Implementa el diseño de red de tu zona de destino de Google Cloud

En este documento, se proporcionan pasos y orientación para implementar el diseño de red que elegiste después de revisar Elige el diseño de red de tu zona de destino de Google Cloud . Si aún no lo hiciste, revisa Diseño de la zona de destino en Google Cloud antes de elegir una opción.

Estas instrucciones están dirigidas a ingenieros de red, arquitectos y profesionales técnicos que participan en la creación del diseño de red para la zona de destino de tu organización.

Opciones de diseño de la red

Según el diseño de red que elijas, completa una de las siguientes opciones:

• Opción de creación 1: Red de VPC compartida para cada entorno
• Opción de creación 2: Topología de concentrador y radio con dispositivos centralizados
• Opción de creación 3: Topología de concentrador y radio sin dispositivos
• Opción de creación 4: Expón servicios en un modelo de productor y consumidor con Private Service Connect

Opción de creación 1: Red de VPC compartida para cada entorno

Si elegiste crear la red de VPC compartida para cada entorno en "Decide el diseño de red para tu zona de destino de Google Cloud ", sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aísla de la Internet pública.

Para facilitar el uso, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso no deseado a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Sigue las instrucciones en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o el proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Rechazar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad entrante y saliente con Internet.

Aplicar la restricción Define allowed external IPs for VM instances impide el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos pertinentes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activada

Inhabilita la creación de la red predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada dentro de un proyecto.

• Se aplica a: Personalizar
• Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, proporcionan una capacidad importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes tus reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para tener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas que se necesiten durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas por sobre las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las reglas generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas generales
2100000001-2147483643	Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura tu entorno de VPC compartida

Antes de implementar un diseño de VPC compartida, decide cómo compartir las subredes con los proyectos de servicio. Vinculas un proyecto de servicio a un proyecto host. Para determinar qué subredes están disponibles para el proyecto de servicio, asigna permisos de IAM al proyecto host o a las subredes individuales. Por ejemplo, puedes optar por dedicar una subred diferente a cada proyecto de servicio o compartir las mismas subredes entre los proyectos de servicio.

1. Crea un proyecto nuevo para la VPC compartida. Más adelante en este proceso, este proyecto se convierte en el proyecto host y contiene las redes y los recursos de redes que se compartirán con los proyectos de servicio.
2. Habilita la API de Compute Engine para el proyecto host.
3. Configura la VPC compartida para el proyecto.
4. Crea la red de VPC en modo personalizado en el proyecto host.
5. Crea subredes en la región en la que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM sin direcciones IP externas accedan a los servicios de Google.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. Los siguientes pasos crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión física.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalizarás la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).

Configura proyectos de cargas de trabajo

Crea un proyecto de servicio independiente para cada carga de trabajo:

1. Crea un proyecto nuevo para que funcione como uno de los proyectos de servicio de la VPC compartida.
2. Habilita la API de Compute Engine para el proyecto de servicio.
3. Conecta el proyecto al proyecto host.
4. Configura el acceso a todas las subredes del proyecto host o a algunas subredes del proyecto host.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar tu entorno de redes en la nube, así como para solucionar problemas relacionados con él. Úsala para asegurarte de que tu diseño funcione con la intención deseada.

Las siguientes configuraciones admiten el análisis del registro y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Debes habilitar la API para poder usarla directamente, Google Cloud CLI o la consola de Google Cloud .
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud .

Opción de creación 2: Topología de concentrador y radio con dispositivos centralizados

Si elegiste crear la topología de concentrador y radio con dispositivos centralizados en “Decide el diseño de red de tu zona de destino de Google Cloud ”, sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aísla de la Internet pública.

Para facilitar el uso, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso no deseado a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Sigue las instrucciones en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o el proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Rechazar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad entrante y saliente con Internet.

Aplicar la restricción Define allowed external IPs for VM instances impide el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos pertinentes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activada

Inhabilita la creación de la red predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada dentro de un proyecto.

• Se aplica a: Personalizar
• Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, proporcionan una capacidad importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes tus reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para tener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas que se necesiten durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas por sobre las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las reglas generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas generales
2100000001-2147483643	Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura tu entorno de VPC

Las redes de VPC de tránsito y de concentrador proporcionan los recursos de redes para habilitar la conectividad entre las redes de VPC de radio de carga de trabajo y las redes locales o de múltiples nubes.

