Conectividad entre VPC de redes multinube con Network Connectivity Center

En este documento, se proporciona una arquitectura de referencia que puedes usar para implementar una topología de red entre VPCs de Cross-Cloud Network en Google Cloud. Este diseño de red permite la implementación de servicios de software en redes Google Cloud y externas, como centros de datos locales o proveedores de servicios en la nube (CSP).

El público objetivo de este documento incluye administradores de red, arquitectos de nube y arquitectos empresariales que desarrollarán la conectividad de red. También incluye a los arquitectos de nube que planifican cómo se implementan las cargas de trabajo. En este documento, se supone que tienes conocimientos básicos sobre el enrutamiento y la conectividad a Internet.

Este diseño admite varias conexiones externas, varias redes de nube privada virtual (VPC) de acceso a servicios que contienen servicios y puntos de acceso a servicios, y varias redes de VPC de cargas de trabajo.

En este documento, el término puntos de acceso a servicios hace referencia a los puntos de acceso a los servicios disponibles a través del Google Cloud acceso privado a servicios y Private Service Connect. Network Connectivity Center es un modelo de plano de control de concentrador y radio para la administración de la conectividad de red enGoogle Cloud. El recurso de concentrador proporciona administración de conectividad centralizada para los radios de VPC de Network Connectivity Center.

El concentrador de Network Connectivity Center es un plano de control global que aprende y distribuye rutas entre los distintos tipos de radios que están conectados a él. Por lo general, los radios de VPC insertan rutas de subred en la tabla de rutas del concentrador centralizado. Por lo general, los radios híbridos insertan rutas dinámicas en la tabla de ruta del concentrador centralizado. Con la información del plano de control del concentrador de Network Connectivity Center, Google Cloudse establece automáticamente la conectividad del plano de datos entre los radios de Network Connectivity Center.

Network Connectivity Center es el enfoque recomendado para interconectar VPCs para un crecimiento escalable en Google Cloud. Si debes insertar dispositivos virtuales de red (NVA) en la ruta de tráfico, puedes usar la funcionalidad del dispositivo de router para las rutas dinámicas o usar rutas estáticas o basadas en políticas junto con el intercambio de tráfico entre redes de VPC para interconectar VPCs. Para obtener más información, consulta Conectividad entre VPCs de Cross-Cloud Network con intercambio de tráfico entre redes de VPC.

Arquitectura

En el siguiente diagrama, se muestra una vista de alto nivel de la arquitectura de las redes y los diferentes flujos de paquetes que admite esta arquitectura.

La arquitectura contiene los siguientes elementos de alto nivel:

Componente	Objetivo	Interacciones
Redes externas (red local o de otro CSP)	Aloja los clientes de las cargas de trabajo que se ejecutan en las VPC de carga de trabajo y en las VPC de acceso a los servicios. Las redes externas también pueden alojar servicios.	Intercambia datos con las redes de VPC de Google Clouda través de la red de tránsito. Se conecta a la red de tránsito con Cloud Interconnect o VPN con HA. Finaliza un extremo de los siguientes flujos: De externo a externo External-to-services-access External-to-Private-Service-Connect-consumer De externo a carga de trabajo
Red de VPC de tránsito (también conocida como red de VPC de enrutamiento en Network Connectivity Center)	Actúa como un centro para la red externa, la red de VPC de acceso a servicios y las redes de VPC de carga de trabajo.	Conecta la red externa, la red de VPC de acceso a servicios, la red del consumidor de Private Service Connect y las redes de VPC de la carga de trabajo a través de una combinación de Cloud Interconnect, VPN con alta disponibilidad y Network Connectivity Center.
Red de VPC de acceso a servicios	Proporciona acceso a los servicios que necesitan las cargas de trabajo que se ejecutan en las redes de VPC de cargas de trabajo o en redes externas. También proporciona puntos de acceso a los servicios administrados que se alojan en otras redes.	Intercambia datos con las redes externas, de cargas de trabajo y de consumidores de Private Service Connect a través de la red de tránsito. Se conecta a la VPC de tránsito a través de una VPN con alta disponibilidad. El enrutamiento transitivo que proporciona la VPN con alta disponibilidad permite que el tráfico externo llegue a las VPC de los servicios administrados a través de la red de VPC de acceso a los servicios. Finaliza un extremo de los siguientes flujos: External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Red de VPC de servicios administrados	Aloja servicios administrados que necesitan los clientes en otras redes.	Intercambia datos con las redes externas, de acceso a servicios, de Private Service Connect para el consumidor y de cargas de trabajo. Se conecta a la red de VPC de acceso a servicios con el acceso privado a servicios, que usa el intercambio de tráfico entre redes de VPC. La VPC de los servicios administrados también puede conectarse a la VPC del consumidor de Private Service Connect a través de Private Service Connect o el acceso privado a los servicios. Finaliza un extremo de los flujos de todas las demás redes.
VPC del consumidor de Private Service Connect	Aloja extremos de Private Service Connect a los que se puede acceder desde otras redes. Esta VPC también podría ser una VPC de cargas de trabajo.	Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de tránsito. Se conecta a la red de tránsito y a otras redes de VPC de cargas de trabajo a través de radios de VPC de Network Connectivity Center.
Redes de VPC de carga de trabajo	Aloja cargas de trabajo que necesitan los clientes en otras redes. Esta arquitectura permite varias redes de VPC de cargas de trabajo.	Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de tránsito. Se conecta a la red de tránsito, a las redes de consumidores de Private Service Connect y a otras redes de VPC de cargas de trabajo a través de radios de VPC de Network Connectivity Center. Finaliza un extremo de los siguientes flujos: De externo a carga de trabajo Workload-to-services-access Workload-to-Private-Service-Connect-consumer De carga de trabajo a carga de trabajo
Network Connectivity Center	El concentrador de Network Connectivity Center incorpora una base de datos de enrutamiento global que funciona como un plano de control de red para las rutas de subred de VPC y de conexión híbrida en cualquier región de Google Cloud .	Interconecta varias redes híbridas y de VPC en una topología de cualquier a cualquier elemento creando una ruta de datos que usa la tabla de enrutamiento del plano de control.

