Intercambio de tráfico entre redes de VPC

El intercambio de tráfico entre redes de VPC de Google Cloud conecta dos redes de nube privada virtual (VPC) para que los recursos de cada red puedan comunicarse entre sí. Las redes de VPC con intercambio de tráfico pueden estar en el mismo proyecto, en proyectos diferentes de la misma organización o en proyectos diferentes de diferentes organizaciones.

Especificaciones

El intercambio de tráfico entre redes de VPC te permite realizar las siguientes acciones:

Conectividad

  • El intercambio de tráfico entre redes de VPC admite la conexión de redes de VPC, no en redes heredadas.
  • El intercambio de tráfico entre redes de VPC proporciona conectividad IPv4 y, además, IPv6 interna entre pares de redes de VPC. El tráfico del intercambio (el que fluye entre las redes con intercambio de tráfico) tiene la misma latencia, capacidad de procesamiento y disponibilidad que el tráfico dentro de la misma red de VPC.
    • El intercambio de tráfico entre redes de VPC no proporciona enrutamiento transitivo. Por ejemplo, si las redes de VPC net-a y net-b se conectan mediante el intercambio de tráfico entre redes de VPC, y las redes de VPC net-a y net-c también se conectan mediante el intercambio de tráfico entre redes de VPC, el intercambio de tráfico entre redes de VPC no proporciona conectividad entre net-b y net-c.
    • No puedes conectar dos redes de VPC en modo automático mediante el intercambio de tráfico entre redes de VPC. Esto se debe a que las redes de VPC con intercambio de tráfico siempre intercambian rutas de subredes que usan direcciones IPv4 internas privadas, y cada subred de una red de VPC en modo automático usa un rango de direcciones IP de subred que se ajusta al bloque de CIDR 10.128.0.0/9.
    • Puedes conectar una red de VPC en modo personalizado a una red de VPC en modo automático, siempre y cuando la red de VPC en modo personalizado no tenga rangos de direcciones IP de subred que se ajusten a 10.128.0.0/9.
  • El intercambio de tráfico entre redes de VPC también proporciona cierta conectividad IPv6 externa a los rangos de direcciones IPv6 externas de destino de los siguientes recursos cuando el intercambio de tráfico entre redes de VPC intercambia las rutas a esas direcciones IPv6 externas de destino:
    • Interfaces de red de instancias de máquina virtual (VM) de pila doble
    • Reglas de reenvío para el reenvío de protocolos externos
    • Reglas de firewall para balanceadores de cargas de red de traspaso externos
  • El intercambio de tráfico entre redes de VPC admite la conectividad IPv4 e IPv6. Puedes configurar el intercambio de tráfico entre redes de VPC en una red de VPC que contenga subredes de doble pila.

Administración

  • La administración de cada red de VPC de intercambio de tráfico se mantiene separada, Solo se intercambian rutas según la configuración de intercambio de tráfico.
  • Para establecer la conectividad de intercambio de tráfico, un administrador de red de cada red de VPC debe crear una conexión de intercambio de tráfico con la otra red de VPC. Un administrador de red de cualquiera de las redes de VPC puede desconectar una conexión de intercambio de tráfico.
  • Cada extremo de la asociación de intercambio de tráfico se configura de forma independiente. El intercambio de tráfico se activa solo cuando la configuración de ambos extremos coincida. Cualquiera de los extremos puede borrar la asociación de intercambio de tráfico en cualquier momento.
  • La creación de una conexión de intercambio de tráfico no te otorga ningún rol de Identity and Access Management (IAM) en la otra red de VPC. Por ejemplo, si tienes el rol de administrador de red de Compute o de administrador de seguridad de Compute en una red, no te conviertes en administrador de red ni en administrador de seguridad de la otra red.

Permisos de IAM

  • Los permisos de IAM para crear y borrar el intercambio de tráfico entre redes de VPC se incluyen como parte del rol Administrador de red de Compute (roles/compute.networkAdmin).
  • Puedes usar un rol personalizado si incluye los siguientes permisos:
    • compute.networks.addPeering
    • compute.networks.updatePeering
    • compute.networks.removePeering
    • compute.networks.listPeeringRoutes

Seguridad de red

Las redes de VPC conectadas con el intercambio de tráfico entre redes de VPC solo intercambian rutas, según las opciones de intercambio de rutas que configura un administrador de red de cada red de VPC.