1. Crea un proyecto nuevo para las redes de VPC de tránsito y de concentrador. Ambas redes de VPC forman parte del mismo proyecto para admitir la conectividad a través de los dispositivos virtuales de red.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea la red de VPC en modo personalizado de tránsito.
4. En la red de VPC de tránsito, crea una subred en las regiones en las que planeas implementar los dispositivos virtuales de red.
5. Crea la red de VPC en modo personalizado del concentrador.
6. En la red de VPC del concentrador, crea una subred en las regiones en las que planeas implementar los dispositivos de red virtuales.
7. Configura políticas de firewall de red globales o regionales para permitir el tráfico de entrada y salida de los dispositivos virtuales de red.
8. Crea un grupo de instancias administrado para los dispositivos de red virtuales.
9. Configura los recursos de balanceo de cargas de TCP/UDP interno para la VPC de tránsito. Este balanceador de cargas se usa para enrutar el tráfico desde la VPC de tránsito a la VPC central a través de los dispositivos de red virtuales.
10. Configura los recursos de balanceo de cargas de TCP/UDP interno para la VPC del concentrador. Este balanceador de cargas se usa para enrutar el tráfico desde la VPC central a la VPC de tránsito a través de los dispositivos de red virtuales.
11. Configura Private Service Connect para las APIs de Google para la VPC de concentrador.
12. Modifica las rutas de VPC para enviar todo el tráfico a través de los dispositivos virtuales de red:
    1. Borra la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC de concentrador.
    2. Configura una ruta nueva con el destino 0.0.0.0/0 y un siguiente salto de la regla de reenvío para el balanceador de cargas en la VPC del concentrador.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. Los siguientes pasos crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión física.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalizarás la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).
   3. Configura rutas anunciadas personalizadas en los Cloud Routers para los rangos de subredes en las VPC de concentrador y carga de trabajo.

Configura proyectos de cargas de trabajo

Crea una VPC de radio independiente para cada carga de trabajo:

1. Crea un proyecto nuevo para alojar tu carga de trabajo.
2. Habilita la API de Compute Engine para el proyecto.
3. Configura el intercambio de tráfico entre redes de VPC entre la VPC del radio de la carga de trabajo y la VPC del concentrador con la siguiente configuración:
   • Habilita la exportación de rutas personalizadas en la VPC central.
   • Habilita la importación de rutas personalizadas en la VPC de radio de la carga de trabajo.
4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM con solo direcciones IP internas lleguen a los servicios de Google.
5. Configura Private Service Connect para las APIs de Google.
6. Para enrutar todo el tráfico a través de los dispositivos de red virtuales en la VPC del concentrador, borra la ruta 0.0.0.0/0 con el siguiente salto default-internet-gateway de la VPC de radio de la carga de trabajo.
7. Configura políticas de firewall de red globales o regionales para permitir el tráfico de entrada y salida de tu carga de trabajo.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar tu entorno de redes en la nube, así como para solucionar problemas relacionados con él. Úsala para asegurarte de que tu diseño funcione con la intención deseada.

Las siguientes configuraciones admiten el análisis del registro y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Debes habilitar la API para poder usarla directamente, Google Cloud CLI o la consola de Google Cloud .
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud .

Opción de creación 3: Topología de concentrador y radio sin dispositivos

Si elegiste crear la topología de concentrador y radio sin dispositivos en "Decide el diseño de red de tu zona de destino de Google Cloud ", sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aísla de la Internet pública.

Para facilitar el uso, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso no deseado a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Sigue las instrucciones en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o el proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Rechazar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad entrante y saliente con Internet.

Aplicar la restricción Define allowed external IPs for VM instances impide el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos pertinentes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activada

Inhabilita la creación de la red predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada dentro de un proyecto.

• Se aplica a: Personalizar
• Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, proporcionan una capacidad importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes tus reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para tener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas que se necesiten durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas por sobre las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las reglas generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas generales
2100000001-2147483643	Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura el entorno de VPC del concentrador

La VPC central proporciona los recursos de redes para habilitar la conectividad entre las redes de VPC de radio de la carga de trabajo y las redes locales o de múltiples nubes.

