Información confidencial de Google

Interconexión
de redes

En este módulo, nos enfocamos en la interconexión de redes.

Las diferentes aplicaciones y cargas de trabajo necesitan distintas soluciones de

conectividad de red, por lo que Google admite varias formas de conectar la
infraestructura a Google Cloud.
 Información confidencial de Google

Temario

01 Cloud VPN
Lab: Redes privadas virtuales (VPN)

02 Intercambio de tráfico y Cloud Interconnect

03 Uso compartido de redes de VPC

En este módulo, nos enfocaremos en los productos de conectividad híbrida de

Google Cloud: Cloud VPN, Cloud Interconnect y el Intercambio de tráfico. Además,
analizaremos las opciones para compartir redes de VPC en Google Cloud.

Comencemos con Cloud VPN para que lo pueda explorar en un lab.

 Información confidencial de Google

Cloud VPN

01
 Información confidencial de Google

Cloud VPN conecta de manera segura su red

local a la red de VPC de Google Cloud
Cloud VPN
● Útil para conexiones de datos de bajo volumen

● ANS del 99.9%

● Admite lo siguiente:
○ VPN de sitio a sitio
○ Rutas estáticas
○ Rutas dinámicas (Cloud Router)
○ Algoritmos de cifrado IKEv1 e IKEv2

Cloud VPN conecta de manera segura su red local a la red de VPC de Google Cloud
mediante un túnel VPN con IPsec. Una puerta de enlace VPN encripta el tráfico que
viaja entre las dos redes, el que, luego, es desencriptado por la otra puerta de enlace
VPN. De esta forma, se protegen sus datos mientras viajan por Internet pública. Es
por este motivo que Cloud VPN resulta útil para las conexiones de datos de bajo
volumen.

Como servicio administrado, Cloud VPN proporciona un ANS del 99.9% de

disponibilidad del servicio y admite VPN de sitio a sitio, rutas estáticas y dinámicas,
así como algoritmos de cifrado IKEv1 e IKEv2. Cloud VPN no es compatible con los
casos de uso en los que las computadoras clientes deban “conectarse” a una VPN
mediante software cliente. Además, las rutas dinámicas se configuran con
Cloud Router, del que hablaremos brevemente.

Para obtener más información sobre el ANS y estas funciones, consulte la página de
documentación.
 Información confidencial de Google

Topología de VPN

Túnel VPN (tráfico encriptado) Internet IP externa

local

Red
local
Proyecto

Puerta de enlace
Red de VPC us-east1 IP externa y de VPN local
regional de MTU máx. = 1,460 bytes
Google Cloud
Tabla de
Enrutamiento enrutamiento Local
de VPC
Puerta de enlace de Subredes y recursos
Cloud VPN
10.0.1.0/24
us-west1
10.0.2.0/24
10.21.0.0/16 192.168.1.0/24

Recursos de Recursos de
10.0.29.0/24
Google Cloud Google Cloud

10.0.30.0/24

Le explicaré un ejemplo de Cloud VPN. En este diagrama, se muestra una conexión

de VPN sencilla entre su red de VPC y la red local. La de VPC tiene subredes en
us-east1 y us-west1, así como recursos de Google Cloud en cada una de esas
regiones. Estos recursos se pueden comunicar mediante su dirección IP interna
porque el enrutamiento dentro de una red se configura automáticamente (si se
supone que las reglas de firewall permiten la comunicación).

Ahora, para conectar la red local y sus recursos, debe configurar su puerta de enlace
de Cloud VPN, la puerta de enlace de VPN local y dos túneles VPN. La puerta de
enlace de Cloud VPN es un recurso regional que usa una dirección IP externa
regional.

La puerta de enlace de VPN local puede ser un dispositivo físico de su centro de

datos o una oferta de VPN física o basada en software en la red de otro proveedor de
servicios en la nube. Esta puerta de enlace de VPN también tiene una dirección IP
externa.

Luego, un túnel VPN conecta las puertas de enlace de VPN y funciona como el
medio virtual por el que pasa el tráfico encriptado. Para crear una conexión entre dos
puertas de enlace de VPN, debe establecer dos túneles VPN. Cada túnel define la
conexión desde la perspectiva de su puerta de enlace, en la que el tráfico solo puede
pasar cuando se establece el par de túneles.

Cuando utilice Cloud VPN, no olvide que la unidad de transmisión máxima (MTU)
para su puerta de enlace de VPN local no puede ser mayor que 1,460 bytes. Esto se
debe a la encriptación y el encapsulamiento de paquetes. Si desea obtener más
información sobre esta consideración de la MTU, consulte la página de
documentación.

