GSP193

Descripción general

El intercambio de tráfico entre redes de nube privada virtual (VPC) de Google Cloud te permite establecer conexiones privadas entre dos redes de VPC, independientemente de si pertenecen o no al mismo proyecto o a la misma organización.

El intercambio de tráfico entre redes de VPC te permite crear ecosistemas de SaaS (software como servicio) en Google Cloud, lo que hace que los servicios estén disponibles de forma privada en diferentes redes de VPC, dentro de una misma organización y entre organizaciones diferentes, y permite que las cargas de trabajo se comuniquen en un espacio privado.

El intercambio de tráfico entre redes de VPC sirve para los siguientes casos:

• Organizaciones que tienen varios dominios de administración de red
• Organizaciones que quieren intercambiar tráfico con otras organizaciones

Si tienes varios dominios de administración de red dentro de tu organización, con el intercambio de tráfico entre redes de VPC podrás hacer que los servicios estén disponibles en las redes de VPC en un espacio privado. Si ofreces servicios a otras organizaciones, el intercambio de tráfico entre redes de VPC hace que esos servicios estén disponibles en el espacio privado para esas organizaciones.

La posibilidad de ofrecer servicios entre organizaciones resulta útil si deseas proveer servicios a otras empresas; también es útil dentro de tu empresa si tienes varios nodos de organización separados debido a tu propia estructura o a fusiones o adquisiciones.

Usar el intercambio de tráfico entre redes de VPC tiene más ventajas que usar direcciones IP externas o VPN para conectar las redes. Estas son algunas de ellas:

• Latencia de red: Las redes privadas ofrecen menor latencia que las redes de IP pública.
• Seguridad de red: Los propietarios del servicio no tienen que exponer sus servicios a la Internet pública ni lidiar con los riesgos asociados.
• Costos de red: Las redes con intercambio de tráfico pueden utilizar direcciones IP internas para comunicarse y ahorrar costos en el ancho de banda de salida de Google Cloud. El precio regular de la red se sigue aplicando a todo el tráfico.

Configuración

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar su lab y acceder a la consola de Google Cloud

1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab que tiene estos elementos:

   • El botón Abrir la consola de Google
   • Tiempo restante
   • Las credenciales temporales que debe usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haga clic en Abrir la consola de Google. El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ve el diálogo Elegir una cuenta, haga clic en Usar otra cuenta.

3. Si es necesario, copie el nombre de usuario del panel Detalles del lab y péguelo en el cuadro de diálogo Acceder. Haga clic en Siguiente.

4. Copie la contraseña del panel Detalles del lab y péguela en el cuadro de diálogo de bienvenida. Haga clic en Siguiente.

   Importante: Debe usar las credenciales del panel de la izquierda. No use sus credenciales de Google Cloud Skills Boost. Nota: Usar su propia Cuenta de Google podría generar cargos adicionales.

5. Haga clic para avanzar por las páginas siguientes:

   • Acepte los términos y condiciones.
   • No agregue opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No se registre para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haga clic en el Menú de navegación que se encuentra en la parte superior izquierda de la pantalla.

Activa Cloud Shell

Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud. Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. Haz clic en Activar Cloud Shell en la parte superior de la consola de Google Cloud.

Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. El resultado contiene una línea que declara el PROJECT_ID para esta sesión:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con la función de autocompletado con tabulador.

2. Puedes solicitar el nombre de la cuenta activa con este comando (opcional):

gcloud auth list

3. Haz clic en Autorizar.

4. Ahora, el resultado debería verse de la siguiente manera:

Resultado:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. Puedes solicitar el ID del proyecto con este comando (opcional):

gcloud config list project

Resultado:

[core] project = <project_ID>

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: Para obtener toda la documentación de gcloud, consulta la guía con la descripción general de gcloud CLI en Google Cloud.

Tarea 1. Configuración del intercambio de tráfico entre redes de VPC

Dentro del mismo nodo de organización, una red podría alojar servicios que tienen que ser accesibles para otras redes de VPC en el mismo proyecto o en uno distinto.

Por otra parte, es posible que una organización deba acceder a servicios ofrecidos por un tercero.

Los nombres de proyecto son únicos en todo Google Cloud, por lo que no necesitas especificar la organización cuando configuras el intercambio de tráfico. Google Cloud sabe de qué organización se trata según el nombre del proyecto.

Crea una red personalizada en los proyectos

En este lab, se aprovisionaron 2 proyectos: el primero es proyecto A y el segundo es proyecto B.

