Redes VPC personalizadas en Google Cloud

Curso de Google Associate Cloud Engineer Certification

Contenido del curso

Introducción y Fundamentos de Google Cloud

Configuración de un Entorno de GCP

Gestión de Identidad y Acceso (IAM)

Aprovisionamiento y Gestión de Recursos de Computo

Trabajo con Kubernetes Engine (GKE)

Servicios de Almacenamiento y Bases de Datos

Redes en Google Cloud

Preparación para el Examen

31
Preparación para el examen Google Cloud Associate Engineer
05:02 min

Tomar examen

Redes VPC personalizadas en Google Cloud

Resumen

Configurar una red VPC en Google Cloud Platform te permite controlar la segmentación, las máscaras de red y el enrutamiento de tus recursos en la nube. Si trabajas con máquinas virtuales, bases de datos o clústeres de Kubernetes, entender cómo funcionan las redes en GCP marca la diferencia entre un despliegue eficiente y uno con desperdicio de IPs.

¿Qué tipos de redes existen en Google Cloud?

Cuando creas recursos en GCP sin tocar la configuración de red, todo funciona porque Google asigna una red automática por debajo. Pero esa comodidad tiene un costo cuando escalas.

¿Qué es una Managed Network y cuándo conviene usarla?

La Managed Network es la red automática que Google genera por ti. Asigna segmentos del rango 10.x.x.x con máscara /20 a cada región disponible. Esto resulta útil en implementaciones pequeñas o cuando no quieres romperte la cabeza con configuración de redes.

Pero aquí viene lo interesante: si eres administrador de redes o trabajas en una implementación robusta, asignar un /20 por región es un desperdicio enorme de direcciones IP. Para esos casos existe la alternativa personalizada.

¿Qué es una Managed Network en GCP? Es una red creada automáticamente por Google que asigna un segmento /20 del rango 10.x.x.x a cada región, pensada para despliegues pequeños sin configuración manual.

¿Cuándo debo usar una Custom Network?

Usa una custom network cuando necesites definir tú mismo los segmentos de red, las máscaras y las reglas de enrutamiento dentro de Google Cloud. Es la opción correcta para implementaciones grandes o ambientes con políticas estrictas de red [2:00].

¿Cómo funcionan las subredes en GCP?

La subred es el componente más básico de cualquier red VPC. En GCP tiene reglas particulares que conviene entender antes de crear recursos.

¿Las subredes en Google Cloud necesitan un segmento padre?

No. A diferencia de otras nubes o ambientes locales, en GCP no necesitas un segmento padre común. Puedes hacer convivir un segmento de clase A con uno de clase C dentro del mismo proyecto sin que dependan jerárquicamente entre sí.

Esta flexibilidad te permite mezclar rangos según las necesidades reales de cada equipo o aplicación, sin forzar una estructura piramidal.

¿Por qué las subnets son regionales?

En GCP las subnets viven a nivel de región, no de zona. Eso cambia la forma en que diseñas alta disponibilidad:

Puedes tener dos máquinas virtuales en zonas distintas compartiendo la misma subred 192.168.0.0/22.
Logras alta disponibilidad sin duplicar segmentos.
Para Disaster Recovery Plan (DRP) necesitas múltiples regiones, porque la separación geográfica sí importa cuando hablas de continuidad.

¿Una subred en GCP es zonal o regional? Es regional. Una misma subred puede contener recursos en distintas zonas dentro de la misma región, lo que facilita la alta disponibilidad.

¿Cómo crear una red VPC personalizada paso a paso?

Para que las subredes se comuniquen entre sí necesitan rutas, y todas esas rutas se asocian a un componente mayor llamado red VPC. Vamos a crear una desde la consola [5:30].

¿Qué pasos sigo en la consola de Google Cloud?

Desde el menú principal de la consola, baja hasta red de VPC y selecciona redes de VPC. Verás la red llamada default, que es administrada y tiene asignado un /20 en cada región. En US Central 1 también aparece un segmento extra 10.1.0.0/17 que fue creado por el clúster de Kubernetes desplegado antes [6:30].

