Descripción general de las redes para máquinas virtuales

Este documento proporciona una descripción general de la funcionalidad de red de sus instancias de máquina virtual (VM). Proporciona una comprensión básica de cómo las instancias de su máquina virtual (VM) interactúan con las redes de Virtual Private Cloud (VPC). Para obtener más información sobre las redes VPC y las funciones relacionadas, lea la descripción general de la red VPC .

Redes y subredes

Cada VM es parte de una red VPC. Las redes VPC brindan conectividad para su instancia de VM a otras Google Cloud productos y a Internet. Las redes VPC pueden estar en modo automático o en modo personalizado .

  • Las redes VPC en modo automático tienen una subred (subred) en cada región. Todas las subredes están contenidas dentro de este rango de direcciones IP: 10.128.0.0/9 . Las redes VPC en modo automático solo admiten rangos de subred IPv4.
  • Las redes en modo personalizado no tienen una configuración de subred específica; usted decide qué subredes crear en las regiones que elija utilizando los rangos de IP que especifique . Las redes de modo personalizado también admiten rangos de subred IPv6.

A menos que elijas desactivarlo, cada proyecto tiene una red default , que es una red VPC en modo automático. Puede desactivar la creación de redes predeterminadas creando una política de organización .

Cada subred en una red VPC está asociada con una región y contiene uno o más rangos de direcciones IP. Puede crear más de una subred por región. Cada una de las interfaces de red de su VM debe estar conectada a una subred.

Cuando crea una VM, puede especificar una red y una subred de VPC. Si omite esta configuración, se utilizan la red y la subred default .Google Cloud Asigna una dirección IPv4 interna a la nueva máquina virtual desde el rango de direcciones IPv4 principal de la subred seleccionada. Si la subred también tiene un rango de direcciones IPv6 (denominado doble pila ), o si creó una subred solo IPv6 ( Vista previa ), puede asignar una dirección IPv6 a la VM.

Para obtener más información sobre las redes VPC, lea la descripción general de la red VPC . Para ver un ejemplo ilustrado de máquinas virtuales que utilizan una red VPC con tres subredes en dos regiones, consulte Ejemplo de red VPC .

Controladores de interfaz de red (NIC)

Cada instancia informática en una red VPC tiene una interfaz de red predeterminada. Puede definir interfaces de red solo cuando crea una instancia informática. Cuando configura una interfaz de red, selecciona una red de VPC y una subred dentro de esa red de VPC para conectar la interfaz. Puede crear interfaces de red adicionales para sus instancias, pero cada interfaz debe conectarse a una red de VPC diferente.

Múltiples interfaces de red le permiten crear configuraciones en las que una instancia se conecta directamente a varias redes de VPC. Varias interfaces de red son útiles cuando las aplicaciones que se ejecutan en una instancia requieren separación del tráfico, como la separación del tráfico del plano de datos del tráfico del plano de administración. Para obtener más información sobre el uso de varias NIC, consulte la descripción general de varias interfaces de red .

Cuando configura la interfaz de red para una instancia informática, puede especificar el tipo de controlador de red que se utilizará con la interfaz, ya sea VirtIO o Google Virtual NIC (gVNIC). Para las series de máquinas de primera y segunda generación , el valor predeterminado es VirtIO . Las series de máquinas de tercera generación y más nuevas están configuradas para usar gVNIC de forma predeterminada y no admiten VirtIO para la interfaz de red. Las instancias bare metal utilizan IDPF .

Además, puede optar por utilizar el rendimiento de red por VM Tier_1 con una instancia informática que utilice gVNIC o IPDF. La red Tier_1 permite límites de rendimiento de red más altos para transferencias de datos entrantes y salientes.

