Muchos recursos de Google Cloud pueden tener direcciones IP internas y externas. Por ejemplo, puedes asignar una dirección IP interna y externa a las instancias de Compute Engine. Las instancias usan estas direcciones para comunicarse con otros recursos de Google Cloud y sistemas externos.
Cada interfaz de red que usa una instancia debe tener una dirección IPv4 interna principal. Cada interfaz de red también puede tener uno o más rangos IPv4 de alias y una dirección IPv4 externa. Si la instancia está conectada a una subred que admite IPv6, cada interfaz de red también puede tener asignadas direcciones IPv6 internas o externas.
Una instancia puede comunicarse con instancias en la misma red de nube privada virtual (VPC) a través de la dirección IPv4 interna de la instancia. Si las instancias tienen IPv6 configurado, también puedes usar una de las direcciones IPv6 internas o externas de la instancia. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna.
Para comunicarte con Internet, puedes usar una dirección IPv4 externa o IPv6 externa configurada en la instancia. Si no se configura ninguna dirección externa en la instancia, se puede usar Cloud NAT para el tráfico IPv4.
Del mismo modo, debes usar la dirección IPv4 externa o IPv6 externa de la instancia para conectarte a instancias fuera de la misma red de VPC. Sin embargo, si las redes están conectadas de alguna manera, por ejemplo, a través del intercambio de tráfico entre redes de VPC, puedes usar la dirección IP interna de la instancia.
Si quieres obtener información para identificar la dirección IP interna y externa de tus instancias, consulta Cómo ver la configuración de red de una instancia.
Direcciones IP internas
A las interfaces de red de una instancia se les asignan direcciones IP de la subred a la que están conectadas. Cada interfaz de red tiene una dirección IPv4 interna principal, que se asigna desde el rango IPv4 principal de la subred. Si la subred tiene un rango de IPv6 interno, además de la dirección IPv4 interna principal, puedes configurar de forma opcional la interfaz de red con una dirección IPv6 interna principal.
Las direcciones IPv4 internas se pueden asignar de las siguientes maneras:
- Compute Engine asigna automáticamente una dirección IPv4 única desde los rangos de subred IPv4 principales.
- Asignas una dirección IPv4 interna específica cuando creas una instancia de procesamiento, ya sea con una dirección IPv4 interna estática reservada o especificando una dirección IPv4 interna efímera personalizada.
Las direcciones IPv6 internas se pueden asignar a las instancias que están conectadas a una subred que tiene un rango de IPv6 interno de las siguientes maneras:
- Cuando configuras una dirección IPv6 interna en la NIC virtual de una instancia, Compute Engine asigna automáticamente un solo rango
/96de direcciones IPv6 desde el rango de IPv6 interno de la subred. - Asignas una dirección IPv6 interna específica cuando creas una instancia, ya sea con una dirección IPv6 interna estática reservada o especificando una dirección IPv6 interna efímera personalizada.
También puedes reservar una dirección interna estática del rango de IPv4 o IPv6 de la subred y, luego, asignarla a una instancia.
Las instancias de procesamiento también pueden tener rangos y direcciones IP de alias. Si tienes más de un servicio en ejecución en una instancia, puedes asignar a cada servicio su propia dirección IP única.
Nombres de DNS interno
Google Cloud Resuelve automáticamente el nombre de DNS completamente calificado (FQDN) de una instancia a las direcciones IP internas de la instancia. Los nombres DNS internos solo funcionan dentro de la red de VPC de la instancia.
Para obtener más información sobre los nombres de dominio completamente calificados (FQDN), consulta DNS interno.
Direcciones IP externas
Si necesitas comunicarte con Internet o con recursos en otra red de VPC, puedes asignar una dirección IPv4 o IPv6 externa a una instancia. Si las reglas de firewall o las políticas de firewall jerárquicas permiten la conexión, las fuentes externas a una red de VPC pueden llegar a un recurso específico a través de su dirección IP externa. Solo los recursos con una dirección IP externa pueden comunicarse directamente con los recursos fuera de la red de VPC. Comunicarse con un recurso a través de una dirección IP externa puede generar cargos adicionales.
Las direcciones IPv4 externas se pueden asignar de las siguientes maneras:
- Compute Engine asigna automáticamente una dirección IPv4 de los rangos de direcciones IPv4 externas de Google.
Asignas una dirección IPv4 externa específica cuando creas una instancia con una dirección IPv4 externa estática reservada.
Para obtener más información, consulta Dónde puedo encontrar los rangos de IP de Compute Engine.
Las direcciones IPv6 externas se pueden asignar a las instancias que están conectadas a una subred que tiene un rango de IPv6 externo de las siguientes maneras:
- Cuando configuras una dirección IPv6 externa en la ENIC de una instancia, Compute Engine asigna automáticamente un solo rango
/96de direcciones IPv6 desde el rango de IPv6 externo de la subred. - Asignas una dirección IPv6 externa específica cuando creas una instancia, ya sea con una dirección IPv6 externa estática reservada o especificando una dirección IPv6 externa efímera personalizada.
Alternativas al uso de una dirección IP externa
Las direcciones IP internas o privadas proporcionan una serie de ventajas sobre las direcciones IP externas o públicas, incluidas las siguientes:
- Superficie de ataque reducida. Quitar direcciones IP externas de las instancias de procesamiento dificulta que los atacantes lleguen a las instancias y exploten posibles vulnerabilidades.