Además de la VPN clásica, Google Cloud también ofrece un segundo tipo de puerta
de enlace de Cloud VPN, llamada VPN con alta disponibilidad. La VPN con alta
disponibilidad es una solución de Cloud VPN que permite conectar de forma segura
su red local a la red de nube privada virtual mediante una conexión de VPN con
IPsec en una sola región. Ofrece un ANS del 99.99% de disponibilidad del servicio.
Para obtener más información sobre la VPN con alta disponibilidad, consulte la
página de documentación sobre las topologías de Cloud VPN. Si quiere saber cómo
trasladarse a una VPN con alta disponibilidad, consulte el artículo sobre cómo migrar
a una VPN con alta disponibilidad.
 Información confidencial de Google

Enrutamiento dinámico con Cloud Router

Puerta de enlace de intercambio

de tráfico con reinicio ordenado Cloud Router

Sesión de BGP
Red de
intercam-
Bastidor 1: 10.0.1.0/24
bio de
10.20.0.0/16
tráfico
(Test)
Bastidor 2: 10.0.2.0/24
Puerta de enlace de
10.21.0.0/16 Puerta de enlace Internet intercambio de tráfico
(Prod) VPN de Google
169.254.1.2
Bastidor 29:
10.0.29.0/24
10.22.0.0/16
(Staging) 169.254.1.1 Túnel VPN con Bastidor 30:
Cloud Router enrutamiento dinámico 10.0.30.0/24

Direcciones IP
locales con
vinculación
a BGP

Mencionamos que Cloud VPN admite rutas dinámicas y estáticas. Para usar rutas
dinámicas, debe configurar Cloud Router, que puede administrar rutas para un túnel
de Cloud VPN mediante el protocolo de puerta de enlace fronteriza, o BGP. Este
método de enrutamiento permite que las rutas se actualicen y se intercambien sin
modificar la configuración del túnel.

Por ejemplo, en este diagrama se muestran dos subredes regionales diferentes en

una red de VPC: Test y Prod. La red local tiene 29 subredes, y ambas redes están
conectadas mediante túneles de Cloud VPN. ¿Cómo controla la adición de nuevas
subredes? Por ejemplo, ¿cómo agregaría una subred “Staging” nueva a la red de
Google Cloud y una subred 10.0.30.0/24 nueva de forma local para controlar el
aumento del tráfico en su centro de datos?

A fin de propagar automáticamente los cambios de configuración de red, el túnel VPN

usa Cloud Router para establecer una sesión BGP entre VPC y la puerta de enlace
de VPN local, que debe ser compatible con BGP. Luego, las nuevas subredes se
anuncian perfectamente entre las redes, por lo que las instancias de las nuevas
subredes pueden comenzar a enviar y recibir tráfico de forma inmediata, como lo
verá en el próximo lab.

Para configurar BGP, se debe asignar una dirección IP adicional a cada extremo del
túnel VPN. Estas dos direcciones IP locales deben ser direcciones IP de vínculo local
que pertenezcan al rango de direcciones IP 169.254.0.0/16. Además, no forman parte
del espacio de direcciones IP de cada red y se usan exclusivamente para establecer
una sesión de BGP.
 Información confidencial de Google

Introducción al lab
Redes privadas virtuales (VPN)

Apliquemos los conocimientos que acabamos de adquirir.

 Información confidencial de Google

Objetivos del lab

01 Crear puertas de enlace de VPN en cada red

02 Crear túneles VPN entre las puertas de enlace

03 Verificar la conectividad de la VPN

En este lab, establecerá túneles VPN entre dos redes de regiones distintas, de modo
que una VM de una red pueda hacer ping a una VM de la otra mediante su dirección
IP interna.
 Información confidencial de Google

Intercambio de tráfico

02
y Cloud Interconnect

Ahora, hablemos sobre los servicios de Cloud Interconnect y el intercambio de

tráfico.
 Información confidencial de Google

Dedicadas Compartidas

Capa 3
Intercambio de tráfico Intercambio de tráfico por
directo proveedores

Capa 2
Interconexión dedicada Interconexión de socio

Existen diferentes servicios de Cloud Interconnect y del Intercambio de tráfico

disponibles para conectar su infraestructura a la red de Google. Estos se pueden
dividir en conexiones dedicadas y compartidas, y conexiones de capa 2 y de capa 3.
Los servicios son: Intercambio de tráfico directo, Intercambio de tráfico por
proveedores, Interconexión dedicada e Interconexión de socio.