Para crear tu propia red:

Da clic en crear red de VPC.
Asígnale un nombre, por ejemplo Platzi-VPC.
Selecciona modo de creación personalizado (si eliges automático, GCP volverá a generar segmentos por región).
Crea una subred llamada Platzi-Subred-US-Central-1 en la región deseada.
Define el segmento, por ejemplo 192.168.0.0/28.
Habilita el acceso privado a Google para que los recursos de la subred se comuniquen con servicios de Google sin salir a Internet.
Omite las reglas de firewall por defecto y da clic en crear.

¿Qué buenas prácticas aplicar al definir segmentos?

Google permite asociar rangos externos a tus subredes, pero no es recomendable. Usa siempre segmentos privados para evitar conflictos y exposición innecesaria. La máscara y el rango deben ajustarse al tamaño real de tu despliegue, no al máximo disponible.

Una vez creada tu VPC con la subred personalizada, tienes el terreno listo para crear máquinas virtuales en ese rango y, después, configurar las reglas de firewall que controlarán el tráfico hacia y desde tus recursos.

¿Ya creaste tu primera VPC personalizada en GCP? Cuéntame en los comentarios qué segmento elegiste y para qué workload lo estás usando.

============================================================
📚 REPASO: REDES VPC Y SUBREDES REGIONALES (GCP) 🚀
============================================================

[1] NATURALEZA DE LA RED 🌐
------------------------------------------------------------
• VPC Scope: ¡ES GLOBAL! 🌎 
  (A diferencia de AWS/Azure, una VPC en Google cruza todo el mundo).
• Subnets Scope: ¡SON REGIONALES! 📍 
  (Viven dentro de una región, no de una zona).

[2] MODOS DE CREACIÓN 🛠️
------------------------------------------------------------
• MODO AUTOMÁTICO (Auto Mode) 🤖
  - Crea una subred por región automáticamente.
  - Usa el rango IP: 10.128.0.0/9.
  - ⚠️ Riesgo: Traslape de IPs si haces peering.
• MODO PERSONALIZADO (Custom Mode) 🧑‍🔧
  - Tú defines qué región y qué rango IP usar.
  - ✅ Recomendado para PRODUCCIÓN.
  - Permite expansión de IP sin recrear la subred.

[3] SEGURIDAD Y TRÁFICO 🛡️
------------------------------------------------------------
• Firewall Rules: Globales, pero se aplican a nivel de VM. 🧱
• Rutas: Indican hacia dónde va el tráfico (Internet, VPN, Interconnect). 🛣️
• Comunicación: VMs en la misma VPC se ven por IP interna, aunque estén en diferentes países. ☁️

============================================================
🧠 MEMOTECNIA PARA EL EXAMEN (ACE)
============================================================

💡 "G-V / R-S" -> (Gran Vía / Rico Sabor)
   - G-V: Global -> VPC
   - R-S: Regional -> Subnet

💡 "AUTO-PILOT" -> (Peligro de choque)
   - Auto Mode = IPs automáticas = Riesgo de choque de rangos (Overlap) en interconexiones.

💡 "FIREWALL = ESCUDO INDIVIDUAL"
   - Aunque la regla es de la red (VPC), el escudo lo lleva cada Máquina Virtual.

============================================================
📝 TIPS PRO PARA EL BATCH TXT:
- Recuerda: No puedes cambiar de "Custom" a "Auto", pero SÍ de "Auto" a "Custom". 🔄
- Las subredes no se dividen por zonas (Zones), se quedan en el nivel de Región.
============================================================

============================================================
📚 REPASO: REDES VPC Y SUBREDES REGIONALES (GCP) 🚀
============================================================

[1] NATURALEZA DE LA RED 🌐
------------------------------------------------------------
• VPC Scope: ¡ES GLOBAL! 🌎 
  (A diferencia de AWS/Azure, una VPC en Google cruza todo el mundo).
• Subnets Scope: ¡SON REGIONALES! 📍 
  (Viven dentro de una región, no de una zona).