En el siguiente diagrama, se muestra una vista detallada de la arquitectura que destaca las cuatro conexiones entre los componentes:

Descripciones de las conexiones

En esta sección, se describen las cuatro conexiones que se muestran en el diagrama anterior. En la documentación de Network Connectivity Center, se hace referencia a la red de VPC de tránsito como la VPC de enrutamiento. Si bien estas redes tienen nombres diferentes, cumplen el mismo propósito.

Conexión 1: Entre redes externas y redes de VPC de tránsito

Esta conexión entre las redes externas y las redes de VPC de tránsito se realiza a través de Cloud Interconnect o de una VPN con alta disponibilidad. Las rutas se intercambian a través de BGP entre los Cloud Routers de la red de VPC de tránsito y entre los routers externos de la red externa.

• Los routers de las redes externas anuncian las rutas para las subredes externas a los Cloud Routers de la VPC de tránsito. En general, los routers externos en una ubicación determinada anuncian rutas desde la misma ubicación externa como más preferidas que las rutas para otras ubicaciones externas. La preferencia de las rutas se puede expresar con las métricas y los atributos de BGP.
• Los Cloud Routers en la red de VPC de tránsito anuncian rutas para los prefijos en las VPC de Google Clouda las redes externas. Estas rutas se deben anunciar con anuncios de ruta personalizados de Cloud Router.
• Network Connectivity Center te permite transferir datos entre diferentes redes locales a través de la red troncal de Google. Cuando configures los adjuntos de VLAN de interconexión como radios híbridos de Network Connectivity Center, debes habilitar la transferencia de datos de sitio a sitio.
• Los adjuntos de VLAN de Cloud Interconnect que tienen como origen los mismos prefijos de red externa se configuran como un solo radio de Network Connectivity Center.

Conexión 2: Entre las redes de VPC de tránsito y las redes de VPC de acceso a servicios

Esta conexión entre las redes de VPC de tránsito y las redes de VPC de acceso a servicios se realiza a través de la VPN con alta disponibilidad con túneles separados para cada región. Las rutas se intercambian a través de BGP entre los Cloud Routers regionales en las redes de VPC de tránsito y en las redes de VPC de acceso a los servicios.

• Los Cloud Routers de la VPN con alta disponibilidad de la VPC de tránsito anuncian rutas para los prefijos de redes externas, las VPC de cargas de trabajo y otras VPC de acceso a servicios al Cloud Router de la VPC de acceso a servicios. Estas rutas se deben anunciar con los anuncios de ruta personalizados de Cloud Router.
• La VPC de acceso a servicios anuncia sus subredes y las subredes de cualquier red de VPC de servicios administrados adjunta a la red de VPC de tránsito. Las rutas de la VPC de servicios administrados y las rutas de la subred de la VPC de acceso a servicios se deben anunciar con anuncios de ruta personalizados de Cloud Router.