Las conexiones dedicadas proporcionan una conexión directa a la red de Google; por
otra parte, las conexiones compartidas proporcionan una conexión a la red de Google
mediante un socio. Las conexiones de capa 2 usan una VLAN que se canaliza
directamente en su entorno de Google Cloud, de modo que proporciona conectividad
a las direcciones IP internas en el espacio de direcciones RFC 1918. Las conexiones
de capa 3 proporcionan acceso a los servicios de Google Workspace, YouTube y las
API de Google Cloud mediante direcciones IP públicas.
 Información confidencial de Google

Dedicadas Compartidas

Capa 3
Intercambio de tráfico Cloud VPN Intercambio de tráfico por
directo proveedores

Capa 2
Interconexión dedicada Interconexión de socio

Como ya lo mencioné, Google también ofrece su propio servicio de red privada

virtual, llamado Cloud VPN. Este servicio utiliza la Internet pública, pero el tráfico se
encripta y proporciona acceso a las direcciones IP internas. Es por esto que
Cloud VPN es una adición útil al intercambio de tráfico directo y al intercambio de
tráfico por proveedores.

Primero, explicaré los servicios de Cloud Interconnect y del Intercambio de tráfico de

forma independiente. Luego, indicaré algunas recomendaciones para elegir la
conexión adecuada.
 Información confidencial de Google

La interconexión dedicada proporciona

conexiones físicas directas
Interconexión
dedicada

Red local

Mi-red (mi-proyecto1) Instalación de colocación Subred:

192.168.0.0/24
us-central1 10.128.0.0/20 Zona 1
Dispositivo
perimetral de Router local Usuario
Procesa-
Cloud Router intercambio de
miento
tráfico de Google Dirección de vínculo 196.168.0.11
Dirección de vínculo Local: 169.254.10.2
10.128.0.2
Local: 169.254.10.1 Mi-interconexión
(mi-proyecto1)

La Interconexión dedicada proporciona conexiones físicas directas entre su red local

y la de Google, lo cual permite transferir grandes cantidades de datos entre redes y
puede ser más rentable que pagar por más ancho de banda en la Internet pública.

Para utilizar la Interconexión dedicada, debe aprovisionar una conexión cruzada

entre la red de Google y su propio router en una instalación de colocación común,
como se muestra en este diagrama. Para intercambiar rutas entre redes, debe
configurar una sesión de BGP mediante la interconexión entre Cloud Router y el
router local. Esto le permitirá al tráfico de usuarios de la red local alcanzar los
recursos de Google Cloud en la red de VPC y viceversa.

La Interconexión dedicada se puede configurar para ofrecer un ANS de tiempo de

actividad del 99.9% o el 99.99% Consulte la documentación sobre la Interconexión
dedicada para obtener detalles sobre cómo lograr estos ANS.
 Información confidencial de Google

Ámsterdam Estocolmo
Denver

Toronto Hamburgo
Chicago Londres
Fráncfort
París Múnich
Seattle
Montreal Osaka
Marsella
Salt Lake City Nueva York Seúl
Zúrich
Tokio
Hong Kong
Milán
San José Ashburn Madrid
Atlanta
Los Ángeles Dallas

Las Vegas
Miami Taipéi
Querétaro
Council Bluffs Bombay

Chennai
São Paulo Singapur

Kuala Lumpur Yakarta Sídney

Río de Janeiro

Ubicaciones de
instalaciones Buenos Aires

de colocación Interconexión
dedicada

Para utilizar la Interconexión dedicada, su red debe unir físicamente con la de Google
en una instalación de colocación compatible. En este mapa, se muestran las
ubicaciones en las que puede crear conexiones dedicadas. Para obtener una lista
completa de las ubicaciones, consulte la página de documentación.

Es posible que, cuando mire el mapa, se dé cuenta de que no está cerca de ninguna
de estas ubicaciones. En estas circunstancias, debería considerar la Interconexión de
socio.
 Información confidencial de Google

La Interconexión de socio proporciona conectividad

mediante un proveedor de servicios admitido
Interconexión
de socio
Red del proveedor Red local
de servicios

Red de VPC
Región de Subred local
Google Cloud
Subred de
VPC

Instalación de colocación
Dispositivo Dispositivo perimetral
perimetral de de intercambio de
Cloud Router Router local
intercambio de tráfico del proveedor
tráfico de Cloud de servicios

BGP

La Interconexión de socio proporciona conectividad entre su red local y la de VPC a

través de un proveedor de servicios compatible. Esta es útil si su centro de datos se
encuentra en una ubicación física fuera del alcance de una instalación de colocación
de Interconexión dedicada o si sus necesidades de datos no justifican el uso de la
Interconexión dedicada.

Para usar la interconexión de socio, debe trabajar con un proveedor de servicios

compatible que le permita conectarse a sus redes locales y de VCP. Para obtener
una lista completa de los proveedores, consulte la página de documentación.

Estos proveedores de servicios tienen conexiones físicas existentes a la red de

Google que ponen a disposición de sus clientes. Después de establecer la
conectividad con un proveedor de servicios, puede solicitarle una interconexión de
socio. Luego, establezca una sesión de BGP entre su router local y Cloud Router
para comenzar a pasar el tráfico entre redes mediante la red del proveedor de
servicios.

