Rutas
Las rutas definen rutas de acceso para instancias salientes (tráfico de salida). Las rutas de Google Cloud se dividen en dos categorías: generadas por el sistema y personalizadas.
Cada red nueva comienza con dos tipos de rutas generadas por el sistema:
-
La ruta predeterminada define una ruta de acceso para el tráfico que sale de la red de VPC. Proporciona acceso general a Internet a las VM que cumplen con los requisitos de acceso a Internet. También proporciona la ruta de acceso típica para el acceso privado a Google.
-
Se crea una ruta de subred para cada uno de los rangos de IP asociados con una subred. Cada subred tiene al menos una ruta de subred para su rango de IP principal. Se crean rutas de subredes adicionales para una subred si le agregas rangos de IP secundarios. Las rutas de subredes definen rutas para que el tráfico llegue a las VM que usan las subredes. No puedes quitar rutas de subred de forma manual.
Nota: Si tu red de VPC está conectada a una red local mediante Cloud VPN o Cloud Interconnect, verifica que los rangos de subredes no entren en conflicto con direcciones IP locales. Las rutas de subredes se priorizan para que el tráfico al rango de destino permanezca en tu red de VPC, aunque se haya destinado a la red local.
Las rutas personalizadas son rutas estáticas que puedes crear de forma manual o rutas dinámicas que uno o más de tus Cloud Routers mantienen de forma automática. Para obtener más información, consulta Rutas personalizadas.
Para obtener detalles completos sobre el enrutamiento en Google Cloud, consulta Descripción general de las rutas.
Modo de enrutamiento dinámico
Cada red de VPC tiene un modo de enrutamiento dinámico asociado que controla el comportamiento de todos sus Cloud Routers. Los Cloud Routers comparten rutas a tu red de VPC y aprenden las rutas dinámicas personalizadas desde las redes conectadas cuando conectas la red de VPC a otra red con un túnel de Cloud VPN que usa enrutamiento dinámico, o mediante la interconexión dedicada o la interconexión de socio.
-
El enrutamiento dinámico regional es el predeterminado. En este modo, las rutas a recursos locales procesadas por un Cloud Router determinado en la red de VPC solo se aplican a las subredes en la misma región que el Cloud Router. A menos que se modifique mediante anuncios personalizados, cada Cloud Router comparte solo las rutas a subredes de su región con su contraparte local.
-
El enrutamiento dinámico global cambia el comportamiento de todos los Cloud Routers en la red de modo que las rutas a los recursos locales que aprenden estén disponibles en todas las subredes de la red de VPC, sin importar la región. A menos que se modifique mediante anuncios personalizados, cada Cloud Router comparte las rutas a todas las subredes de la red de VPC con su contraparte local.
Para obtener información sobre cómo se puede personalizar el conjunto de rutas que comparte un Cloud Router, consulta Anuncios personalizados.
El modo de enrutamiento dinámico se puede establecer cuando creas o modificas una red de VPC. Puedes cambiar el modo de enrutamiento dinámico de regional a global, y viceversa, sin restricción. Para obtener instrucciones, consulta Cambia el modo de enrutamiento dinámico.
Precaución: Si cambias el modo de enrutamiento dinámico, se puede llegar a interrumpir el tráfico dentro de la red, o habilitar o inhabilitar las rutas de formas inesperadas. Revisa la función de cada Cloud Router con atención antes de cambiar el modo de enrutamiento dinámico.
Reglas de firewall
Las reglas de firewall se aplican tanto al tráfico saliente (de salida) como al entrante (de entrada) en la red. Las reglas de firewall controlan el tráfico incluso si se produce íntegramente dentro de la red, como la comunicación entre instancias de VM.
Cada red de VPC tiene dos reglas de firewall implícitas. Una regla implícita permite la mayor parte del tráfico de salida, y la otra rechaza todo el tráfico de entrada. No puedes borrar las reglas implícitas, pero puedes anularlas con tus propias reglas. Google Cloud siempre bloquea parte del tráfico, sin importar las reglas de firewall. Para obtener más información, consulta Tráfico bloqueado.
Para supervisar qué regla de firewall permitió o rechazó una conexión en particular, consulta Registro de reglas de firewall.