Descripción general de la red de VPC

Una red de nube privada virtual (VPC) es una versión virtual de una red física, como una red de centro de datos. Proporciona conectividad para tus instancias de máquina virtual (VM) de Compute Engine, clústeres de Google Kubernetes Engine (GKE), instancias del entorno flexible de App Engine y otros recursos en tu proyecto.

Los proyectos pueden contener varias redes de VPC. Los proyectos nuevos comenzarán con una red predeterminada que tiene una subred en cada región (una red de VPC de modo automático), a menos que crees una política organizativa que lo prohíba.

Especificaciones

Las redes de VPC tienen las siguientes propiedades:

Terminología de red y subred

En GCP Console, se usa el término subred. Este término se usa en la documentación de Google Cloud Console, los comandos de gcloud y las API.

Una subred no es lo mismo que una red (de VPC). Las redes y subredes son diferentes tipos de objetos en Google Cloud.

Redes y subredes

Cada red de VPC consta de una o más particiones útiles del rango de IP llamadas subredes. Cada subred está asociada con una región. Las redes de VPC no tienen ningún rango de direcciones IP asociado. Los rangos de IP se definen para las subredes.

Una red debe tener, al menos, una subred antes de que puedas usarla. Las redes de VPC modo automático crean subredes en cada región de forma automática. Las redes de VPC de modo personalizado comienzan sin subredes, lo que te brinda el control total sobre la creación de subredes. Puedes crear más de una subred por región. Para obtener información sobre las diferencias entre las redes de VPC de modo personalizado y de modo automático, consulta los tipos de redes de VPC.

Cuando creas un recurso en Google Cloud, debes elegir una red y una subred. En el caso de otros recursos que no sean plantillas de instancias, también debes seleccionar una zona o una región. Cuando seleccionas una zona, se selecciona una región principal de forma implícita. Debido a que las subredes son objetos regionales, la región que seleccionas para un recurso determina las subredes que puede usar:

  • El proceso de creación de una instancia incluye la selección de una zona, una red y una subred. Las subredes disponibles para la selección están restringidas a aquellas que se encuentran en la región seleccionada. Google Cloud asigna a la instancia una dirección IP del rango de direcciones disponibles en la subred.

  • El proceso de creación de un grupo de instancias administrado incluye la selección de una zona o región, según el tipo de grupo y una plantilla de instancias. Las plantillas de instancias disponibles para la selección están restringidas a aquellas cuyas subredes definidas están en la misma región seleccionada para el grupo de instancias administrado.

    • Las plantillas de instancias son recursos globales. El proceso de creación de una plantilla de instancias incluye la selección de una red y una subred. Si seleccionas una red de VPC de modo automático, puedes usar subredes automáticas para diferir la selección de subredes a una que esté disponible en la región seleccionada de cualquier grupo de instancias administrado que use la plantilla. Las redes de VPC en modo automático tienen una subred en cada región por definición.
  • El proceso de creación de un clúster de contenedores de Kubernetes incluye la selección de una zona o región (según el tipo de clúster), una red y una subred. Las subredes disponibles para la selección están restringidas a aquellas que se encuentran en la región seleccionada.

Modo de creación de subred

Google Cloud ofrece dos tipos de redes de VPC, determinadas por su modo de creación de subredes:

  • Cuando se crea una red de VPC de modo automático, se crea de forma automática una subred de cada región dentro de ella. Estas subredes creadas de forma automática usan un conjunto de rangos de IP predefinidos que se ajustan al bloque CIDR 10.128.0.0/9. A medida que las nuevas regiones de Google Cloud estén disponibles, las subredes nuevas de esas regiones se agregarán de forma automática a las redes de VPC de modo automático mediante un rango de IP de ese bloque. Además de las subredes creadas de forma automática, puedes agregar más subredes de forma manual a las redes de VPC de modo automático en las regiones que elijas mediante rangos de IP fuera de 10.128.0.0/9.

  • Cuando se crea una red de VPC de modo personalizado, no se crean subredes de forma automática. Este tipo de red te proporciona control total sobre sus subredes y rangos de IP. Tú decides qué subredes crear en las regiones que elijas mediante los rangos de IP que especifiques.