[2] MODOS DE CREACIÓN 🛠️
------------------------------------------------------------
• MODO AUTOMÁTICO (Auto Mode) 🤖
  - Crea una subred por región automáticamente.
  - Usa el rango IP: 10.128.0.0/9.
  - ⚠️ Riesgo: Traslape de IPs si haces peering.
• MODO PERSONALIZADO (Custom Mode) 🧑‍🔧
  - Tú defines qué región y qué rango IP usar.
  - ✅ Recomendado para PRODUCCIÓN.
  - Permite expansión de IP sin recrear la subred.

[3] SEGURIDAD Y TRÁFICO 🛡️
------------------------------------------------------------
• Firewall Rules: Globales, pero se aplican a nivel de VM. 🧱
• Rutas: Indican hacia dónde va el tráfico (Internet, VPN, Interconnect). 🛣️
• Comunicación: VMs en la misma VPC se ven por IP interna, aunque estén en diferentes países. ☁️

============================================================
🧠 MEMOTECNIA PARA EL EXAMEN (ACE)
============================================================

💡 "G-V / R-S" -> (Gran Vía / Rico Sabor)
   - G-V: Global -> VPC
   - R-S: Regional -> Subnet

💡 "AUTO-PILOT" -> (Peligro de choque)
   - Auto Mode = IPs automáticas = Riesgo de choque de rangos (Overlap) en interconexiones.

💡 "FIREWALL = ESCUDO INDIVIDUAL"
   - Aunque la regla es de la red (VPC), el escudo lo lleva cada Máquina Virtual.

============================================================
📝 TIPS PRO PARA EL BATCH TXT:
- Recuerda: No puedes cambiar de "Custom" a "Auto", pero SÍ de "Auto" a "Custom". 🔄
- Las subredes no se dividen por zonas (Zones), se quedan en el nivel de Región.
============================================================

William Schnaider Torres Bermon

Estudiante

Arquitectura y Componentes Clave

La arquitectura de red en GCP se basa en la desvinculación de la lógica de red del hardware físico. Los componentes fundamentales son:

Redes VPC (Globales)

La VPC es el contenedor global. Dentro de una VPC, el tráfico entre instancias se enruta automáticamente, independientemente de la región en la que se encuentren, viajando a través de la red troncal (backbone) privada de fibra óptica de Google, no por la internet pública.

Subredes (Regionales)

Este es un diferenciador crítico en la arquitectura de GCP. Mientras que la VPC es global, las subredes son recursos regionales.

Definición: Una subred define un rango de direcciones IP (CIDR) dentro de una región específica.
Alcance: Una subred puede abarcar todas las zonas dentro de una región (ej. us-central1-a, us-central1-b, us-central1-c). Esto permite crear arquitecturas de alta disponibilidad (HA) distribuyendo máquinas virtuales en diferentes zonas pero manteniéndolas en la misma subred lógica y rango de IP.
Flexibilidad de Segmentos: A diferencia de las redes tradicionales, las subredes en una VPC de GCP no necesitan pertenecer a un bloque CIDR "padre" continuo. Puede tener la subred A con 10.0.0.0/24 y la subred B con 192.168.0.0/24 conviviendo en la misma VPC.

Modos de Creación de Red

Google Cloud ofrece dos modos para desplegar una VPC:

Modo Automático (Auto Mode):
- Crea automáticamente una subred en cada región de Google Cloud.
- Utiliza un rango CIDR predefinido (10.128.0.0/9) dividido en bloques /20 para cada región.
- Ventaja: Configuración inmediata.
- Desventaja: Posible desperdicio de IPs y riesgo alto de superposición de direcciones IP si se conecta posteriormente vía VPN a redes on-premise u otras nubes.
Modo Personalizado (Custom Mode):
- La VPC se crea vacía, sin subredes.
- El arquitecto tiene control total para definir qué subredes crear, en qué regiones y qué rangos de IP utilizar.
- Ventaja: Control granular y prevención de conflictos de IP. Es el estándar recomendado para producción.

