Esta página se ha traducido con Cloud Translation API.

Conceptos avanzados de VPC

En esta página se ofrece información más detallada sobre las redes de nube privada virtual (VPC). Antes de leer esta página, consulta Redes de VPC. Si te interesan las redes de VPC emparejadas, consulta Emparejamiento entre redes de VPC.

Detalles de bajo nivel de las redes de VPC

En esta sección se proporcionan algunos detalles de bajo nivel sobre las redes de VPC. No es necesario que leas este artículo para usar la función de forma habitual, pero te ofrece más información sobre cómo funciona la red de VPC. En el siguiente diagrama se describen estos detalles de bajo nivel. En las secciones correspondientes encontrará más información.

La red de VPC. — La red de VPC (haz clic para ampliar).

Quién se encarga de qué

Las diferentes funciones de redes de VPC se gestionan en distintas partes del sistema. Algunas de estas funciones son funciones de redes estándar que están bien documentadas, mientras que otras son específicas de las redes VPC. Algunas funciones se pueden configurar y otras no. Las redes de VPC usan el módulo de red VIRTIO de Linux para modelar la funcionalidad de las tarjetas Ethernet y los routers, pero los niveles superiores de la pila de redes, como las búsquedas de ARP, se gestionan mediante software de redes estándar.

Búsqueda de ARP: Problemas con el kernel de la instancia Solicitudes ARP y problemas con la red de VPC que envía respuestas ARP. El kernel de la instancia gestiona la asignación entre direcciones MAC y direcciones IP.
Tabla de consulta de MAC, tabla de consulta de IP y tabla de conexiones activas: Estas tablas se alojan en la red de VPC subyacente y no se pueden inspeccionar ni configurar.
Servidor DNS: El servidor de metadatos de cada instancia actúa como servidor DNS. Almacena las entradas DNS de todas las direcciones IP de la red de VPC local y llama al servidor DNS público de Google para las entradas que están fuera de la red de VPC. No puedes configurar este servidor DNS. El cliente DHCP de cada instancia está configurado para gestionar el archivo /etc/resolv.conf de la instancia.; Puedes añadir tu propio dominio de búsqueda o servidores de nombres a la instancia /etc/resolv.conf modificando la política de DHCP. Muchas distribuciones de Linux permiten que estas modificaciones se conserven mediante /etc/dhcp/dhclient.conf. Consulta más información en la documentación sobre DNS interno.
Gestión de paquetes entre la red de VPC y el exterior: El código de red gestiona los paquetes que entran o salen de la red de VPC. Este código examina los paquetes en función de las reglas de cortafuegos, la tabla de búsqueda de IPs externas y la tabla de conexiones activas. La red de VPC también realiza NAT en los paquetes que entran y salen de la red de VPC.
Paquetes recibidos por una instancia: El kernel de la instancia recibe estos paquetes y los convierte en un flujo de la forma habitual.
Paquetes enviados por una instancia: El kernel de la instancia envía los paquetes de la forma habitual. La interfaz y las funciones de red se modelan mediante el módulo de red VIRTIO.

Tutoriales detallados sobre la conexión

A continuación, te indicamos más detalles sobre lo que ocurre cuando una instancia hace una llamada de red de VPC.

Una instancia hace una llamada:

Si la dirección de destino es un nombre de instancia o una URL, como www.google.com, la instancia llama al servicio DNS en su servidor de metadatos y obtiene la dirección IP correspondiente. Puedes configurar tu instancia para que consulte otro servicio DNS, pero entonces no podrás resolver nombres de instancias.
La dirección IP de destino se compara con el intervalo de direcciones IP de la subred, que conoce cada instancia.
1. Si la dirección IP no está en la red de VPC actual o en una red de VPC emparejada mediante el emparejamiento entre redes de VPC:
  1. La instancia envía el paquete a la dirección MAC de la pasarela de la subred con el destino definido como el destino final del paquete. Es posible que la instancia tenga que enviar una solicitud ARP para resolver la dirección MAC de la pasarela.
  2. La red VPC reescribe el encabezado IP para declarar la dirección IP externa de la instancia como origen. Si la instancia no tiene ninguna dirección IP externa, no se permite la llamada y la red de VPC descarta el paquete sin informar al remitente.
  3. La red de VPC registra el paquete saliente y añade el origen y el destino a la tabla de conexiones activas.
  4. La red VPC envía el paquete a su destino.
  5. El destino recibe el paquete y responde si quiere.
  6. La red de VPC recibe la respuesta, consulta la tabla de conexiones activas, observa que se trata de una conexión activa y la permite. La red VPC consulta su tabla de búsqueda de direcciones IP de red o externas, sustituye la dirección IP externa de la instancia por la dirección de red correspondiente y envía el paquete a la instancia de origen.
  7. La instancia recibe el paquete.
2. Si la dirección IP de destino está en la red de VPC o en una red de VPC emparejada mediante el emparejamiento entre redes de VPC:
  1. La instancia se configura con una IP con máscara 255.255.255.255, por lo que la instancia envía el paquete a la dirección MAC de la pasarela de la subred. Es posible que la instancia primero tenga que hacer una solicitud ARP para resolver la dirección MAC de la pasarela.
  2. Google Cloud reenvía el paquete a la dirección IP de destino en la red de VPC actual o emparejada.
  3. La instancia de destino recibe el paquete. La instancia de destino comprueba el cortafuegos de entrada para determinar si se permite el paquete. Si no es así, el paquete se elimina de forma silenciosa. De lo contrario, la instancia procesa el paquete.

Una instancia o un ordenador externos llaman a una instancia:

La persona que llama externa envía un paquete a la dirección IP externa de una instancia, que es propiedad de la red VPC.
La red de VPC compara el paquete con la tabla de conexiones activas para ver si se trata de una conexión ya establecida:
1. Si no se trata de una conexión ya establecida, la red de VPC busca una regla de cortafuegos para permitir la conexión.
2. Si no hay ninguna regla de cortafuegos, la red de VPC descarta el paquete sin informar al remitente.
Si hay una conexión o una regla de firewall válidas, la red VPC examina su tabla de búsqueda y sustituye la IP externa por la IP interna correspondiente en el paquete, registra el paquete entrante en la tabla de conexiones activas y envía el paquete a la instancia de destino.
La instancia recibe el paquete y responde como se describe en Si la dirección IP está fuera del intervalo de direcciones IP de la red de VPC al enviar un paquete fuera del intervalo de la red.
La red VPC recibe la respuesta, busca la solicitud entrante correspondiente en la tabla de conexiones activas y permite que pase el paquete. Antes de enviarlo, modifica la dirección IP de origen sustituyendo la IP interna de la instancia por la IP externa correspondiente de su tabla de consulta.

Medir el rendimiento de la red VPC

Para ver las instrucciones, consulta el artículo Calcular el rendimiento de la red.

Siguientes pasos

Para obtener información sobre las redes de VPC, consulta Redes de VPC.
Para crear, modificar y eliminar redes de VPC, consulta el artículo Crear y gestionar redes de VPC.