Gestión de VPCs y Reglas de Firewall en GCP

Clase 5 de 12 • Curso de Máquinas Virtuales con Google Cloud Platform

Contenido del curso

Máquinas Virtuales en Google Cloud

Proyecto: Clon de Google Photos (Parte 2 de 4)

Resumen

Conectar recursos en la nube de forma segura es una de las tareas más críticas al diseñar arquitecturas en Google Cloud Platform. Comprender cómo funcionan las VPC, el peering entre redes y las reglas de firewall marca la diferencia entre una infraestructura robusta y una vulnerable.

¿Cómo se comunican los recursos entre diferentes VPCs?

Cuando varios recursos viven en subredes distintas dentro de la misma VPC, pueden comunicarse entre sí sin problema, siempre que las reglas de firewall lo permitan [0:10]. Sin embargo, si los recursos pertenecen a dos VPCs diferentes, la comunicación no ocurre de forma automática.

Para resolver esto existe el VPC peering [0:30], un mecanismo que permite conectar dos VPCs distintas y habilitar la comunicación entre equipos seleccionados de cada red.

¿Qué es una shared VPC y por qué centralizar la gestión de red?

Cada VPC está asociada a un proyecto en GCP. Si una organización maneja múltiples proyectos, cada uno necesitará su propia VPC y una persona capacitada para administrarla [0:42]. Esto puede volverse complejo rápidamente.

La VPC compartida o shared VPC resuelve este problema [1:08]. Funciona así:

Se crea un proyecto host que centraliza todos los recursos de red: subredes, rangos de IP y reglas de firewall.
Otros proyectos de servicio consumen la conectividad que ofrece el proyecto host.
El equipo de networking administra todo desde un solo punto.

Los beneficios son claros: centralización de la gestión, simplificación administrativa e incremento en la seguridad [1:42].

¿Cómo funcionan las reglas de firewall en GCP?

Las reglas de firewall definen qué equipos pueden o no comunicarse entre sí [1:50]. Para entender su estructura, es necesario conocer tres elementos fundamentales.

Primero, el equipo origen: se identifica mediante una dirección IP o una etiqueta (tag) [2:08]. Una etiqueta es simplemente una palabra descriptiva asignada a una máquina virtual. Por ejemplo, una VM con un servidor HTTP podría llevar la etiqueta HTTP-server, y todas las máquinas con esa etiqueta se identificarán como servidores web [2:30]. Otra VM podría tener la etiqueta contabilidad para señalar que pertenece a esa área [2:55].

Segundo, el equipo target: es la máquina a la que se aplica la regla de firewall [3:05].

Tercero, la dirección del tráfico:

Ingress: tráfico de entrada hacia el equipo target [3:22].
Egress: tráfico de salida desde el equipo target hacia un destino [3:42].

En cada regla se utiliza la acción allow para permitir o deny para rechazar la comunicación [3:18].

¿Cuáles son las reglas implícitas de firewall en una VPC custom?

Cuando creas una VPC personalizada (custom), GCP no genera reglas de firewall automáticamente [4:05]. Sin embargo, existen dos reglas implícitas que siempre están presentes:

Todo el tráfico de salida hacia Internet está permitido. Si tu VM necesita descargar actualizaciones del sistema operativo al arrancar, podrá hacerlo sin configuración adicional [4:22].
Todo el tráfico de entrada está rechazado. Si intentas conectarte por SSH a una VM con Linux, no podrás hacerlo hasta que definas una regla explícita que lo permita [4:38].

Estas dos reglas son fundamentales para comprender el comportamiento por defecto de cualquier VPC que crees en GCP [4:55]. Para modificar este comportamiento, debes crear reglas de firewall explícitas según las necesidades de tu arquitectura.

¿Has tenido la experiencia de configurar reglas de firewall tanto en equipos físicos como en GCP? Comparte tu experiencia y las diferencias que encontraste en la sección de comentarios.

Comentarios

Carlos Andrés Gómez García

student•

Creo que es mucho más difícil la configuración de una regla en un firewall físico que en GCP indudablemente.