La Interconexión de socio se puede configurar para ofrecer un ANS de tiempo de

actividad del 99.9% o del 99.99% entre Google y el proveedor de servicios. Consulte
la documentación sobre la Interconexión de socio para obtener información detallada
sobre cómo lograr esos ANS.
 Información confidencial de Google

Comparación de las opciones de interconexión

Conexión Qué proporciona Capacidad Requisitos Tipo de acceso

Túnel encriptado para redes

Túnel VPN con De 1.5 Gbps a Puerta de enlace
de VPC a través de la
IPsec 3 Gbps por túnel VPN local
Internet pública

Conexión dedicada y directa 10 Gbps o Conexión en la

Interconexión 100 Gbps por instalación de Direcciones IP
dedicada a redes de VPC internas
vínculo colocación

Ancho de banda dedicado,

De 50 Mbps a Proveedor de
Interconexión conexión a la red de VPC a
10 Gbps por servicios
de socio través de un proveedor de
conexión
servicios

Ahora compararemos las opciones de interconexión que acabamos de analizar.

Todas brindan acceso a la dirección IP interna entre los recursos de su red local y los
de la red de VPC. Las principales diferencias se relacionan con la capacidad de
interconexión y los requisitos para utilizar un servicio.

● Los túneles VPN con IPsec que ofrece Cloud VPN tienen una capacidad
de 1.5 Gbps a 3 Gbps por túnel y requieren un dispositivo de VPN alojado en
su red local. La capacidad de 1.5 Gbps se aplica al tráfico que circula por la
Internet pública, y la capacidad de 3 Gbps se aplica al tráfico que circula por
un vínculo de intercambio de tráfico directo. Puede configurar varios túneles si
quiere escalar esta capacidad.
● La Interconexión dedicada tiene una capacidad de 10 Gbps o 100 Gbps por
vínculo y requiere una conexión en una instalación de colocación de Google.
Puede tener hasta 8 vínculos para alcanzar múltiplos de 10 Gbps o hasta
2 vínculos para alcanzar múltiplos de 100 Gbps, pero tenga en cuenta que
10 Gbps es la capacidad mínima.
● La Interconexión de socio tiene una capacidad de 50 Mbps a 10 Gbps por
conexión y los requisitos dependen del proveedor de servicios.

Mi recomendación es que comience con los túneles VPN. Cuando necesite

conexiones de nivel empresarial a Google Cloud, cámbiese a la Interconexión
dedicada o la Interconexión de socio según la proximidad que tenga a una instalación
de colocación y sus requisitos de capacidad.
 Información confidencial de Google

El Intercambio de tráfico directo proporciona una conexión

directa entre las redes de su empresa y las de Google

● Ubicaciones en redes perimetrales de gran alcance

● Intercambio de rutas de BGP

● Conexión con todos los servicios de Google

● Requisitos de intercambio de tráfico

● Sin ANS

Hablemos sobre los servicios de intercambio de tráfico de Cloud: el Intercambio de

tráfico directo y el Intercambio de tráfico por proveedores Estos servicios son útiles
cuando requiere un acceso a Google y las propiedades de Google Cloud.

Google permite establecer una conexión de Intercambio de tráfico directo entre la red
de su empresa y la de Google. Con esta conexión, podrá intercambiar tráfico de
Internet entre su red y la de Google en una de las ubicaciones de red perimetral de
gran alcance de Google.

Para realizar el Intercambio de tráfico directo con Google, se intercambian rutas de

BGP entre Google y la entidad de intercambio de tráfico. Luego de implementar una
conexión de Intercambio de tráfico directo, puede usarla para conectarse con todos
los servicios de Google, incluido el kit completo de los productos de Google Cloud. A
diferencia de la Interconexión dedicada, el Intercambio de tráfico directo no tiene un
ANS.

Para usar el Intercambio de tráfico directo, debe cumplir con los requisitos de
intercambio de tráfico que se indican aquí.
 Grace Hopper Información confidencial de Google
(Estados Unidos,
Reino Unido y Havfrue
España) (Estados Unidos,
Dunant 2022 Irlanda y Dinamarca)
(Estados  2019
Unidos y
Francia)
Faster
2020
(Estados Unidos,
Japón y Taiwán)
2016

Equiano
(Portugal,
Nigeria y
Sudáfrica)
2021 SJC
(Japón,
PLCN Hong Kong y
(Estados Unidos y Singapur)
Taiwán) 2013
2020

Unity
(Estados Unidos Curie Monet
y Japón) (Chile y (Estados
2010 Estados   Unidos y
Unidos) Brasil)
2019 2017
JGA‑S
Junior (Guam y
(Río y Australia)
Santos)

Puntos de
2019
2018
Indigo
Tannat
(Singapur,
(Brasil, Uruguay
Indonesia y

presencia
y Argentina)
Australia)
2018
2019

Punto de
Región actual Región futura
(PoP) presencia
perimetral
Red
con 3 zonas con 3 zonas

perimetrales

Los puntos de presencia (PoP) perimetrales de Google Cloud son los lugares donde
la red de Google se conecta con el resto de Internet mediante el intercambio de
tráfico. Los PoP están presentes en más de 90 intercambios de Internet y en más de
100 instalaciones de interconexión en todo el mundo.