1. Crea un proyecto nuevo para la red de VPC del concentrador.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea la red de VPC del modo personalizado de concentrador.
4. Configura Private Service Connect para las APIs de Google para la VPC de concentrador.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. Los siguientes pasos crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión física.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalizarás la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).
   3. Configura rutas anunciadas personalizadas en los Cloud Routers para los rangos de subredes en las VPC de concentrador y carga de trabajo.

Configura proyectos de cargas de trabajo

Crea una VPC de radio independiente para cada carga de trabajo:

1. Crea un proyecto nuevo para alojar tu carga de trabajo.
2. Habilita la API de Compute Engine para el proyecto.
3. Configura el intercambio de tráfico entre redes de VPC entre la VPC del radio de la carga de trabajo y la VPC del concentrador con la siguiente configuración:
   • Habilita la exportación de rutas personalizadas en la VPC central.
   • Habilita la importación de rutas personalizadas en la VPC de radio de la carga de trabajo.
4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM con solo direcciones IP internas lleguen a los servicios de Google.
5. Configura Private Service Connect para las APIs de Google.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar tu entorno de redes en la nube, así como para solucionar problemas relacionados con él. Úsala para asegurarte de que tu diseño funcione con la intención deseada.

Las siguientes configuraciones admiten el análisis del registro y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Debes habilitar la API para poder usarla directamente, Google Cloud CLI o la consola de Google Cloud .
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud .

Opción de creación 4: Expón servicios en un modelo de productor y consumidor con Private Service Connect

Si elegiste exponer los servicios en un modelo de productor y consumidor con Private Service Connect para tu zona de destino, como se describe en “Decide el diseño de red de tuGoogle Cloud zona de destino”, sigue este procedimiento.

En los siguientes pasos, se crea una sola instancia de una VPC. Cuando necesites varias instancias de una VPC, como para entornos de desarrollo y producción, repite los pasos para cada VPC.

Limita el acceso externo con una política de la organización

Te recomendamos que limites el acceso directo a Internet solo a los recursos que lo necesiten. Los recursos sin direcciones externas aún pueden acceder a muchas APIs y servicios de Google a través del Acceso privado a Google. El Acceso privado a Google está habilitado a nivel de la subred y permite que los recursos interactúen con los servicios clave de Google, mientras los aísla de la Internet pública.

Para facilitar el uso, la funcionalidad predeterminada de Google Cloud permite a los usuarios crear recursos en todos los proyectos, siempre que tengan los permisos de IAM correctos. Para mejorar la seguridad, te recomendamos que restrinjas los permisos predeterminados para los tipos de recursos que pueden causar acceso no deseado a Internet. Luego, puedes autorizar proyectos específicos solo para permitir la creación de estos recursos. Sigue las instrucciones en Crea y administra políticas de la organización para establecer las siguientes restricciones.

Restringir el reenvío de protocolo en función del tipo de dirección IP

El reenvío de protocolos establece un recurso de regla de reenvío con una dirección IP externa y te permite dirigir el tráfico a una VM.

La restricción Restrict Protocol Forwarding Based on type of IP Address impide la creación de reglas de reenvío con direcciones IP externas para toda la organización. En el caso de los proyectos autorizados para usar reglas de reenvío externas, puedes modificar la restricción a nivel de la carpeta o el proyecto.

Establece los siguientes valores para configurar esta restricción:

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Personalizados
• Tipo de política: Rechazar
• Valor personalizado: IS:EXTERNAL

Definir IP externas permitidas para instancias de VM

De forma predeterminada, las instancias de VM individuales pueden adquirir direcciones IP externas, lo que permite la conectividad entrante y saliente con Internet.

Aplicar la restricción Define allowed external IPs for VM instances impide el uso de direcciones IP externas con instancias de VM. Para las cargas de trabajo que requieren direcciones IP externas en instancias de VMs individuales, modifica la restricción a nivel de carpeta o de proyecto a fin de especificar las instancias de VMs individuales. O bien, anula la restricción para los proyectos pertinentes.

• Se aplica a: Personalizar
• Aplicación de la política: Reemplazar
• Valores de la política: Rechazar todo

Inhabilita el uso externo de IPv6 en VPC

La restricción Inhabilitar el uso de IPv6 externa de VPC, cuando se establece en True, impide la configuración de subredes de VPC con direcciones IPv6 externas para instancias de VM.