Alfredo Olmedo

student•

Entiendo tu punto, pero generalmente los principios son los mismos: configurar firewalls de entrada y salida. La principal diferencia radica en las herramientas. Por ejemplo, en equipos físicos como en Linux se manejan con IP Tables, mientras que en GCP tienes una interfaz gráfica y opciones preconfiguradas que simplifican el proceso, aunque el trasfondo técnico sea similar."

Byron Oyarzún 🇨🇱

student•

...Una VPC esta asociada a un proyecto, por lo tanto, si tu tienes varios proyectos, vas a necesitar definir diferentes VPCs, si cada uno de estos proyectos esta asociado a un diferente equipo de trabajo ++en cada equipo de trabajo vamos a necesitar tener a una persona que tenga el conocimiento de la gestión y configuración de las VPCs para que pueda hacer lo correspondiente en cada proyecto++ ...

Juan Sebastián Sierra Morales

student•

Resumen SM 🚀

Conectividad entre VPCs

Los recursos que están en diferentes subredes pero en una misma VPC se pueden comunicar sin ningún problema, pero cuando tengo recursos en diferentes VPC, no se comunican entre si de manera automática debo utilizar VPC Peering para poder hacerlo. Una VPC esta asociada a un proyecto, por lo tanto, si tu tienes varios proyectos, vas a necesitar definir diferentes VPCs, si cada uno de estos proyectos esta asociado a un diferente equipo de trabajo en cada equipo de trabajo vamos a necesitar tener a una persona que tenga el conocimiento de la gestión y configuración de las VPCs para que pueda hacer lo correspondiente en cada proyecto.

++Shared VPC:++ Nos permite centralizar todos los temas de red y nos permite que todos los proyectos puedan acceder a los mismos mecanismos de red definido en una VPC asociado a un proyecto llamado HOST, la cual esta solo asociado a el area de Networking y permite que los diferentes proyectos puedan utilizar los recursos de red que esta VPC defina, permitiendo aumentar la seguridad.
++Reglas de Firewall:++ Permiten establecer que equipos se pueden comunicar con que equipos, cada uno de los equipos pueden tener una** etiqueta que describe su funcionalidad**, en la regla de Firewall va a haber un equipo Origen y uno Target, y la regla puede utilizar la palabra Allow o la palabra Deny, para permitir o rechazar la comunicación, la dirección de la flecha de trafico nos define hacia donde esta entrando el trafico, en donde el trafico que entra se conoce como Ingress.
++Reglas implicitas:++ Las reglas de firewalll se tienen que crear de manera explicita, sin embargo inicialmente una VPC tiene estas 2 reglas impicitas que se aplican a las maquinas que conectemos :
1. Permitido todo el trafico saliente hacia internet
2. Bloqueado todo el trafico que entra desde internet Estas reglas se pueden cambiar cuando configuramos explícitamente las reglas de firewall.

By SsimorPro

David Carrevedo

student•

Conectividad entre VPCS

Cuando tengo 2 vpcs, no se comunican entre si. Debo utilizar algo llamado VPC Peering para poder hacerlo. . Shared VPC: defino una VPC principal con todas mis reglas de firewall, rangos de ip, etc. Y la utilizo como modelo para compartir sus politicas a otras vpcs que vaya creando. .

Firewall

Se establecen reglas para entrada y salida de cada actor de mi red . Reglas implicitas: cuando recien creo una subred y le meto una maquina virtual, su firewall tiene 2 reglas por defecto:

Permitido todo el trafico hacia internet
Bloqueado todo el trafico desde internet

El resto debo configurarlo.

Emmanuel Rodríguez

student•

✨ Hermoso para quienes lo entienden, chino para quienes nos perdimos un poco 😅 . 📚 VPC Peering . 📚 VPC Sharing

JUAN PABLO MAYORGA MENDIETA

student•

he configurado una regla en GCP con un servidor Debian para conectarme al puerto 5432(postgres por default) desde otro servidor onPremise de la empresa donde trabajo, aunque me costó entender varios conceptos al comienzo, en realidad es muy practico y util, GCP facilita mucho este tipo de manejos

Diana Estrada Delgado

student•

Para utilizar todos estos servicios ¿se debe realizar pago?

