En este documento, se proporciona una arquitectura de referencia que puedes usar para implementar una topología de red de concentrador y radio de Cross-Cloud Network en Google Cloud. Este diseño de red permite la implementación de servicios de software en redes Google Cloud y externas, como centros de datos locales o proveedores de servicios en la nube (CSP).
Este diseño admite varias conexiones externas, varias redes de nube privada virtual (VPC) de acceso a los servicios y varias redes de VPC de cargas de trabajo.
El público objetivo de este documento son los administradores de red que crean conectividad de red y los arquitectos de la nube que planifican cómo se implementan las cargas de trabajo. En este documento, se supone que tienes conocimientos básicos sobre el enrutamiento y la conectividad a Internet.
Arquitectura
En el siguiente diagrama, se muestra una vista de alto nivel de la arquitectura de las redes y los cuatro flujos de paquetes que admite esta arquitectura.
La arquitectura contiene los siguientes elementos de alto nivel:
| Componente | Objetivo | Interacciones |
|---|---|---|
| Redes externas (red local o de otro CSP) | Aloja los clientes de las cargas de trabajo que se ejecutan en las VPC de carga de trabajo y en las VPC de acceso a los servicios. Las redes externas también pueden alojar servicios. | Intercambia datos con las redes de nube privada virtual de Google Clouda través de la red de tránsito. Se conecta a la red de tránsito con Cloud Interconnect o VPN con alta disponibilidad. Finaliza un extremo de los siguientes flujos:
|
| Red de VPC de tránsito | Actúa como un centro para la red externa, la red de VPC de acceso a servicios y las redes de VPC de cargas de trabajo. | Conecta la red externa, la red de VPC de acceso a los servicios y las redes de VPC de la carga de trabajo a través de una combinación de Cloud Interconnect, VPN con alta disponibilidad y el intercambio de tráfico entre redes de VPC. |
| Red de VPC de acceso a servicios | Proporciona acceso a los servicios que necesitan las cargas de trabajo que se ejecutan en las redes de VPC de cargas de trabajo o en redes externas. También proporciona puntos de acceso a los servicios administrados que se alojan en otras redes. | Intercambia datos con las redes externas y de cargas de trabajo a través de la red de tránsito. Se conecta a la VPC de tránsito a través de una VPN con alta disponibilidad. El enrutamiento transitivo que proporciona la VPN con alta disponibilidad permite que el tráfico externo llegue a las VPC de servicios administrados a través de la red de VPC de acceso a los servicios. Finaliza un extremo de los siguientes flujos:
|
| Red de VPC de servicios administrados | Aloja servicios administrados que necesitan los clientes en otras redes. | Intercambia datos con las redes externas, de acceso a servicios y de cargas de trabajo. Se conecta a la red de VPC de acceso a servicios a través del acceso privado a servicios, que usa el intercambio de tráfico entre redes de VPC, o bien a través de Private Service Connect. Finaliza un extremo de los flujos de todas las demás redes. |
| Redes de VPC de carga de trabajo | Aloja cargas de trabajo que necesitan los clientes en otras redes. | Intercambia datos con las redes de VPC externas y de acceso a servicios a través de la red de VPC de tránsito. Se conecta a la red de tránsito a través del intercambio de tráfico entre redes de VPC. Se conecta a otras redes de VPC de cargas de trabajo a través de radios de VPC de Network Connectivity Center. Finaliza un extremo de los siguientes flujos:
|
En el siguiente diagrama, se muestra una vista detallada de la arquitectura que destaca las cuatro conexiones entre las redes:
Descripciones de las conexiones
En esta sección, se describen las cuatro conexiones que se muestran en el diagrama anterior.
Conexión 1: Entre redes externas y la red de VPC de tránsito
Esta conexión entre las redes externas y las redes de VPC de tránsito se realiza a través de Cloud Interconnect o la VPN con alta disponibilidad. Las rutas se intercambian a través de BGP entre los Cloud Routers de la red de VPC de tránsito y los routers externos de la red externa.
