Una red de nube privada virtual (VPC) es una versión virtual de una red física, implementada dentro de la red de producción de Google, mediante Andromeda. Una red de VPC proporciona lo siguiente:
- Proporciona conectividad para las instancias de máquina virtual (VM) de Compute Engine, incluidos Google Kubernetes Engine (clústeres de GKE), las instancias del entorno flexible de App Engine y otros productos de Google Cloud compilados en la VM de Compute Engine.
- Ofrece balanceo de cargas de TCP/UDP interno nativo y sistemas proxy para el balanceo de cargas de HTTP(S) interno.
- Se conecta a redes locales mediante túneles de Cloud VPN y adjuntos de Cloud Interconnect.
- Distribuye el tráfico de los balanceadores de cargas externos de Google Cloud a los backends.
Los proyectos pueden contener varias redes de VPC. A menos que crees una política de la organización que la prohíba, los proyectos nuevos comienzan con una red predeterminada (una red de VPC en modo automático) que tiene una subred (subred) en cada región.
Importante: En esta página, se describen las redes de VPC, que son diferentes de las redes heredadas. Aunque puedes crear redes heredadas mediante la herramienta de línea de comandos de gcloud o la API de REST, no se recomiendan para la producción porque no admiten características de herramientas de redes avanzadas. No se puede convertir una red heredada en una red de VPC. Para ver de qué tipo es una red existente, consulta Visualiza redes.
Especificaciones
Las redes de VPC tienen las siguientes propiedades:
-
Las redes de VPC, incluidas sus reglas de firewall y rutas asociadas, son recursos globales. No están asociadas con ninguna región o zona en particular.
-
Las subredes son recursos regionales. Cada subred define un rango de direcciones IP.
-
El tráfico desde y hacia las instancias puede controlarse mediante las reglas de firewall de la red. Las reglas se implementan en las VM. Por lo tanto, el tráfico solo se puede controlar y registrar a medida que sale o llega a una VM.
-
Los recursos dentro de una red de VPC pueden comunicarse entre sí mediante direcciones IPv4 internas, sujetas a las reglas de firewall aplicables de la red. Si deseas obtener más información, consulta Comunicación dentro de la red.
-
Las instancias con direcciones IP internas pueden comunicarse con los servicios y las API de Google. Si deseas obtener más información, consulta Opciones de acceso privado a los servicios.
-
La administración de red se puede proteger mediante funciones de administración de identidades y accesos (IAM).
-
Una organización puede usar VPC compartidas para mantener una red de VPC en un proyecto host en común. Los miembros de IAM autorizados pertenecientes a otros proyectos de la misma organización pueden crear recursos que usan subredes de la red de VPC compartida.
-
Las redes de VPC pueden conectarse con otras redes de VPC de organizaciones o proyectos diferentes mediante el intercambio de tráfico entre redes de VPC.
-
Las redes de VPC pueden conectarse de forma segura en entornos híbridos mediante Cloud VPN o Cloud Interconnect.
-
Las redes de VPC admiten el tráfico de GRE (beta), excepto el tráfico en Cloud VPN, Cloud Interconnect, Cloud NAT y las reglas de reenvío para el balanceo de cargas y reenvío de protocolos. GRE te permite usar servicios como el perímetro de servicio de acceso seguro (SASE) y SD-WAN.
-
Las redes de VPC solo son compatibles con el tráfico IPv4 de unidifusión. No son compatibles con el tráfico de transmisión o multidifusión, ni el tráfico IPv6 dentro de la red. Las VM en la red de VPC solo pueden enviar tráfico a destinos IPv4 y recibirlo de fuentes IPv4. Sin embargo, es posible crear una dirección IPv6 para un balanceador de cargas global.
Beta —Generic Routing Encapsulation (GRE) support
Esta función está sujeta a las Condiciones de las ofertas anteriores a la disponibilidad general de las Condiciones del Servicio de Google Cloud Platform. Las características anteriores a la disponibilidad general pueden tener asistencia limitada, y los cambios en las características anteriores a la disponibilidad general puede que no sean compatibles con otras versiones anteriores a la disponibilidad general. Para obtener más información, consulta las descripciones de la etapa de lanzamiento.
Terminología de red y subred
Se usa el término subred en Google Cloud Console, los comandos de gcloud y la documentación de las API.
Una subred no es lo mismo que una red (de VPC). Las redes y subredes son diferentes tipos de objetos en Google Cloud.
Redes y subredes
Cada red de VPC consta de una o más particiones útiles del rango de IP llamadas subredes. Cada subred está asociada a una región. Las redes de VPC no tienen ningún rango de direcciones IP asociado. Los rangos de IP se definen para las subredes.
Una red debe tener, al menos, una subred para que puedas usarla. Las redes de VPC de modo automático crean subredes en cada región de forma automática. Las redes de VPC de modo personalizado comienzan sin subredes, lo que te brinda el control total sobre la creación de subredes. Puedes crear más de una subred por región. Para obtener información sobre las diferencias entre las redes de VPC de modo personalizado y de modo automático, consulta los tipos de redes de VPC.
Cuando creas un recurso en Google Cloud, debes elegir una red y una subred. En el caso de otros recursos que no sean plantillas de instancias, también debes seleccionar una zona o una región. Cuando seleccionas una zona, se selecciona una región principal de forma implícita. Debido a que las subredes son objetos regionales, la región que seleccionas para un recurso determina las subredes que puede usar:
-
El proceso de creación de una instancia incluye la selección de una zona, una red y una subred. Las subredes disponibles para la selección están restringidas a aquellas que se encuentran en la región seleccionada. Google Cloud asigna a la instancia una dirección IP del rango de direcciones disponibles en la subred.
-
El proceso de creación de un grupo de instancias administrado incluye la selección de una zona o región, según el tipo de grupo y una plantilla de instancias. Las plantillas de instancias disponibles para la selección están restringidas a aquellas cuyas subredes definidas están en la misma región seleccionada para el grupo de instancias administrado.
- Las plantillas de instancias son recursos globales. El proceso de creación de una plantilla de instancias incluye la selección de una red y una subred. Si seleccionas una red de VPC de modo automático, puedes usar subredes automáticas para diferir la selección de subredes a una que esté disponible en la región seleccionada de cualquier grupo de instancias administrado que use la plantilla. Las redes de VPC de modo automático tienen una subred en cada región por definición.
-
El proceso de creación de un clúster de contenedores de Kubernetes incluye la selección de una zona o región (según el tipo de clúster), una red y una subred. Las subredes disponibles para la selección están restringidas a aquellas que se encuentran en la región seleccionada.