Arquitectura de red de tipo concentrador y radios

En este documento se presentan tres opciones de arquitectura para configurar una topología de red de tipo estrella en Google Cloud. La primera opción usa Network Connectivity Center, la segunda usa el emparejamiento entre redes de VPC y la tercera usa Cloud VPN.

Una empresa puede separar las cargas de trabajo en redes de VPC individuales para la facturación, el aislamiento del entorno y otras consideraciones. Sin embargo, es posible que la empresa también necesite compartir recursos específicos entre estas redes, como un servicio compartido o una conexión con las instalaciones. En estos casos, puede ser útil colocar el recurso compartido en una red de concentrador (denominada red de routing en el resto de este documento) y adjuntar las otras redes de VPC como redes de radio (denominadas redes de carga de trabajo en el resto de este documento). En el siguiente diagrama se muestra una red de tipo estrella con dos VPCs de cargas de trabajo, aunque se pueden añadir más.

En este ejemplo, se usan redes de VPC de cargas de trabajo independientes para las cargas de trabajo de las unidades de negocio de una gran empresa. Cada red de VPC de carga de trabajo está conectada a una red de VPC de enrutamiento central que contiene servicios compartidos y puede servir como único punto de entrada a la nube desde la red on-premise de la empresa.

Resumen de las opciones

Cuando elijas una de las arquitecturas que se describen en este documento, ten en cuenta las ventajas relativas de Network Connectivity Center, el emparejamiento entre redes de VPC y Cloud VPN:

• Network Connectivity Center proporciona ancho de banda completo entre las VPCs de las cargas de trabajo y transitividad entre ellas.
• El emparejamiento entre redes de VPC proporciona ancho de banda completo entre las VPCs de carga de trabajo y la VPC de enrutamiento. No proporciona transitividad entre las VPCs de carga de trabajo. El emparejamiento entre redes de VPC admite el enrutamiento a NVAs en otras VPCs.
• Cloud VPN permite el enrutamiento transitivo, pero el ancho de banda total (entrada más salida) entre las redes está limitado al ancho de banda de los túneles. Se pueden añadir más túneles para aumentar el ancho de banda.

Arquitectura con Network Connectivity Center

En el siguiente diagrama se muestra una red de tipo estrella que usa Network Connectivity Center.

Network Connectivity Center tiene un recurso de centro que proporciona gestión del plano de control, pero no es una red de centro para el plano de datos.

• Network Connectivity Center puede conectar las redes entre sí mediante una topología de estrella (eje y radios) o de malla. Si se usa una topología de estrella, se impide la comunicación entre radios de VPC (VPC de carga de trabajo), mientras que la topología de malla no lo hace.
• La red de VPC de enrutamiento (hub) tiene una conexión con la red local mediante conexiones de Cloud VPN o Cloud Interconnect.
• Las rutas dinámicas se pueden propagar entre redes de VPC.
• Las rutas de Private Service Connect son transitivas entre las VPCs de carga de trabajo.
• Las rutas de acceso a servicios privados son transitivas entre las VPCs de cargas de trabajo mediante el uso de radios de productor para muchos servicios proporcionados por Google. En los servicios en los que las rutas no son transitivas, una solución alternativa es conectar la red de VPC de consumidor a la red de VPC de enrutamiento mediante Cloud VPN en lugar de Network Connectivity Center.
• Todas las máquinas virtuales de las redes emparejadas pueden comunicarse con el ancho de banda completo de las máquinas virtuales.
• Cada VPC de carga de trabajo y la red de VPC de enrutamiento tienen una pasarela de Cloud NAT para la comunicación saliente con Internet.
• El emparejamiento y el reenvío de DNS se configuran de forma que se pueda acceder a las cargas de trabajo de las VPCs de cargas de trabajo desde el entorno local.

Arquitectura que usa el emparejamiento entre redes de VPC

En el siguiente diagrama se muestra una red de tipo concentrador-radial que usa el emparejamiento entre redes de VPC. El emparejamiento entre redes de VPC permite la comunicación mediante direcciones IP internas entre recursos de redes de VPC independientes. El tráfico permanece en la red interna de Google y no atraviesa la red pública de Internet.

