Modo de creación de subred en GCP

Google Cloud ofrece dos tipos de redes de VPC, determinadas por su modo de creación de subred:

  • Cuando se crea una red de VPC de modo automático, se crea de forma automática una subred de cada región dentro de ella. Estas subredes creadas de forma automática usan un conjunto de rangos de IP predefinidos que se ajustan al bloque CIDR 10.128.0.0/9. A medida que las nuevas regiones de Google Cloud estén disponibles, las subredes nuevas de esas regiones se agregarán automáticamente a las redes de VPC de modo automático mediante un rango de IP de ese bloque. Además de las subredes creadas automáticamente, puedes agregar más subredes de forma manual a las redes de VPC de modo automático en las regiones que elijas mediante rangos de IP fuera de 10.128.0.0/9.

  • Cuando se crea una red de VPC de modo personalizado, no se crean subredes de forma automática. Este tipo de red te proporciona control total sobre sus subredes y rangos de IP. Tú decides qué subredes crear en las regiones que elijas mediante los rangos de IP que especifiques.

Puedes cambiar una red de VPC del modo automático al modo personalizado. Esta es una conversión unidireccional. Las redes de VPC de modo personalizado no se pueden cambiar al modo automático. Para ayudarte a decidir qué tipo de red satisface tus necesidades, consulta las consideraciones para las redes de VPC de modo automático.

Red predeterminada

Cada proyecto nuevo comienza con una red predeterminada, a menos que decidas inhabilitarla. La red predeterminada es una red de VPC de modo automático con reglas de firewall ya propagadas.

Si deseas inhabilitar la creación de redes predeterminadas, crea una política de la organización con la restricción compute.skipDefaultNetworkCreation. Los proyectos que hereden esta política no tendrán una red predeterminada.

Consideraciones para las redes de VPC de modo automático

Las redes de VPC de modo automático son fáciles de configurar y usar, y son adecuadas para casos prácticos con estos atributos:

  • La creación automática de subredes en cada región es útil.

  • Los rangos de IP predefinidos de las subredes no se superponen con los rangos que usarías con otros fines (por ejemplo, conexiones de Cloud VPN a recursos locales).

Sin embargo, las redes de VPC de modo personalizado son más flexibles y se ajustan mejor a la producción. Los siguientes atributos destacan casos prácticos en los que se recomienda o requiere el uso de redes de VPC de modo automático:

  • La creación automática de una subred en cada región no es necesaria.

  • La creación automática de subredes a medida que surgen nuevas regiones podría generar una superposición con las direcciones IP usadas por las subredes manuales o rutas estáticas, o podría interferir en la planificación general de la red.

  • Necesitas control total sobre las subredes creadas en tu red de VPC, incluidas las regiones y los rangos de direcciones IP usados.

  • Planeas conectar redes de VPC mediante el intercambio de tráfico entre redes de VPC o Cloud VPN. Debido a que las subredes de todas las redes de VPC de modo automático usan el mismo rango predefinido de direcciones IP, no puedes conectar redes de VPC de modo automático entre sí.

Importante: Las redes de producción deberían planearse con anticipación. Se recomienda que uses redes de VPC de modo personalizado en producción.

Rangos de subredes

Cuando creas una subred, debes definir su rango de direcciones IP principales. Las direcciones internas principales para los siguientes recursos provienen del rango principal de la subred: instancias de VM, balanceadores de cargas internos y reenvío de protocolo interno. De manera opcional, puedes agregar rangos de direcciones IP secundarias a una subred, que solo usan los rangos de alias de IP. Sin embargo, puedes configurar rangos de alias de IP para instancias del rango principal o secundario de una subred.

Cada rango de IP principal o secundario para todas las subredes en una red de VPC debe ser un bloque CIDR válido. Consulta los límites por red para conocer la cantidad de rangos de IP secundarios que puedes definir.

No es necesario que las subredes formen un bloque CIDR contiguo predefinido, pero puedes configurarlo si así lo deseas. Por ejemplo, las redes de VPC de modo automático sí crean subredes que se ajustan un rango de IP predefinido de modo automático.

Para obtener más información, consulta la sección sobre cómo trabajar con subredes.

Rangos válidos

Los rangos de direcciones IP principales y secundarias de una subred son direcciones IP internas regionales. En la siguiente tabla, se describen los rangos válidos.

Rango Descripción
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Direcciones IP privadas de RFC 1918
100.64.0.0/10 Espacio de direcciones compartidas de RFC 6598
192.0.0.0/24 Asignaciones de protocolo IETF de RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Documentación de RFC 5737
192.88.99.0/24 Retransmisión de IPv6 a IPv4 (obsoleta) de RFC 7526
198.18.0.0/15 Pruebas comparativas de RFC 2544
240.0.0.0/4

Reservado para uso futuro (clase E) como se indica en RFC 5735 y RFC 1112.

Algunos sistemas operativos no admiten el uso de este rango, por lo que debes verificar que tu SO lo admita antes de crear subredes que usen este rango.

