Contenido del curso
Acceso a Internet sin IP pública con Cloud NAT
Conectar tus máquinas virtuales a Internet sin exponerlas con una IP pública es una de las buenas prácticas más importantes en Google Cloud. Para lograrlo, Cloud NAT te permite que recursos privados salgan a la red sin perder seguridad, mientras que servicios como Cloud VPN y Cloud Interconnect amplían tus opciones de conectividad híbrida.
¿Qué opciones ofrece Google Cloud para conectarse a redes externas?
Dentro de una VPC ya creada, existen tres servicios principales para gestionar la salida y conexión hacia redes externas: Cloud NAT, Cloud VPN y Cloud Interconnect. Cada uno responde a un escenario distinto.
¿Para qué sirve Cloud NAT?
Cuando una máquina virtual no tiene IP pública asociada, necesita un mecanismo para acceder a Internet. Ahí entra Cloud NAT, un servicio administrado por Google que asigna un pool de IPs públicas para la salida de tráfico [01:00].
La configuración es directa: defines la región y decides si las IPs que salen a Internet son automáticas o reservadas manualmente. Reservarlas tiene sentido cuando un servicio externo exige saber desde qué direcciones le llega el tráfico.
¿Qué es Cloud NAT? Es el servicio gestionado de Google Cloud que permite a recursos sin IP pública acceder a Internet usando un conjunto de IPs compartidas asociadas a una región.
¿Cuándo usar Cloud VPN o Cloud Interconnect?
Cloud VPN levanta túneles VPN entre tu red privada y tu red en Google Cloud, de forma totalmente administrada. Funciona contra firewalls como Forti o Check Point, y solo necesitas configurar los CIDRs y la IP pública del firewall que recibirá la comunicación [02:00].
Cloud Interconnect, en cambio, busca una acometida de fibra física directa hacia un data center de Google. Se usa en compañías empresariales que requieren ancho de banda alto y latencia baja.
Existen dos modalidades:
¿Cómo migrar una máquina virtual a una nueva red VPC?
Antes de configurar Cloud NAT, conviene mover la máquina virtual desde la red default hacia la VPC creada previamente. Este cambio solo es posible con la instancia apagada [03:30].
Los pasos son sencillos:
Al actualizar la vista de instancias, notarás que ya no aparece una IP externa asociada. Aun así, puedes acceder por SSH desde el navegador.
¿Por qué puedo entrar por SSH si no hay IP pública?
Esto es posible gracias a la regla de firewall configurada en clases anteriores, que habilita al servicio Identity-Aware Proxy (IAP) a proxear las solicitudes del navegador usando tu cuenta de Google [05:00]. Es una de las características más robustas de Google Cloud para acceso seguro sin exponer recursos.
¿Qué hace Identity-Aware Proxy? Permite conectarte por SSH o HTTPS a recursos privados validando tu identidad de Google, sin necesidad de IP pública en la máquina destino.
Si dentro de la VM intentas hacer ping a Google, fallará. La razón es clara: sin IP pública y sin Cloud NAT, no hay ruta de salida hacia Internet.
¿Cómo configurar Cloud NAT paso a paso?
Una vez confirmada la falta de salida a Internet, toca crear el servicio. Desde el buscador de la consola, escribe NAT y selecciona Cloud NAT [06:30].
La configuración mínima incluye:
En el filtrado, puedes dejar la configuración por defecto para que aplique a todos los segmentos de red, o restringirla a subredes específicas. Sobre las direcciones IP de salida, lo automático funciona para la mayoría de casos, pero la asignación manual es útil cuando un servicio externo requiere allowlisting de IPs concretas.
Al crear el recurso y volver a la VM, el ping a Google responde en segundos. La máquina ya tiene salida a Internet sin exponer ninguna IP pública.
¿Por qué no se configuran Cloud VPN ni Cloud Interconnect en esta práctica?
Ambos servicios requieren componentes externos que no se pueden simular dentro del proyecto. Cloud VPN necesita un sitio on premise con un firewall o gateway compatible, mientras que Cloud Interconnect exige una acometida de fibra física gestionada por un partner o por Google directamente.
Si tu organización maneja entornos híbridos reales, vale la pena profundizar en cómo se negocian estos enlaces y qué SLA ofrecen los partners de tu región.