- Mayor flexibilidad. Agregar una capa de abstracción, como un balanceador de cargas o un servicio de NAT, permite una entrega de servicios más confiable y flexible, en comparación con las direcciones IP externas estáticas.
En la siguiente tabla, se resumen las formas en que las instancias de procesamiento pueden acceder a Internet o recibir acceso desde Internet cuando no tienen una dirección IP externa.
| Método de acceso | Solución | Se usa mejor cuando |
|---|---|---|
| Interactiva | Configura el reenvío de TCP para Identity-Aware Proxy (IAP) | Quieres usar servicios administrativos, como SSH y RDP, para conectarte a tus instancias de backend, pero las solicitudes deben pasar comprobaciones de autenticación y autorización antes de llegar al recurso de destino. |
| Recuperación | Puerta de enlace de Cloud NAT | Deseas que tus instancias de Compute Engine que no tienen direcciones IP externas se conecten a Internet (saliente), pero los hosts fuera de tu red de VPC no pueden iniciar sus propias conexiones a tus instancias de procesamiento (entrante). Puedes usar este enfoque para las actualizaciones del SO o las APIs externas. |
| Proxy web seguro | Debes aislar tus instancias de Compute Engine de Internet creando nuevas conexiones TCP en su nombre, al mismo tiempo que cumples con la política de seguridad administrada. | |
| Entrega | Crea un balanceador de cargas externo | Deseas que los clientes se conecten a recursos sin direcciones IP externas en cualquier lugar de Google Cloud y, al mismo tiempo, proteger tus instancias de procesamiento de ataques de DSD y ataques directos. |
Direcciones IP regionales y globales
Cuando enumeras o describes direcciones IP en tu proyecto, Google Cloud
etiqueta las direcciones como globales o regionales, lo que indica cómo se usa una dirección en particular. Cuando asocias una dirección con un recurso regional, como una instancia, Google Cloud etiqueta la dirección como regional.
Las regiones son Google Cloud
regiones, como us-east4 o europe-west2.
Las direcciones IP globales se usan en las siguientes configuraciones:
- Direcciones IP internas globales: Accede a las APIs de Google a través de extremos o acceso privado a servicios
- Direcciones IP externas globales: Balanceadores de cargas de red de proxy externos y balanceadores de cargas de aplicaciones externos que usan una red de nivel Premium
Si deseas obtener instrucciones para crear una dirección IP global, consulta Reserva una dirección IP externa estática nueva.
Descripción general del ANS de las herramientas de redes de Compute Engine
Compute Engine tiene un Acuerdo de Nivel de Servicio (ANS), que define los objetivos de nivel de servicio (SLO) para el porcentaje de tiempo de actividad mensual de los niveles de servicio de red.
Cuando creas una instancia de Compute Engine, de forma predeterminada, obtienes una dirección IP interna. También puedes configurar una dirección IP externa con redes de nivel Premium (opción predeterminada) o de nivel Estándar. El nivel de servicio de red que elijas dependerá de tus requisitos de costo y calidad del servicio. Cada nivel de servicio de red tiene un SLO diferente.
Cuando creas la instancia de procesamiento, puedes configurar varias NICs conectadas a la instancia, y cada NIC puede tener una configuración de red diferente, como se muestra en el siguiente diagrama:
Figura 1. Una instancia con tres NIC, cada una de las cuales controla tráfico de red diferente con distintos niveles de servicio de red.
En el diagrama anterior, la instancia de ejemplo llamada VM appliance tiene tres NIC, que se configuran de la siguiente manera:
nic0se configura con una subred de IP interna.nic1se configura con una subred de IP externa y usa el nivel de redes Estándar.nic2se configura con una subred de IP externa y usa el nivel de redes Premium.
En este ejemplo, la instancia de VM no es una VM con optimización de memoria. Según la NIC que sufra una pérdida de conectividad, se aplicarán diferentes SLO. En la siguiente lista, se describe el ANS para las diferentes NICs en este ejemplo.
nic0: Es una VM de una sola instancia con direcciones IP internas. El porcentaje de tiempo de actividad mensual es del 99.9%.nic1: Una VM de una sola instancia con una dirección IP externa que usa el nivel de redes Estándar. Esta VM no está protegida por ningún ANS. Solo las instancias múltiples en las zonas están protegidas en un 99.9% con el nivel de redes Estándar.nic2: Una VM de instancia única con dirección IP externa que usa el nivel de redes Premium. El porcentaje de tiempo de actividad mensual es del 99.9%. Para varias instancias en diferentes zonas, el porcentaje de tiempo de actividad mensual es del 99.99% con el nivel de redes Premium.
¿Qué sigue?
- Cómo ver la configuración de red de una instancia
- Reserva una nueva dirección IP externa estática.
- Asigna una IP externa estática a una instancia nueva.
- Elegir una dirección IP interna durante la creación de la instancia.
- Promover una dirección IP externa efímera.
- Aprender a usar nombres DNS internos para acceder instancias a través de la red de VPC interna.
- Obtén más información sobre direcciones IP.
- Obtén más información sobre IPv6.
- Obtén más información sobre las direcciones IP y el balanceo de cargas.
- Revisar los precios de las direcciones IP externas.