Conexión 3: Entre la red de VPC de tránsito, las redes de VPC de cargas de trabajo y las redes de VPC de acceso a servicios de Private Service Connect

La conexión entre la red de VPC de tránsito, las redes de VPC de cargas de trabajo y las redes de VPC de consumidores de Private Service Connect se produce cuando se intercambian subredes y rutas de prefijo a través de Network Connectivity Center. Esta conexión permite la comunicación entre las redes de VPC de carga de trabajo, las redes de VPC de acceso a servicios que están conectadas como radios de VPC de Network Connectivity Center y otras redes que están conectadas como radios híbridos de Network Connectivity Center. Estas otras redes incluyen las redes externas y las redes de VPC de acceso a servicios que usan la conexión 1 y la conexión 2, respectivamente.

• Los adjuntos de Cloud Interconnect o VPN con alta disponibilidad en la red de VPC de tránsito usan Network Connectivity Center para exportar rutas dinámicas a las redes de VPC de la carga de trabajo.
• Cuando configuras la red de VPC de carga de trabajo como un radio del concentrador de Network Connectivity Center, la red de VPC de carga de trabajo exporta automáticamente sus subredes a la red de VPC de tránsito. De manera opcional, puedes configurar la red de VPC de tránsito como un radio de VPC. No se exportan rutas estáticas desde la red de VPC de la carga de trabajo a la red de VPC de tránsito. No se exportan rutas estáticas desde la red de VPC de tránsito a la red de VPC de carga de trabajo.

Conexión 4: VPC del consumidor de Private Service Connect con propagación de Network Connectivity Center

• Los extremos de Private Service Connect se organizan en una VPC común que permite a los consumidores acceder a servicios administrados de terceros y de origen.
• La red de VPC del consumidor de Private Service Connect está configurada como un radio de VPC de Network Connectivity Center. Este radio habilita la propagación de Private Service Connect en el concentrador de Network Connectivity Center. La propagación de Private Service Connect anuncia el prefijo de host del extremo de Private Service Connect como una ruta en la tabla de enrutamiento del centro de Network Connectivity Center.
• Las redes de VPC del consumidor con acceso a servicios de Private Service Connect se conectan a redes de VPC de cargas de trabajo y a redes de VPC de tránsito. Estas conexiones habilitan la conectividad transitiva a los extremos de Private Service Connect. El concentrador de Network Connectivity Center debe tener habilitada la propagación de conexiones de Private Service Connect.
• Network Connectivity Center compila automáticamente una ruta de datos desde todos los radios hasta el extremo de Private Service Connect.

Flujos de tráfico

En el siguiente diagrama, se muestran los flujos que habilita esta arquitectura de referencia.

En la siguiente tabla, se describen los flujos del diagrama:

Fuente	Destino	Descripción
Red externa	Red de VPC de acceso a servicios	El tráfico sigue rutas a través de las conexiones externas a la red de tránsito. El Cloud Router externo anuncia las rutas. El tráfico sigue la ruta personalizada hacia la red de VPC de acceso a los servicios. La ruta se anuncia en toda la conexión de VPN con alta disponibilidad. Si el destino se encuentra en una red de VPC de servicios administrados que está conectada a la red de VPC de acceso a servicios por medio del acceso privado a servicios, el tráfico sigue las rutas personalizadas de Network Connectivity Center a la red de servicios administrados.
Red de VPC de acceso a servicios	Red externa	El tráfico sigue una ruta personalizada a través de los túneles de VPN con alta disponibilidad hacia la red de tránsito. El tráfico sigue rutas a través de las conexiones externas de vuelta a la red externa. Las rutas se aprenden de los routers externos a través de BGP.
Red externa	Red de VPC de carga de trabajo o red de VPC del consumidor de Private Service Connect	El tráfico sigue rutas a través de las conexiones externas a la red de tránsito. Las rutas las anuncia el Cloud Router externo. El tráfico sigue la ruta de subred a la red de VPC de la carga de trabajo pertinente. La ruta se aprende a través de Network Connectivity Center.
Red de VPC de carga de trabajo o red de VPC del consumidor de Private Service Connect	Red externa	El tráfico sigue una ruta dinámica de vuelta a la red de tránsito. La ruta se aprende a través de una exportación de ruta personalizada de Network Connectivity Center. El tráfico sigue rutas a través de las conexiones externas de vuelta a la red externa. Las rutas se aprenden de los routers externos a través de BGP.
Red de VPC de carga de trabajo	Red de VPC de acceso a servicios	El tráfico sigue rutas a la red de VPC de tránsito. Las rutas se aprenden a través de una exportación de rutas personalizadas de Network Connectivity Center. El tráfico sigue una ruta a través de uno de los túneles de VPN con alta disponibilidad hacia la red de VPC de acceso a los servicios. Las rutas se aprenden de los anuncios de rutas personalizadas de BGP.
Red de VPC de acceso a servicios	Red de VPC de carga de trabajo	El tráfico sigue una ruta personalizada hacia la red de tránsito. La ruta se anuncia en todos los túneles de VPN con alta disponibilidad. El tráfico sigue la ruta de subred a la red de VPC de la carga de trabajo pertinente. La ruta se aprende a través de Network Connectivity Center.
Red de VPC de carga de trabajo	Red de VPC de carga de trabajo	El tráfico que sale de una VPC de carga de trabajo sigue la ruta más específica hacia la otra VPC de carga de trabajo a través de Network Connectivity Center. El tráfico de retorno invierte esta ruta.