El intercambio de tráfico entre redes de VPC no intercambia reglas de firewall de VPC ni políticas de firewall.

Para las reglas de firewall de VPC:

  • Las reglas de firewall cuyos objetivos se definen con etiquetas de red solo se resuelven en las instancias de la red de VPC de la regla de firewall. Aunque un administrador de seguridad de una red de VPC con intercambio de tráfico puede usar la misma etiqueta de red para definir los objetivos de las reglas de firewall en una red de VPC con intercambio de tráfico, los objetivos de las reglas de firewall en la red de VPC con intercambio de tráfico red no incluyen instancias en tu red de VPC. Del mismo modo, las reglas de firewall de entrada cuyas fuentes se definen a través de etiquetas de red solo se resuelven en las instancias de la red de VPC de la regla de firewall.

  • Las reglas de firewall cuyos objetivos se definen a través de cuentas de servicio solo se resuelven en las instancias de la red de VPC de la regla de firewall. Sujeto a los permisos de IAM, es posible que un administrador de seguridad de una red de VPC con intercambio de tráfico pueda usar la misma cuenta de servicio para definir los objetivos de las reglas de firewall en una red de VPC con intercambio de tráfico, pero los objetivos de las reglas de firewall en la red de VPC con intercambio de tráfico no incluyen instancias en tu red de VPC. Del mismo modo, las reglas de firewall de entrada cuyas fuentes se definen a través de cuentas de servicio solo se resuelven en las instancias de la red de VPC de la regla de firewall.

Las reglas en las políticas de firewall de red pueden usar etiquetas seguras, que son diferentes de las etiquetas de red, para identificar objetivos y fuentes:

  • Cuando se usa con el fin de especificar un objetivo para una regla de entrada o salida en una política de firewall de red, una etiqueta solo puede identificar objetivos en la red de VPC a la que tiene alcance la etiqueta.

  • Cuando se usa con el fin de especificar un origen para una regla de entrada en una política de firewall de red, una etiqueta puede identificar los orígenes en la red de VPC a la que tiene alcance la etiqueta y en cualquier red de VPC de intercambio de tráfico conectada a la red de VPC a la que se limita la etiqueta. Para obtener más información, consulta Etiquetas para firewalls.

Cada red de VPC contiene reglas de firewall implícitas. Debido a las reglas de firewall de denegación de entrada implícitas, los administradores de seguridad de cada red de VPC deben crear reglas de firewall de permiso de entrada o reglas en políticas de firewall. Las fuentes de esas reglas pueden incluir rangos de direcciones IP de una red de VPC con intercambio de tráfico.

Debido a las reglas de firewall de permiso de salida implícitas, no necesitas crear reglas de firewall de permiso de salida ni políticas de firewall en los permisos para permitir paquetes en los destinos de la red de VPC de intercambio de tráfico. a menos que tus redes incluyan reglas de denegación de salida.

Compatibilidad con DNS

Los recursos en una red de VPC con intercambio de tráfico no pueden usar nombres de DNS internos de Compute Engine creados por una red de VPC local.

Una red de VPC con intercambio de tráfico no puede usar zonas privadas administradas de Cloud DNS que estén autorizadas solo para una red de VPC local. A fin de que los nombres de DNS estén disponibles para los recursos en una red de VPC con intercambio de tráfico, usa una de las siguientes técnicas:

Compatibilidad con el balanceador de cargas interno

Los clientes de una red de VPC local pueden acceder a los balanceadores de cargas internos en una red de VPC de intercambio de tráfico. Para obtener más información, consulta las secciones Usa el intercambio de tráfico entre redes de VPC de la siguiente documentación del balanceador de cargas:

Las redes con intercambio de tráfico pueden intercambiar rutas estáticas que usan balanceadores de cargas de red de transferencia internos como próximos saltos. Para obtener más información, consulta Opciones de intercambio de rutas.

Grupo de intercambio de tráfico y cuotas

Las cuotas de intercambio de tráfico de VPC dependen de un concepto llamado grupo de intercambio de tráfico. Cada red de VPC tiene su propio grupo de intercambio de tráfico, que consta de esa misma red y todas las otras redes de VPC conectadas a ella mediante el intercambio de tráfico entre redes de VPC. En la situación más simple, si dos redes de VPC, net-a y net-b, intercambian tráfico entre sí, hay dos grupos de intercambio de tráfico: uno desde la perspectiva de net-a y el otro desde la perspectiva de net-b.