Para obtener más información sobre estos servicios y puntos de intercambio, le

recomendamos buscar las entradas de PeeringDB que se indican aquí:

https://www.peeringdb.com/asn/15169
https://www.peeringdb.com/net/4319

Si mira este mapa y descubre que no se encuentra cerca de ninguna de estas

ubicaciones, considere usar el Intercambio de tráfico por proveedores.
 Información confidencial de Google

El Intercambio de tráfico por proveedores proporciona

conectividad a través de un socio compatible

● Socio del Intercambio de tráfico por proveedores

● Conexión con todos los servicios de Google

● Requisitos para convertirse en socio

● Sin ANS

Si necesita acceder a la infraestructura pública de Google y no cumple con los

requisitos del intercambio de tráfico de Google, puede conectarse a través de un
socio del Intercambio de tráfico por proveedores. Trabaje directamente con su
proveedor de servicios para obtener la conexión que necesita y comprender los
requisitos del socio. Para obtener una lista de los proveedores de servicios
disponibles, consulte la página de documentación.

De la misma forma que el Intercambio de tráfico directo, el Intercambio de tráfico por

proveedores no tiene un ANS.
 Información confidencial de Google

Comparación de opciones de intercambio de tráfico

Conexión Qué proporciona Capacidad Requisitos Tipo de acceso

Conexión en
Intercambio Conexión dedicada y 10 Gbps
los PoP de
de tráfico directa a la red de Google por vínculo
Google Cloud
directo Direcciones IP
públicas

Intercambio de Intercambio de tráfico a

través de un proveedor de Varía según la
tráfico por Proveedor de
servicios para la red pública oferta del socio
proveedores servicios
de Google

Ahora compararemos las opciones de intercambio de tráfico que acabamos de

analizar. Todas proporcionan acceso mediante una dirección IP pública a todos los
servicios de Google. Las diferencias principales son la capacidad y los requisitos
para usar un servicio.

● El Intercambio de tráfico directo tiene una capacidad de 10 Gbps por vínculo y

requiere que tenga una conexión en un punto de presencia perimetral de
Google Cloud.
● La capacidad y los requisitos del Intercambio de tráfico por proveedores
varían según el proveedor de servicios con el que trabaje.
 Información confidencial de Google

5 formas de conectar su infraestructura a Google Cloud

Dedicadas Compartidas

Capa 3
Intercambio de tráfico Cloud VPN Intercambio de tráfico por
directo proveedores

Capa 2
Interconexión dedicada Interconexión de socio

Ahora que hablamos sobre todos los servicios de conexión diferentes, veamos cuál
es el servicio que mejor satisface sus necesidades de conectividad híbridas.

Comenzamos esta clase con las 5 formas diferentes de conectar su infraestructura a

Google Cloud. Dividimos estos servicios en conexiones dedicadas y compartidas, y
conexiones de capa 2 y de capa 3.
 Información confidencial de Google

Cómo elegir una opción de conexión de red

Interconexión Intercambio de tráfico

Acceso directo a las Acceso solo a las direcciones IP

direcciones IP de RFC 1918 en públicas de Google (sin ANS)
su VPC (con ANS)

Interconexión Interconexión Cloud VPN Intercambio de Intercambio de

dedicada de socio tráfico directo tráfico por
proveedores

Otra forma de organizar estos servicios es mediante los servicios de interconexión y

de intercambio de tráfico.

Los servicios de interconexión proporcionan acceso directo a las direcciones IP de

RFC 1918 en su VPC, con un ANS. En cambio, los servicios de intercambio de tráfico
ofrecen acceso solamente a las direcciones IP públicas de Google, sin un ANS.
 Información confidencial de Google

¿Desea conectar su
infraestructura a la
nube? Sí
No
¿Desea conectarse a ¿Desea extender el
Workspace o alcance de su red a
YouTube? Google Cloud?

¿Cumple con los ¿Puede conectarse Poco ancho de

requisitos de con Google en una banda, duración
intercambio de de sus instalaciones breve, pruebas y
tráfico de Google? de colocación? canal encriptado

¿Puede proporcionar
sus propios
mecanismos de
Intercambio Intercambio de encriptación para el Cloud  Interconexión
de tráfico tráfico por tráfico sensible? VPN de socio
directo proveedores

¿Cree que la
conexión de 10 Gbps
Interconexión es excesiva o quiere Interconexión
de socio acceder a múltiples dedicada
nubes?