- Los routers de las redes externas anuncian las rutas de las subredes externas a los Cloud Routers de la VPC de tránsito. En general, los routers externos en una ubicación determinada anuncian rutas desde la misma ubicación externa como más preferidas que las rutas para otras ubicaciones externas. La preferencia de las rutas se puede expresar con las métricas y los atributos de BGP.
- Los Cloud Routers en la red de VPC de tránsito anuncian rutas para los prefijos en las VPC de Google Clouda las redes externas. Estas rutas se deben anunciar con los anuncios de ruta personalizados de Cloud Router.
Conexión 2: Entre las redes de VPC de tránsito y las redes de VPC de acceso a servicios
Esta conexión entre las redes de VPC de tránsito y las redes de VPC de acceso a servicios se realiza a través de la VPN con alta disponibilidad con túneles separados para cada región. Las rutas se intercambian a través de BGP entre los Cloud Routers regionales en las redes de VPC de tránsito y las redes de VPC de acceso a los servicios.
- Los Cloud Routers de la VPN con alta disponibilidad de la VPC de tránsito anuncian rutas para los prefijos de redes externas, las VPC de cargas de trabajo y otras VPC de acceso a servicios al Cloud Router de la VPC de acceso a servicios. Estas rutas se deben anunciar con los anuncios de ruta personalizados de Cloud Router.
- La red de VPC de acceso a servicios anuncia sus subredes y las subredes de cualquier red de VPC de servicios administrados adjunta a la red de VPC de tránsito. Las rutas de la VPC de los servicios administrados y las rutas de la subred de la VPC de acceso a servicios se deben anunciar con anuncios de ruta personalizados de Cloud Router.
Conexión 3: Entre redes de VPC de tránsito y redes de VPC de carga de trabajo
Esta conexión entre las redes de VPC de tránsito y las redes de VPC de cargas de trabajo se implementa a través del intercambio de tráfico entre VPCs. Las subredes y las rutas de prefijo se intercambian a través de mecanismos de intercambio de tráfico de VPC. Esta conexión permite la comunicación entre las redes de VPC de la carga de trabajo y las otras redes que están conectadas a la red de VPC de tránsito, incluidas las redes externas y las redes de VPC de acceso a los servicios.
- La red de VPC de tránsito usa el intercambio de tráfico entre redes de VPC para exportar rutas personalizadas. Estas rutas personalizadas incluyen todas las rutas dinámicas que aprendió la red de VPC de tránsito. Las redes de VPC de carga de trabajo importan esas rutas personalizadas.
- La red de VPC de carga de trabajo exporta automáticamente las subredes a la red de VPC de tránsito. No se exportan rutas personalizadas desde las VPC de cargas de trabajo a la VPC de tránsito.
Conexión 4: Entre redes de VPC de carga de trabajo
- Las redes de VPC de cargas de trabajo se pueden conectar entre sí a través de radios de VPC de Network Connectivity Center. Esta es una configuración opcional. Puedes omitirlo si no deseas que las redes de VPC de las cargas de trabajo se comuniquen entre sí.
Flujos de tráfico
En el siguiente diagrama, se muestran los cuatro flujos que habilita esta arquitectura de referencia.
En la siguiente tabla, se describen los flujos del diagrama:
| Fuente | Destino | Descripción |
|---|---|---|
| Red externa | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red externa |
|
| Red externa | Red de VPC de carga de trabajo |
|
| Red de VPC de carga de trabajo | Red externa |
|
| Red de VPC de carga de trabajo | Red de VPC de acceso a servicios |
|
| Red de VPC de acceso a servicios | Red de VPC de carga de trabajo |
|
| Red de VPC de carga de trabajo | Red de VPC de carga de trabajo | El tráfico que sale de una VPC de carga de trabajo sigue la ruta más específica hacia la otra VPC de carga de trabajo a través de Network Connectivity Center. El tráfico de retorno invierte esta ruta. |
Productos usados
En esta arquitectura de referencia, se usan los siguientes productos Google Cloud :
- Nube privada virtual (VPC): Es un sistema virtual que proporciona funcionalidad de red global y escalable para tus cargas de trabajo de Google Cloud . La VPC incluye el intercambio de tráfico entre redes de VPC, Private Service Connect, el acceso privado a servicios y la VPC compartida.