Para obtener más información sobre las cuotas de intercambio de tráfico entre redes de VPC, consulta lo siguiente:

Limitaciones

El intercambio de tráfico entre redes de VPC tiene las siguientes limitaciones.

Los rangos de IP de subred no se pueden superponer entre redes de VPC con intercambio de tráfico

Ningún rango de IP de una subred puede coincidir exactamente con otro, contenerlo ni ajustarse a él en una red de VPC con intercambio de tráfico. Cuando se intercambia tráfico, Google Cloud comprueba si existen subredes con rangos de IP que se superpongan. De ser así, el intercambio de tráfico falla. En el caso de las redes que ya tienen intercambio de tráfico, si realizas una acción que genera la creación de una nueva ruta de subred, Google Cloud requiere que la nueva ruta de subred tenga un rango de direcciones IP de destino único.

Antes de crear subredes nuevas, puedes enumerar las rutas de las conexiones de intercambio de tráfico para asegurarte de que el rango de direcciones IPv4 de la subred nueva no se esté usando.

Esta limitación y las verificaciones correspondientes de Google Cloud también se aplican a situaciones como las siguientes:

  • Tu red de VPC, network-1, tiene intercambio de tráfico con una segunda red de VPC, network-2.
  • network-2 también tiene intercambio de tráfico con una tercera red de VPC, network-3.
  • network-3 no intercambia tráfico con network-1.

En esta situación, debes coordinar con un administrador de red para la network-2. Pídele al administrador de red de network-2 que enumera las rutas de intercambio de tráfico en su red de VPC.

Para obtener más información sobre las verificaciones de superposición, consulta Interacciones de rutas de subred y de intercambio de tráfico.

Los nombres de DNS internos no se resuelven en las redes de intercambio de tráfico

Las redes con intercambio de tráfico no pueden acceder a los nombres de DNS interno de Compute Engine creados en una red. Para acceder a las instancias de VM en la red con intercambio de tráfico, usa la dirección IP de la VM.

Las etiquetas y las cuentas de servicio no pueden pasarse de una red de intercambio de tráfico a otra

No puedes hacer referencia a una etiqueta o cuenta de servicio que pertenezca a una VM de una red de intercambio de tráfico en una regla de firewall de la otra red con intercambio de tráfico. Por ejemplo, si una regla de entrada en una red con intercambio de tráfico filtra su origen en función de una etiqueta, solo permitirá la aplicación al tráfico de VM que se origina dentro de esa red, no al de sus pares, incluso si una VM en una red con intercambio de tráfico tiene esa etiqueta. Esta situación es similar para las cuentas de servicio.

Opciones de intercambio de rutas

Cuando una red de VPC comparte rutas locales con una red de VPC con intercambio de tráfico, exporta las rutas. Luego, la red de VPC con intercambio de tráfico puede import las rutas. Las rutas de subred, excepto las rutas de subred IPv4 que usan direcciones IPv4 públicas usadas de forma privada, siempre se intercambian.

La configuración del intercambio de tráfico entre redes de VPC te permite controlar lo siguiente:

  • Si se intercambian rutas IPv6.
  • Si se exportan o importan rutas para subredes que usan direcciones IPv4 públicas de uso privado.
  • Tanto las rutas estáticas como las dinámicas se exportan o importan.

Puedes actualizar la configuración antes de que se establezca el intercambio de tráfico o mientras la conectividad de intercambio de tráfico esté activa.

El intercambio de tráfico entre redes de VPC no proporciona lo siguiente:

  • Un método detallado para controlar el intercambio de rutas de subred, rutas estáticas y rutas dinámicas específicas.
  • Compatibilidad con el intercambio de rutas basadas en políticas.