Productos usados

• Nube privada virtual (VPC): Es un sistema virtual que proporciona funcionalidad de red global y escalable para tus cargas de trabajo de Google Cloud . La VPC incluye el intercambio de tráfico entre redes de VPC, Private Service Connect, el acceso privado a servicios y la VPC compartida.
• Network Connectivity Center: Es un framework de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de administración central llamado concentrador.
• Cloud Interconnect: Es un servicio que extiende tu red externa a la red de Google a través de una conexión de latencia baja y alta disponibilidad.
• Cloud VPN: Es un servicio que extiende de forma segura tu red de intercambio de tráfico a la red de Google a través de un túnel VPN con IPsec.
• Cloud Router: Es una oferta distribuida y completamente administrada que proporciona capacidades de emisor y receptor del Protocolo de Puerta de Enlace Fronteriza (BGP). Cloud Router funciona con Cloud Interconnect, Cloud VPN y las máquinas de routers para crear rutas dinámicas en redes de VPC según las rutas que se reciben de BGP y las que se aprenden de forma personalizada.
• Cloud Next Generation Firewall: Es un servicio de firewall completamente distribuido con capacidades de protección avanzada, microsegmentación y administración simplificada para proteger tus cargas de trabajo de Google Cloud contra ataques internos y externos.

Consideraciones del diseño

En esta sección, se describen los factores de diseño, las prácticas recomendadas y las recomendaciones de diseño que debes tener en cuenta cuando usas esta arquitectura de referencia para desarrollar una topología que cumpla con tus requisitos específicos de seguridad, confiabilidad y rendimiento.

Seguridad y cumplimiento

En la siguiente lista, se describen las consideraciones de seguridad y cumplimiento para esta arquitectura de referencia:

• Por motivos de cumplimiento, es posible que desees implementar cargas de trabajo solo en una región. Si deseas mantener todo el tráfico en una sola región, puedes usar una topología del 99.9%.
• Usa Cloud Next Generation Firewall (Cloud NGFW) para proteger el tráfico que entra y sale de las redes de VPC de acceso a los servicios y de cargas de trabajo. Para inspeccionar el tráfico que pasa entre redes híbridas a través de la red de tránsito o entre redes externas y servicios administrados por Google, debes usar firewalls externos o firewalls de la NVA.
• Si necesitas inspeccionar el tráfico de la capa 7, habilita el servicio de detección y prevención de intrusiones (opcionalmente con compatibilidad con la inspección de TLS) para bloquear la actividad maliciosa y proteger tus cargas de trabajo contra amenazas, con compatibilidad con vulnerabilidades, software espía y antivirus. El servicio funciona creando extremos de firewall zonales administrados por Google que usan tecnología de interceptación de paquetes para inspeccionar las cargas de trabajo de forma transparente sin necesidad de volver a diseñar la arquitectura de las rutas. Cloud Next Generation Firewall Enterprise genera cargos por el extremo de firewall zonal y el procesamiento de datos.
• Si deseas permitir o bloquear el tráfico según los datos de Google Threat Intelligence, usa Google Threat Intelligence. Se te aplican cargos por procesamiento de datos estándar de Cloud Next Generation Firewall.
• Habilita el Registro de reglas de firewall y usa Estadísticas de firewall para auditar, verificar el efecto de, comprender y optimizar tus reglas de firewall. El registro de las reglas de firewall puede generar costos, por lo que recomendamos que lo uses de forma selectiva.
• Habilita las pruebas de conectividad para asegurarte de que el tráfico se comporte según lo esperado.
• Habilita el registro y la supervisión según corresponda a tus necesidades de tráfico y cumplimiento. Para obtener estadísticas sobre tus patrones de tráfico, usa los registros de flujo de VPC junto con Flow Analyzer.
• Usa el IDS de Cloud o el servicio de prevención de intrusiones de Cloud NGFW Enterprise en modo de alerta para obtener información adicional sobre tu tráfico.