• Se aplica a: Personalizar
• Aplicación: Activada

Inhabilita la creación de la red predeterminada

Cuando se crea un proyecto nuevo, se crea automáticamente una VPC predeterminada. Esto es útil para experimentos rápidos que no requieren una configuración de red específica ni una integración en un entorno de red empresarial más grande.

Configura la restricción Omitir creación de red predeterminada para inhabilitar la creación de VPC predeterminada para proyectos nuevos. Si es necesario, puedes crear manualmente la red predeterminada dentro de un proyecto.

• Se aplica a: Personalizar
• Aplicación: Activada

Diseña reglas de firewall

Las reglas de firewall permiten o rechazan el tráfico desde o hacia tus VMs según la configuración que definas. Las políticas de firewall jerárquicas se implementan a nivel de la organización y de la carpeta, y las políticas de firewall de red se implementan a nivel de la red de VPC en la jerarquía de recursos. En conjunto, proporcionan una capacidad importante para proteger tus cargas de trabajo.

Independientemente de dónde se apliquen las políticas de firewall, usa los siguientes lineamientos cuando diseñes y evalúes tus reglas de firewall:

• Implementa los principios de privilegio mínimo (también conocidos como microsegmentación). Bloquea todo el tráfico de forma predeterminada y solo permite el tráfico específico que necesitas. Esto incluye limitar las reglas solo a los protocolos y puertos que necesites para cada carga de trabajo.
• Habilita el registro de reglas de firewall para tener visibilidad del comportamiento del firewall y usar las Estadísticas de firewall.
• Define una metodología de numeración para asignar prioridades a las reglas de firewall. Por ejemplo, se recomienda reservar un rango de números bajos en cada política para las reglas que se necesiten durante la respuesta ante incidentes. También te recomendamos que priorices las reglas más específicas por sobre las más generales para asegurarte de que las reglas específicas no se vean eclipsadas por las reglas generales. En el siguiente ejemplo, se muestra un posible enfoque para las prioridades de las reglas de firewall:

Rango de prioridad de la regla de firewall	Objetivo
0-999	Reservado para la respuesta ante incidentes
1000-1999	Tráfico que siempre está bloqueado
2000-1999999999	Reglas específicas de la carga de trabajo
2000000000-2100000000	Reglas generales
2100000001-2147483643	Reservado

Configura políticas de firewall jerárquicas

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Para ver ejemplos del uso de políticas de firewall jerárquicas, consulta Ejemplos de políticas de firewall jerárquicas.

Define políticas de firewall jerárquicas para implementar los siguientes controles de acceso a la red:

• Identity-Aware Proxy (IAP) para el reenvío de TCP. IAP para el reenvío de TCP está permitido a través de una política de seguridad que permite el tráfico de entrada desde el rango de IP 35.235.240.0/20 para los puertos TCP 22 y 3389.
• Verificaciones de estado para Cloud Load Balancing. Se permiten los rangos conocidos que se usan para las verificaciones de estado.
  • Para la mayoría de las instancias de Cloud Load Balancing, incluidos el balanceo de cargas TCP/UDP interno, el balanceo de cargas HTTP(S) interno, el balanceo de cargas de proxy TCP externo, el balanceo de cargas de proxy SSL externo y el balanceo de cargas HTTP(S), se define una política de seguridad que permite el tráfico de entrada de los rangos de IP 35.191.0.0/16 y 130.211.0.0/22 para los puertos 80 y 443.
  • Para el balanceo de cargas de red, se define una política de seguridad que permite verificaciones de estado heredadas mediante la habilitación del tráfico de entrada de rangos de IP 35.191.0.0/16, 209.85.152.0/22 y 209.85.204.0/22 para los puertos 80 y 443.

Configura el entorno de VPC

La VPC de tránsito proporciona los recursos de redes para habilitar la conectividad entre las redes de VPC radiales de la carga de trabajo y las redes locales o de múltiples nubes.

1. Crea un proyecto nuevo para la red de VPC de tránsito.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea la red de VPC en modo personalizado de tránsito.
4. Crea una subred de Private Service Connect en cada región en la que planeas publicar servicios que se ejecutan en tu VPC de concentrador o en tu entorno local. Ten en cuenta el tamaño de la subred de Private Service Connect cuando decidas tu plan de direccionamiento IP.
5. Para cada servicio local que desees exponer a las cargas de trabajo que se ejecutan enGoogle Cloud, crea un balanceador de cargas de proxy HTTP(S) o TCP interno y expón los servicios con Private Service Connect.
6. Configura Private Service Connect para las APIs de Google para la VPC de tránsito.