Acceso Privado a Google (Private Google Access)

Es una configuración a nivel de subred que permite a las máquinas virtuales (VM) que no tienen dirección IP externa acceder a las APIs y servicios de Google (como Cloud Storage, BigQuery, Pub/Sub) utilizando sus direcciones IP internas. El tráfico nunca sale a la internet pública, manteniéndose dentro de la red de Google.

Boris Turcios

Ejemplos Prácticos

Escenario: Despliegue de una red base para una aplicación corporativa pequeña ("Platzi").

Configuración Paso a Paso:

Creación de la VPC:
- Nombre: platzi-vpc
- Modo de creación: Personalizado (Custom). Esto es vital para evitar la creación de subredes innecesarias en regiones como Asia o Europa si no se van a utilizar.
Definición de la Subred:
- Nombre: Platzi-Subred-US-Central-1
- Región: us-central1 (Iowa).
- Rango IP (CIDR): 192.168.0.0/28.

Análisis del Rango /28:

Una máscara /28 proporciona un total de 16 direcciones IP ($2^{(32-28)}$).

Sin embargo, aplicando la regla de direcciones reservadas de GCP:

Total teóricas: 16 IPs.
Reservadas por GCP: 4 IPs.
IPs Útiles para VMs: 12 IPs.

Conclusión del ejemplo: Este rango es adecuado para un laboratorio pequeño o un microservicio muy específico, pero para una implementación de producción estándar, Google recomienda rangos más amplios (como /24 o /23) para acomodar escalado automático, balanceadores de carga internos y actualizaciones de tipo "rolling update" que requieren IPs adicionales temporales.

Limitaciones y Consideraciones Importantes

Direcciones Reservadas: En cada subred, Google Cloud reserva automáticamente 4 direcciones IP que no se pueden asignar a instancias:
- La dirección de red (primera IP).
- La dirección de puerta de enlace predeterminada (segunda IP).
- La segunda a la última dirección (reservada para uso futuro).
- La dirección de difusión o broadcast (última IP).
Expansión de Subredes: Puede expandir el rango de direcciones IP de una subred (cambiar la máscara de red, por ejemplo, de /24 a /20) sin tiempo de inactividad, pero no puede deshacer esta acción ni reducir el rango.
Broadcast: Google Cloud VPC no admite tráfico de difusión (broadcast) ni multidifusión (multicast) de la capa 2 tradicional. El "broadcast" se maneja de manera simulada a nivel de software.

Buenas Prácticas Recomendadas por Google

Según la documentación oficial de Google Cloud y el Architecture Center:

Utilice siempre redes en Modo Personalizado para Producción: Evite el modo automático para entornos productivos. El modo automático reserva rangos /20 (4096 IPs) en todas las regiones, lo que suele causar conflictos de IP (Overlapping IPs) al establecer túneles VPN con centros de datos locales.
Planificación de Direccionamiento IP (IPAM): Diseñe sus bloques CIDR cuidadosamente para evitar superposiciones futuras. Considere el crecimiento futuro; aunque GCP permite expandir subredes, no permite reducirlas.
Principio de Mínimo Privilegio en Firewall: Las reglas de firewall predeterminadas (como allow-all-internal) deben ser revisadas. Cree reglas específicas basadas en Cuentas de Servicio o Tags de red, no solo en rangos de IP.
Habilitar Acceso Privado a Google: Active esta opción en subredes privadas para permitir que las instancias accedan a servicios de Google de forma segura sin exponerlas a Internet mediante una IP pública o un NAT Gateway (para este propósito específico).