Ancho de banda de red

Google Cloud representa el ancho de banda por instancia de VM, no por interfaz de red (NIC) o dirección IP. El ancho de banda se mide utilizando dos dimensiones: dirección del tráfico (entrada y salida) y tipo de dirección IP de destino. La tasa de salida máxima posible está determinada por el tipo de máquina que se utilizó para crear la instancia; sin embargo, sólo puedes alcanzar esa tasa de salida máxima posible en situaciones específicas. Para obtener más información, consulte Ancho de banda de la red .

Para admitir anchos de banda de red más altos, como 200 Gbps para series de máquinas de tercera generación y posteriores, se requiere Google Virtual NIC (gVNIC).

  • Los límites de ancho de banda de salida máximo estándar varían de 1 Gbps a 100 Gbps.
  • El rendimiento de red por VM Tier_1 aumenta el límite máximo de ancho de banda de salida a 200 Gbps, según el tamaño y el tipo de máquina de su instancia informática.

Algunas series de máquinas tienen límites diferentes, como se documenta en la tabla de resumen de ancho de banda .

direcciones IP

A cada VM se le asigna una dirección IP de la subred asociada con la interfaz de red. La siguiente lista proporciona información adicional sobre los requisitos para configurar direcciones IP.

  • Para subredes solo IPv4, la dirección IP es una dirección IPv4 interna. Opcionalmente, puede configurar una dirección IPv4 externa para la VM.
  • Si la interfaz de red se conecta a una subred de doble pila que tiene un rango IPv6, debe utilizar una red VPC de modo personalizado. La VM tiene las siguientes direcciones IP:
    • Una dirección IPv4 interna. Opcionalmente, puede configurar una dirección IPv4 externa para la VM.
    • Ya sea una dirección IPv6 interna o externa, dependiendo del tipo de acceso a la subred.
  • Para subredes solo IPv6 ( Vista previa ), debe utilizar una red VPC en modo personalizado. La VM tiene una dirección IPv6 interna o externa, según el tipo de acceso de la subred.
  • Para crear una instancia solo IPv6 ( Vista previa ) con una dirección IPv6 interna y externa, debe especificar dos interfaces de red al crear la máquina virtual. No puede agregar interfaces de red a una instancia existente.

Tanto las direcciones IP externas como las internas pueden ser efímeras o estáticas .

Las direcciones IP internas son locales para una de las siguientes:

  • Una red VPC
  • Una red VPC conectada mediante VPC Network Peering
  • Una red local conectada a una red VPC mediante Cloud VPN, Cloud Interconnect o un dispositivo de enrutador

Una instancia puede comunicarse con instancias en la misma red VPC, o una red conectada como se especifica en la lista anterior, utilizando la dirección IPv4 interna de la VM. Si la interfaz de red de la VM se conecta a una subred de doble pila o a una subred de solo IPv6, puede usar las direcciones IPv6 internas o externas de la VM para comunicarse con otras instancias en la misma red. Como práctica recomendada, utilice direcciones IPv6 internas para la comunicación interna. Para obtener más información sobre las direcciones IP, lee la descripción general de las direcciones IP para Compute Engine.

Para comunicarse con Internet o sistemas externos, utilice una dirección IPv4 o IPv6 externa configurada en la instancia de VM. Las direcciones IP externas son direcciones IP enrutables públicamente. Si una instancia no tiene una dirección IP externa, se puede utilizar Cloud NAT para el tráfico IPv4.

Si tiene varios servicios ejecutándose en una única instancia de VM, puede asignar a cada servicio una dirección IPv4 interna diferente mediante el uso de rangos de IP de alias. La red VPC reenvía paquetes destinados a un servicio particular a la VM correspondiente. Para obtener más información, consulte Rangos de IP de alias .

Niveles de servicio de red

Los niveles de servicio de red te permiten optimizar la conectividad entre los sistemas en Internet y tus instancias de Compute Engine. Premium Tier ofrece tráfico en la red troncal premium de Google, mientras que Standard Tier utiliza redes ISP regulares. Utilice el nivel Premium para optimizar el rendimiento y utilice el nivel Estándar para optimizar el costo.

