Descripción general de la red para VMs

En este documento, se proporciona una descripción general de la funcionalidad de redes de tus instancias de máquina virtual (VM). Se proporciona un conocimiento básico esencial sobre la interacción de las instancias de máquina virtual (VM) con las redes de nube privada virtual (VPC). Para obtener más información sobre las redes de VPC y las funciones relacionadas, lee la descripción general de las redes de VPC.

Redes y subredes

Cada VM forma parte de una red de VPC. Las redes de VPC proporcionan conectividad para tu instancia de VM a otros Google Cloud productos y a Internet. Las redes de VPC pueden ser de modo automático o personalizado.

  • Las redes de VPC de modo automático tienen una subred en cada región. Todas las subred están incluidas en este rango de direcciones IP: 10.128.0.0/9. Las redes de VPC de modo automático solo son compatibles con rangos de subred IPv4.
  • Las redes de modo personalizado no tienen una configuración de subred especificada; tú decides qué subredes crear en las regiones que elijas mediante los rangos de IP que especifiques. Las redes de modo personalizado también admiten rangos de subred IPv6.

A menos que decidas inhabilitarla, cada proyecto tiene una red default, que es una red de VPC de modo automático. Si deseas inhabilitar la creación de redes predeterminadas, crea una política de la organización.

Cada subred de una red de VPC está asociada con una región y contiene uno o más rangos de direcciones IP. Puedes crear más de una subred por región. Cada una de las interfaces de red de tu VM debe estar conectada a una subred.

Cuando creas una VM, puedes especificar una red de VPC y una subred. Si omites esta configuración, se usan la red y la subred default. Google Cloud asigna una dirección IPv4 interna a la VM nueva desde el rango de direcciones IPv4 principal de la subred seleccionada. Si la subred también tiene un rango de direcciones IPv6 (denominado pila doble) o si creaste una subred solo IPv6, puedes asignar una dirección IPv6 a la VM.

Para obtener más información sobre las redes de VPC, lee la descripción general de las redes de VPC. Para ver un ejemplo ilustrado de VMs que usan una red de VPC con tres subredes en dos regiones, consulta Ejemplo de red de VPC.

Controladores de interfaz de red (NICs)

Cada instancia de procesamiento en una red de VPC tiene una interfaz de red virtual (vNIC) predeterminada. Cuando configuras una vNIC, seleccionas una red de VPC y una subred dentro de esa red de VPC para conectar la interfaz. Puedes crear interfaces de red adicionales para tus instancias.

Con las interfaces de red múltiples, puedes crear parámetros de configuración que permitan que una instancia se conecte directamente a varias redes de VPC. Las interfaces de red múltiples son útiles cuando las aplicaciones que se ejecutan en una instancia requieren una separación del tráfico, como la separación del tráfico del plano de datos y del plano de administración. Para obtener más información sobre el uso de varias interfaces de red, consulta Interfaces de red múltiples.

Las vNIC múltiples no son compatibles con las instancias de Bare Metal. Además, solo puedes agregar vNICs a una instancia durante la creación de la instancia. Con las interfaces de red dinámicas, puedes crear subinterfaces de red basadas en VLAN para cada vNIC expuesta, lo que te permite escalar la cantidad de interfaces de red y conexiones de red de VPC. Puedes agregar o quitar interfaces de red dinámicas sin tener que reiniciar ni volver a crear la instancia de procesamiento. Para obtener más información sobre la NIC dinámica, consulta Crea VMs con interfaces de red múltiples.

Cuando configuras la vNIC para una instancia de procesamiento, puedes especificar el tipo de controlador de red que se usará con la interfaz.

  • Para las series de máquinas de primera y segunda generación, el valor predeterminado es VirtIO.
  • Las series de máquinas de tercera generación y posteriores están configuradas para usar gVNIC de forma predeterminada y no admiten VirtIO para la interfaz de red.
  • Las instancias de Bare Metal usan IDPF.
  • Con las series de máquinas compatibles, como H4D, las instancias pueden usar Cloud RDMA (IRDMA) de forma opcional. El controlador de red de acceso a la memoria de datos remota (RDMA) habilita capacidades de mensajería confiables y de baja latencia para las instancias de Compute Engine. Cloud RDMA transfiere datos entre máquinas remotas y memoria local a través de la interfaz de red sin usar la CPU del host ni los búferes de host intermedios.