Opciones para intercambiar rutas de subred

En la siguiente tabla, se describen las opciones de intercambio de rutas para rutas de subred:

Tipo de ruta Condiciones de exportación de rutas Condiciones de importación de rutas
Rutas de subred IPv4 (rangos de subredes IPv4 principales y secundarios) que usan rangos de direcciones IPv4 privadas Siempre se exportan

No se pueden inhabilitar
Siempre se importan

No se pueden inhabilitar
Rutas de subred IPv4 (rangos de subredes IPv4 principales y secundarios) que usan rangos de direcciones IPv4 públicas de uso privado Se exportan de forma predeterminada

La exportación se controla con la marca --export-subnet-routes-with-public-ip
No se importan de forma predeterminada

La importación se controla con la marca --import-subnet-routes-with-public-ip
Rangos de subredes IPv6 internas
(ipv6-access-type=INTERNAL)
No se exportan de forma predeterminada

La exportación se habilita mediante la configuración de --stack-type=IPV4_IPV6
No se importan de forma predeterminada

La importación se habilita mediante la configuración de --stack-type=IPV4_IPV6
Rangos de subredes IPv6 externas
(ipv6-access-type=EXTERNAL)
No se exportan de forma predeterminada

La exportación se habilita mediante la configuración de --stack-type=IPV4_IPV6
No se importan de forma predeterminada

La importación se habilita mediante la configuración de --stack-type=IPV4_IPV6

Opciones para intercambiar rutas estáticas

En la siguiente tabla, se describen las opciones de intercambio de rutas para rutas estáticas personalizadas.

Tipo de ruta Condiciones de exportación de rutas Condiciones de importación de rutas
Rutas estáticas con etiquetas de red (todos los tipos de próximo salto) No se pueden exportar No se pueden importar
Rutas estáticas que usan el (siguiente salto de la puerta de enlace predeterminada de Internet) No se pueden exportar No se pueden importar
Rutas estáticas IPv4 (sin etiquetas de red) que usan un próximo salto diferente del de la puerta de enlace de Internet predeterminada No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes
No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes
Rutas estáticas IPv6 personalizadas (sin etiquetas de red) que usan una instancia de VM como el próximo salto No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes cuando el tipo de pila del intercambio de tráfico se establece en --stack-type=IPV4_IPV6
No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes cuando el tipo de pila del intercambio de tráfico se establece en --stack-type=IPV4_IPV6

Opciones para intercambiar rutas dinámicas

En la siguiente tabla, se describen las opciones de intercambio de rutas para las rutas dinámicas:

Tipo de ruta Condiciones de exportación de rutas Condiciones de importación de rutas
Rutas IPv4 dinámicas No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes
No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes
Rutas IPv6 dinámicas No se exportan de forma predeterminada

La exportación se controla con la marca --export-custom-routes cuando el tipo de pila del intercambio de tráfico se establece en --stack-type=IPV4_IPV6
No se importan de forma predeterminada

La importación se controla con la marca --import-custom-routes cuando el tipo de pila del intercambio de tráfico se establece en --stack-type=IPV4_IPV6

Beneficios de intercambiar rutas estáticas y dinámicas

Cuando una red de VPC exporta rutas estáticas y dinámicas y, la otra red de VPC importa esas rutas, la red de importación puede enviar paquetes directamente al próximo salto para cada ruta estática o dinámica importada cuyo próximo salto se encuentre en la red de VPC de intercambio de tráfico.

Un administrador de red de una red de VPC local controla la exportación de las rutas estáticas y dinámicas de esa red (en conjunto) a través de la marca --export-custom-routes. Un administrador de red de la red de VPC con intercambio de tráfico correspondiente controla la importación de esas rutas estáticas y dinámicas a través de la marca --import-custom-routes. Para obtener más información, consultaRutas ignoradas, Interacciones de la ruta de subred de intercambio de tráfico y la subred y, además, Interacciones de la ruta estática y la subred.

Importar rutas estáticas y dinámicas desde una red de VPC con intercambio de tráfico puede ser útil en las siguientes situaciones:

  • Si la red de VPC con intercambio de tráfico contiene clústeres de GKE basados en rutas y necesitas enviar paquetes a los Pods de esos clústeres. Las direcciones IP del Pod se implementan como rangos de destino para las rutas estáticas ubicadas en la red de VPC con intercambio de tráfico.

