Firewall y rutas en tu red VPC de GCP

Configurar reglas de firewall y rutas en una red VPC de Google Cloud es lo que te permite controlar quién entra, quién sale y por dónde viaja cada paquete dentro de tu infraestructura. Aquí aprendes a crearlas desde cero, entender sus prioridades y aprovechar el etiquetado para simplificar la administración.

¿Qué son las reglas de firewall en Google Cloud?

Las reglas de firewall son el mecanismo para controlar el tráfico de entrada y salida hacia tus recursos, como un cluster de Kubernetes o máquinas virtuales de Compute Engine. Se definen por IPs, protocolos, puertos y etiquetas [1:00].

¿Qué hace una regla de firewall? Permite o deniega tráfico hacia tus recursos según criterios como puerto, protocolo, IP de origen o etiqueta asignada al recurso.

La parte interesante es el etiquetado: en lugar de aplicar una regla a un segmento de red, le dices que aplique a cualquier componente que tenga cierta etiqueta. Por ejemplo, una regla que permita tráfico por el puerto 443 puede asociarse solo a las VMs etiquetadas como web-server. Eso simplifica todo [1:30].

¿Cómo funciona la prioridad entre reglas que se contradicen?

Cuando dos reglas chocan, Google Cloud usa el orden de prioridad. La lógica es simple: entre más bajo el número, más prioridad tiene la regla [2:30].

• Una regla con prioridad 1 sobreescribe a una con prioridad 10.
• El valor por defecto al crear una regla es 1000.
• Puedes ajustar el peso según necesites afinar el comportamiento.

Así que si tienes una regla que permite el puerto 443 y otra que lo deniega, gana la del número más pequeño.

¿Cuáles son las reglas de firewall implícitas en GCP?

Existen dos reglas que nunca verás en la consola, pero que están ahí trabajando con una prioridad altísima, cercana a 65000 [3:10]:

1. Permitir todo el tráfico de salida desde Google hacia el exterior.
2. Denegar todo el tráfico de entrada desde el exterior hacia Google.

Este detalle suele aparecer en la certificación de Google Cloud, así que vale la pena memorizarlo.

¿Cómo funcionan las rutas en una red VPC?

Las rutas definen el siguiente salto que dará un paquete al llegar a tu red VPC. No permiten ni deniegan tráfico, solo orientan hacia dónde va [3:50].

¿Cuál es la diferencia entre rutas y reglas de firewall? Las rutas dicen por dónde viaja el tráfico; las reglas de firewall dicen si ese tráfico está permitido.

Hay dos tipos:

• Rutas automáticas: se crean solas cada vez que agregas una subred, lo que hace que la comunicación entre subredes fluya sin configuración.
• Rutas personalizadas: las usas cuando necesitas modificar el comportamiento por defecto, por ejemplo para enviar tráfico a una appliance, una VPN o un Cloud Interconnect.

Las rutas también manejan pesos igual que las reglas de firewall: número más bajo, mayor prioridad.

¿Cómo creo una regla de firewall paso a paso?

Desde el menú principal vas a Red VPC > Firewall y notarás que ya existen reglas predefinidas asociadas a la red default. Para crear una nueva sobre tu red custom, sigues este flujo [5:30]:

1. Clic en crear regla de firewall y nombrarla, por ejemplo, allow-permitir-iap.
2. Seleccionar tu red VPC custom.
3. Dejar la prioridad en 1000 (valor por defecto).
4. Definir dirección de entrada y acción permitir.
5. Elegir destino: etiquetas específicas o todas las instancias de la red.
6. En el filtro de origen, usar un segmento fijo cuando trabajes con Identity-Aware Proxy (IAP), el servicio de Google Cloud que permite acceso seguro sin exponer IPs públicas.
7. Habilitar protocolos específicos como TCP en el puerto 22 o ICMP para hacer ping.

La buena práctica es definir por protocolo y puerto, no permitir todo de golpe. Una vez creada, la verás listada bajo tu red VPC.

¿Cómo configuro una ruta personalizada?

Desde Red VPC > Rutas, en la pestaña administración de rutas encontrarás una ruta por defecto que envía a Internet todo el tráfico que no coincida con segmentos privados [7:20].

Para crear una ruta personalizada defines:

• Nombre y red de aplicación.
• Tipo de ruta: basada en políticas o estática.
• Versión de IP: Google soporta IPv4 e IPv6.
• Rango de destino, por ejemplo 192.168.0.0/28.
• Prioridad y etiquetas opcionales.
• Siguiente salto: puerta de enlace predeterminada, una instancia, un túnel VPN o una IP específica.

Esto es útil cuando, por ejemplo, un segmento como 172.x.x.x vive en tu red local y necesitas que el próximo salto sea un túnel VPN configurado.

¿Por qué firewall y rutas en GCP son un PaaS?

Aquí está el detalle que cambia el juego: tanto firewall como rutas funcionan como Plataforma como Servicio. No te preocupas por el tamaño de la appliance, ni por la infraestructura subyacente. Google solo te cobra por el enrutamiento generado [9:00].

Eso te quita una carga administrativa enorme comparado con manejar firewalls físicos o virtuales tradicionales. Tú defines la lógica, Google opera la infraestructura.

¿Ya estás listo para conectar tu VPC con el mundo exterior usando NAT, Cloud Interconnect o Cloud VPN? Cuéntame en los comentarios qué regla de firewall vas a crear primero en tu proyecto.