- Network Connectivity Center: Es un framework de orquestación que simplifica la conectividad de red entre los recursos de radio que están conectados a un recurso de administración central llamado concentrador.
- Cloud Interconnect: Es un servicio que extiende tu red externa a la red de Google a través de una conexión de latencia baja y alta disponibilidad.
- Cloud VPN: Es un servicio que extiende de forma segura tu red de intercambio de tráfico a la red de Google a través de un túnel VPN con IPsec.
- Cloud Router: Es una oferta distribuida y completamente administrada que proporciona capacidades de emisor y receptor del Protocolo de Puerta de Enlace Fronteriza (BGP). Cloud Router funciona con Cloud Interconnect, Cloud VPN y las máquinas de routers para crear rutas dinámicas en redes de VPC según las rutas que se reciben de BGP y las que se aprenden de forma personalizada.
Consideraciones de diseño
En esta sección, se describen los factores de diseño, las prácticas recomendadas y las recomendaciones de diseño que debes tener en cuenta cuando usas esta arquitectura de referencia para desarrollar una topología que cumpla con tus requisitos específicos de seguridad, confiabilidad y rendimiento.
Seguridad y cumplimiento
En la siguiente lista, se describen las consideraciones de seguridad y cumplimiento para esta arquitectura de referencia:
- Por motivos de cumplimiento, es posible que desees implementar cargas de trabajo solo en una región. Si deseas mantener todo el tráfico en una sola región, puedes usar una topología del 99.9%. Para obtener más información, consulta Establece el 99.9% de disponibilidad para la interconexión dedicada y Establece el 99.9% de disponibilidad para la interconexión de socio.
- Usa Cloud Next Generation Firewall para proteger el tráfico que entra y sale de las redes de VPC de acceso a los servicios y de cargas de trabajo. Para proteger el tráfico que pasa entre las redes externas y la red de tránsito, debes usar firewalls externos o firewalls de la NVA.
- Habilita el registro y la supervisión según corresponda a tus necesidades de tráfico y cumplimiento. Puedes usar los registros de flujo de VPC para obtener estadísticas sobre tus patrones de tráfico.
- Usa IDS de Cloud para obtener estadísticas adicionales sobre tu tráfico.
Confiabilidad
En la siguiente lista, se describen las consideraciones de confiabilidad para esta arquitectura de referencia:
- Para obtener una disponibilidad del 99.99% para Cloud Interconnect, debes conectarte a dos Google Cloud regiones diferentes.
- Para mejorar la confiabilidad y minimizar la exposición a fallas regionales, puedes distribuir las cargas de trabajo y otros recursos de la nube en diferentes regiones.
- Para controlar el tráfico esperado, crea una cantidad suficiente de túneles VPN. Los túneles VPN individuales tienen límites de ancho de banda.
Optimización del rendimiento
En la siguiente lista, se describen las consideraciones de rendimiento para esta arquitectura de referencia:
- Es posible que puedas mejorar el rendimiento de la red si aumentas la unidad de transmisión máxima (MTU) de tus redes y conexiones. Para obtener más información, consulta Unidad de transmisión máxima.
- La comunicación entre la VPC de tránsito y los recursos de carga de trabajo se realiza a través del intercambio de tráfico entre redes de VPC, que proporciona una capacidad de procesamiento de velocidad de línea completa para todas las VMs de la red sin costo adicional. Ten en cuenta las cuotas y los límites del intercambio de tráfico entre redes de VPC cuando planifiques tu implementación. Tienes varias opciones para conectar tu red externa a la red de tránsito. Para obtener más información sobre cómo equilibrar las consideraciones de costo y rendimiento, consulta Elige un producto de Conectividad de red.