Puedes cambiar una red de VPC del modo automático al modo personalizado. Esta es una conversión unidireccional. Las redes de VPC de modo personalizado no se pueden cambiar al modo automático. Para ayudarte a decidir qué tipo de red satisface tus necesidades, consulta las consideraciones para las redes de VPC de modo automático.

Red predeterminada

Cada proyecto nuevo comienza con una red predeterminada, a menos que decidas inhabilitarla. La red predeterminada es una red de VPC de modo automático con reglas de firewall propagadas de forma previa.

Para inhabilitar la creación de redes predeterminadas, crea una política de organización con la restricción compute.skipDefaultNetworkCreation. Los proyectos que hereden esta política no tendrán una red predeterminada.

Consideraciones para las redes de VPC de modo automático

Las redes de VPC de modo automático son fáciles de configurar y usar, y son adecuadas para casos prácticos con estos atributos:

  • La creación automática de subredes en cada región es útil.

  • Los rangos de IP predefinidos de las subredes no se superponen con los rangos que usarías con otros fines (por ejemplo, conexiones de Cloud VPN a recursos locales).

Sin embargo, las redes de VPC de modo personalizado son más flexibles y se ajustan mejor a la producción. Los siguientes atributos destacan casos prácticos en los que se recomienda o requiere el uso de redes de VPC de modo automático:

  • La creación automática de una subred en cada región no es necesaria.

  • La creación automática de subredes a medida que surgen nuevas regiones podría generar una superposición con las direcciones IP usadas por las subredes manuales o rutas estáticas, o podría interferir en la planificación general de la red.

  • Necesitas control total sobre las subredes creadas en tu red de VPC, incluso las regiones y los rangos de direcciones IP que se usan.

  • Planeas conectar redes de VPC mediante el intercambio de tráfico entre redes de VPC o Cloud VPN. Debido a que las subredes de todas las redes de VPC de modo automático usan el mismo rango predefinido de direcciones IP, no puedes conectar redes de VPC de modo automático entre sí.

Subredes y rangos de IP

Cuando creas una subred, debes definir un rango de direcciones IP principal. De forma opcional, puedes definir rangos de direcciones IP secundarios:

  • Rango de direcciones IP principal: Puedes elegir cualquier bloque CIDR de RFC 1918 privado para que sea el rango de direcciones IP principal de la subred. Estas direcciones IP pueden usarse como direcciones IP internas principales de VM, alias de direcciones IP de VM y las direcciones IP de los balanceadores de cargas internos.

  • Rangos de direcciones IP secundarios: puedes definir uno o más rangos de direcciones IP secundarios, que son bloques CIDR de RFC 1918 separados. Estos rangos de direcciones IP solo se usan como alias de direcciones IP. Los límites por red describen la cantidad máxima de rangos secundarios que puedes definir para cada subred.

No es necesario que tus subredes formen un bloque CIDR contiguo predefinido, pero puedes configurarlas así si lo deseas. Por ejemplo, las redes de VPC de modo automático sí crean subredes que caben dentro de un rango de IP predefinido de modo automático.

Para obtener más información, consulta cómo trabajar con subredes.

IP reservadas

Cada subred tiene cuatro direcciones IP reservadas en su rango de IP principal: No hay direcciones IP reservadas en los rangos de IP secundarios.

Dirección IP reservada Descripción Ejemplo
Red La primera dirección en el rango de IP principal de la subred 10.1.2.0 en 10.1.2.0/24
Puerta de enlace predeterminada La segunda dirección en el rango de IP principal de la subred 10.1.2.1 en 10.1.2.0/24
Penúltima dirección Penúltima dirección del rango de IP principal de la subred, que Google Cloud reserva para su posible uso futuro 10.1.2.254 en 10.1.2.0/24
Transmisión La última dirección en el rango de IP principal de la subred 10.1.2.255 en 10.1.2.0/24

Rangos de IP de modo automático

En esta tabla, se enumeran los rangos de IP para las subredes creadas de forma automática en una red de VPC de modo automático. Los rangos de IP de estas subredes caben dentro del bloque de CIDR 10.128.0.0/9. Las redes de VPC de modo automático se compilan con una subred por región en el momento de la creación y reciben subredes nuevas de forma automática en las regiones nuevas. Las partes no usadas de 10.128.0.0/9 están reservadas para el uso futuro de Google Cloud.

