Networking en GCP
      Volver al inicio
      1. Centro de ayuda
      2. Google Cloud
      3. Networking en GCP

      Comunicaciones y acceso

      Comunicación dentro de la red

      Las rutas de subredes generadas por el sistema definen las rutas para enviar tráfico entre instancias dentro de la red mediante direcciones IP internas. Para que una instancia pueda comunicarse con otra, deben configurarse las reglas de firewall adecuadas, ya que cada red tiene una regla de firewall implícita que rechaza el tráfico de entrada.

      Excepto en el caso de la red predeterminada, debes crear de forma explícita reglas de firewall de entrada de prioridad más alta para permitir que las instancias se comuniquen entre sí. La red predeterminada incluye varias reglas de firewall, además de las implícitas, incluida la regla default-allow-internal, que permite la comunicación entre instancias dentro de la red. La red predeterminada también incluye reglas de entrada que permiten protocolos como RDP y SSH.

      Las reglas que vienen con la red predeterminada también se presentan como opciones para que apliques a las nuevas redes de VPC de modo automático que crees mediante Cloud Console.

      Requisitos de acceso a Internet

      Se deben cumplir los siguientes criterios para que una instancia tenga acceso a Internet de salida:

      • La red debe tener una ruta de puerta de enlace de Internet predeterminada o una ruta personalizada cuyo rango de IP de destino sea el más general (0.0.0.0/0). Esta ruta define la ruta de acceso a Internet. Para obtener más información, consulta Rutas.

      • Las reglas de firewall deben permitir el tráfico de salida desde la instancia. A menos que esté anulada por una regla de prioridad más alta, la regla implícita para el tráfico de salida permite el tráfico saliente desde todas las instancias.

      • Debe cumplirse una de las siguientes condiciones:

        • La instancia debe tener una dirección IP externa. Una dirección IP externa se puede asignar a una instancia cuando se crea o después de crearla.

        • La instancia debe poder usar Cloud NAT o un proxy basado en instancias que sea el objetivo de una ruta estática 0.0.0.0/0.

      Comunicaciones y acceso para App Engine

      Las reglas de firewall de VPC se aplican a los recursos que se ejecutan en la red de VPC, como las VM de Compute Engine. Para las instancias de App Engine, las reglas de firewall funcionan de la siguiente manera:

      • Entorno estándar de App Engine: Solo se aplican las reglas de firewall de App Engine al tráfico de entrada. Dado que las instancias del entorno estándar de App Engine no se ejecutan dentro de tu red de VPC, las reglas de firewall de VPC no se aplican a ellas.

      • Entorno flexible de App Engine: Se aplican las reglas de firewall de VPC y de App Engine al tráfico de entrada. El tráfico entrante solo se admite si ambos tipos de reglas de firewall lo permiten. Para el tráfico saliente, se aplican las reglas de firewall de VPC.

      Para obtener más información sobre cómo controlar el acceso a las instancias de App Engine, consulta Seguridad de las apps.

      Traceroute para direcciones IP externas

      Por motivos internos, Google Cloud aumenta el contador de TTL de los paquetes que recorren los siguientes saltos en la red de Google. Es posible que herramientas como traceroute y mtr proporcionen resultados incompletos porque el TTL no vence en algunos de los saltos. Los saltos que están dentro y fuera de la red de Google pueden estar ocultos en las siguientes circunstancias:

      • Cuando envías paquetes de instancias de Compute Engine a direcciones IP externas, incluidas las direcciones IP externas de otros recursos de Google Cloud o destinos en Internet.

      • Cuando envías paquetes a la dirección IP externa asociada a una instancia de Compute Engine o a otro recurso de Google Cloud.

      La cantidad de saltos ocultos varía según los niveles de servicio de red de la instancia, la región y otros factores. Si solo hay unos pocos saltos, es posible que todos estén ocultos. Si faltan saltos en un resultado de traceroute o de mtr, no significa que se perderá el tráfico saliente.

      No hay ninguna solución para este comportamiento. Debes tenerlo en cuenta si configuras la supervisión de terceros que se conecta a una dirección IP externa asociada con una VM.

      Importante: Las estadísticas de pérdida de sondeo son un componente de las pruebas de traceroute. Analiza con atención los resultados de las pruebas. De forma predeterminada, traceroute y mtr usan el sondeo basado en ICMP. Por lo general, la generación de respuestas del sondeo ICMP tiene un límite de frecuencia (o está inhabilitada) en los routers que se ubican en la ruta de la red del sondeo y puede causar que falten respuestas de sondeo. Cuando se produce este comportamiento, es posible que descubras una pérdida de sondeo en los saltos de enrutamiento intermedios. Sin embargo, esto no debería reflejar el rendimiento de extremo a extremo. Si buscas la pérdida de paquetes, el único salto que suele ser importante es el salto de destino.

      Límites de capacidad de procesamiento de salida

      En la sección Ancho de banda de red, puedes encontrar información sobre la capacidad de procesamiento de la red.

      Tamaño del paquete

      La información sobre el tamaño del paquete se encuentra en la sección Unidad de transmisión máxima.