Implementación
La arquitectura de este documento crea tres conjuntos de conexiones a una red de VPC de tránsito central, además de una conexión diferente entre las redes de VPC de carga de trabajo. Después de configurar por completo todas las conexiones, todas las redes de la implementación podrán comunicarse entre sí.
En esta implementación, se supone que crearás conexiones entre las redes externas y de tránsito en dos regiones. Sin embargo, las subredes de cargas de trabajo pueden estar en cualquier región. Si colocas cargas de trabajo en una sola región, solo necesitas crear subredes en esa región.
Para implementar esta arquitectura de referencia, completa las siguientes tareas:
- Identifica las regiones en las que se colocarán la conectividad y las cargas de trabajo
- Crea tus redes y subredes de VPC
- Crea conexiones entre redes externas y tu red de VPC de tránsito
- Crea conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a los servicios
- Crea conexiones entre tu red de VPC de tránsito y las redes de VPC de carga de trabajo
- Conecta tus redes de VPC de carga de trabajo
- Prueba la conectividad con las cargas de trabajo
Identifica las regiones en las que se ubicarán la conectividad y las cargas de trabajo
En general, te recomendamos que coloques la conectividad y las cargas de trabajo de Google Cloud cerca de tus redes locales o de otros clientes de la nube. Si deseas obtener más información para colocar cargas de trabajo, consulta el Google Cloud Selector de regiones y las Prácticas recomendadas para la selección de regiones de Compute Engine.
Crea tus redes y subredes de VPC
Para crear tus redes y subredes de VPC, completa las siguientes tareas:
- Crea o identifica los proyectos en los que crearás tus redes de VPC. Para obtener orientación, consulta Segmentación de red y estructura del proyecto. Si planeas usar redes de VPC compartida, aprovisiona tus proyectos como proyectos host de VPC compartida.
- Planifica la asignación de direcciones IP para tus redes. Puedes preasignar y reservar tus rangos creando rangos internos. La asignación de bloques de direcciones que se pueden agregar facilita la configuración y las operaciones posteriores.
- Crea una VPC de red de tránsito con el enrutamiento global habilitado.
- Crea redes de VPC de servicio. Si tendrás cargas de trabajo en varias regiones, habilita el enrutamiento global.
- Crea redes de VPC de carga de trabajo. Si tendrás cargas de trabajo en varias regiones, habilita el enrutamiento global.
Crea conexiones entre redes externas y tu red de VPC de tránsito
En esta sección, se supone que hay conectividad en dos regiones y que las ubicaciones externas están conectadas y pueden conmutar por error entre sí. También supone que los clientes de la ubicación externa A prefieren acceder a los servicios de la región A, y así sucesivamente.
- Configura la conectividad entre las redes externas y tu red de tránsito. Para comprender cómo abordar este tema, consulta Conectividad externa e híbrida. Para obtener orientación sobre cómo elegir un producto de conectividad, consulta Elige un producto de Conectividad de red.
- Configura el BGP en cada región conectada de la siguiente manera:
- Configura el router en la ubicación externa determinada de la siguiente manera:
- Anuncia todas las subredes para esa ubicación externa con el mismo MED de BGP en ambas interfaces, como 100. Si ambas interfaces anuncian el mismo MED, Google Cloud puede usar ECMP para balancear la carga del tráfico en ambas conexiones.
- Anuncia todas las subredes de la otra ubicación externa con un MED de menor prioridad que el de la primera región, como 200. Anuncia el mismo MED desde ambas interfaces.
- Configura el Cloud Router externo en la VPC de tránsito de la región conectada de la siguiente manera:
- Configura tu Cloud Router ASN como 16550.
- Con los anuncios de ruta personalizados, anuncia todos los rangos de subred de todas las regiones a través de ambas interfaces de Cloud Router externas. Agrégalos si es posible. Usa el mismo MED en ambas interfaces, por ejemplo, 100.