Además, puedes usar el rendimiento de red Tier_1 por VM con una instancia de procesamiento que use gVNIC o IPDF. Las redes Tier_1 permiten límites de capacidad de procesamiento de red más altos para las transferencias de datos entrantes y salientes.

Ancho de banda de red

Google Cloud incluye el ancho de banda por instancia de VM, no por interfaz de red (NIC) o dirección IP. El ancho de banda se mide con dos dimensiones: la dirección del tráfico (entrada y salida) y el tipo de dirección IP de destino. La tasa de salida máxima posible está determinada por el tipo de máquina que se usó para crear la instancia; sin embargo, solo puedes alcanzar esa tasa de salida máxima posible en situaciones específicas. Para obtener más información, consulta Ancho de banda de red.

Para admitir anchos de banda de red más altos, como 200 Gbps para las series de máquinas de tercera generación y posteriores, se requiere la NIC virtual de Google (gVNIC).

  • Los límites de ancho de banda de salida máximos estándar varían de 1 Gbps a 100 Gbps.
  • El rendimiento de red Tier_1 por VM aumenta el límite de ancho de banda de salida máximo a 200 Gbps, según el tamaño y el tipo de máquina de tu instancia de procesamiento.

Algunas series de máquinas tienen límites diferentes, como se documenta en la tabla de resumen de ancho de banda.

Si usas interfaces de red gVNIC y IRDMA para una instancia, el límite de ancho de banda de red para la instancia se comparte entre los dos métodos de comunicación de red. El tráfico de Cloud RDMA tiene prioridad sobre el tráfico de gVNIC.

Direcciones IP

A cada VM se le asigna una dirección IP de la subred asociada con la interfaz de red. En la siguiente lista, se proporciona información adicional sobre los requisitos para configurar direcciones IP.

  • Para las subredes solo IPv4, la dirección IP es una dirección IPv4 interna. De manera opcional, puedes configurar una dirección IPv4 externa para la VM.
  • Si la interfaz de red se conecta a una subred de pila doble que tiene un rango IPv6, debes usar una red de VPC de modo personalizado. La VM tiene las siguientes direcciones IP:
    • Una dirección IPv4 interna. De manera opcional, puedes configurar una dirección IPv4 externa para la VM.
    • Una dirección IPv6 interna o externa, según el tipo de acceso de la subred.
  • Para las subredes solo IPv6, debes usar una red de VPC de modo personalizado. La VM tiene una dirección IPv6 interna o externa, según el tipo de acceso de la subred.
  • Para crear una instancia solo IPv6 con una dirección IPv6 interna y externa, debes especificar dos interfaces de red cuando crees la VM. No puedes agregar interfaces de red a una instancia existente.

Las direcciones IP internas y externas pueden ser efímeras o estáticas.

Las direcciones IP internas son locales para uno de los siguientes:

  • Una red de VPC
  • Una red de VPC conectada mediante el intercambio de tráfico entre redes de VPC
  • Una red local conectada a una red de VPC mediante Cloud VPN, Cloud Interconnect o un dispositivo de router

Una instancia puede comunicarse con instancias en la misma red de VPC o en una red conectada, como se especifica en la lista anterior, mediante la dirección IPv4 interna de la VM. Si la interfaz de red de la VM se conecta a una subred de pila doble o a una subred solo IPv6, puedes usar las direcciones IPv6 internas o externas de la VM para comunicarte con otras instancias en la misma red. Como práctica recomendada, usa direcciones IPv6 internas para la comunicación interna. Para obtener más información sobre las direcciones IP, lee la descripción general de las direcciones IP para Compute Engine.

Para comunicarte con Internet o sistemas externos, usa una dirección IPv4 externa o IPv6 externa configurada en la instancia de VM. Las direcciones IP externas son direcciones IP enrutables de forma pública. Si una instancia no tiene una dirección IP externa, se puede usar Cloud NAT para el tráfico IPv4.

Si tienes varios servicios que se ejecutan en una sola instancia de VM, puedes asignar una dirección IPv4 interna diferente a cada uno mediante rangos de alias de IP. La red de VPC reenvía los paquetes destinados a un servicio específico a la VM correspondiente. Para obtener más información, consulta Rangos de alias de IP.