  • Si necesitas proporcionar conectividad entre una red local y una red de VPC con intercambio de tráfico. Supongamos que una red de VPC local contiene rutas dinámicas con un túnel de Cloud VPN de próximo salto, un adjunto de Cloud Interconnect (VLAN) o un dispositivo de router que se conecta a una red local. Para proporcionar una ruta desde la red de VPC con intercambio de tráfico a la red local, un administrador de red para la red de VPC local habilita la exportación de rutas personalizadas y un administrador de red para la red de VPC con intercambio de tráfico habilita la importación de rutas personalizadas. Para proporcionar una ruta desde la red local a la red de VPC con intercambio de tráfico, un administrador de red de la red de VPC local debe configurar el modo de anuncios de ruta personalizados de Cloud Router en el Cloud Router que administra la sesión de BGP para el túnel de Cloud VPN, el adjunto de Cloud Interconnect (VLAN) o el dispositivo de router que se conecta a la red local. El contenido de esas rutas anunciadas personalizadas debe incluir los rangos de direcciones IP de la subred de la red de VPC con intercambio de tráfico.

Rutas ignoradas

Incluso cuando una red de VPC importa una ruta, puede ignorar la ruta importada en situaciones como las siguientes:

  • Cuando la red de VPC local tiene una ruta con un destino idéntico o más específico (máscara de subred más larga), la red de VPC local siempre usa su ruta local.

  • Cuando la red de VPC local no contiene la ruta más específica para el destino de un paquete, pero dos o más redes de VPC con intercambio de tráfico contienen el mismo destino más específico para el paquete, Google Cloud usa un algoritmo interno para seleccionar un siguiente salto de solo una de las redes de VPC con intercambio de tráfico. Esta selección se realiza antes de que se considere la prioridad de la ruta y no puedes configurar el comportamiento. Como práctica recomendada, evita esta configuración, ya que agregar o quitar redes de VPC con intercambio de tráfico puede generar cambios no deseados en el orden de enrutamiento.

Para obtener más detalles sobre las situaciones anteriores, consulta Orden de enrutamiento.

Para los intercambios de tráfico de pila doble, si una red de VPC local que importa rutas IPv6 no tiene ninguna subred de pila doble, no se puede usar ninguna de las rutas IPv6 que recibe de las redes de VPC con intercambio de tráfico. Además, si se estableció la restricción de la política de la organización constraints/compute.disableAllIpv6, es posible que un administrador de red no pueda crear subredes de pila doble.

Interacciones de la ruta de subred de intercambio de tráfico y la subred

Las rutas de subred IPv4 en redes de VPC con intercambio de tráfico no se pueden superponer:

  • El intercambio de tráfico prohíbe rutas de subred IPv4 idénticas. Por ejemplo, dos redes de VPC con intercambio de tráfico no pueden tener una ruta de subred IPv4 cuyo destino sea 100.64.0.0/10.
  • El intercambio de tráfico prohíbe que una ruta de subred esté contenida dentro de una ruta de subred de intercambio de tráfico. Por ejemplo, si la red de VPC local tiene una ruta de subred cuyo destino es 100.64.0.0/24, ninguna de las redes de VPC con intercambio de tráfico puede tener una ruta de subred cuyo destino es 100.64.0.0/10.

Google Cloud aplica las condiciones anteriores para las rutas de subred IPv4 en los siguientes casos:

  • Cuando conectas redes de VPC por primera vez mediante el intercambio de tráfico entre redes de VPC.
  • Mientras las redes intercambian tráfico.
  • Cuando realizas un cambio en la configuración de intercambio de tráfico, por ejemplo, cuando habilitas la importación de rutas IPv4 de subred con direcciones IP públicas usadas de forma privada.

Mientras realizas el intercambio de tráfico entre redes, Google Cloud muestra un error si alguna de las siguientes operaciones genera una superposición:

Las rutas de subred IPv6 (internas y externas) son únicas por definición. No puede haber dos redes de VPC que usen los mismos rangos de subredes IPv6 internas o externas. Por ejemplo, si una red de VPC usa fc:1000:1000:1000::/64 como un rango de subred IPv6, ninguna otra red de VPC en Google Cloud puede usar fc:1000:1000:1000::/64, sin importar si las redes de VPC están conectadas mediante el intercambio de tráfico entre redes de VPC.

Interacciones de la ruta estática y la subred

Google Cloud requiere que las rutas de subred y las rutas de subred de intercambio de tráfico tengan los rangos de IPv4 o IPv6 de destino más específicos. Dentro de cualquier red de VPC, una ruta estática local no puede tener un destino que coincida con exactitud o se ajuste a una ruta de subred local. Para obtener un análisis más detallado de esta situación, consulta Interacciones con rutas estáticas.