Confiabilidad

En la siguiente lista, se describen las consideraciones de confiabilidad para esta arquitectura de referencia:

• Para obtener una disponibilidad del 99.99% para Cloud Interconnect, debes conectarte a dos Google Cloud regiones diferentes desde diferentes áreas metropolitanas en dos zonas distintas.
• Para mejorar la confiabilidad y minimizar la exposición a fallas regionales, puedes distribuir las cargas de trabajo y otros recursos de la nube en diferentes regiones.
• Para controlar el tráfico esperado, crea una cantidad suficiente de túneles VPN. Los túneles VPN individuales tienen límites de ancho de banda.

Optimización del rendimiento

En la siguiente lista, se describen las consideraciones de rendimiento para esta arquitectura de referencia:

• Es posible que puedas mejorar el rendimiento de la red si aumentas la unidad de transmisión máxima (MTU) de tus redes y conexiones. Para obtener más información, consulta Unidad de transmisión máxima.
• La comunicación entre la VPC de tránsito y los recursos de carga de trabajo se realiza a través de una conexión de Network Connectivity Center. Esta conexión proporciona una capacidad de procesamiento de velocidad de línea completa para todas las VMs de la red sin costo adicional. Tienes varias opciones para conectar tu red externa a la red de tránsito. Para obtener más información sobre cómo equilibrar las consideraciones de costo y rendimiento, consulta Elige un producto de Conectividad de red.

Implementación

En esta sección, se analiza cómo implementar la conectividad entre VPCs de la red entre nubes con la arquitectura de Network Connectivity Center que se describe en este documento.

La arquitectura de este documento crea tres tipos de conexiones a una VPC de tránsito central, además de una conexión entre redes de VPC de cargas de trabajo y redes de VPC de cargas de trabajo. Una vez que Network Connectivity Center esté completamente configurado, establecerá la comunicación entre todas las redes.

En esta implementación, se supone que crearás conexiones entre las redes externas y de tránsito en dos regiones, aunque las subredes de cargas de trabajo pueden estar en otras regiones. Si las cargas de trabajo se colocan solo en una región, las subredes deben crearse solo en esa región.

Para implementar esta arquitectura de referencia, completa las siguientes tareas:

1. Crea segmentación de red con Network Connectivity Center
2. Identifica las regiones en las que se colocarán la conectividad y las cargas de trabajo
3. Crea tus redes y subredes de VPC
4. Crea conexiones entre redes externas y tu red de VPC de tránsito
5. Crea conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a los servicios
6. Establece la conectividad entre tu red de VPC de tránsito y las redes de VPC de carga de trabajo
7. Configura políticas de Cloud NGFW
8. Prueba la conectividad con las cargas de trabajo

Crea la segmentación de red con Network Connectivity Center

Antes de crear un concentrador de Network Connectivity Center por primera vez, debes decidir si quieres usar una topología de malla completa o una topología de estrella. La decisión de confirmar una malla completa de VPC interconectadas o una topología de estrella de VPC es irreversible. Usa los siguientes lineamientos generales para tomar esta decisión irreversible:

• Si la arquitectura empresarial de tu organización permite el tráfico entre cualquiera de tus redes de VPC, usa la malla de Network Connectivity Center.
• Si no se permite el flujo de tráfico entre ciertos radios de VPC diferentes, pero estos radios de VPC pueden conectarse a un grupo principal de radios de VPC, usa una topología de estrella de Network Connectivity Center.