¿Has implementado Cloud NAT en algún proyecto productivo? Cuéntame en los comentarios qué decisión tomaste sobre las IPs: automáticas o reservadas, y por qué.
Boris Turcios
EstudianteBoris Turcios
Estudiante
William Schnaider Torres Bermon
EstudianteWilliam Schnaider Torres Bermon
EstudianteWilliam Schnaider Torres Bermon
Estudiante================================================================================ 📡 CONECTIVIDAD SEGURA DE REDES VPC CON CLOUD NAT - GOOGLE CLOUD ================================================================================ 🎯 OBJETIVO DE LA CLASE ================================================================================ Configurar conectividad externa en Google Cloud Platform para permitir que VMs sin IP pública accedan a Internet usando Cloud NAT, siguiendo mejores prácticas de seguridad. 🧠 CONCEPTOS CLAVE CON MNEMOTECNIA ================================================================================ 🔐 CLOUD NAT (Network Address Translation) -------------------------------------------------------------------------------- Mnemotecnia: "NAT = No Acceso Total" 🎭 Actúa como un "traductor de direcciones" que permite salir pero NO entrar 🏊♂️ Piensa en un POOL de IPs compartidas (como una piscina de direcciones) 🌍 Las VMs SIN IP pública pueden navegar Internet, pero Internet NO puede iniciar conexiones hacia ellas 💡 REGLA DE ORO: 1 Cloud NAT = 1 REGIÓN (No es global, necesitas una por región) 🔒 MEJORES PRÁCTICAS DE SEGURIDAD -------------------------------------------------------------------------------- Mnemotecnia: "IP pública = Puerta abierta" ❌ La mayoría de VMs NO deberían tener IPs públicas ✅ Usa IAP (Identity Aware Proxy) para SSH seguro 🚪 IAP = "Llave personal" para entrar por el navegador 🛣️ OPCIONES DE CONECTIVIDAD HÍBRIDA ================================================================================ 1️⃣ CLOUD VPN -------------------------------------------------------------------------------- Mnemotecnia: "VPN = Viaje Por iNternet" 🌐 Túnel seguro a través de Internet público 🔐 Auto-genera configuración de cifrado (ciphers) 💰 Más económico 2️⃣ CLOUD INTERCONNECT -------------------------------------------------------------------------------- Mnemotecnia: "IC = Interconexión por Cable" 🔌 Fibra óptica directa (conexión física) ⚡ Mayor velocidad y confiabilidad Dos tipos: A) DIRECT INTERCONNECT 📊 Ancho de banda MÍNIMO: 10 Gbps 🏢 Conexión directa con Google 💼 Para empresas grandes B) PARTNER INTERCONNECT 🤝 A través de proveedor asociado 📉 Menor ancho de banda requerido 🏪 Para empresas medianas 🔑 PALABRAS CLAVE IMPORTANTES ================================================================================ VPC 🏰 Virtual Private Cloud (tu castillo en la nube) Subred 🧩 Pedazo de red dentro de VPC Firewall 🔥🧱 Reglas que bloquean/permiten tráfico IP Pública 🌍 Dirección visible en Internet IP Privada 🏠 Dirección solo dentro de tu red Router 🚦 Dirige el tráfico de red ISP 📡 Internet Service Provider On-premise 🏢 Servidores en tus instalaciones físicas ⏱️ LÍNEA DE TIEMPO DEL VIDEO ================================================================================ 00:00 - 00:33 🎬 Introducción 00:34 - 00:47 🔐 Concepto de Cloud NAT 00:48 - 01:19 ⚠️ Mejores prácticas de seguridad (no usar IPs públicas) 01:20 - 01:42 🌐 Cloud VPN explicado 01:43 - 01:57 🔒 Configuración automática de ciphers 01:58 - 02:36 🔌 Introducción a Cloud Interconnect 02:37 - 02:58 🤝 Partner vs Direct Interconnect 02:59 - 03:30 📊 Ancho de banda mínimo (10 Gbps) 03:31 - 05:24 💻 Demo práctica: Configuración de Cloud NAT 05:25 - 05:32 🚪 Identity Aware Proxy (IAP) introducción 05:33 - 06:39 🔐 Acceso SSH seguro sin IP pública 06:40 - 08:00 🌍 Configuración regional (1 NAT