Debido a que elige un nivel de red en el nivel de recursos (como la dirección IP externa de una máquina virtual), puede usar el nivel estándar para algunos recursos y el nivel Premium para otros. Si no especifica un nivel, se utiliza el nivel Premium.

Las instancias informáticas que utilizan direcciones IP internas para comunicarse dentro de las redes de VPC siempre utilizan la infraestructura de red de nivel Premium.

Cuando se utiliza el nivel Premium o el nivel Estándar, no hay ningún cargo por la transferencia de datos entrantes. El precio de la transferencia de datos salientes es por GiB entregado y es diferente para cada uno de los niveles de servicio de red. Para obtener información sobre los precios, consulte Precios de niveles de servicios de red .

Los niveles de servicio de red no son los mismos que el rendimiento de red de VM Tier_1, que es una opción de configuración que puede elegir usar con sus instancias informáticas. Existe un costo adicional asociado con el uso de redes de nivel 1, como se describe en Precios de red de mayor ancho de banda de nivel 1 . Para obtener más información sobre las redes Tier_1, consulte Configurar el rendimiento de las redes Tier_1 por VM .

nivel premium

Premium Tier entrega tráfico desde sistemas externos a Google Cloudrecursos mediante el uso de la red global altamente confiable y de baja latencia de Google. Esta red está diseñada para tolerar múltiples fallas e interrupciones sin dejar de entregar tráfico. Premium Tier es ideal para clientes con usuarios en múltiples ubicaciones en todo el mundo que necesitan el mejor rendimiento y confiabilidad de la red.

La red Premium Tier consta de una extensa red de fibra privada con más de 100 puntos de presencia (PoP) en todo el mundo. Dentro de la red de Google , el tráfico se enruta desde ese PoP a la instancia informática en su red VPC. El tráfico saliente se envía a través de la red de Google, saliendo por el PoP más cercano a su destino. Este método de enrutamiento minimiza la congestión y maximiza el rendimiento al reducir la cantidad de saltos entre los usuarios finales y los PoP más cercanos a ellos.

Nivel estándar

La red de nivel estándar entrega tráfico desde sistemas externos aGoogle Cloud recursos enrutandolos a través de Internet. Los paquetes que salen de la red de Google se entregan a través de la Internet pública y están sujetos a la confiabilidad de los proveedores de tránsito y los ISP que intervienen. Standard Tier proporciona una calidad y confiabilidad de red comparable a la de otros proveedores de nube.

El nivel Estándar tiene un precio más bajo que el nivel Premium porque el tráfico de los sistemas en Internet se enruta a través de redes de tránsito (ISP) antes de enviarse a instancias informáticas en su red de VPC. El tráfico saliente del nivel estándar normalmente sale de la red de Google desde la misma región utilizada por la instancia informática de envío, independientemente de su destino.

El nivel estándar incluye 200 GB de uso gratuito por mes en cada región que utilice en todos sus proyectos, por recurso.

Nombres del sistema de nombres de dominio interno (DNS)

Cuando crea una instancia de máquina virtual (VM), Google Cloudcrea un nombre DNS interno a partir del nombre de la VM. A menos que especifique un nombre de host personalizado ,Google Cloud utiliza el nombre DNS interno creado automáticamente como nombre de host que proporciona a la VM.

Para la comunicación entre máquinas virtuales en la misma red de VPC, puede especificar el nombre DNS completo (FQDN) de la instancia de destino en lugar de utilizar su dirección IP interna. Google Cloud resuelve automáticamente el FQDN en la dirección IP interna de la instancia.

Para obtener más información sobre los nombres de dominio completo (FQDN), consulte Nombres DNS internos globales y zonales .