Niveles de servicio de red

Los niveles de servicio de red te permiten optimizar la conectividad entre los sistemas en Internet y tus instancias de Compute Engine. El nivel Premium entrega el tráfico en la red troncal premium de Google, mientras que el nivel Estándar usa redes ISP normales. Usa el nivel Premium para optimizar el rendimiento y el nivel Estándar para optimizar el costo.

Debido a que eliges un nivel de red a nivel de recurso, como la dirección IP externa de una VM, puedes usar el nivel Estándar para algunos recursos y el nivel Premium para otros. Si no especificas un nivel, se usa el nivel Premium.

Las instancias de procesamiento que usan direcciones IP internas para comunicarse dentro de las redes de VPC siempre usan la infraestructura de red de nivel Premium.

Cuando se usa el nivel Premium o el nivel Estándar, no se cobra la transferencia de datos entrante. El precio de la transferencia de datos saliente es por GiB entregado y es diferente para cada uno de los niveles de servicio de red. Para obtener información sobre los precios, consulta Precios de los niveles de servicio de red.

Los niveles de servicio de red no son lo mismo que el rendimiento de red Tier_1 por VM, que es una opción de configuración que puedes usar con tus instancias de procesamiento. Hay un costo adicional asociado con el uso de las redes Tier_1, como se describe en Precios de red de ancho de banda más alto de Tier_1. Para obtener más información sobre las redes Tier_1, consulta Configura el rendimiento de red Tier_1 por VM.

Nivel Premium

El nivel Premium envía el tráfico de sistemas externos a Google Cloud los recursos de por medio de la red global de alta confiabilidad y baja latencia de Google. Esta red está diseñada para tolerar varias fallas e interrupciones y, al mismo tiempo, entregar tráfico. El nivel Premium es ideal para clientes con usuarios en varias ubicaciones de todo el mundo que necesitan el mejor rendimiento y confiabilidad de la red.

La red de nivel Premium consta de una extensa red de fibra privada con más de 100 puntos de presencia (PoPs) en todo el mundo. Dentro de la red de Google, el tráfico se enruta desde ese PoP a la instancia de procesamiento en tu red de VPC. El tráfico saliente se envía a través de la red de Google y sale en el PoP más cercano a su destino. Este método de enrutamiento minimiza la congestión y maximiza el rendimiento, ya que reduce la cantidad de saltos entre los usuarios finales y los PoPs más cercanos a ellos.

Nivel Estándar

La red de nivel Estándar entrega tráfico de sistemas externos a Google Cloud recursos enrutándolo a través de Internet. Los paquetes que salen de la red de Google se entregan a través de Internet pública y están sujetos a la confiabilidad de los proveedores de tránsito y los ISPs intervinientes. El nivel Estándar proporciona calidad y confiabilidad de red comparables a las de otros proveedores de servicios en la nube.

El nivel Estándar tiene un precio inferior al del nivel Premium, ya que el tráfico de los sistemas en Internet se enruta a través de redes de tránsito (ISP) antes de enviarse a las instancias de procesamiento en tu red de VPC. Por lo general, el tráfico de salida del nivel Estándar sale de la red de Google desde la misma región que usa la instancia de procesamiento que lo envía, sin importar el destino.

El nivel Estándar incluye 200 GB de uso gratuito por mes en cada región que usas en todos tus proyectos, por recurso.

Nombres de sistema de nombres de dominio (DNS) internos

Cuando creas una instancia de máquina virtual (VM), Google Cloud crea un nombre de DNS interno a partir del nombre de la VM. A menos que especifiques un nombre de host personalizado, Google Cloud usa el nombre de DNS interno creado automáticamente como el nombre de host que proporciona a la VM.

Para la comunicación entre las VMs en la misma red de VPC, puedes especificar el nombre de DNS (FQDN) de la instancia de destino completamente calificado en lugar de usar su dirección IP interna. Google Cloud resuelve automáticamente el FQDN a la dirección IP interna de la instancia.

Para obtener más información sobre los nombres de dominio completamente calificados (FQDN), consulta los nombres de DNS internos zonales y globales.

