Configure su configuración de red

En esta tarea, configura su configuración de red inicial. Normalmente, debe hacer lo siguiente:

  • Diseñe, cree y configure una arquitectura de nube privada virtual.
  • Si tiene una red local o una red en otro proveedor de nube, configure la conectividad entre ese proveedor y Google Cloud.
  • Configure una ruta para el tráfico de salida externo.
  • Implemente controles de seguridad de red, como reglas de firewall.
  • Elija una opción de tráfico de entrada preferida para los servicios alojados en la nube.

Esta tarea le muestra un ejemplo para el elemento 1 como base para su propia arquitectura de nube privada virtual.

Los elementos restantes (conectividad externa, configuración del tráfico de salida, implementación de reglas de firewall y elección de una opción de ingreso) dependen de sus necesidades comerciales. Por lo tanto, no los cubrimos en esta lista de verificación. Sin embargo, proporcionamos enlaces a información adicional para estos elementos.

¿Quién realiza esta tarea?

Una persona del gcp-network-admins@<your-domain>.comgrupo que se creó en la tarea 2.

¿Qué haces?

Establezca una configuración de red inicial.

  • Crea redes de VPC compartidas
  • Configurar la conectividad entre el proveedor externo y Google Cloud
  • Configurar una ruta para el tráfico de salida externo
  • Implementar controles de seguridad de la red
  • Elija una opción de tráfico de entrada

¿Por qué recomendamos esta tarea?

  • La VPC compartida permite que equipos separados se conecten a una red de VPC común y administrada de forma centralizada desde varios productos distintos.

  • La configuración de la conectividad híbrida permite una migración perfecta de aplicaciones a Google Cloud sin dejar de conectarse a las dependencias del servicio.

  • Diseñar vías de entrada y salida seguras desde el principio permite a sus equipos trabajar de manera productiva en Google Cloud sin comprometer la seguridad.

Arquitectura de nube privada virtual

Google ofrece Virtual Private Cloud (VPC), que proporciona funcionalidad de red a sus recursos de Google Cloud, como instancias de máquinas virtuales de Compute Engine, contenedores de GKE y el entorno flexible de App Engine. El siguiente diagrama muestra una arquitectura multirregional básica:

Jerarquía de recursos de muestra

Esta arquitectura tiene dos proyectos de host de VPC compartida. Un proyecto anfitrión es para su entorno de producción y el otro es para su entorno de no producción. La VPC compartida permite que las organizaciones conecten recursos de varios proyectos a una red de VPC común, de modo que los recursos puedan comunicarse entre sí de manera más segura y eficiente mediante direcciones IP internas de esa red.

Un proyecto de host de VPC compartida contiene una o más redes de VPC compartida. En esta arquitectura, cada red de VPC compartida (tanto de producción como de no producción) contiene subredes públicas y privadas en dos regiones (en este caso, us-east1 y us-west1):

  • La subred pública se puede usar para instancias que están orientadas a Internet para proporcionar conectividad externa.
  • La subred privada se puede usar para instancias que son únicamente internas y no se les debe asignar direcciones IP públicas.

La arquitectura que se muestra en el diagrama anterior usa nombres de ejemplo para varios recursos. Para su propia configuración, puede cambiar elementos del nombre, como su empresa ( exampleen los nombres de ejemplo) y la región que está utilizando ( us-east1y us-west1en los ejemplos).

Crea las redes de VPC compartidas

  1. En la página del selector de proyectos, seleccione example-vpc-host-nonprod.

  2. Siga las instrucciones en Eliminación de una red para eliminar la red de VPC nombrada default.

  3. Siga las instrucciones para crear una red de modo personalizado con los siguientes valores:

    1. En Nombre , ingrese example-shared-vpc-nonprod-1.
    2. Para los parámetros de la sección Nueva subred :
      • En Nombre , ingrese example-nonprod-us-east1-subnet-public.
      • Para el rango de direcciones IP , ingrese 10.1.0.0/24(siempre que esa dirección IP no entre en conflicto con el rango de IP de la red existente y sea suficiente para cumplir con sus requisitos de alojamiento.
      • Para el acceso privado a Google , seleccione Activado para permitir que las máquinas virtuales se comuniquen con las API de Google sin una dirección IP externa.
    3. Elija Agregar subred y siga las instrucciones para agregar los siguientes nombres de subred:
      • example-nonprod-us-east1-subnet-private
        IP address range: 10.2.0.0/24
      • example-nonprod-us-west1-subnet-public
        IP address range: 10.3.0.0/24
      • example-nonprod-us-west1-subnet-private
        IP address range: 10.4.0.0/24
  4. Habilite el proyecto de host de la VPC compartida con los siguientes valores:

    1. Para el proyecto, seleccione example-vpc-host-nonprod.
    2. En Seleccionar subredes , haga clic en Subredes individuales (permisos de nivel de subred) y seleccione todas las subredes que no son de producción que creó anteriormente.
    3. En Adjuntar proyectos de servicio , adjunte todos los proyectos de seguimiento y registro restantes que no sean de producción.
  5. En la página del selector de proyectos, seleccione example-vpc-host-prod:

  6. Repita los pasos 2 a 4 para el entorno de producción. Asegúrese de seleccionar todas las subredes de producción creadas anteriormente.

Configurar la conectividad entre el proveedor externo y Google Cloud

Si tiene una red local o una red en otro proveedor de nube, puede configurar Cloud VPN, un servicio que ayuda a conectar de forma segura su red de pares a su red de Google Cloud VPC a través de una conexión VPN IPSec. Cloud VPN es adecuado para velocidades de hasta 3,0 Gbps. Si necesita un mayor ancho de banda para conectar su sistema local a Google Cloud, consulte Interconexión de socio e Interconexión dedicada .

Para crear una conexión VPN, siga las instrucciones en Creación de una puerta de enlace y un túnel para las redes de VPC compartidas de producción y de no producción que se creó en el procedimiento anterior.

Configurar una ruta para el tráfico de salida externo

Utiliza Cloud NAT para permitir que sus máquinas virtuales se conecten a Internet sin utilizar direcciones IP externas. Cloud NAT es un recurso regional. Puede configurarlo para permitir el tráfico de todos los rangos de IP primarios y secundarios de las subredes en una región, o puede configurarlo para que se aplique solo a algunos de esos rangos.

Siga las instrucciones en Crear NAT para todas las regiones en las redes de VPC compartidas que se creó en el procedimiento anterior para redes de producción y de no producción.

Implementar controles de seguridad de la red

Las reglas de firewall le permiten permitir o denegar el tráfico hacia y desde sus instancias de máquina virtual (VM) según una configuración que especifique. Siga las instrucciones en Uso de reglas de firewall para configurar estos controles para redes de VPC compartidas tanto de producción como de no producción que se creó en el procedimiento anterior.

Elija una opción de tráfico de entrada

Cloud Load Balancing le brinda la capacidad de distribuir recursos informáticos en una o varias regiones. Esto le permite cumplir con sus requisitos de alta disponibilidad tanto para el tráfico externo entrante como para el tráfico dentro de su red de VPC. Mientras planifica la arquitectura de su aplicación en Google Cloud, revise Cómo elegir un balanceador de carga para decidir qué tipos de balanceadores de carga necesita.