Rutas

Google Cloud Las rutas definen las rutas que toma el tráfico de red desde una instancia de máquina virtual (VM) hacia otros destinos. Estos destinos pueden estar dentro de su red VPC (por ejemplo, en otra VM) o fuera de ella. La tabla de enrutamiento para una red VPC se define en el nivel de red VPC. Cada instancia de VM tiene un controlador que se mantiene informado de todas las rutas aplicables desde la tabla de enrutamiento de la red. Cada paquete que sale de una VM se entrega al siguiente salto apropiado de una ruta aplicable según un orden de enrutamiento.

Las rutas de subred definen rutas a recursos como máquinas virtuales y equilibradores de carga internos en una red de VPC. Cada subred tiene al menos una ruta de subred cuyo destino coincide con el rango de IP principal de la subred. Las rutas de subred siempre tienen los destinos más específicos. No pueden ser anuladas por otras rutas, incluso si otra ruta tiene mayor prioridad. esto es porque Google Cloudconsidera la especificidad del destino antes que la prioridad al seleccionar una ruta. Para obtener más información sobre los rangos de IP de subred, consulte la descripción general de subredes .

Reglas de reenvío

Mientras que las rutas gobiernan el tráfico que sale de una instancia, las reglas de reenvío dirigen el tráfico a una Google Cloud recurso en una red VPC según la dirección IP, el protocolo y el puerto. Algunas reglas de reenvío dirigen el tráfico desde fuera de Google Cloud a un destino en la red; otras reglas dirigen el tráfico desde el interior de la red.

Puede configurar reglas de reenvío para que sus instancias implementen alojamiento virtual por IP, Cloud VPN, IP virtuales privadas (VIP) y equilibrio de carga. Para obtener más información sobre las reglas de reenvío, consulte Uso del reenvío de protocolos .

Reglas del cortafuegos

Las reglas de firewall de VPC le permiten permitir o denegar conexiones hacia o desde su VM según una configuración que especifique. Google Cloud siempre aplica las reglas de firewall de VPC habilitadas, protegiendo sus máquinas virtuales independientemente de su configuración y sistema operativo, incluso si la máquina virtual no se ha iniciado.

De forma predeterminada, cada red VPC tiene reglas de firewall entrantes (ingreso) y salientes (salida) que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. La red default tiene reglas de firewall adicionales , incluida la regla default-allow-internal , que permite la comunicación entre instancias de la red. Si no está utilizando la red default , debe crear explícitamente reglas de firewall de ingreso de mayor prioridad para permitir que las instancias se comuniquen entre sí.

Cada red de VPC funciona como un firewall distribuido. Las reglas de firewall se definen a nivel de VPC y pueden aplicarse a todas las instancias de la red, o puede usar etiquetas de destino o cuentas de servicio de destino para aplicar reglas a instancias específicas. Puede pensar que las reglas de firewall de VPC existen no solo entre sus instancias y otras redes, sino también entre instancias individuales dentro de la misma red de VPC.

Las políticas de firewall jerárquicas le permiten crear y aplicar una política de firewall coherente en toda su organización. Puede asignar políticas de firewall jerárquicas a la organización en su conjunto o a carpetas individuales. Estas políticas contienen reglas que pueden denegar o permitir conexiones explícitamente, al igual que las reglas de firewall de VPC. Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o reglas de firewall de VPC con una acción goto_next . Las reglas de nivel inferior no pueden anular una regla de un lugar superior en la jerarquía de recursos. Esto permite a los administradores de toda la organización gestionar reglas de firewall críticas en un solo lugar.

Grupos de instancias administrados y configuraciones de red

Si utiliza grupos de instancias administrados (MIG) , la configuración de red que especifique en la plantilla de instancia se aplica en todas las máquinas virtuales creadas con la plantilla. Si crea una plantilla de instancia en una red VPC en modo automático, Google Cloud selecciona automáticamente la subred para la región donde creó el grupo de instancias administrado.

Para obtener más información, consulte Redes y subredes y Crear plantillas de instancias .

¿Qué sigue?