Otra forma de elegir el servicio correcto que cumpla con sus necesidades es
mediante un diagrama de flujo. Supongamos que quiere extender su infraestructura a
la nube para explicar este diagrama desde el principio.

Pregúntese si necesita extender su red a los servicios de Workspace, YouTube o las

API de Google Cloud. Si es así, elija uno de los servicios de intercambio de tráfico. Si
cumple con los requisitos del Intercambio de tráfico directo de Google, elija este
servicio. De lo contrario, elija el Intercambio de tráfico por proveedores.

Si no necesita extender su red a los servicios de Workspace o la

API de Google Cloud, pero quiere extender el alcance de su red a Google Cloud, elija
uno de los servicios de interconexión. Si no se puede conectar con Google en una de
sus instalaciones de colocación, elija Cloud VPN o la Interconexión de socio. Esta
elección dependerá de sus requisitos de encriptación y ancho de banda, junto con el
propósito de la conexión. Específicamente, si necesita poco ancho de banda, si
utilizará la conexión por poco tiempo y para pruebas, y requiere un canal encriptado,
elija Cloud VPN. De lo contrario, elija la Interconexión de socio. Si puede conectarse
con Google en una de sus instalaciones de colocación, utilice la Interconexión
dedicada. Sin embargo, si no proporciona sus propios mecanismos de encriptación
para el tráfico sensible, cree que una conexión de 10 Gbps es excesiva o quiere
tener acceso a múltiples nubes, considere utilizar Cloud VPN o la Interconexión de
socio.
 Información confidencial de Google

03 Uso compartido de
redes de VPC

Centremos nuestra atención de la conectividad híbrida a las redes de VPC

compartidas.

En el entorno de nube más sencillo, es posible que un solo proyecto tenga una red
de VPC que abarque muchas regiones y con instancias de VM que alojen
aplicaciones muy grandes y complejas. Sin embargo, muchas organizaciones suelen
implementar múltiples proyectos aislados con varias redes y subredes de VPC.

En esta clase, hablaremos de dos parámetros de configuración para compartir redes

de VPC en los proyectos de Google Cloud. Primero, analizaremos la VPC
compartida, que le permite compartir una red en varios proyectos de su organización
de Google Cloud. Luego, revisaremos el Intercambio de tráfico de la red de VPC para
que pueda configurar comunicaciones privadas en proyectos, en la misma
organización o en organizaciones diferentes.
 Información confidencial de Google

VPC compartida

Red de Cloud VPC
Local Servicio de
recomendaciones
Almacén de datos

Servidor de Servicio de
aplicaciones web personalización
Cambios procesados Almacén de datos

Clientes

Servicio de estadísticas

Almacén de datos

Conectividad Proyecto de Google Cloud

La VPC compartida permite que una organización conecte recursos desde varios
proyectos a una red de VPC común. De esta forma, los recursos se pueden
comunicar entre sí de forma segura y eficiente mediante IP internas de esa red.

Por ejemplo, en este diagrama hay una red que pertenece al proyecto del servidor de
aplicaciones web. Esta red se comparte con otros tres proyectos, concretamente, los
servicios de recomendación, personalización y estadísticas. Cada uno de estos
proyectos de servicios tiene instancias que están en la misma red que el servidor de
aplicación web y permiten una comunicación privada hacia ese servidor mediante
direcciones IP internas. El servidor de aplicaciones web se comunica con sus clientes
y de forma local mediante la dirección IP externa del servidor. Por el contrario, los
servicios de backend no se pueden alcanzar de forma externa porque solo se
comunican mediante direcciones IP internas.

Cuando usa una VPC compartida, debe designar un proyecto como proyecto host y
conectar uno o más proyectos de servicios. En este caso, el proyecto del servidor de
aplicaciones web es el proyecto host y los tres restantes son los proyectos de
servicios. En general, toda la red de VPC se denomina red de VPC compartida.
 Información confidencial de Google

Intercambio de tráfico entre VPC

Nodo de la Nodo de la
organización organización
example.com SaaS.com

Red del consumidor de VPC Red del productor de VPC

Administrador Administrador
Administrador de instancias de instancias Administración
de redes del del consumidor del productor de redes del
consumidor productor
IP privada
Proyecto customer-prod Proyecto service-prod

Instancia de
Cliente entrega
Compute Engine Compute Engine

Por otro lado, el Intercambio de tráfico de la red de VPC permite la conectividad

privada RFC 1918 entre dos redes de VPC, independientemente de si pertenecen al
mismo proyecto o a la misma organización. Ahora, recuerde que cada red de VPC
tendrá reglas de firewall que definen el tráfico que se permite o rechaza entre las
redes.

