Hay varias formas de conectar los clústeres de Google Distributed Cloud que se ejecutan en tu centro de datos local a la Google Cloudred. Entre las posibilidades se incluyen las siguientes:
- Conexión a Internet normal
- VPN de alta disponibilidad
- Partner Interconnect
- Interconexión dedicada
Conexión a Internet normal
En algunos casos, puedes usar Internet como conexión entre Google y tu centro de datos local. Por ejemplo:
Tu implementación de Google Distributed Cloud es autónoma en tus instalaciones y sus componentes on-premise rara vez se comunican con la red de Google. Google Cloud La conexión se usa principalmente para la gestión de clústeres. La velocidad, la fiabilidad y la seguridad de la conexión no son factores críticos.
Tu clúster local es independiente, excepto en lo que respecta al acceso a un servicio de Google, como Cloud SQL. El tráfico entre tu clúster local y el servicio de Google usa direcciones IP públicas. Configura reglas de cortafuegos para proporcionar seguridad.
VPN de alta disponibilidad
Con VPN de alta disponibilidad y Cloud Router, el tráfico entre Google y tu centro de datos local atraviesa Internet público, pero está cifrado. Los componentes locales pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Cloud Router intercambia rutas de forma dinámica entre tus redes de Google Cloud y tu red on‐premise. El enrutamiento dinámico es especialmente útil a medida que tu red se amplía y cambia, ya que asegura que el estado de enrutamiento correcto se propague a tu centro de datos local.
Partner Interconnect
Partner Interconnect proporciona conectividad entre tu red on-premise y la red deGoogle Cloud a través de un proveedor de servicios compatible. El tráfico entre Google y tu centro de datos local no atraviesa la red pública de Internet. Los componentes locales pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Tu conexión con Google es rápida, segura y fiable.
Interconexión dedicada
Interconnect dedicado proporciona una conexión física directa entre tu red on-premise y la red de Google Cloud . Este tipo de conexión puede ser rentable si necesitas un ancho de banda elevado. El tráfico entre Google y tu centro de datos local no atraviesa la red pública de Internet. Los componentes on-premise pueden comunicarse con los componentes de la nube mediante direcciones IP privadas. Tu conexión a Google es segura y fiable, e incluso más rápida que una conexión con Partner Interconnect.
Efectos de una desconexión temporal
Para obtener información sobre qué ocurre si se pierde la conexión, consulta el artículo Impacto de una desconexión temporal de Google Cloud.
Elegir un tipo de conexión
Para obtener más información sobre cómo elegir un tipo de conexión, consulta los siguientes artículos:
Monitorización de red
Independientemente de cómo establezcas una conexión fundamental con Google, puedes beneficiarte de las estadísticas que proporcionan el registro y la monitorización de la red. Para obtener más información, consulta la sección Registro y monitorización de Google Distributed Cloud.
Mejorar tu conexión fundamental
Una vez que hayas establecido la conexión fundamental, podrás añadir funciones que mejoren el acceso, la seguridad y la visibilidad. Por ejemplo, puedes habilitar Acceso privado a Google o Conectar.
En el resto de las instrucciones de este tema se presupone que utiliza una de las siguientes opciones para establecer la conexión fundamental con Google:
Acceso privado de Google
Acceso privado de Google permite que las VMs que solo tienen direcciones IP privadas lleguen a las direcciones IP de las APIs y los servicios de Google. Este caso incluye la situación en la que los nodos de tu clúster de Google Distributed Cloud solo tienen direcciones IP privadas. Habilita el acceso privado de Google a nivel de subred.
Con el acceso privado a Google, las solicitudes de tu centro de datos on-premise a los servicios de Google atraviesan tu conexión de Cloud Interconnect o Cloud VPN en lugar de la red pública de Internet.
Usa Acceso privado de Google en estas situaciones:
Tus VMs on-premise sin direcciones IP públicas deben conectarse a servicios de Google, como BigQuery, Pub/Sub o Container Registry.
Quieres conectarte a los servicios de Google sin atravesar la red pública de Internet.
Para ver una lista de los servicios que admiten el acceso privado de Google desde VMs on-premise, consulta Servicios admitidos. Para obtener información sobre cómo usar Acceso privado de Google desde VMs on-premise, consulta el artículo Configurar Acceso privado de Google para hosts on-premise.
Servicios que no requieren Acceso privado de Google
A veces, no necesitas Acceso privado de Google para acceder a un servicio desde una VM que solo tiene una dirección IP privada. Por ejemplo:
Crea una instancia de Cloud SQL que tenga una dirección IP pública y una privada. De esta forma, tus componentes locales podrán acceder a la instancia de Cloud SQL mediante su dirección IP privada. En este caso, no necesitas el acceso privado a Google, ya que no tienes que acceder a la dirección IP pública de un servicio de Google. Este método solo funciona si Cloud Router anuncia la dirección IP privada de la instancia de Cloud SQL en tu red local.
Tienes un clúster de Google Distributed Cloud en Google Cloudy los nodos del clúster tienen direcciones IP privadas. Tus componentes on-premise pueden acceder a un servicio NodePort o a un servicio de balanceador de carga interno en el clúster de Google Distributed Cloud.
Controles de Servicio de VPC
Si quieres una protección adicional contra la exfiltración, puedes usar Controles de Servicio de VPC. Con Controles de Servicio de VPC, puedes configurar perímetros de seguridad alrededor de los recursos de tus servicios gestionados por Google y controlar el movimiento de datos a través del límite del perímetro.
Si usas Controles de Servicio de VPC, es posible que veas errores al ejecutar algunos comandos de gkectl, como "Validation Category: GCP - [UNKNOWN] GCP
service: [Stackdriver] could not get GCP services". Para evitar estos errores, añade el parámetro --skip-validation-gcp a tus comandos.
Conectar
Connect te permite ver y gestionar tus clústeres de usuarios on-premise desde la consola de Google Cloud .