Rutas

Google Cloud Las rutas definen las rutas de acceso que recorre el tráfico de red desde una instancia de máquina virtual (VM) hacia otros destinos. Estos destinos pueden estar dentro de tu red de VPC (por ejemplo, en otra VM) o fuera de ella. La tabla de enrutamiento para una red de VPC se define a nivel de la red de VPC. Cada instancia de VM tiene un controlador que se mantiene informado sobre todas las rutas aplicables desde la tabla de enrutamiento de la red. Cada paquete que sale de una VM se entrega al siguiente salto apropiado de una ruta aplicable en función de un orden de enrutamiento.

Las rutas de subred definen las rutas de acceso a recursos como VM y balanceadores de cargas internos en una red de VPC. Cada subred tiene al menos una ruta de subred cuyo destino coincide con el rango de IP principal de la subred. Las rutas de subred siempre tienen los destinos más específicos. Las otras rutas no pueden anularlos, incluso aunque otra ruta tenga mayor prioridad. Esto se debe a que Google Cloud considera la especificidad del destino antes que la prioridad cuando se selecciona una ruta. Para obtener más información sobre los rangos de IP de subred, consulta la descripción general de las subredes.

Reglas de reenvío

Mientras que las rutas rigen el tráfico que sale de una instancia, las reglas de reenvío dirigen el tráfico hacia un Google Cloud recurso en una red de VPC según la dirección IP la dirección, el protocolo y el puerto. Algunas reglas de reenvío direccionan el tráfico desde fuera de Google Cloud a un destino ubicado dentro de la red; otras direccionan el tráfico desde la red.

Puedes configurar reglas de reenvío para tus instancias a fin de implementar hosting virtual por IP, Cloud VPN, IP virtuales privadas (VIP) y balanceo de cargas. Si deseas obtener más información sobre las reglas de reenvío, consulta Usa el reenvío de protocolos.

Reglas de firewall

Las reglas de firewall de VPC permiten o rechazan las conexiones hacia o desde las instancias de VM según la configuración que especifiques. Google Cloud siempre aplica reglas de firewall de VPC habilitadas para proteger las VMs, sin importar la configuración ni el sistema operativo, incluso si la VM no se inició.

De forma predeterminada, cada red de VPC tiene reglas de firewall entrantes (de entrada) y salientes (de salida) que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. La default red tiene reglas de firewall adicionales, incluida la regla default-allow-internal, que permite la comunicación entre instancias de la red. Si no usas la red default, debes crear de forma explícita reglas de firewall de entrada de prioridad más alta para permitir que las instancias se comuniquen entre sí.

Cada red de VPC funciona como un firewall distribuido. Las reglas de firewall se definen a nivel de la VPC y se pueden aplicar a todas las instancias de la red, o bien puedes usar etiquetas de destino o cuentas de servicio de destino para aplicar reglas a instancias específicas. Se puede considerar que las reglas de firewall de VPC existen entre las instancias y otras redes y, también, entre instancias individuales dentro de la misma red de VPC.

Las políticas de firewall jerárquicas te permiten crear y aplicar una política de firewall coherente en toda la organización. Puedes asignar políticas de firewall jerárquicas a toda la organización o a carpetas individuales. Estas políticas contienen reglas que pueden rechazar o permitir las conexiones de forma explícita, al igual que las reglas de firewall de VPC. Además, las reglas de políticas de firewall jerárquicas pueden delegar la evaluación a políticas de nivel inferior o a las reglas de firewall de la red de VPC con una acción goto_next. Las reglas de nivel inferior no pueden anular una que está un nivel superior en la jerarquía de recursos. Esto permite que los administradores de toda la organización administren las reglas de firewall fundamentales en un solo lugar.

Máquinas optimizadas para aceleradores y configuraciones de redes

Si usas tipos de máquinas optimizados para aceleradores (GPUs o TPUs), consulta las siguientes páginas:

Grupos de instancias administrados y configuración de herramientas de redes

Si usas grupos de instancias administrados (MIG), la configuración de red que especificas en la plantilla de instancias se aplica a todas las VMs creadas con la plantilla. Si creas una plantilla de instancias en una red de VPC de modo automático,selecciona automáticamente la subred para la región en la que creaste el grupo de instancias administrado. Google Cloud

Para obtener más información, consulta Redes y subredes y Crea plantillas de instancias.

¿Qué sigue?