Por ejemplo, en este diagrama hay dos organizaciones que representan un

consumidor y un productor, respectivamente. Cada organización tiene su propio
nodo, red de VPC, instancias de VM, administrador de redes y administrador de
instancias. Para que el intercambio de tráfico entre redes de VPC se establezca de
manera correcta, el administrador de redes del productor debe intercambiar el tráfico
de la red del productor con la red del consumidor y el administrador de red del
consumidor debe intercambiar el tráfico de la red del consumidor con la red del
productor. Cuando se crean ambas conexiones de intercambio de tráfico, se activa la
sesión de intercambio de tráfico entre redes de VPC y se intercambian las rutas. Esto
permite que las instancias de máquina virtual se comuniquen de forma privada
usando sus direcciones IP internas.

El intercambio de tráfico entre redes de VPC es un enfoque descentralizado o

distribuido para las herramientas de redes de varios proyectos, ya que cada red de
VPC puede permanecer bajo el control de grupos de administradores
independientes, y, además, mantiene su propio firewall global y sus propias tablas de
enrutamiento. Históricamente, los proyectos de este tipo utilizarían direcciones IP
externas o VPN para facilitar la comunicación privada entre las redes de VPC. Sin
embargo, el Intercambio de tráfico entre redes de VPC no tiene las desventajas de
costos, seguridad y latencia de red que se presentan cuando se usan direcciones IP
externas o VPN.
 Información confidencial de Google

La VPC compartida frente al Intercambio de tráfico entre

redes de VPC

Intercambio de
Consideración VPC compartida tráfico entre
redes de VPC

En las organizaciones No Sí

En el proyecto No Sí

Administración de red Centralizada Descentralizada

Ahora que hablamos sobre la VPC compartida y el Intercambio de tráfico entre redes
de VPC, compararé ambos parámetros de configuración para ayudarlo a decidir el
más apropiado según la situación.

Si quiere configurar comunicaciones privadas entre redes de VPC ubicadas en

diferentes organizaciones, debe usar el Intercambio de tráfico entre redes de VPC.
La VPC compartida solo funciona dentro de la misma organización.

De forma similar, si quiere configurar una comunicación privada entre redes de VPC
ubicadas en el mismo proyecto, debe utilizar el Intercambio de tráfico entre redes de
VPC. Esto no significa que las redes deban pertenecer al mismo proyecto, aunque
pueden estarlo. La VPC compartida solo funciona entre proyectos.
 Información confidencial de Google

La VPC compartida frente al Intercambio de tráfico entre

redes de VPC
Intercambio de tráfico
Consideración VPC compartida
entre redes de VPC

En las organizaciones No Sí

En el proyecto No Sí

Administración de red Centralizada Descentralizada

Administrador de la organización Administrador de la organización (si es la misma)

Administrador de VPC compartida

Administradores Administradores Administradores
de seguridad y de seguridad y de seguridad y
Administradores de seguridad y redes redes redes redes

Propietario del Propietario del Propietario del Propietario del Propietario del Propietario del
proyecto proyecto proyecto proyecto proyecto proyecto

En mi opinión, la diferencia más grande entre ambos parámetros de configuración

son los modelos de administración de redes. La VPC compartida brinda un enfoque
centralizado de redes de varios proyectos, dado que las políticas de red y seguridad
tienen lugar en una sola red de VPC designada. Por el contrario, el Intercambio de
tráfico entre redes de VPC es un enfoque descentralizado, ya que cada red de VPC
puede permanecer bajo el control de grupos de administradores independientes y
mantiene su propio firewall global y sus propias tablas de enrutamiento.

Si quiere obtener más información sobre la VPC compartida y el Intercambio de

tráfico entre redes de VPC, le recomendamos realizar el curso
Networking in Google Cloud.
 Información confidencial de Google

Cuestionario
 Información confidencial de Google

Pregunta nº 1
Pregunta

¿Cuál es el propósito de las redes privadas virtuales (VPN)?

A. Son un método que permite detectar intrusos en el perímetro de un límite de red.

B. Las VPN también se denominan listas de control de acceso (LCA) y limitan el acceso a la red.

C. Permiten habilitar un método de comunicación seguro (un túnel) para conectar dos
entornos de confianza a través de un entorno no confiable, como Internet.

D. Su propósito principal consiste en encriptar datos para que se puedan almacenar en un

formato encriptado.
 Información confidencial de Google

Pregunta nº 1
Respuesta

¿Cuál es el propósito de las redes privadas virtuales (VPN)?

A. Son un método que permite detectar intrusos en el perímetro de un límite de red.

B. Las VPN también se denominan listas de control de acceso (LCA) y limitan el acceso a la red.

C. Permiten habilitar un método de comunicación seguro (un túnel) para conectar dos
entornos de confianza a través de un entorno no confiable, como Internet.