Casos de Uso Típicos

Arquitectura Multi-Región con Gestión Centralizada

Una empresa global puede desplegar una única VPC. Las cargas de trabajo en EE. UU. se ubican en una subred en us-central1, mientras que las de Europa están en europe-west1. Ambas cargas de trabajo pueden comunicarse por IP interna sin configurar VPNs ni Gateways, reduciendo latencia y complejidad operativa.

Aislamiento de Entornos (Prod/Dev/Test)

Utilizando redes VPC en modo personalizado, se pueden crear redes separadas para producción y desarrollo. Esto asegura que un error de configuración o una prueba de carga en el entorno de desarrollo no afecte el tráfico ni consuma cuotas del entorno de producción.

Implementación de Alta Disponibilidad Zonal

Gracias a que las subredes son regionales, se puede desplegar una aplicación en tres zonas diferentes de us-central1 utilizando el mismo rango de red (ej. 192.168.0.0/24). Si una zona falla, las otras siguen operando sin necesidad de reconfigurar el enrutamiento IP.

Descripción General del Recurso

Una Virtual Private Cloud (VPC) en Google Cloud es una versión virtual de una red física tradicional, implementada dentro de la infraestructura de red definida por software (SDN) de Google, Andromeda. A diferencia de las implementaciones físicas o de otros proveedores de nube donde las redes suelen estar limitadas a una sola región, una red VPC en Google Cloud es un recurso global.

Esto significa que una sola VPC puede abarcar todas las regiones de Google Cloud disponibles en el mundo sin necesidad de configurar conectividad compleja (como peering o VPN) entre regiones, simplificando drásticamente la arquitectura de red.

Las VPC proporcionan conectividad para sus recursos de Compute Engine (VMs), contenedores de Google Kubernetes Engine (GKE) y entornos flexibles de App Engine.

Cálculo de Máscaras de Subredes en Redes IP

La máscara de red es una combinación de bits que determina qué parte de una dirección IP corresponde a la red y cuál a los dispositivos (hosts) dentro de esa red.

El cálculo de máscaras se simplifica entendiendo la relación entre los bits encendidos ("1") y su valor decimal. Se construye sumando potencias de dos consecutivas.

Si te piden una red para un número específico de máquinas, debes buscar la potencia de 2 inmediatamente superior.

Redes VPC personalizadas en Google Cloud

Introducción y Fundamentos de Google Cloud

Certificación Google Cloud Associate Engineer

Introducción a Google Cloud Platform y su consola de administración

Regiones y zonas de disponibilidad en Google Cloud

Tipos de cuentas de facturación en Google Cloud

Herramientas para interactuar con Google Cloud Platform

Estructura y herramientas básicas de Google Cloud Platform

Configuración de un Entorno de GCP

Configuración de organizaciones en Google Cloud con Cloud Identity

Creación de carpetas y permisos en Google Cloud Platform

Creación de proyectos y cuentas de facturación en Google Cloud

Instalación y configuración de Google Cloud CLI en Windows

Configuración inicial de Google Cloud y G Cloud CLI

Gestión de Identidad y Acceso (IAM)

Creación de cuentas de servicio y grupos en Google Cloud IAM

Cómo asignar roles IAM en Google Cloud

Cuentas de servicio en Google Cloud: creación y autenticación

Resumen de miembros, roles y permisos en GCP

Aprovisionamiento y Gestión de Recursos de Computo

Crea tu primera VM en Compute Engine

Tipos de discos persistentes y snapshots en Google Cloud

Resumen del módulo de máquinas virtuales en GCP

Trabajo con Kubernetes Engine (GKE)

Diferencias entre contenedores y máquinas virtuales

Crear y desplegar apps en GKE

Comandos kubectl para administrar GKE

Repaso de GKE para el examen de Google Cloud

Servicios de Almacenamiento y Bases de Datos

Configuración de buckets en Google Cloud Storage

Crea y conecta una base de datos en Cloud SQL

Resumen de Cloud Storage y Cloud SQL en Google Cloud

Redes en Google Cloud