráfico de salida, y la otra rechaza todo el tráfico de entrada. No puedes borrar las reglas implícitas, pero puedes anularlas con tus propias reglas. GCP siempre bloquea parte del tráfico, sin importar las reglas de firewall. Si deseas obtener más información, consulta tráfico bloqueado.

Consulta la descripción general de las reglas de firewall para obtener más información.

Puedes supervisar qué regla de firewall permitió o rechazó una conexión en particular. Consulta Registros de reglas de firewall para obtener más información.

Comunicación dentro de la red

Las rutas de subred generadas por el sistema definen las rutas para enviar tráfico entre instancias dentro de la red mediante direcciones IP internas (privadas). Para que una instancia pueda comunicarse con otra, deben configurarse las reglas de firewall adecuadas, pues cada red tiene una regla de firewall implícita que rechaza el tráfico de entrada.

Excepto en el caso de la red default, debes crear reglas de firewall de ingreso de prioridad más alta explícitamente para permitir que las instancias se comuniquen entre sí. La red default incluye varias reglas de firewall además de las reglas implícitas, incluida la regla default-allow-internal, que permite la comunicación entre instancias dentro de la red. La red default también viene con reglas de ingreso que permiten protocolos como RDP o SSH.

Las reglas que vienen con la red default también se presentan como opciones para que apliques a las nuevas redes de modo automático que crees cuando usas GCP Console.

Requisitos de acceso a Internet

Deben cumplirse los siguientes criterios para que una instancia tenga acceso a Internet de salida:

  • La red debe tener una ruta de puerta de enlace de Internet predeterminada o una ruta personalizada cuyo rango de IP de destino sea el más general (0.0.0.0/0). Esta ruta simplemente define la ruta de acceso a Internet. Consulta Rutas para obtener más información.

  • Las reglas de firewall deben permitir el tráfico de salida de la instancia. A menos que esté anulada por una regla de prioridad más alta, la regla implícita para el tráfico de salida permite el tráfico saliente desde todas las instancias.

  • Debe cumplirse una de las siguientes condiciones:

    • La instancia debe tener una dirección IP externa. Puede asignarse una IP externa a una instancia cuando se crea o después de crearla.

    • La instancia debe poder usar Cloud NAT o un proxy basado en la instancia que sea el objetivo de una ruta estática 0.0.0.0/0.

Ejemplo de red de VPC

En el siguiente ejemplo, se muestra una red de modo personalizado con tres subredes en dos regiones:

Ejemplo de red de VPC (haz clic para agrandar)
Ejemplo de red de VPC (haz clic para agrandar)
  • La subred Subnet1 está definida como 10.240.0.0/24 en la región us-west1.
    • En esta subred, hay dos instancias de VM en la zona us-west1-a. Sus direcciones IP provienen del rango de direcciones disponibles en subnet1.
  • La subred Subnet2 está definida como 192.168.1.0/24 en la región us-east1.
    • En esta subred, hay dos instancias de VM en la zona us-east1-a. Sus direcciones IP provienen del rango de direcciones disponibles en subnet2.
  • La subred Subnet3 está definida como 10.2.0.0/16, también en la región us-east1.
    • En la subnet3, hay una instancia de VM en la zona us-east1-a y una segunda instancia en la zona us-east1-b. Ambas recibieron direcciones IP del rango disponible. Debido a que las subredes son recursos regionales, las instancias pueden asociar sus interfaces de red con cualquier subred de la misma región que contiene sus zonas.

¿Qué sigue?

  • Consulta Cómo utilizar VPC para obtener instrucciones sobre la creación y modificación de redes de VPC.
¿Te ha resultado útil esta página? Enviar comentarios: