Configurar correctamente las reglas de firewall y gestionar las IPs externas son dos tareas fundamentales para mantener seguras y accesibles tus máquinas virtuales en Google Cloud. A continuación se explica paso a paso cómo resolver problemas comunes de conectividad y direccionamiento, tal como se trabaja directamente en la consola de GCP.
¿Por qué las IPs efímeras son un problema para tus máquinas virtuales?
Cuando creas una máquina virtual en Google Cloud, la IP externa que recibe es, por defecto, efímera [01:00]. Esto significa que cada vez que detienes y vuelves a iniciar la instancia, esa dirección puede cambiar. El resultado es un lío con los registros DNS y la imposibilidad de garantizar que los usuarios lleguen siempre a la misma dirección.
Para solucionarlo, desde la sección de direcciones IP externas en la consola, puedes convertir una IP efímera en una IP estática con solo hacer clic y asignarle un nombre descriptivo [07:30]. Una vez reservada, la IP permanece fija sin importar cuántas veces reinicies la máquina. Esto aplica para cada instancia que necesites; simplemente repites el proceso y confirmas la reserva.
¿Cómo funcionan las network tags y las reglas de firewall?
Las network tags son etiquetas que se asignan a las máquinas virtuales para que las reglas de firewall se apliquen de forma selectiva [01:50]. Cuando en las primeras clases se marcó la opción de permitir tráfico HTTP al crear una instancia, Google Cloud añadió automáticamente la etiqueta http-server y generó una regla de firewall asociada.
- Las reglas con objetivo apply to all afectan a todas las instancias de la red.
- Las reglas dirigidas a una etiqueta específica solo se aplican a las máquinas que la poseen.
- Si borras todas las reglas de firewall, ninguna máquina responderá a solicitudes externas, ni por el puerto 80 ni por el 8080 [08:55].
Esto último se demostró al eliminar las reglas predeterminadas: la conexión SSH y el acceso web dejaron de funcionar por completo, confirmando que sin reglas de firewall habilitadas, el tráfico entrante queda bloqueado.
¿Cómo crear una regla de firewall menos permisiva?
En lugar de permitir todo el tráfico a todas las instancias, la buena práctica es crear reglas específicas [09:35]:
- Nombre descriptivo: por ejemplo,
regla-platzi-web-app.
- Red: seleccionar la VPC donde están las máquinas (en este caso, default).
- Prioridad: 1000 (valor estándar).
- Dirección: tráfico de entrada (ingress).
- Acción: permitir.
- Objetivo: solo las instancias con la etiqueta
http-server.
- Origen: cualquier dirección IP (0.0.0.0/0), aunque puedes restringirlo a rangos específicos.
- Protocolo y puerto: TCP 8080.
Una vez creada, la regla aparece en el listado y la máquina con la etiqueta correcta vuelve a responder en segundos. La instancia sin la etiqueta, aunque tenga los mismos componentes instalados y esté en la misma red, no recibe tráfico porque la regla es explícita [11:50].
¿Qué aporta crear una VPC custom con subredes específicas?
Además de la red default, puedes crear una VPC en modo custom para tener control total sobre las regiones y los rangos de IP [04:15]. Al elegir modo custom en lugar de automático, defines manualmente cada subred:
- Subred Norteamérica: región
us-central1 (Iowa), rango 10.10.0.0/28.
- Subred Europa: región
europe-west1, rango 10.10.10.0/28.
Dentro de cada subred hay dos opciones relevantes. Private Google Access permite que los recursos internos consuman APIs y servicios de Google sin salir a Internet, lo que reduce latencias y mejora la privacidad [05:20]. Los flow logs registran el tráfico de red para análisis, aunque pueden generar muchos datos y aumentar costos de facturación, así que solo conviene activarlos si realmente necesitas auditar el tráfico [06:00].
Con estas configuraciones —IPs estáticas, reglas de firewall granulares y redes VPC personalizadas— tienes los elementos esenciales para gestionar la conectividad de tus recursos en Google Cloud de forma segura y predecible. ¿Has tenido que ajustar reglas de firewall en tus propios proyectos? Comparte tu experiencia en los comentarios.
