Arquitectura de red de concentrador y radio

En este documento, se presentan tres opciones de arquitectura para configurar una topología de red de concentrador y radio en Google Cloud. La primera opción usa Network Connectivity Center, la segunda usa el intercambio de tráfico entre redes de VPC y la tercera usa Cloud VPN.

Una empresa puede separar las cargas de trabajo en redes de VPC individuales para fines de facturación, aislamiento del entorno y otras consideraciones. Sin embargo, es posible que la empresa también necesite compartir recursos específicos entre estas redes, como un servicio compartido o una conexión local. En esos casos, puede ser útil colocar el recurso compartido en una red de concentrador (denominada red de enrutamiento en el resto de este documento) y conectar las otras redes de VPC como redes de radio (denominadas redes de carga de trabajo en el resto de este documento). En el siguiente diagrama, se muestra una red de concentrador y radio con dos VPC de cargas de trabajo, aunque se pueden agregar más VPC de cargas de trabajo.

En este ejemplo, se usan redes de VPC de cargas de trabajo independientes para las cargas de trabajo de unidades de negocios individuales dentro de una empresa grande. Cada red de VPC de la carga de trabajo está conectada a una red de VPC de enrutamiento central que contiene servicios compartidos y puede servir como el único punto de entrada a la nube desde la red local de la empresa.

Resumen de las opciones

Cuando elijas una de las arquitecturas que se analizan en este documento, considera las ventajas relativas de Network Connectivity Center, el intercambio de tráfico entre redes de VPC y Cloud VPN:

• Network Connectivity Center proporciona ancho de banda completo entre las VPC de las cargas de trabajo y transiciones entre ellas.
• El intercambio de tráfico entre redes de VPC proporciona ancho de banda completo entre las VPC de carga de trabajo y la VPC de enrutamiento. No proporciona transitividad entre las VPC de cargas de trabajo. El intercambio de tráfico entre redes de VPC admite el enrutamiento a NVA en otras VPC.
• Cloud VPN permite el enrutamiento transitivo, pero el ancho de banda total (entrada y salida) entre redes se limita a los anchos de banda de los túneles. Se pueden agregar túneles adicionales para aumentar el ancho de banda.

Arquitectura que usa Network Connectivity Center

En el siguiente diagrama, se muestra una red de concentrador y radio que usa Network Connectivity Center.

Network Connectivity Center tiene un recurso de concentrador que proporciona administración del plano de control, pero no es una red de concentrador para el plano de datos.

• Network Connectivity Center puede conectar las redes mediante una topología de malla o en estrella (conmutador central y radios). El uso de una topología en estrella evita la comunicación entre radios de VPC (VPC de carga de trabajo), mientras que la topología de malla no lo hace.
• La red de VPC de enrutamiento (central) tiene una conexión a la red local a través de conexiones de Cloud VPN o Cloud Interconnect.
• Las rutas dinámicas se pueden propagar a través de redes de VPC.
• Las rutas de Private Service Connect son transitivas entre las VPC de cargas de trabajo.
• Las rutas de acceso a servicios privados son de tránsito entre las VPC de cargas de trabajo a través del uso de puentes de productores para muchos servicios proporcionados por Google. Para los servicios en los que las rutas no son transaccionales, una solución alternativa es conectar la red de VPC del consumidor a la red de VPC de enrutamiento con Cloud VPN en lugar de Network Connectivity Center.
• Todas las VMs de las redes con intercambio de tráfico pueden comunicarse con el ancho de banda completo de las VMs.
• Cada VPC de la carga de trabajo y la red de VPC de enrutamiento tienen una puerta de enlace de Cloud NAT para la comunicación saliente con Internet.
• El intercambio de tráfico y el reenvío de DNS se configuran para que se pueda acceder a las cargas de trabajo en las VPC de cargas de trabajo desde las instalaciones locales.

Arquitectura en la que se usa el intercambio de tráfico entre redes de VPC

En el siguiente diagrama, se muestra una red de concentrador y radio que usa el intercambio de tráfico entre redes de VPC. El intercambio de tráfico entre redes de VPC permite la comunicación mediante direcciones IP internas entre recursos en redes de VPC independientes. El tráfico permanece en la red interna de Google y no se desvía a la Internet pública.