Configura la conectividad híbrida

Puedes usar interconexión dedicada, interconexión de socio o Cloud VPN para proporcionar conectividad híbrida a tu zona de destino. Los siguientes pasos crean los recursos iniciales de conectividad híbrida necesarios para esta opción de diseño:

1. Si usas la interconexión dedicada, haz lo siguiente. Si usas la interconexión de socio o Cloud VPN, puedes omitir estos pasos.
   1. Crea un proyecto independiente para los puertos de interconexión física.
   2. Habilita la API de Compute Engine para el proyecto.
   3. Crear conexiones de interconexión dedicada
2. Para cada región en la que finalizarás la conectividad híbrida en la red de VPC, haz lo siguiente:
   1. Crea dos adjuntos de VLAN dedicados o de socio, uno para cada zona de disponibilidad perimetral. Como parte de este proceso, selecciona Cloud Routers y crea sesiones de BGP.
   2. Configura los routers de red de intercambio de tráfico (locales o en otra nube).

Configura proyectos de cargas de trabajo

Crea una VPC independiente para cada carga de trabajo:

1. Crea un proyecto nuevo para alojar tu carga de trabajo.
2. Habilita la API de Compute Engine para el proyecto.
3. Crea una red de VPC en modo personalizado.
4. Crea subredes en las regiones en las que planeas implementar cargas de trabajo. Para cada subred, habilita el Acceso privado a Google para permitir que las instancias de VM con solo direcciones IP internas lleguen a los servicios de Google.
5. Configura Private Service Connect para las APIs de Google.
6. Para cada carga de trabajo que consumas desde una VPC diferente o tu entorno local, crea un extremo de consumidor de Private Service Connect.
7. Para cada carga de trabajo que produzcas para una VPC diferente o tu entorno local, crea un balanceador de cargas interno y una vinculación de servicio para el servicio. Ten en cuenta el tamaño de la subred de Private Service Connect cuando decidas tu plan de direccionamiento IP.
8. Si se debe poder acceder al servicio desde tu entorno local, crea un extremo de consumidor de Private Service Connect en la VPC de tránsito.

Configura Cloud NAT

Sigue estos pasos si las cargas de trabajo en regiones específicas requieren acceso a Internet saliente, por ejemplo, para descargar paquetes o actualizaciones de software.

1. Crea una puerta de enlace de Cloud NAT en las regiones en las que las cargas de trabajo requieren acceso a Internet saliente. Puedes personalizar la configuración de Cloud NAT para permitir solo la conectividad saliente desde subredes específicas, si es necesario.
2. Como mínimo, habilita el registro de Cloud NAT para que la puerta de enlace registre ERRORS_ONLY. Si deseas incluir registros de traducciones que realiza Cloud NAT, configura cada puerta de enlace para que registre ALL.

Configura la observabilidad

Network Intelligence Center proporciona una experiencia cohesiva para supervisar y visualizar tu entorno de redes en la nube, así como para solucionar problemas relacionados con él. Úsala para asegurarte de que tu diseño funcione con la intención deseada.

Las siguientes configuraciones admiten el análisis del registro y las métricas habilitados.

• Debes habilitar la API de Network Management antes de ejecutar las pruebas de conectividad. Debes habilitar la API para poder usarla directamente, Google Cloud CLI o la consola de Google Cloud .
• Debes habilitar la API de Firewall Insights antes de poder realizar cualquier tarea con Estadísticas de firewall.

Próximos pasos

Se completó la configuración inicial de esta opción de diseño de red. Ahora puedes repetir estos pasos para configurar una instancia adicional del entorno de la zona de destino, como un entorno de etapa de pruebas o de producción, o continuar con Decide la seguridad de tu zona de destino de Google Cloud .

¿Qué sigue?

• Decide la seguridad de tu Google Cloud zona de destino (siguiente documento de esta serie).
• Lee Prácticas recomendadas para el diseño de redes de VPC.
• Obtén más información sobre Private Service Connect.