Crea conexiones entre tu red de VPC de tránsito y las redes de VPC de acceso a los servicios
Para proporcionar enrutamiento transitivo entre las redes externas y la VPC de acceso a los servicios, y entre las VPC de cargas de trabajo y la VPC de acceso a los servicios, esta última usa la VPN con alta disponibilidad para la conectividad.
- Estima la cantidad de tráfico que debe viajar entre las VPC de tránsito y de acceso a los servicios en cada región. Ajusta la cantidad esperada de túneles según corresponda.
- Configura la VPN con alta disponibilidad entre la VPC de tránsito y la VPC de acceso a los servicios en la región A siguiendo las instrucciones que se indican en Crea puertas de enlace de VPN con alta disponibilidad para conectar redes de VPC. Crea un Cloud Router de VPN con alta disponibilidad dedicado en la red de tránsito. Deja el router orientado a la red externa para las conexiones de red externa.
- Configuración del Cloud Router de la VPC de tránsito:
- Para anunciar subredes de VPC de carga de trabajo y de red externa a la VPC de acceso a servicios, usa anuncios de ruta personalizados en el Cloud Router de la VPC de tránsito.
- Configuración de Cloud Router de VPC con acceso a servicios:
- Para anunciar subredes de VPC de acceso a servicios en la VPC de tránsito, usa anuncios de ruta personalizados en el Cloud Router de la VPC de acceso a servicios.
- Si usas el acceso privado a servicios para conectar una VPC de servicios administrados a la VPC de acceso a servicios, usa rutas personalizadas para anunciar también esas subredes.
- Configuración del Cloud Router de la VPC de tránsito:
- Si conectas una VPC de servicios administrados a la VPC de acceso a servicios con el acceso privado a servicios, después de que se establezca la conexión de intercambio de tráfico entre redes de VPC, actualiza el lado de la VPC de acceso a servicios de la conexión de intercambio de tráfico entre redes de VPC para exportar rutas personalizadas.
Crea conexiones entre tu red de VPC de tránsito y las redes de VPC de carga de trabajo
Crea conexiones de intercambio de tráfico entre redes de VPC entre tu VPC de tránsito y cada una de tus VPC de carga de trabajo:
- Habilita Export custom routes para el lado de la VPC de tránsito de cada conexión.
- Habilita Importar rutas personalizadas para el lado de la VPC de la carga de trabajo de cada conexión.
- En la situación predeterminada, solo se exportan las rutas de subred de la VPC de carga de trabajo a la VPC de tránsito. No es necesario que exportes rutas personalizadas desde las VPC de carga de trabajo.
Conecta tus redes de VPC de carga de trabajo
Conecta las redes de VPC de la carga de trabajo entre sí con radios de VPC de Network Connectivity Center. Haz que todos los radios formen parte del mismo grupo de pares de radios de Network Connectivity Center. Usa un grupo de intercambio de tráfico principal para permitir la comunicación de malla completa entre las VPC.
La conexión de Network Connectivity Center anuncia rutas específicas entre las redes de VPC de la carga de trabajo. El tráfico entre estas redes sigue esas rutas.
Prueba la conectividad con las cargas de trabajo
Si ya tienes cargas de trabajo implementadas en tus redes de VPC, prueba el acceso a ellas ahora. Si conectaste las redes antes de implementar cargas de trabajo, puedes implementarlas ahora y realizar pruebas.
¿Qué sigue?
- Obtén más información sobre los productos de Google Cloud que se usan en esta guía de diseño:
- Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.
Colaboradores
Autores:
- Deepak Michael | Ingeniero de Atención al cliente especializado en herramientas de redes
- Victor Moreno | Gerente de producto, Herramientas de redes de Cloud
- Osvaldo Costa | Ingeniero de Atención al cliente especializado en herramientas de redes
Otros colaboradores:
- Mark Schlagenhauf | Escritor técnico, Herramientas de redes
- Ammett Williams | Ingeniero de relaciones con desarrolladores
- Ghaleb Al-habian | Especialista en redes