Muchos Google Cloud Los recursos pueden tener direcciones IP internas y direcciones IP externas. Por ejemplo, puedes asignar una dirección IP interna y externa a instancias de Compute Engine. Las instancias utilizan estas direcciones para comunicarse con otras Google Cloud recursos y sistemas externos.
Cada interfaz de red utilizada por una instancia debe tener una dirección IPv4 interna principal. Cada interfaz de red también puede tener uno o más rangos de alias IPv4 y una dirección IPv4 externa. Si la instancia está conectada a una subred que admite IPv6, cada interfaz de red también puede tener asignadas direcciones IPv6 internas o externas.
Una instancia puede comunicarse con instancias en la misma red de Nube Privada Virtual (VPC), utilizando la dirección IPv4 interna de la instancia. Si las instancias tienen IPv6 configurado, también puede usar una de las direcciones IPv6 internas o externas de la instancia. Como práctica recomendada, utilice direcciones IPv6 internas para la comunicación interna.
Para comunicarse con Internet, puede utilizar una dirección IPv4 o IPv6 externa configurada en la instancia. Si no se configura ninguna dirección externa en la instancia, se puede utilizar Cloud NAT para el tráfico IPv4.
De manera similar, debe utilizar el IPv4 externo o el IPv6 externo de la instancia para conectarse a instancias fuera de la misma red de VPC. Sin embargo, si las redes están conectadas de alguna manera, como mediante VPC Network Peering , puede usar la dirección IP interna de la instancia.
Para obtener información sobre cómo identificar la dirección IP interna y externa de sus instancias, consulte Ver la configuración de red de una instancia .
Direcciones IP internas
A las interfaces de red de una instancia se les asignan direcciones IP de la subred a la que están conectadas. Cada interfaz de red tiene una dirección IPv4 interna principal, que se asigna desde el rango IPv4 principal de la subred. Si la subred tiene un rango IPv6 interno, además de la dirección IPv4 interna principal, puede configurar opcionalmente la interfaz de red con una dirección IPv6 interna principal.
Las direcciones IPv4 internas se pueden asignar de las siguientes maneras:
- Compute Engine asigna automáticamente una única dirección IPv4 de los rangos de subred IPv4 principales.
- Usted asigna una dirección IPv4 interna específica cuando crea una instancia informática, ya sea utilizando una dirección IPv4 interna estática reservada o especificando una dirección IPv4 interna efímera personalizada.
Las direcciones IPv6 internas se pueden asignar a instancias que están conectadas a una subred que tiene un rango IPv6 interno de las siguientes maneras:
- Cuando configuras una dirección IPv6 interna en la vNIC de una instancia , Compute Engine asigna automáticamente un único rango
/96de direcciones IPv6 del rango IPv6 interno de la subred . - Usted asigna una dirección IPv6 interna específica cuando crea una instancia, ya sea utilizando una dirección IPv6 interna estática reservada o especificando una dirección IPv6 interna efímera personalizada.
También puede reservar una dirección interna estática del rango IPv4 o IPv6 de la subred y asignarla a una instancia.
Las instancias informáticas también pueden tener rangos y direcciones IP de alias . Si tiene más de un servicio ejecutándose en una instancia, puede asignar a cada servicio su propia dirección IP única.
Nombres DNS internos
Google Cloud resuelve automáticamente el nombre DNS completo (FQDN) de una instancia en las direcciones IP internas de la instancia. Los nombres DNS internos solo funcionan dentro de la red VPC de la instancia.
Para obtener más información sobre los nombres de dominio completo (FQDN), consulte DNS interno .
Direcciones IP externas
Si necesita comunicarse con Internet o con recursos en otra red de VPC, puede asignar una dirección IPv4 o IPv6 externa a una instancia. Si las reglas de firewall o las políticas de firewall jerárquicas permiten la conexión, las fuentes externas a una red de VPC pueden llegar a un recurso específico utilizando su dirección IP externa. Solo los recursos con una dirección IP externa pueden comunicarse directamente con recursos fuera de la red VPC. La comunicación con un recurso utilizando una dirección IP externa puede generar cargos facturados adicionales .
Las direcciones IPv4 externas están disponibles para todas las instancias informáticas. Cuando configura una dirección IPv4 externa en la vNIC de una instancia, se asigna una única dirección IPv4 de los rangos de direcciones IPv4 externas de Google. Para obtener más información, consulte ¿Dónde puedo encontrar rangos de IP de Compute Engine ?
Las direcciones IPv6 externas están disponibles para calcular instancias que están conectadas a una subred que tiene un rango de IPv6 externo. Cuando configura una dirección IPv6 externa en la interfaz de red de la instancia, se asigna un único rango
/96de direcciones IPv6 desde el rango IPv6 externo de la subred .También puede reservar una dirección IPv6 externa estática del rango IPv6 de la subred y asignarla a una instancia informática.
Alternativas al uso de una dirección IP externa
Las direcciones IP internas o privadas ofrecen una serie de ventajas sobre las direcciones IP externas o públicas, que incluyen:
- Superficie de ataque reducida . Eliminar las direcciones IP externas de las instancias informáticas hace que sea más difícil para los atacantes llegar a las instancias y explotar posibles vulnerabilidades.