Este concepto se extiende al intercambio de tráfico entre redes de VPC a través de las siguientes dos reglas:

  • Una ruta estática local no puede tener un destino que coincida exactamente o se ajuste a una ruta de subred de intercambio de tráfico. Si existe una ruta estática local, Google Cloud aplica lo siguiente:

    • No puedes establecer una conexión de intercambio de tráfico nueva a una red de VPC que ya contenga una ruta de subred que coincida de manera exacta con el destino de la ruta estática local o que la contenga si la configuración de intercambio de tráfico da como resultado la importación de la ruta de subred en conflicto. Por ejemplo:

      • Si existe una ruta estática local con el destino 10.0.0.0/24, no puedes establecer una conexión de intercambio de tráfico nueva a una red de VPC que contenga una ruta de subred IPv4 cuyo destino coincida de forma exacta con 10.0.0.0/24 o contiene 10.0.0.0/24 (por ejemplo, 10.0.0.0/8).

      • Cuando el tipo de pila de intercambio de tráfico previsto es IPV4_IPV6, si existe una ruta estática local con el destino 2001:0db8:0a0b:0c0d::/96, no puedes establecer una conexión de intercambio de tráfico nueva a una red de VPC que contenga una ruta de subred IPv6 cuyo destino coincida de manera exacta o contenga 2001:0db8:0a0b:0c0d::/96. En esta situación, el único rango de direcciones IPv6 de subred posible es 2001:0db8:0a0b:0c0d::/64 porque los rangos de direcciones IPv6 de subred en Google Cloud deben usar longitudes de máscara de subred de 64 bits.

    • No puedes actualizar una conexión de intercambio de tráfico existente si la configuración de intercambio de tráfico actualizada genera una ruta de subred en conflicto. Por ejemplo:

      • Supongamos que dos redes de VPC ya intercambian tráfico, pero no exportan ni importan rutas de subredes IPv4 mediante rangos de direcciones IPv4 públicas de uso privado. Existe una ruta estática local con el destino 11.0.0.0/24 en la primera red de VPC y existe una ruta de subred con el destino 11.0.0.0/8 en la red de VPC de intercambio de tráfico. No puedes configurar simultáneamente la red de VPC con intercambio de tráfico para exportar rutas de subred mediante direcciones IPv4 públicas de uso privado y configurar la primera red de VPC a fin de importar rutas de subred mediante el uso de direcciones IPv4 públicas usadas privadamente.

      • Supongamos que dos redes de VPC ya intercambian tráfico y el tipo de pila de intercambio de tráfico es solo IPv4. Existe una ruta estática local con el destino 2001:0db8:0a0b:0c0d::/96 en la primera red de VPC y existe una ruta de subred IPv6 con el destino 2001:0db8:0a0b:0c0d::/64 en la red de VPC con intercambio de tráfico. No puedes cambiar el tipo de pila de intercambio de tráfico a IPV4_IPV6.

    • Por el contrario, si las redes de VPC ya están conectadas mediante el intercambio de tráfico entre redes de VPC, no puedes realizar las siguientes operaciones:

      • Crea una nueva ruta estática local cuyo destino coincida con exactitud o se ajuste a una ruta de subred de intercambio de tráfico importada.

      • Crea un rango de direcciones de subred nuevo en la red de VPC con intercambio de tráfico si ese rango coincidiría con exactitud o contendría una ruta estática local existente.

  • Una ruta estática de intercambio de tráfico no puede tener un destino que coincida con exactitud o se ajuste a una ruta de subred local. Si existe una ruta de subred local, Google Cloud prohíbe lo siguiente:

    • No puedes establecer una conexión de intercambio de tráfico nueva a una red de VPC que ya contenga una ruta estática que coincida de manera exacta con el destino de la ruta de subred de la red de VPC local o que se ajuste a ella si la configuración de intercambio de tráfico da como resultado la importación de la ruta personalizada desde el intercambio de tráfico. A modo de ejemplo:

      • Si existe una ruta de subred local para 10.0.0.0/8, no puedes establecer una conexión de intercambio de tráfico con una red de VPC con una ruta estática cuyo destino coincida de forma exacta con 10.0.0.0/8 o se ajusta a 10.0.0.0/8 (por ejemplo, 10.0.0.0/24).