1. Para administrar dos proyectos, inicia una nueva sesión de Cloud Shell haciendo clic en el ícono +.

2. En la segunda sesión de Cloud Shell, configura el ID del proyecto para el segundo proyecto:

gcloud config set project {{{ project_1.project_id }}}

Proyecto A:

1. Vuelve a la primera sesión de Cloud Shell y ejecuta lo siguiente para crear una red personalizada:

gcloud compute networks create network-a --subnet-mode custom

2. Crea una subred dentro de esta VPC y especifica una región y un rango de IP con el siguiente comando:

gcloud compute networks subnets create network-a-subnet --network network-a \ --range 10.0.0.0/16 --region {{{ project_0.default_region }}}

3. Crea una instancia de VM:

gcloud compute instances create vm-a --zone {{{ project_0.default_zone }}} --network network-a --subnet network-a-subnet --machine-type e2-small

4. Ejecuta el siguiente comando para habilitar icmp y SSH, pues necesitarás una shell segura para comunicarte con las VMs durante la prueba de conectividad:

gcloud compute firewall-rules create network-a-fw --network network-a --allow tcp:22,icmp

A continuación, configurarás el Proyecto B de la misma manera.

Haz clic en Revisar mi progreso para verificar el objetivo. Crea una red personalizada en el Proyecto A

Proyecto B:

1. Cambia a la segunda sesión de Cloud Shell y crea una red personalizada:

gcloud compute networks create network-b --subnet-mode custom

2. Crea una subred dentro de esta VPC y especifica una región y un rango de IP con el siguiente comando:

gcloud compute networks subnets create network-b-subnet --network network-b \ --range 10.8.0.0/16 --region {{{ project_1.default_region }}}

3. Crea una instancia de VM:

gcloud compute instances create vm-b --zone {{{ project_1.default_zone }}} --network network-b --subnet network-b-subnet --machine-type e2-small

4. Ejecuta el siguiente comando para habilitar icmp y SSH, pues necesitarás una shell segura para comunicarte con las VMs durante la prueba de conectividad:

gcloud compute firewall-rules create network-b-fw --network network-b --allow tcp:22,icmp

Haz clic en Revisar mi progreso para verificar el objetivo. Crea una red personalizada en el Proyecto B

Tarea 2: Cómo configurar una sesión de intercambio de tráfico entre redes de VPC

Considera una organización que necesita establecer el intercambio de tráfico entre redes de VPC entre la red A en el proyecto A y la red B en el proyecto B. Para que se establezca correctamente, los administradores de las redes A y B deben configurar por separado la asociación del intercambio de tráfico.

Establece el intercambio de tráfico de la red A con la red B:

Selecciona el proyecto correcto en la consola antes de aplicar la configuración haciendo clic en la flecha hacia abajo junto al ID del proyecto en la parte superior de la pantalla y, luego, selecciona el ID del proyecto que necesitas.

Proyecto A

En la consola de Cloud, ve a Intercambio de tráfico entre redes de VPC. Para ello, navega hasta la sección Herramientas de redes y haz clic en Red de VPC > Intercambio de tráfico entre redes de VPC en el menú de la izquierda. Cuando estés allí, haz lo siguiente:

1. Haz clic en Crear conexión.
2. Haz clic en Continuar.
3. Escribe “peer-ab” como Nombre para este lado de la conexión.
4. En Tu red de VPC, selecciona la red con la que deseas intercambiar tráfico (network-a).
5. Para los botones de selección de Intercambio de tráfico entre redes de VPC, establece En otro proyecto.
6. Pega el ID del proyecto del segundo proyecto.

{{{ project_1.project_id }}}

7. En Nombre de la red de VPC, escribe el nombre de la otra red (network-b).
8. Haz clic en Crear.

En esta etapa, el estado del intercambio de tráfico permanece como INACTIVO debido a que no hay una configuración equivalente en la red B en el proyecto B. Deberías ver el mensaje de estado, Esperando que se conecte la red de intercambio de tráfico.

Haz clic en Revisar mi progreso para verificar el objetivo. Establece el intercambio de tráfico entre la red A y la red B

Establece el intercambio de tráfico entre la red B y la red A:

Nota: Cambia al segundo proyecto en la consola.

Proyecto B

1. Haz clic en Crear conexión.
2. Haz clic en Continuar.
3. Escribe “peer-ba” como Nombre para este lado de la conexión.
4. En Tu red de VPC, selecciona la red con la que deseas intercambiar tráfico (network-b).
5. Para los botones de selección de Intercambio de tráfico entre redes de VPC, establece En otro proyecto, excepto que quieras intercambiar el tráfico dentro del mismo proyecto.
6. Especifica el ID del proyecto del primer proyecto.