Región Rango de IP (CIDR) Puerta de enlace predeterminada Direcciones utilizables (inclusive)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 a 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 a 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 a 10.172.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 a 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 a 10.180.15.253

Rutas y reglas de firewall

Rutas

Las rutas definen rutas de acceso para instancias salientes (tráfico de salida). Las rutas de Google Cloud se dividen en dos categorías: generadas por el sistema y personalizadas.

Cada nueva red comienza con dos tipos de rutas generadas por el sistema:

  • La ruta predeterminada define una ruta para el tráfico que sale de la red de VPC. Proporciona acceso general a Internet a las VM que cumplen con los requisitos de acceso a Internet. También proporciona la ruta típica para el Acceso privado a Google.

  • Se crea una ruta de subred para cada uno de los rangos de IP asociados con una subred. Cada subred tiene al menos una ruta de subred para su rango de IP principal. Se crean rutas de subred adicionales para una subred si le agregas rangos de IP secundarios. Las rutas de subred definen rutas para que el tráfico alcance las VM que usan las subredes. No puedes quitar rutas de subred de forma manual.

Las rutas personalizadas son rutas estáticas que puedes crear de forma manual o rutas dinámicas que uno o más de tus Cloud Routers mantienen de forma automática. Para obtener más información, consulta las rutas personalizadas.

Para obtener detalles completos sobre el enrutamiento en Google Cloud, consulta la descripción general de las rutas.

Modo de enrutamiento dinámico

Cada red de VPC tiene un modo de enrutamiento dinámico asociado que controla el comportamiento de todos sus Cloud Routers. Los Cloud Routers comparten rutas a tu red de VPC y obtienen las rutas dinámicas personalizadas desde las redes conectadas cuando conectas tu red de VPC a otra red con un túnel de Cloud VPN que usa enrutamiento dinámico, o mediante la interconexión dedicada o la interconexión de socio.

  • El enrutamiento dinámico regional es la configuración predeterminada. En este modo, las rutas a recursos locales procesadas por un Cloud Router determinado en la red de VPC solo se aplican a las subredes en la misma región que el Cloud Router. A no ser que se modifique mediante anuncios personalizados, cada Cloud Router comparte solo las rutas a subredes de su región con su contraparte local.

  • El enrutamiento dinámico global cambia el comportamiento de todos los Cloud Routers en la red de modo que las rutas a los recursos locales que obtienen estén disponibles en todas las subredes de la red de VPC, sin importar la región. A no ser que se modifique mediante anuncios personalizados, cada Cloud Router comparte las rutas a todas las subredes de la red de VPC con su contraparte local.

Para obtener información sobre cómo se puede personalizar el conjunto de rutas que comparte un Cloud Router, consulta los anuncios personalizados.

El modo de enrutamiento dinámico se puede establecer cuando creas o modificas una red de VPC. Puedes cambiar el modo de enrutamiento dinámico de regional a global, y viceversa, sin restricción. Para obtener instrucciones, consulta Cómo cambiar el modo de enrutamiento dinámico.

Reglas de firewall

Las reglas de firewall se aplican al tráfico saliente (de salida) y al entrante (de entrada) en la red. Las reglas de firewall controlan el tráfico incluso si se produce íntegramente dentro de la red, como la comunicación entre instancias de VM.

Cada red de VPC tiene dos reglas de firewall implícitas. Una regla implícita permite la mayor parte del tráfico de salida, y la otra rechaza todo el tráfico de entrada. No puedes borrar las reglas implícitas, pero puedes anularlas con tus propias reglas. Google Cloud siempre bloquea parte del tráfico, sin importar las reglas de firewall; para obtener más información, consulta el tráfico bloqueado.

Para supervisar qué regla de firewall permitió o rechazó una conexión en particular, consulta el Registro de reglas de firewall.

Comunicaciones y acceso

Comunicación dentro de la red

Las rutas de subred generadas por el sistema definen las rutas para enviar tráfico entre instancias dentro de la red mediante direcciones IP internas (privadas). Para que una instancia pueda comunicarse con otra, deben configurarse las reglas de firewall adecuadas, pues cada red tiene una regla de firewall implícita que rechaza el tráfico de entrada.

