En esta página, se proporciona una descripción general desde la perspectiva de un administrador de radios de nube privada virtual (VPC).
Si el concentrador de Network Connectivity Center y el radio de VPC se encuentran en el mismo proyecto, los administradores del radio de VPC deben tener las siguientes vinculaciones de Identity and Access Management (IAM) en ese proyecto:
El rol administrador de red de Compute (
roles/compute.networkAdmin)El rol de administrador de radio de Network Connectivity Center (
roles/networkconnectivity.spokeAdmin).
Si el concentrador de Network Connectivity Center y el radio de VPC se encuentran en proyectos diferentes, las políticas de IAM deben tener las siguientes vinculaciones.
Los administradores de radios de VPC deben tener ambas vinculaciones de IAM en el proyecto que contiene la red de VPC (radio):
Los administradores de radios de VPC también deben tener las siguientes vinculaciones de IAM en el concentrador de Network Connectivity Center o en el proyecto que contiene el concentrador de Network Connectivity Center:
También puedes usar roles personalizadas, siempre que incluyan los mismos permisos que los roles predefinidos que se mencionaron antes.
Cuando una red de VPC y el concentrador de Network Connectivity Center se encuentran en proyectos diferentes, un administrador de radios de VPC debe crear una propuesta de radio para solicitar que una red de VPC se una al concentrador. Un administrador del concentrador revisa la propuesta. Si el administrador del concentrador acepta la propuesta, la red de VPC se conecta al concentrador. Un administrador del concentrador también puede rechazar las propuestas de radio. Los administradores de radios pueden verificar el estado de una propuesta de radio de VPC en cualquier momento.
Si deseas obtener más información, consulta las siguientes secciones:
- Propone un radio de VPC en un proyecto diferente
- Verifica el estado de una propuesta de radio de VPC
- Visualiza las tablas de rutas de VPC
- Descripción general de los radios de VPC
Unicidad de la ruta de subred
Al igual que con el intercambio de tráfico entre redes de VPC, Google Cloud prohíbe los conflictos de rango de direcciones IP de subred entre los radios de VPC conectados a un concentrador de Network Connectivity Center. Un rango de direcciones IP de subred entra en conflicto con otro rango de direcciones IP de subred cuando se cumple una de las siguientes condiciones:
- Un rango de direcciones IP de subred en una red de VPC coincide exactamente con un rango de direcciones IP de subred en otra red de VPC.
- Un rango de direcciones IP de subred en una red de VPC se ajusta a un rango de direcciones IP de subred en otra red de VPC.
- Un rango de direcciones IP de subred en una red de VPC contiene un rango de direcciones IP de subred en otra red de VPC.
Los radios de VPC no pueden exportar rangos de direcciones IP de subred en conflicto al mismo concentrador de Network Connectivity Center. Puedes usar la marca exclude-export-ranges en Google Cloud CLI o el campo excludeExportRanges en la API para evitar que se comparta un rango de direcciones IP de subred desde un radio de VPC en un concentrador de Network Connectivity Center. Por ejemplo, supongamos que tienes dos redes de VPC que quieres conectar al mismo concentrador de Network Connectivity Center:
- La primera red de VPC tiene una subred cuyo rango de direcciones IPv4 internas principal es
100.64.0.0/16, lo que genera una ruta de subred para100.64.0.0/16. - La segunda red de VPC tiene una subred con un rango de direcciones IPv4 interno secundario de
100.64.0.0/24, lo que genera una ruta de subred para100.64.0.0/24.
Las dos rutas de subred tienen rangos de direcciones IP de subred en conflicto porque 100.64.0.0/24 se ajusta a 100.64.0.0/16. No puedes conectar ambas redes
como radios de VPC al mismo concentrador de Network Connectivity Center, a menos que
resuelvas el conflicto. Puedes usar una de las siguientes estrategias para resolver el conflicto:
- Excluye el rango de direcciones IP
100.64.0.0/16cuando adjuntas la primera red de VPC al concentrador o excluye el rango de direcciones IP100.64.0.0/24cuando conectas la segunda red de VPC al concentrador. - Excluye
100.64.0.0/16o todo el espacio de la RFC 6598,100.64.0.0/10, cuando adjuntes cada red de VPC.