D. Su propósito principal consiste en encriptar datos para que se puedan almacenar en un

formato encriptado.

Explicación:
Las VPN usan túneles IPsec para brindar una ruta de acceso encriptada y
encapsulada a través de un entorno hostil o no confiable.
 Información confidencial de Google

Pregunta nº 2
Pregunta

¿Qué servicio de interconexión de Google Cloud requiere conectarse a una instalación de

colocación de Google Cloud y proporciona 10 Gbps por vínculo?

A. Cloud VPN

B. Interconexión dedicada

C. Interconexión de socio

D. Intercambio de tráfico directo

E. Intercambio de tráfico por proveedores

 Información confidencial de Google

Pregunta nº 2
Respuesta

¿Qué servicio de interconexión de Google Cloud requiere conectarse a una instalación de

colocación de Google Cloud y proporciona 10 Gbps por vínculo?

A. Cloud VPN

B. Interconexión dedicada

C. Interconexión de socio

D. Intercambio de tráfico directo

E. Intercambio de tráfico por proveedores

Explicación:
A. Incorrecto. Los túneles VPN con IPsec proporcionan entre 1.5 Gbps y 3 Gbps
por túnel y no se conectan a una instalación de colocación de Google Cloud.
B. Correcto. La interconexión dedicada requiere conectarse a una instalación de
colocación de Google Cloud y proporciona 10 Gbps por vínculo.
C. Incorrecto. La Interconexión de socio se conecta a un proveedor de servicios.
D. Incorrecto. El Intercambio de tráfico directo no es un servicio de interconexión
de Google Cloud.
E. Incorrecto. El Intercambio de tráfico por proveedores no es un servicio de
interconexión de Google Cloud.
 Información confidencial de Google

Pregunta nº 3
Pregunta

Si no puede cumplir con los requisitos del intercambio de tráfico de Google, ¿qué servicio
de conexión de red debe seleccionar para conectarse a Google Workspace y YouTube?

A. Interconexión dedicada

B. Interconexión de socio

C. Intercambio de tráfico directo

D. Intercambio de tráfico por proveedores

 Información confidencial de Google

Pregunta nº 3
Respuesta

Si no puede cumplir con los requisitos del intercambio de tráfico de Google, ¿qué servicio
de conexión de red debe seleccionar para conectarse a Google Workspace y YouTube?

A. Interconexión dedicada

B. Interconexión de socio

C. Intercambio de tráfico directo

D. Intercambio de tráfico por proveedores

Explicación:
A. Incorrecto. La Interconexión dedicada no es un servicio de intercambio de
tráfico.
B. Incorrecto. La Interconexión de socio no es un servicio de intercambio de
tráfico.
C. Incorrecto. El Intercambio de tráfico directo requiere que cumpla con los
requisitos de intercambio de tráfico de Google.
D. Correcto. El Intercambio de tráfico por proveedores le permite conectarse a
Google Workspace y YouTube sin cumplir con los requisitos del intercambio
de tráfico de Google.
 Información confidencial de Google

Pregunta nº 4
Pregunta

¿En cuáles de los siguientes enfoques de redes de varios proyectos se usa un modelo de
administración de red centralizado?

A. Intercambio de tráfico entre redes de VPC

B. VPC compartida

C. Cloud VPN
 Información confidencial de Google

Pregunta nº 4
Respuesta

¿En cuáles de los siguientes enfoques de redes de varios proyectos se usa un modelo de
administración de red centralizado?

A. Intercambio de tráfico entre redes de VPC

B. VPC compartida

C. Cloud VPN

Explicación:
A. Incorrecto. El Intercambio de tráfico entre redes de VPC es un enfoque
descentralizado, ya que cada red de VPC puede permanecer bajo el control
de grupos de administradores independientes y mantiene su propio firewall
global y sus propias tablas de enrutamiento.
B. Correcto. La VPC compartida brinda un enfoque centralizado de redes de
varios proyectos, dado que las políticas de red y seguridad tienen lugar en
una sola red de VPC designada.
C. Incorrecto. Revise el material del curso.
 Información confidencial de Google

Revisión:
Interconexión de redes

En este módulo, vimos las cinco formas diferentes de conectar su infraestructura a

Google Cloud: Interconexión dedicada, Interconexión de socio, Intercambio de tráfico
directo, Intercambio de tráfico por proveedores y Cloud VPN. También recibió
orientación sobre cómo elegir entre los diferentes servicios. Recuerde que puede
comenzar con un servicio y cambiar a otro si sus requisitos cambian o se abren
nuevas instalaciones de colocación.

También realizamos una breve descripción general sobre la VPC compartida y el

Intercambio de tráfico entre redes de VPC, que son dos parámetros de configuración
para las redes de VPC compartidas en los proyectos de Google Cloud.