      • Cuando el tipo de pila de intercambio de tráfico previsto es IPV4_IPV6, si hay una ruta de subred local 2001:0db8:0a0b:0c0d::/64, no puedes establecer una conexión de intercambio de tráfico con una red de VPC con una ruta estática cuyo destino coincida de forma exacta 2001:0db8:0a0b:0c0d::/64 o se ajusta a 2001:0db8:0a0b:0c0d::/64 (por ejemplo, 2001:0db8:0a0b:0c0d::/96).

    • No puedes actualizar una conexión de intercambio de tráfico existente si esta configuración da como resultado la importación de la ruta estática en conflicto.

    • Por el contrario, si las redes de VPC ya están conectadas mediante el intercambio de tráfico entre redes de VPC, no puedes realizar las siguientes operaciones:

      • Crea una nueva ruta de subred local cuyo destino coincida de manera exacta con una ruta estática de intercambio de tráfico importada o la contenga.
      • Crea una nueva ruta estática en la red de VPC con intercambio de tráfico cuyo destino coincida con exactitud o se ajuste a una ruta de subred local existente.

Efectos del modo de enrutamiento dinámico

El modo de enrutamiento dinámico de una red de VPC determina las regiones en las que se aplican los prefijos aprendidos de los Cloud Routers en esa red como rutas dinámicas personalizadas locales. Para obtener detalles sobre este comportamiento, consulta Efectos del modo de enrutamiento dinámico.

Este concepto se extiende al intercambio de tráfico entre redes de VPC. El modo de enrutamiento dinámico de la red de VPC de exportación (la red que contiene los Cloud Routers que aprendieron los prefijos de esas rutas dinámicas) determina las regiones en las que las rutas dinámicas de intercambio de tráfico se pueden programar en redes de intercambio de tráfico:

  • Si el modo de enrutamiento dinámico de la red de VPC de exportación es regional, esa red exporta rutas dinámicas solo en la misma región que sus Cloud Routers que aprendieron los prefijos.

  • Si el modo de enrutamiento dinámico de la red de VPC de exportación es global, esa red exporta rutas dinámicas en todas las regiones.

En ambos casos, el modo de enrutamiento dinámico de la red de VPC de importación no es relevante.

Para ver un ejemplo que ilustra este comportamiento, consulta Red de VPC local y red de VPC de intercambio de tráfico con conectividad local.

Interacciones de la ruta dinámica y la subred

Los conflictos entre las rutas de subred locales o de intercambio de tráfico y las rutas dinámicas se resuelven como se describe en Interacciones con rutas dinámicas.

Ejemplos de intercambio de tráfico entre redes de VPC

En los siguientes ejemplos, se muestran dos situaciones comunes de intercambio de tráfico entre redes de VPC.

Red de VPC local y red de VPC de intercambio de tráfico con conectividad local

En este ejemplo, se configura el siguiente intercambio de tráfico entre redes:

  • network-a intercambia el tráfico con network-b y network-b con network-a.
  • network-a contiene dos subredes en las que cada subred se encuentra en una región independiente. network-b contiene una sola subred.
  • network-b está conectado a una red local con túneles de Cloud VPN mediante el enrutamiento dinámico. (Los mismos principios se aplican si los túneles se reemplazan por adjuntos de VLAN de Cloud Interconnect).
  • La conexión de intercambio de tráfico de network-b se configura con la marca --export-custom-routes, y la conexión de intercambio de tráfico de network-a se configura con la marca --import-custom-routes.
Red con intercambio de tráfico con enrutamiento dinámico global.
Peered network with access to the on-premises network with global dynamic routing (click to enlarge).

A fin de proporcionar conectividad desde las instalaciones locales a las subredes en network-a y network-b, el Cloud Router en network-b debe configurarse para usar Anuncio de ruta personalizado. Por ejemplo, el Cloud Router anuncia solo el prefijo personalizado custom-prefix-1, que incluye los rangos de subred de network-b y network-a.

El Cloud Router de us-west1 aprende on-premises-prefix de un router local. on-premises-prefix no crea ningún conflicto porque es más amplio que la subred y las rutas de subred de intercambio de tráfico. En otras palabras, on-premises-prefix no coincide de forma exacta y no se ajusta dentro de ninguna subred o ruta de subred de intercambio de tráfico.