Identifica las regiones en las que se ubicarán la conectividad y las cargas de trabajo

En general, te recomendamos que coloques la conectividad y las cargas de trabajo de Google Cloud cerca de tus redes locales o de otros clientes de la nube. Si quieres obtener más información para colocar cargas de trabajo, consulta el Google Cloud Selector de regiones y las Prácticas recomendadas para seleccionar regiones de Compute Engine.

Crea tus redes y subredes de VPC

Para crear tus redes y subredes de VPC, completa las siguientes tareas:

1. Crea o identifica los proyectos en los que crearás tus redes de VPC. Para obtener orientación, consulta Segmentación de red y estructura del proyecto. Si planeas usar redes de VPC compartida, aprovisiona tus proyectos como proyectos host de VPC compartida.

2. Planifica la asignación de direcciones IP para tus redes. Puedes preasignar y reservar tus rangos creando rangos internos. De esta manera, la configuración y las operaciones posteriores serán más sencillas.

3. Crea una VPC de red de tránsito con el enrutamiento global habilitado.

4. Crea redes de VPC con acceso a servicios. Si planeas tener cargas de trabajo en varias regiones, habilita el enrutamiento global.

5. Crea redes de VPC de carga de trabajo. Si tendrás cargas de trabajo en varias regiones, habilita el enrutamiento global.

Crea conexiones entre redes externas y tu red de VPC de tránsito

En esta sección, se supone que hay conectividad en dos regiones y que las ubicaciones externas están conectadas y pueden conmutar por error entre sí. También supone que los clientes en una ubicación externa prefieren acceder a los servicios en la región donde existe la ubicación externa.

1. Configura la conectividad entre las redes externas y tu red de tránsito. Para comprender cómo pensar en esto, consulta Conectividad híbrida y externa. Para obtener orientación sobre cómo elegir un producto de conectividad, consulta Elige un producto de Conectividad de red.

2. Configura BGP en cada región conectada de la siguiente manera:

   • Configura el router en la ubicación externa determinada de la siguiente manera:
     • Anuncia todas las subredes para esa ubicación externa con el mismo MED de BGP en ambas interfaces, como 100. Si ambas interfaces anuncian el mismo MED, Google Cloud puede usar ECMP para balancear la carga del tráfico en ambas conexiones.
     • Anuncia todas las subredes de la otra ubicación externa con un MED de menor prioridad que el de la primera región, como 200. Anuncia el mismo MED desde ambas interfaces.
   • Configura el Cloud Router externo en la VPC de tránsito de la región conectada de la siguiente manera:
     • Configura tu Cloud Router con un ASN privado.
     • Usa anuncios de ruta personalizados para anunciar todos los rangos de subredes de todas las regiones en ambas interfaces de Cloud Router externas. Agrégalos si es posible. Usa el mismo MED en ambas interfaces, por ejemplo, 100.

3. Trabaja con el concentrador de Network Connectivity Center y los radios híbridos con los parámetros predeterminados.

   • Crea un concentrador de Network Connectivity Center. Si tu organización permite el tráfico entre todas tus redes de VPC, usa la configuración de malla completa predeterminada.
   • Si usas interconexión de socio, interconexión dedicada, VPN con alta disponibilidad o un dispositivo de router para acceder a prefijos locales, configura estos componentes como radios híbridos diferentes de Network Connectivity Center.
     • Para anunciar las subredes de la tabla de rutas del concentrador de Network Connectivity Center a los vecinos BGP remotos, establece un filtro para incluir todos los rangos de direcciones IPv4.
     • Si la conectividad híbrida finaliza en un Cloud Router en una región que admite la transferencia de datos, configura el radio híbrido con la transferencia de datos de sitio a sitio habilitada. Esto admite la transferencia de datos de sitio a sitio que usa la red troncal de Google.

Crea conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a los servicios

Para proporcionar enrutamiento transitivo entre las redes externas y la VPC de acceso a los servicios, y entre las VPC de cargas de trabajo y la VPC de acceso a los servicios, esta última usa la VPN con alta disponibilidad para la conectividad.

1. Estima la cantidad de tráfico que debe viajar entre las VPC de tránsito y de acceso a los servicios en cada región. Ajusta la cantidad esperada de túneles según corresponda.

2. Configura la VPN con alta disponibilidad entre la red de VPC de tránsito y la red de VPC de acceso a los servicios en la región A siguiendo las instrucciones que se indican en Crea puertas de enlace de VPN con alta disponibilidad para conectar las redes de VPC. Crea un Cloud Router de VPN con alta disponibilidad dedicado en la red de VPC de tránsito. Deja el router orientado a la red externa para las conexiones de red externas.