Excepto en el caso de la red predeterminada, debes crear reglas de firewall de entrada de prioridad más alta de forma explícita para permitir que las instancias se comuniquen entre sí. La red predeterminada incluye varias reglas de firewall, además de las implícitas, incluida la regla default-allow-internal, que permite la comunicación entre instancias dentro de la red. La red predeterminada también incluye reglas de entrada que permiten protocolos como RDP y SSH.

Las reglas que vienen con la red predeterminada también se presentan como opciones para que apliques a las nuevas redes de VPC de modo automático que crees mediante Cloud Console.

Requisitos de acceso a Internet

Deben cumplirse los siguientes criterios para que una instancia tenga acceso a Internet de salida:

  • La red debe tener una ruta de puerta de enlace de Internet predeterminada o una ruta personalizada cuyo rango de IP de destino sea el más general (0.0.0.0/0). Esta ruta define la ruta de acceso a Internet. Para obtener más información, consulta Rutas.

  • Las reglas de firewall deben permitir el tráfico de salida de la instancia. A menos que esté anulada por una regla de prioridad más alta, la regla implícita para el tráfico de salida permite el tráfico saliente desde todas las instancias.

  • Debe cumplirse una de las siguientes condiciones:

    • La instancia debe tener una dirección IP externa. Una dirección IP externa se puede asignar a una instancia cuando se crea o después de crearla.

    • La instancia debe poder usar Cloud NAT o un proxy basado en la instancia que sea el objetivo de una ruta estática 0.0.0.0/0.

Comunicaciones y acceso para App Engine

Las reglas de firewall de VPC se aplican a los recursos que se ejecutan en la red de VPC, como las VM de Compute Engine. Para las instancias de App Engine, las reglas de firewall funcionan de la siguiente manera:

  • Entorno estándar de App Engine: Solo se aplican las reglas de firewall de App Engine al tráfico de entrada. Dado que las instancias del entorno estándar de App Engine no se ejecutan dentro de tu red de VPC, las reglas de firewall de VPC no se aplican a ellas.

  • Entorno flexible de App Engine: Se aplican las reglas de firewall de VPC y App Engine al tráfico de entrada. El tráfico entrante solo se permite si ambos tipos de reglas de firewall lo permiten. Para el tráfico saliente, se aplican las reglas de firewall de VPC.

Para obtener más información sobre cómo controlar el acceso a las instancias de App Engine, consulta Seguridad de las apps.

Traceroute para destinos de Internet

Por razones internas, Google Cloud aumenta el contador TTL de los paquetes que salen de las instancias de Compute Engine hacia Internet. Las herramientas como traceroute pueden proporcionar resultados incompletos porque el TTL no caduca en algunos de los saltos. Los saltos que se encuentran dentro y fuera de la red de Google pueden estar ocultos.

La cantidad de saltos ocultos varía según los niveles de servicio de red de la instancia, la región y otros factores. Si solo hay unos pocos saltos, es posible que todos estén ocultos. Si faltan saltos en un resultado de traceroute, no significa que se pierda el tráfico saliente.

No hay ninguna solución para este comportamiento.

Ejemplo de red de VPC

En el siguiente ejemplo, se ilustra una red de VPC de modo personalizado con tres subredes en dos regiones:

Ejemplo de red de VPC (haz clic para agrandar)
Ejemplo de red de VPC (haz clic para agrandar)
  • La subred Subnet1 está definida como 10.240.0.0/24 en la región us-west1.
    • En esta subred, hay dos instancias de VM en la zona us-west1-a. Sus direcciones IP provienen del rango de direcciones disponibles en subnet1.
  • La subred Subnet2 está definida como 192.168.1.0/24 en la región us-east1.
    • En esta subred, hay dos instancias de VM en la zona us-east1-a. Sus direcciones IP provienen del rango de direcciones disponibles en subnet2.
  • La subred Subnet3 está definida como 10.2.0.0/16, también en la región us-east1.
    • Una instancia de VM en la zona us-east1-a y una segunda instancia en la zona us-east1-b están en subnet3 y cada una recibe una dirección IP de su rango disponible. Debido a que las subredes son recursos regionales, las instancias pueden asociar sus interfaces de red con cualquier subred de la misma región que contiene sus zonas.

Próximos pasos