{{{ project_0.project_id }}}

7. En Nombre de la red de VPC, escribe el nombre de la otra red (network-a).
8. Haz clic en Crear.

En el intercambio de tráfico de la red de VPC, ahora deberías ver peer-ba en la lista de propiedades.

El intercambio de tráfico entre redes de VPC pasará al estado ACTIVO y se intercambiarán las rutas. En cuanto el intercambio de tráfico pase al estado ACTIVO, se configurarán los flujos de tráfico:

• Entre instancias de VM en las redes con intercambio de tráfico: conectividad de red en malla completa
• De instancias de VM en una red a extremos de balanceo de cargas interno en la red con intercambio de tráfico

Las rutas a los prefijos CIDR de las redes con intercambio de tráfico ahora son visibles en todos los intercambios de tráfico de la red de VPC. Se trata de rutas implícitas generadas para los intercambios de tráfico activos. No tienen los recursos de ruta correspondientes. El siguiente comando enumera las rutas para todas las redes de VPC del proyecto A.

gcloud compute routes list --project {{{ project_0.project_id }}}

Resultado de ejemplo:

NAME NETWORK DEST_RANGE NEXT_HOP PRIORITY default-route-2a865a00fa31d5df network-a 0.0.0.0/0 default-internet-gateway 1000 default-route-8af4732e693eae27 network-a 10.0.0.0/16 1000 peering-route-4732ee69e3ecab41 network-a 10.8.0.0/16 peer-ab 1000

Haz clic en Revisar mi progreso para verificar el objetivo. Establece el intercambio de tráfico entre la red B y la red A:

Tarea 3. Prueba de conectividad

En esta sección, realiza pruebas de conectividad.

Proyecto A

1. Navega a la consola de instancias de VM haciendo clic en Menú de navegación > Compute Engine > Instancias de VM.

2. Copia la INTERNAL_IP de vm-a.

Proyecto B

1. Haz clic en Menú de navegación > Compute Engine > Instancias de VM.

Establece una conexión SSH a la instancia vm-b.

2. En la shell SSH de vm-b, ejecuta el siguiente comando, pero reemplaza <INTERNAL_IP_OF_VM_A> con la INTERNAL_IP de la instancia vm-a:

ping -c 5 <INTERNAL_IP_OF_VM_A>

Resultado de ejemplo:

PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data. 64 bytes from 10.8.0.2: icmp_seq=1 ttl=64 time=1.07 ms 64 bytes from 10.8.0.2: icmp_seq=2 ttl=64 time=0.364 ms 64 bytes from 10.8.0.2: icmp_seq=3 ttl=64 time=0.205 ms 64 bytes from 10.8.0.2: icmp_seq=4 ttl=64 time=0.216 ms 64 bytes from 10.8.0.2: icmp_seq=5 ttl=64 time=0.164 ms --- 10.8.0.2 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4065ms rtt min/avg/max/mdev = 0.164/0.404/1.072/0.340 ms

Aprendiste a configurar el intercambio de tráfico entre redes de VPC en los distintos proyectos de un entorno de nube.

¡Felicitaciones!

Finaliza la Quest

Este lab de autoaprendizaje forma parte de la Quest Security & Identity Fundamentals. Una Quest es una serie de labs relacionados que forman una ruta de aprendizaje. Si completas esta Quest, obtendrás una insignia como reconocimiento por tu logro. Puedes hacer públicas tus insignias y agregar vínculos a ellas en tu currículum en línea o en tus cuentas de redes sociales. Inscríbete en esta Quest o en cualquiera que contenga este lab y obtén un crédito inmediato de finalización. Consulta el catálogo de Google Cloud Skills Boost para ver todas las Quests disponibles.

Realiza tu próximo lab

Continúa tu Quest con Autenticación de usuarios: Identity-Aware Proxy o prueba con una de estas sugerencias:

• Balanceador de cargas HTTP con Cloud Armor
• Data Loss Prevention: Qwik Start - Línea de comandos

Próximos pasos y más información

• Más información sobre las redes de VPC: https://cloud.google.com/vpc/docs/vpc
• Más información sobre el intercambio de tráfico entre redes de VPC: https://cloud.google.com/vpc/docs/vpc-peering

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Actualización más reciente del manual: 25 de septiembre de 2023

Prueba más reciente del lab: 25 de septiembre de 2023

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.