• Cada red de VPC de carga de trabajo (radio) en esta arquitectura tiene una relación de intercambio de tráfico con una red de VPC de enrutamiento central (concentrador).
• La red de VPC de enrutamiento tiene una conexión a la red local a través de conexiones de Cloud VPN o Cloud Interconnect.
• Todas las VMs de las redes con intercambio de tráfico pueden comunicarse con el ancho de banda completo de las VMs.
• Las conexiones de intercambio de tráfico entre redes de VPC no son transitivas. En esta arquitectura, las redes de VPC locales y de cargas de trabajo pueden intercambiar tráfico con la red de enrutamiento, pero no entre sí. Para proporcionar servicios compartidos, colócalos en la red de enrutamiento o conéctalos a ella con Cloud VPN.
• Cada VPC de la carga de trabajo y la red de VPC de enrutamiento tienen una puerta de enlace de Cloud NAT para la comunicación saliente con Internet.
• El intercambio de tráfico y el reenvío de DNS se configuran para que se pueda acceder a las cargas de trabajo en las VPC de cargas de trabajo desde las instalaciones locales.

Arquitectura en la que se usa Cloud VPN

La escalabilidad de una topología de concentrador y radio que usa intercambio de tráfico entre redes de VPC está sujeta a los límites de intercambio de tráfico entre redes de VPC. Como se señaló antes, las conexiones de intercambio de tráfico entre redes de VPC no permiten el tráfico transitorio más allá de las dos redes de VPC que tienen una relación de intercambio de tráfico. En el siguiente diagrama, se muestra una arquitectura de red de concentrador y radio alternativa que usa Cloud VPN para superar las limitaciones del intercambio de tráfico entre redes de VPC.

• Los túneles VPN IPsec conectan cada red de VPC de carga de trabajo (radio) a una red de VPC de enrutamiento (concentrador).
• Hay una zona privada de DNS en la red de enrutamiento, y una zona de intercambio de tráfico de DNS y una zona privada en cada red de carga de trabajo.
• Las conexiones son transitivas. Las redes de VPC locales y de radios pueden comunicarse entre sí a través de la red de enrutamiento, aunque esto puede estar restringido.
• El ancho de banda entre redes está limitado por los anchos de banda de los túneles en total.
• Cada VPC de carga de trabajo (radio) y la red de VPC de enrutamiento tienen una puerta de enlace de Cloud NAT para la comunicación saliente con Internet.
• El intercambio de tráfico entre redes de VPC no proporciona anuncios de ruta transitiva.
• El intercambio de tráfico y el reenvío de DNS se configuran para que se pueda acceder a las cargas de trabajo en las VPC de cargas de trabajo desde las instalaciones locales.

Alternativas de diseño

Considera las siguientes alternativas de arquitectura para la interconexión de recursos que se implementan en redes de VPC independientes en Google Cloud:

Conectividad entre radios mediante una puerta de enlace en la red de VPC de enrutamiento

Para habilitar la comunicación entre radios, puedes implementar un dispositivo virtual de red (NVA) o un firewall de nueva generación (NGFW) en la red de VPC de enrutamiento para que funcione como puerta de enlace de radio para el tráfico de radio.

Varias redes de VPC compartidas

Crea una red de VPC compartida para cada grupo de recursos que quieras aislar a nivel de red. Por ejemplo, si deseas separar los recursos utilizados en entornos de producción y desarrollo, crea una red de VPC compartida para producción y otra red de VPC compartida para desarrollo. Luego, realiza un intercambio de tráfico entre las dos redes de VPC para habilitar la comunicación entre las redes de VPC. Los recursos de proyectos individuales para cada aplicación o departamento pueden usar los servicios de la red de VPC compartida adecuada.

Para la conectividad entre las redes de VPC y tu red local, puedes usar túneles VPN separados para cada red de VPC o adjuntos de VLAN independientes en la misma conexión de interconexión dedicada.

¿Qué sigue?

• Implementa una red de concentrador y radio con Terraform.
• Obtén información para conectar tu topología de maraña y radios a la nube local y a otras nubes en la Guía de diseño de redes entre nubes.
• Obtén más información sobre las opciones de diseño para conectar varias redes de VPC.
• Obtén más información sobre las prácticas recomendadas para compilar una topología de nube segura y resiliente que esté optimizada para el costo y el rendimiento.