En la siguiente tabla, se resume la configuración de red especificada en el ejemplo anterior:

Nombre de la red Componente de Herramientas de redes Rango IPv4 Rango de IPv6 Región

network-a

subnet-a

10.0.0.0/24

fc:1000:1000:1000::/64

us-west1

network-a

subnet-b

10.0.1.0/24

fc:1000:1000:1001::/64

europe-north 1

network-b

subnet-c

10.0.2.0/23

fc:1000:1000:1002::/64

us-west1

network-b

Cloud Router

10.0.0.0/22

fc:1000:1000:1000::/64

us-west1

Red local

Router local

10.0.0.0/8

fc:1000:1000:1000::/56

N/A

Sin importar el modo de enrutamiento dinámico de network-a, se aplican las siguientes características de enrutamiento:

  • Cuando el modo de enrutamiento dinámico de network-b es global, se agregan los prefijos locales (On-premises prefix) que aprendió el Cloud Router en network-b como rutas dinámicas en todas las regiones de network-b y como rutas dinámicas de intercambio de tráfico en todas las regiones de network-a. Si las reglas de firewall están configuradas correctamente, vm-a1, vm-a2 yvm-b pueden comunicarse con un recurso local con la dirección IPv4 10.5.6.7 (o dirección la IPv6 fc:1000:1000:10a0:29b::).

  • Si el modo de enrutamiento dinámico de network-b se cambia a regional, los prefijos locales (On-premises prefix) que el Cloud Router aprendió en network-b solo se agregan como rutas dinámicas en la región us-west1 de network-b y como rutas dinámicas de intercambio de tráfico en la región us-west1 de network-a. Si las reglas de firewall están configuradas de forma correcta, solo vm-a1 y vm-b pueden comunicarse con un recurso local con la dirección IPv4 10.5.6.7 (o la dirección IPv6 fc:1000:1000:10a0:29b::) porque esa es la única VM que está en la misma región que Cloud Router.

Red de tránsito con varios intercambios de tráfico

Considera una situación en la que network-b está conectado a una red local y actúa como una red de tránsito para otras dos redes, network-a y network-c. Para permitir que las VMs de ambas redes accedan a network-b y a su red local conectada solo con direcciones IP internas, se requiere la siguiente configuración:

  • network-a intercambia el tráfico con network-b y network-b con network-a.
  • network-c intercambia el tráfico con network-b y network-b con network-c.
  • network-b está conectado a una red local con túneles de Cloud VPN que usan enrutamiento dinámico. (Los mismos principios se aplican si los túneles se reemplazaron por adjuntos de VLAN de Cloud Interconnect).
    • A fin de proporcionar conectividad desde las instalaciones locales a las subredes en network-a y network-b, el Cloud Router en network-b network-cdebe configurarse para usar Anuncio de ruta personalizado. Por ejemplo, el Cloud Router anuncia rutas de subred desde network-b más prefijos personalizados que abarcan las rutas de subred en network-a y network-c.
    • Sujeto a las interacciones de subredes y rutas dinámicas, el Cloud Router en network-b aprende prefijos locales y crea rutas dinámicas en network-b.
  • Las conexiones de intercambio de tráfico de network-b a network-a y de network-b a network-c se configuran con la marca --export-custom-routes. Las conexiones de intercambio de tráfico de network-a a network-b y de network-c a network-b se configuran con la marca --import-custom-routes.
Una red de VPC de tránsito, que contiene un túnel VPN,
    que intercambia tráfico con otras dos redes de VPC.
Red de tránsito de VPC (haz clic para ampliar).

Si los firewalls están configurados de forma correcta, son posibles las siguientes situaciones de conectividad:

  • Las instancias de VM en network-a pueden llegar a otras VMs en network-b y en sistemas locales.
  • Las instancias de VM en network-c pueden llegar a otras VMs en network-b y en sistemas locales.
  • Las instancias de VM en network-b pueden llegar a otras VM en network-a y network-c, como también a sistemas en la red local.

Dado que el intercambio de tráfico entre redes de VPC no es transitivo, las instancias de VM en network-a y network-c no se pueden comunicar, a menos que también conectes las redes network-a y network-c mediante el intercambio de tráfico entre redes de VPC.

Precios

Se aplican los precios de red normales al intercambio de tráfico entre redes de VPC.

¿Qué sigue?