por región) 08:01 - FIN ✅ Verificación y conclusiones 📊 DATOS IMPORTANTES A RECORDAR ================================================================================ 🔢 NÚMEROS CLAVE -------------------------------------------------------------------------------- 10 Gbps Ancho de banda mínimo para Direct Interconnect 1 por región Necesitas 1 Cloud NAT por cada región que uses Puerto 22 Puerto SSH (no exponerlo públicamente) 🎯 HABILIDADES DESARROLLADAS -------------------------------------------------------------------------------- ✅ Configurar Cloud NAT en GCP ✅ Modificar configuraciones de red en VMs ✅ Gestionar interfaces de red e IPs ✅ Implementar mejores prácticas de seguridad ✅ Usar IAP para acceso SSH seguro 🧩 MAPA MENTAL PARA REPASO ================================================================================ 🌐 CONECTIVIDAD GCP | ┌──────────────────┼──────────────────┐ | | | 🔐 NAT 🌉 VPN/IC 🚪 ACCESO | | | Sin IP Pública Híbrido Cloud IAP SSH | | | Pool de IPs VPN o Fibra Sin IP Pública | | | 1 por Región Auto-Cifrado Navegador 🎓 RESUMEN EN 3 PUNTOS ================================================================================ 1. Cloud NAT 🔐 Permite que VMs sin IP pública salgan a Internet (pero Internet no puede entrar) 2. Conectividad Híbrida 🌉 VPN para túneles o Interconnect para fibra directa 3. Seguridad First 🛡️ Evita IPs públicas, usa IAP para SSH 💭 REPASO RÁPIDO - PREGÚNTATE ================================================================================ ❓ ¿Cuántas Cloud NAT necesito si uso 3 regiones? → 3 (1 por región) ❓ ¿Cuál es el ancho de banda mínimo para Direct Interconnect? → 10 Gbps ❓ ¿Cómo accedo por SSH a una VM sin IP pública? → Identity Aware Proxy (IAP) ❓ ¿Qué hace Cloud NAT? → Permite salida a Internet, bloquea entrada 🎯 COMANDOS CLAVE MENCIONADOS ================================================================================ # Detener una VM gcloud compute instances stop [NOMBRE-VM] # Iniciar una VM gcloud compute instances start [NOMBRE-VM] # Conectar por SSH con IAP # (Se hace desde la consola de GCP - navegador) ✨ TIP FINAL ================================================================================ "NAT es como el portero de un edificio: deja salir a los residentes, pero no deja entrar extraños" 🏢🚪 ================================================================================ FIN DEL RESUMEN - Clase 28 de 31 Curso: Google Associate Cloud Engineer Certification Tema: Conectividad segura de redes VPC con Cloud NAT ================================================================================
00:00 - 00:33 🎬 Introducción 00:34 - 00:47 🔐 Concepto de Cloud NAT 00:48 - 01:19 ⚠️ Mejores prácticas de seguridad (no usar IPs públicas) 01:20 - 01:42 🌐 Cloud VPN explicado 01:43 - 01:57 🔒 Configuración automática de ciphers 01:58 - 02:36 🔌 Introducción a Cloud Interconnect 02:37 - 02:58 🤝 Partner vs Direct Interconnect 02:59 - 03:30 📊 Ancho de banda mínimo (10 Gbps) 03:31 - 05:24 💻 Demo práctica: Configuración de Cloud NAT 05:25 - 05:32 🚪 Identity Aware Proxy (IAP) introducción 05:33 - 06:39 🔐 Acceso SSH seguro sin IP pública 06:40 - 08:00 🌍 Configuración regional (1 NAT por región) 08:01 - FIN ✅ Verificación y conclusiones
Mejores Prácticas de Seguridad y Acceso
Opciones de Conectividad Híbrida
El profesor distingue entre las formas de conectar tu red local (On-premise) con Google Cloud:
Cloud VPN:
Cloud Interconnect:
Cloud NAT (Network Address Translation)
Es un servicio diseñado para resolver un problema de seguridad común: permitir que las máquinas virtuales (VMs) sin dirección IP pública puedan acceder a Internet (por ejemplo, para descargar parches o librerías), pero impidiendo que Internet inicie conexiones hacia ellas.