- Mayor flexibilidad . La introducción de una capa de abstracción, como un equilibrador de carga o un servicio NAT, permite una prestación de servicios más confiable y flexible en comparación con direcciones IP estáticas y externas.
La siguiente tabla resume las formas en que las instancias informáticas pueden acceder o ser accedidas desde Internet cuando no tienen una dirección IP externa.
| Método de acceso | Solución | Mejor usado cuando |
|---|---|---|
| Interactivo | Configurar el reenvío TCP para Identity-Aware Proxy (IAP) | Desea utilizar servicios administrativos como SSH y RDP para conectarse a sus instancias de backend, pero las solicitudes deben pasar comprobaciones de autenticación y autorización antes de llegar a su recurso de destino. |
| Atractivo | Puerta de enlace NAT en la nube | Quiere que sus instancias de Compute Engine que no tienen direcciones IP externas se conecten a Internet (salientes), pero los hosts fuera de su red de VPC no pueden iniciar sus propias conexiones a sus instancias informáticas (entrantes). Puede utilizar este enfoque para actualizaciones del sistema operativo o API externas. |
| Proxy web seguro | Debes aislar tus instancias de Compute Engine de Internet creando nuevas conexiones TCP en su nombre y al mismo tiempo cumplir con la política de seguridad administrada. | |
| Servicio | Crear un balanceador de carga externo | Quiere que los clientes se conecten a recursos sin direcciones IP externas en ningún lugar de Google Cloud mientras protege sus instancias informáticas de ataques DDoS y ataques directos. |
Direcciones IP regionales y globales
Cuando enumeras o describe direcciones IP en tu proyecto, Google Cloudetiqueta las direcciones como globales o regionales, lo que indica cómo se utiliza una dirección en particular. Cuando asocia una dirección con un recurso regional, como una instancia, Google Cloud etiqueta la dirección como regional. Las regiones son Google Cloudregiones , como us-east4 o europe-west2 .
Las direcciones IP globales se utilizan en las siguientes configuraciones:
- Direcciones IP internas globales: acceda a las API de Google a través de puntos finales o acceso a servicios privados
- Direcciones IP externas globales: balanceadores de carga de red de proxy externo y balanceadores de carga de aplicaciones externos que utilizan una red de nivel Premium
Para obtener instrucciones sobre cómo crear una dirección IP global, consulte Reservar una nueva dirección IP externa estática .
Descripción general del SLA para redes de Compute Engine
Compute Engine tiene un Acuerdo de nivel de servicio (SLA) , que define objetivos de nivel de servicio (SLO) para el porcentaje de tiempo de actividad mensual para los niveles de servicio de red.
Cuando creas una instancia de Compute Engine, de forma predeterminada obtienes una dirección IP interna. Además, puede configurar una dirección IP externa con redes de nivel Premium (predeterminado) o de nivel estándar. El nivel de servicio de red que elija dependerá de su costo y de los requisitos de calidad del servicio. Cada nivel de servicio de red tiene un SLO diferente.
Cuando crea la instancia informática, puede configurar varias NIC conectadas a la instancia y cada NIC puede tener una configuración de red diferente, como se muestra en el siguiente diagrama:
Figura 1. Una instancia con tres NIC, cada una de las cuales maneja un tráfico de red diferente con diferentes niveles de servicio de red.
En el diagrama anterior, la instancia de ejemplo denominada dispositivo VM tiene tres NIC, que están configuradas de la siguiente manera:
-
nic0está configurado con una subred IP interna. -
nic1está configurado con una subred IP externa y utiliza el nivel de red Estándar. -
nic2está configurado con una subred IP externa y utiliza el nivel de red Premium.
En este ejemplo, la instancia de VM no es una VM con memoria optimizada. Dependiendo de qué NIC sufra una pérdida de conectividad, se aplican diferentes SLO. La siguiente lista describe el SLA para las diferentes NIC en este ejemplo.
-
nic0: una máquina virtual de instancia única con direcciones IP internas. El porcentaje de tiempo de actividad mensual es del 99,9%. -
nic1: una máquina virtual de instancia única con una dirección IP externa que utiliza el nivel de red Estándar. Esta máquina virtual no está protegida por ningún SLA. Solo varias instancias entre zonas están protegidas al 99,9 % con el nivel de red Estándar. -
nic2: una máquina virtual de instancia única con dirección IP externa que utiliza el nivel de red Premium. El porcentaje de tiempo de actividad mensual es del 99,9%. Para varias instancias en distintas zonas, el porcentaje de tiempo de actividad mensual es del 99,99 % con el nivel de red Premium.
¿Qué sigue?
- Ver la configuración de red de una instancia .
- Reserve una nueva dirección IP externa estática .
- Asignar una IP externa estática a una nueva instancia .
- Elegir una dirección IP interna en la creación de la instancia .
- Promoción de una dirección IP externa efímera .
- Aprenda a utilizar nombres DNS internos para abordar instancias a través de la red interna de VPC.
- Obtenga más información sobre las direcciones IP .
- Obtenga más información sobre IPv6 .
- Obtenga más información sobre direcciones IP y equilibrio de carga .
- Revise los precios de las direcciones IP externas .