Fernando Campos

student•

Hola 👋🏼 La primera vez que te registras a GCP te dan una prueba gratuita.

John Gonzalez R

student•

Si quiero tener la posibilidad Enlazar Google Sheets y Bases de Datos cual sería la mejor herramienta para esto??

Javier Emanuel González Andrade

student•

Hasta el momento no he entendido si tener un VPC es necesario para un proyecto en nube, si no lo es, ¿En qué casos si es necesario?

Alexander Toro

student•

Durante un curso de cisco ccna configuré una lista de control de acceso, y aunque no era muy complicado si se tienen que tener varios conceptos base y el Rack de switch y routers en físico para configurarlo, configurar como me conectaba, hacer la conexion física con puerto serial (las impresoras antiguas). Acá en cloud es mucho mas sencillo y también hay diferentes maneras de configurarlo no solo por consola.

Quizás la manera mas sencilla de asimilar el concepto es con las reglas de firewall de windows, donde permitiamos trafico de ingreso y de salida para por ejemplo instalar o conectarnos a una red punto a punto o en una red local.

Angel Raul Garcia Jimenez

student•

cual es la diferencia entre desarrollo y producion caso de un proyecto, usando VPC ?

Angel Raul, es una excelente pregunta. La diferencia principal radica en el aislamiento y la seguridad.

Imagina que tu VPC es un edificio:

Desarrollo: Es como un laboratorio de pruebas. Aquí puedes ser más flexible con las reglas de firewall para experimentar, pero si algo falla, no quieres que afecte a tus usuarios reales.
Producción: Es la "zona blindada". Aquí las reglas de firewall son estrictas: solo permites el tráfico necesario (ej. HTTP/HTTPS) y bloqueas todo lo demás.

¿Por qué usar VPCs separadas? Si mantienes ambos entornos en VPCs distintas, garantizas que un error de configuración en desarrollo no pueda "saltar" accidentalmente a producción. Si necesitas que se comuniquen, debes hacerlo de forma explícita (como con VPC Peering), lo cual te obliga a ser consciente de qué datos estás exponiendo.

Te recomiendo: "Conectividad y Seguridad en VPCs de Google Cloud".

Brayan Neciosup

student•

Realicé las reglas de firewall cuando me enseñaron a instalar Debian 12

Alfredo Olmedo

student•

La principal diferencia radica en las herramientas. Por ejemplo, en equipos físicos como en Linux se manejan con IP Tables, mientras que en GCP tienes una interfaz gráfica y opciones preconfiguradas que simplifican el proceso, aunque el trasfondo técnico sea similar.

David Rafael Moody Nuñez

student•

Un firewall es un sistema diseñado para proteger las redes privadas del acceso no autorizado y no verificado en una conexión a Internet.

Gian HM

student•

Shared VPC

Para cada proyecto tiene que haber una VPC, pero la VPc compartida puede conectar recursos de varios proyectos a una VPC común para que se comuniquen entre si.

Walker Antonio Rivera Cifuentes

student•

Es mucho mas facil configurar reglas de FW en GCP

Gestión de VPCs y Reglas de Firewall en GCP

Máquinas Virtuales en Google Cloud

Máquinas Virtuales en Google Cloud Platform

Configuración y tipos de VPCs en Google Cloud

Configuración de Redes VPC en Google Cloud Platform

Conectividad y Seguridad en VPCs de Google Cloud

Gestión de VPCs y Reglas de Firewall en GCP

Introducción a Google Compute Engine y Máquinas Virtuales en la Nube

Familias de Máquinas Virtuales en Compute Engine

Creación y Configuración de Máquinas Virtuales en GCP

Creación de Máquinas Virtuales y Configuración de Firewall en GCP

Fundamentos de Google Cloud Compute Engine

Proyecto: Clon de Google Photos (Parte 2 de 4)

Creación de un Container Registry en Google Cloud

Subir y Ejecutar Aplicaciones en Contenedores de Google Cloud