   • Configuración del Cloud Router de la VPC de tránsito:
     • Para anunciar las subredes de la VPC de carga de trabajo y de la red externa a la VPC de acceso a los servicios, usa anuncios de ruta personalizados en el Cloud Router de la VPC de tránsito.
   • Configuración de Cloud Router de VPC con acceso a servicios:
     • Para anunciar las subredes de la red de VPC de acceso a servicios en la VPC de tránsito, usa anuncios de ruta personalizados en el Cloud Router de la red de VPC de acceso a servicios.
     • Si usas el acceso privado a servicios para conectar una red de VPC de servicios administrados a la VPC de acceso a servicios, usa rutas personalizadas para anunciar también esas subredes.
   • En el lado de la VPC de tránsito del túnel de VPN con alta disponibilidad, configura el par de túneles como un radio híbrido de Network Connectivity Center:
     • Para admitir la transferencia de datos entre regiones, configura el radio híbrido con la transferencia de datos de sitio a sitio habilitada.
     • Para anunciar las subredes de la tabla de rutas del concentrador de Network Connectivity Center a los vecinos BGP remotos, establece un filtro para incluir todos los rangos de direcciones IPv4. Esta acción anuncia todas las rutas de subred IPv4 al vecino.
       • Para instalar rutas dinámicas cuando la capacidad del router externo es limitada, configura Cloud Router para que anuncie una ruta de resumen con un anuncio de ruta personalizado. Usa este enfoque en lugar de anunciar la tabla de enrutamiento completa del concentrador de Network Connectivity Center.

3. Si conectas una VPC de servicios administrados a la VPC de acceso a servicios con acceso a servicios privados después de que se establezca la conexión de intercambio de tráfico entre redes de VPC, también deberás actualizar el lado de la VPC de acceso a servicios de la conexión de intercambio de tráfico entre redes de VPC para exportar rutas personalizadas.

Establece la conectividad entre tu red de VPC de tránsito y las redes de VPC de carga de trabajo

Para establecer la conectividad entre VPC a gran escala, usa Network Connectivity Center con radios de VPC. Network Connectivity Center admite dos tipos diferentes de modelos de plano de datos: el modelo de plano de datos de malla completa o el modelo de plano de datos de topología en estrella.

• Si todas tus redes pueden comunicarse entre sí, selecciona Establecer conectividad de malla completa.
• Si la arquitectura de tu empresa requiere una topología de punto a multipunto, establece la conectividad de la topología en estrella.

Establece conectividad de malla completa

Los radios de VPC de Network Connectivity Center incluyen las VPC de tránsito, las VPC del consumidor de Private Service Connect y todas las VPC de cargas de trabajo.

• Aunque Network Connectivity Center crea una red de radios de VPC completamente mallada, los operadores de red deben permitir los flujos de tráfico entre las redes de origen y las redes de destino con reglas o políticas de firewall.
• Configura todas las VPC de carga de trabajo, tránsito y consumidor de Private Service Connect como radios de VPC de Network Connectivity Center. No puede haber superposiciones de subredes entre los radios de VPC.
  • Cuando configures el radio de VPC, anuncia rangos de subredes de direcciones IP no superpuestas a la tabla de rutas del concentrador de Network Connectivity Center:
    • Incluye rangos de subredes de exportación.
    • Excluye los rangos de subredes de exportación.
• Si los radios de VPC se encuentran en proyectos diferentes y los administran otros administradores que no son los del concentrador de Network Connectivity Center, los administradores de los radios de VPC deben iniciar una solicitud para unirse al concentrador de Network Connectivity Center en los otros proyectos.
  • Usa los permisos de Identity and Access Management (IAM) en el proyecto del centro de Network Connectivity Center para otorgar el rol roles/networkconnectivity.groupUser a ese usuario.
• Para habilitar el acceso transitivo y global a las conexiones de servicio privadas desde otros radios de Network Connectivity Center, habilita la propagación de las conexiones de Private Service Connect en el concentrador de Network Connectivity Center.

Si no se permite la comunicación inter-VPC de malla completa entre las VPC de cargas de trabajo, considera usar una topología de estrella de Network Connectivity Center.