• Cada red de VPC de carga de trabajo (radio) de esta arquitectura tiene una relación de emparejamiento con una red de VPC de enrutamiento central (hub).
• La red de VPC de enrutamiento tiene una conexión con la red local mediante conexiones de Cloud VPN o Cloud Interconnect.
• Todas las máquinas virtuales de las redes emparejadas pueden comunicarse con el ancho de banda completo de las máquinas virtuales.
• Las conexiones de emparejamiento entre redes de VPC no son transitivas. En esta arquitectura, las redes de VPC on-premise y de cargas de trabajo pueden intercambiar tráfico con la red de enrutamiento, pero no entre sí. Para proporcionar servicios compartidos, colócalos en la red de enrutamiento o conéctalos a ella mediante Cloud VPN.
• Cada VPC de carga de trabajo y la red de VPC de enrutamiento tienen una pasarela de Cloud NAT para la comunicación saliente con Internet.
• El emparejamiento y el reenvío de DNS se configuran de forma que se pueda acceder a las cargas de trabajo de las VPCs de cargas de trabajo desde el entorno local.

Arquitectura que usa Cloud VPN

La escalabilidad de una topología de concentrador y radios que utiliza el emparejamiento entre redes de VPC está sujeta a los límites de emparejamiento entre redes de VPC. Como hemos indicado anteriormente, las conexiones de emparejamiento entre redes de VPC no permiten el tráfico transitivo más allá de las dos redes de VPC que están emparejadas. En el siguiente diagrama se muestra una arquitectura de red de tipo concentrador-radio alternativa que usa Cloud VPN para superar las limitaciones del emparejamiento entre redes de VPC.

• Los túneles VPN IPsec conectan cada red de VPC de carga de trabajo (radio) a una red de VPC de enrutamiento (hub).
• Una zona privada de DNS en la red de enrutamiento y una zona de emparejamiento de DNS y una zona privada en cada red de carga de trabajo.
• Las conexiones son transitivas. Las redes de VPC on-premise y de spoke pueden comunicarse entre sí a través de la red de enrutamiento, aunque esto se puede restringir.
• El ancho de banda entre redes está limitado por el ancho de banda total de los túneles.
• Cada VPC de carga de trabajo (radio) y la red de VPC de enrutamiento tienen una pasarela de Cloud NAT para la comunicación saliente con Internet.
• El emparejamiento entre redes de VPC no permite anuncios de rutas transitivas.
• El emparejamiento y el reenvío de DNS se configuran de forma que se pueda acceder a las cargas de trabajo de las VPCs de cargas de trabajo desde el entorno local.

Alternativas de diseño

Para interconectar recursos que se han desplegado en redes de VPC independientes en Google Cloud, puedes usar las siguientes alternativas de arquitectura:

Conectividad entre radios mediante una pasarela en la red de VPC de enrutamiento

Para habilitar la comunicación entre radios, puedes implementar un dispositivo virtual de red (NVA) o un cortafuegos de nueva generación (NGFW) en la red de VPC de enrutamiento para que actúe como pasarela del tráfico entre radios.

Varias redes de VPC compartidas

Crea una red de VPC compartida para cada grupo de recursos que quieras aislar a nivel de red. Por ejemplo, para separar los recursos utilizados en los entornos de producción y desarrollo, crea una red de VPC compartida para producción y otra para desarrollo. A continuación, empareja las dos redes de VPC para habilitar la comunicación entre ellas. Los recursos de los proyectos individuales de cada aplicación o departamento pueden usar los servicios de la red de VPC compartida correspondiente.

Para conectar las redes de VPC y tu red on‐premise, puedes usar túneles VPN independientes para cada red de VPC o vinculaciones de VLAN independientes en la misma conexión de Interconexión Dedicada.

Siguientes pasos

• Despliega una red de concentrador y radios con Terraform.
• Consulta cómo conectar tu topología de concentrador y radios a entornos on-premise y a otras nubes en la guía de diseño de redes entre nubes.
• Consulta más información sobre las opciones de diseño para conectar varias redes de VPC.
• Consulta las prácticas recomendadas para crear una topología de nube segura y resiliente que esté optimizada para el coste y el rendimiento.