Interacción con las rutas de subred de intercambio de tráfico entre redes de VPC
Las rutas de subred de intercambio de tráfico son aquellas que se intercambian entre las redes de VPC conectadas con el intercambio de tráfico entre redes de VPC. Aunque las rutas de subred de intercambio de tráfico nunca se intercambian entre los radios de VPC conectados a un concentrador de Network Connectivity Center, debes tomar en consideración las rutas de subred de intercambio de tráfico. Desde la perspectiva de cada radio de VPC, no pueden haber conflictos entre todas las rutas de subred locales, las rutas de subred de intercambio de tráfico importadas y las rutas de subred de Network Connectivity Center importadas.
Para ilustrar este concepto, considera la siguiente configuración:
- La red de VPC
net-aes un radio de VPC conectado a un concentrador de Network Connectivity Center. - La red de VPC
net-bes un radio de VPC conectado al mismo concentrador de Network Connectivity Center. - Las redes de VPC
net-bynet-cse conectan entre sí mediante el intercambio de tráfico entre redes de VPC.
Supongamos que existe un rango de direcciones IP de subred local para 100.64.0.0/24 en net-c. Esto crea una ruta de subred local en net-c y una ruta de subred de intercambio de tráfico en net-b. Aunque la ruta de subred de intercambio de tráfico para el rango de direcciones IP 100.64.0.0/24 no se exporta al concentrador de Network Connectivity Center, su existencia en net-b evita que net-b pueda importar una ruta de Network Connectivity Center cuyo destino coincide de forma exacta con 100.64.0.0/24, se ajusta a 100.64.0.0/24 o contiene 100.64.0.0/24. En consecuencia, no puede haber rutas de subred locales para 100.64.0.0/24, 100.64.0.0/25 ni 100.64.0.0/16 en net-a a menos que configures net-a para que no exporte el rango en conflicto.
Tablas de enrutamiento que muestran rutas de subred
Google Cloud muestra las rutas de subred de Network Connectivity Center importadas desde los radios de VPC en dos tablas de rutas:
- La tabla de rutas del concentrador de Network Connectivity Center
- La tabla de ruta de la red de VPC para cada red de VPC (radio).
Google Cloud actualiza de forma automática la tabla de rutas de la red de VPC de cada radio de VPC y la tabla de rutas del concentrador de Network Connectivity Center cuando se cumple una de las siguientes condiciones:
- Cuando realizas una actividad de ciclo de vida de ruta de subred, como agregar o borrar una subred.
- Cuando se agregan o quitan radios de VPC del concentrador.
En las tablas de rutas de red de VPC, cada ruta importada desde otros radios de VPC aparece como una ruta de subred de Network Connectivity Center cuyo siguiente salto es el concentrador de Network Connectivity Center. Estas rutas de subred de Network Connectivity Center
tienen nombres que comienzan con el prefijo ncc-subnet-route-. Para ver el siguiente salto real de una ruta de subred de Network Connectivity Center importada, puedes ver la tabla de ruta del concentrador de Network Connectivity Center o puedes ver la tabla de ruta de la red de VPC del radio de VPC que exporta la ruta de subred al concentrador de Network Connectivity Center.
Para obtener más información sobre las rutas de VPC, consulta Rutas en la documentación de VPC.
¿Qué sigue?
- Para crear concentradores y radios, consulta Trabaja con concentradores y radios.
- Para crear un radio en un proyecto diferente al concentrador, consulta Propone un radio en un proyecto diferente.
- Para ver una lista de socios cuyas soluciones están integradas en Network Connectivity Center, consulta Socios de Network Connectivity Center.
- Para encontrar soluciones a problemas comunes, consulta Solución de problemas.
- Para obtener detalles sobre los comandos de la API y
gcloud, consulta API y referencia.