Establece la conectividad de la topología en estrella

Las arquitecturas comerciales centralizadas que requieren una topología de punto a multipunto pueden usar una topología en estrella de Network Connectivity Center.

Para usar una topología en estrella de Network Connectivity Center, completa las siguientes tareas:

1. En Network Connectivity Center, crea un concentrador de Network Connectivity Center y especifica una topología de estrella.
2. Para permitir que las conexiones de servicio privadas sean accesibles de forma transitiva y global desde otros radios de Network Connectivity Center, habilita la propagación de las conexiones de Private Service Connect en el concentrador de Network Connectivity Center.
3. Cuando configuras el concentrador de Network Connectivity Center para una topología de estrella, puedes agrupar las VPC en uno de los dos grupos predeterminados: grupos centrales o grupos perimetrales.

4. Para agrupar las VPC en el grupo central, configura la VPC de tránsito y las VPC del consumidor de Private Service Connect como un radio de VPC de Network Connectivity Center como parte del grupo central.

   Network Connectivity Center crea una red completamente mallada entre los radios de VPC que se colocan en el grupo central.

5. Para agrupar las VPC de carga de trabajo en el grupo perimetral, configura cada una de estas redes como radios de VPC de Network Connectivity Center dentro de ese grupo.

   Network Connectivity Center crea una ruta de datos de punto a punto desde cada radio de VPC de Network Connectivity Center a todas las VPC del grupo central.

Configura políticas de Cloud NGFW

Además de la orientación que se proporciona en Seguridad y cumplimiento, considera las prácticas recomendadas para las reglas de firewall.

Otras consideraciones

• Te recomendamos que uses políticas de firewall de red en lugar de reglas de firewall de VPC si tus cargas de trabajo se ejecutan en VMs de Compute Engine. Las políticas de firewall de red tienen beneficios, como seguridad detallada y control de acceso con etiquetas, administración de reglas simplificada, facilidad de operaciones, un conjunto de funciones más completo y residencia de datos flexible. Si ya tienes reglas de firewall de VPC, puedes usar la herramienta de migración de reglas de firewall de VPC para facilitar la migración a una política de firewall de red global.
• Google Kubernetes Engine crea y administra automáticamente ciertas reglas de firewall de VPC para permitir el tráfico esencial, por lo que te recomendamos que no modifiques ni borres esas reglas. Sin embargo, las políticas de firewall de red se pueden seguir usando junto con las reglas de firewall de VPC y, de manera opcional, cambiar el orden de aplicación de la política.
• Te recomendamos que uses etiquetas en lugar de etiquetas de red con reglas de firewall debido a los controles de IAM, la mejor escalabilidad y la compatibilidad con las políticas de firewall de red. Sin embargo, las etiquetas no son compatibles con las políticas de firewall jerárquicas ni con las redes con intercambio de tráfico de Network Connectivity Center, por lo que, en esos casos, debes crear reglas basadas en rangos de CIDR.

1. Si deseas habilitar la inspección de L7 en Cloud NGFW, configura el servicio de prevención de intrusiones, incluidos los perfiles de seguridad, el extremo de firewall y la asociación de VPC.
2. Crea una política de firewall de red global y las reglas de firewall necesarias. Ten en cuenta las reglas implícitas existentes para permitir el tráfico de salida y rechazar el tráfico de entrada presentes en cada red de VPC.
3. Asocia la política con las redes de VPC.
4. Si ya usas reglas de firewall de VPC en tus redes, te recomendamos que cambies el orden de evaluación de políticas y reglas para que tus reglas nuevas se evalúen antes que las reglas de firewall de VPC.
5. De manera opcional, habilita el registro de reglas de firewall.

Prueba la conectividad con las cargas de trabajo

Si tienes cargas de trabajo ya implementadas en tus redes de VPC, prueba el acceso a ellas ahora. Si conectaste las redes antes de implementar las cargas de trabajo, puedes implementarlas ahora y realizar pruebas.

¿Qué sigue?

• Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
  • Redes de VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN con alta disponibilidad
• Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.

Colaboradores

Autores:

• Eric Yu | Ingeniero de atención al cliente especializado en herramientas de redes
• Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
• Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
• Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes

Otros colaboradores:

• Mark Schlagenhauf | Escritor técnico, Herramientas de redes
• Ammett Williams | Ingeniero de relaciones con desarrolladores
• Ghaleb Al-habian | Especialista en redes
• Tony Sarathchandra | Gerente sénior de Productos