Direcciones IP públicas usadas de forma privada

Incluye direcciones IP que no forman parte de los rangos de RFC enumerados en esta tabla y que no forman parte del conjunto restringido. Cuando usas estas direcciones como rangos de subred, Google Cloud no anuncia estas rutas a Internet y no enruta el tráfico desde Internet.

En el intercambio de tráfico entre redes de VPC, las rutas de subredes para direcciones IP públicas no se intercambian de forma automática. Las rutas de subredes se exportan de forma automática según la configuración predeterminada, pero las redes de intercambio de tráfico deben configurarse de manera explícita para importarlas a fin de usarlas.

Los rangos de subredes tienen las siguientes restricciones:

  • Los rangos de subredes no pueden coincidir con un rango restringido, ni ser más estrechos ni más amplios que uno de estos rangos. Por ejemplo, 169.0.0.0/8 no es un rango de subred válido porque se superpone con el rango de vínculo local 169.254.0.0/16 (RFC 3927), que es un rango restringido.

  • Los rangos de subred no pueden abarcar un rango RFC (descrito en la tabla anterior) ni un rango de direcciones IP públicas de uso privado. Por ejemplo, 172.16.0.0/10 no es un rango de subred válido porque se superpone con direcciones IP públicas y RFC 1918.

  • Los rangos de subredes no pueden abarcar varios rangos de RFC. Por ejemplo, 192.0.0.0/8 no es un rango de subred válido porque incluye 192.168.0.0/16 (de RFC 1918) y 192.0.0.0/24 (de RFC 6890). Sin embargo, puedes crear dos subredes con diferentes rangos principales, una con 192.0.0.0/16 y otra con 192.0.0.0/24. O bien, puedes usar ambos rangos en la misma subred si haces que uno de ellos sea secundario.

Rangos restringidos

Entre los rangos restringidos se incluyen las direcciones IP públicas de Google y los rangos de RFC que se suelen reservar, como se describe en la siguiente tabla. Estos rangos no se pueden usar para rangos de subredes.

Rango Descripción
Direcciones IP públicas para los servicios y las API de Google, incluidos los netblocks de Google Cloud. Puedes encontrar estas direcciones IP en https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30 y 199.36.153.8/30 Direcciones IP virtuales específicas del acceso privado a Google
0.0.0.0/8 Red actual (local) de RFC 1122
127.0.0.0/8 Host local de RFC 1122
169.254.0.0/16 Vínculo local de RFC 3927
224.0.0.0/4 Multidifusión (clase D) RFC 5771
255.255.255.255/32 Dirección de destino de transmisión limitada de RFC 8190 y RFC 919

Direcciones IP reservadas en una subred

Cada subred tiene cuatro direcciones IP reservadas en su rango de IP principal: No hay direcciones IP reservadas en los rangos de IP secundarios.

Dirección IP reservada Descripción Ejemplo
Red La primera dirección en el rango de IP principal de la subred 10.1.2.0 en 10.1.2.0/24
Puerta de enlace predeterminada La segunda dirección en el rango de IP principal de la subred 10.1.2.1 en 10.1.2.0/24
Penúltima dirección Penúltima dirección del rango de IP principal de la subred, que Google Cloud reserva para su posible uso en el futuro 10.1.2.254 en 10.1.2.0/24
Transmisión La última dirección en el rango de IP principal de la subred 10.1.2.255 en 10.1.2.0/24

Nota: La red definida por software de Google Cloud reserva una dirección IP de puerta de enlace virtual para los rangos de IP principales de cada subred en una red de VPC. Sin embargo, las puertas de enlace virtuales no responden al tráfico de ICMP ni disminuyen los encabezados de TTL de IP.

Los rangos de IP secundarios de una subred no tienen una dirección IP de puerta de enlace virtual reservada. Por lo tanto, una puerta de enlace predeterminada no responde a ping y no aparece cuando ejecutas traceroute desde una instancia de VM.

Las herramientas que hacen ping a la dirección IP de la puerta de enlace como una prueba de conectividad deben configurarse de modo que no consideren la imposibilidad de hacer ping a una puerta de enlace virtual como una condición de falla.

Rangos de IP de modo automático

En esta tabla, se enumeran los rangos de IP para las subredes creadas automáticamente en una red de VPC de modo automático. Los rangos de IP de estas subredes se ajustan al bloque CIDR 10.128.0.0/9. Las redes de VPC de modo automático se compilan con una subred por región en el momento de la creación y reciben subredes nuevas de forma automática en las regiones nuevas. Las partes no usadas de 10.128.0.0/9 están reservadas para el uso futuro de Google Cloud.

Región Rango de IP (CIDR) Puerta de enlace predeterminada Direcciones utilizables (inclusive)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 a 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 a 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
asia-southeast2 10.184.0.0/20 10.184.0.1 10.184.0.2 to 10.184.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 a 10.172.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 a 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 a 10.180.15.253
us-west4 10.182.0.0/20 10.182.0.1 10.182.0.2 a 10.182.15.253