GSP210

Descripción general

La nube privada virtual (VPC) de Google Cloud ofrece funcionalidad de red a las instancias de máquinas virtuales (VMs) de Compute Engine, los contenedores de Kubernetes Engine y App Engine Flex. En otras palabras, sin una red de VPC no puedes crear instancias de VM, contenedores ni aplicaciones de App Engine. Por lo tanto, cada proyecto de Google Cloud tiene una red predeterminada para ayudarte a comenzar.

Una red de VPC se asemeja a una red física, con la excepción de que está virtualizada dentro de Google Cloud. Una red de VPC es un recurso global que consta de una lista de subredes virtuales regionales en centros de datos, todas conectadas por una red de área extensa (WAN) global. Las redes de VPC están aisladas de forma lógica unas de otras dentro de Google Cloud.

En este lab, crearás una red de VPC de modo automático con reglas de firewall y dos instancias de VM. Luego, explorarás la conectividad de las instancias de VM.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Explorar la red de VPC predeterminada
• Crear una red de modo automático con reglas de firewall
• Crear instancias de VM mediante Compute Engine
• Explorar la conectividad de las instancias de VM

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar su lab y acceder a la consola de Google Cloud

1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab que tiene estos elementos:

   • El botón Abrir la consola de Google
   • Tiempo restante
   • Las credenciales temporales que debe usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haga clic en Abrir la consola de Google. El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ve el diálogo Elegir una cuenta, haga clic en Usar otra cuenta.

3. Si es necesario, copie el nombre de usuario del panel Detalles del lab y péguelo en el cuadro de diálogo Acceder. Haga clic en Siguiente.

4. Copie la contraseña del panel Detalles del lab y péguela en el cuadro de diálogo de bienvenida. Haga clic en Siguiente.

   Importante: Debe usar las credenciales del panel de la izquierda. No use sus credenciales de Google Cloud Skills Boost. Nota: Usar su propia Cuenta de Google podría generar cargos adicionales.

5. Haga clic para avanzar por las páginas siguientes:

   • Acepte los términos y condiciones.
   • No agregue opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No se registre para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haga clic en el Menú de navegación que se encuentra en la parte superior izquierda de la pantalla.

Tarea 1. Explora la red predeterminada

Cada proyecto de Google Cloud tiene una red predeterminada con subredes, rutas y reglas de firewall.

Visualiza las subredes

La red predeterminada tiene una subred en cada región de Google Cloud.

1. En la consola de Cloud, navega al Menú de navegación () > Red de VPC > Redes de VPC.

2. Haz clic en la red predeterminada. Observa los detalles de la red predeterminada y las subredes.

Nota: Cada subred está asociada con una región de Google Cloud y un bloque privado de CIDR conforme a RFC 1918 para su rango de direcciones IP internas y una puerta de enlace.

Visualiza las rutas

Las rutas dirigen a las instancias de VM y a la red de VPC en el envío del tráfico de una instancia a un destino, ya sea dentro de la red o fuera de Google Cloud.

Cada red de VPC incluye algunas rutas predeterminadas para enrutar el tráfico entre sus subredes y enviarlo de las instancias aptas a Internet.

1. En el panel izquierdo, haz clic en Rutas.

2. En la pestaña Rutas eficaces, selecciona la red predeterminada y la región us-central1.

Observa que hay una ruta para cada subred y una para la puerta de enlace de Internet predeterminada (0.0.0.0./0).

Nota: Tú administras estas rutas, pero puedes crear rutas estáticas personalizadas para dirigir algunos paquetes a destinos específicos. Por ejemplo, puedes crear una ruta que envíe todo el tráfico saliente a una instancia configurada como una puerta de enlace NAT.

Visualiza las reglas de firewall

Cada red de VPC implementa un firewall virtual distribuido que puedes configurar. Con las reglas de firewall, puedes controlar qué paquetes tienen permitido trasladarse a qué destinos.

Cada red de VPC tiene dos reglas de firewall implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes.

1. En el panel izquierdo, haz clic en Firewall.

Observa que hay 4 reglas de firewall de entrada para la red predeterminada:

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

Nota: Estas reglas de firewall permiten el tráfico de entrada ICMP, RDP y SSH desde cualquier parte (0.0.0.0/0), y todo el tráfico ICMP, TCP y UDP dentro de la red (10.128.0.0/9). En las columnas Destinos, Filtros de fuente, Protocolos/puertos y Acción, se explican estas reglas.

Borra la red predeterminada

1. Selecciona todas las reglas de firewall y haz clic en BORRAR.

2. En el panel izquierdo, haz clic en Redes de VPC.

3. Haz clic en la red predeterminada.

4. Haz clic en Borrar red de VPC en la parte superior de la página.

5. Luego, haz clic en BORRAR para confirmar la eliminación de la red predeterminada.

   Nota: Antes de continuar, espera a que se borre la red.

6. En el panel izquierdo, haz clic en Rutas.

   Observa que no hay rutas. Es posible que debas hacer clic en el botón Actualizar en la parte superior de la página.

Nota: Si no hay una red de VPC, no hay rutas.

Intenta crear una instancia de VM

Verifica que no puedas crear una instancia de VM sin una red de VPC.

1. En la consola de Cloud, navega al Menú de navegación () > Compute Engine > Instancias de VM.

2. Haz clic en + CREAR INSTANCIA para crear una instancia de VM.

3. Deja todos los valores con sus opciones predeterminadas y haz clic en Crear.

   Nota: Observa el error.

4. Expande la sección Opciones avanzadas y, luego, desplázate a Interfaces de red.

   Nota: Observa el error No hay más redes disponibles en este proyecto debajo del cuadro Red.

5. Haz clic en Cancelar.

Nota: Como se esperaba, no puedes crear una instancia de VM sin una red de VPC.

Tarea 2: Crea una red de VPC e instancias de VM

Crea una red de VPC para que puedas crear instancias de VM.

Crea una red de VPC de modo automático con reglas de firewall

Crea una red de modo automático para replicar la red predeterminada.

1. En la consola, ve a Menú de navegación () > Red de VPC > Redes de VPC y, luego, haz clic en +CREAR RED DE VPC.

2. En Nombre, escribe mynetwork.

3. En Modo de creación de subred, haz clic en Automático.

   Las redes de modo automático crean subredes en cada región automáticamente.

4. En Reglas de firewall, explora todas las reglas disponibles.

   Estas son las mismas reglas de firewall estándar que tenía la red predeterminada.

Nota: Las reglas deny-all-ingress y allow-all-egress también se muestran, pero no puedes marcarlas ni desmarcarlas porque están implícitas. Estas dos reglas tienen una prioridad más baja (los números enteros más altos indican prioridades más bajas), de modo que permiten que se consideren primero las reglas personalizadas, y de SSH, ICMP y RDP.

5. Haz clic en CREAR y espera que se cree mynetwork.

   Observa que se creó una subred para cada región.

6. Haz clic en mynetwork y registra el rango de direcciones IP para las subredes en y . Se hará referencia a esto en los próximos pasos.

Nota: Si alguna vez borras la red predeterminada, puedes volver a crearla rápidamente. Para ello, deberás crear una red de modo automático como lo acabas de hacer.

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Crear una red de VPC

Crea una instancia de VM en

Crea una instancia de VM en la región . Seleccionar una región y una zona determina la subred y asigna la dirección IP interna del rango de direcciones IP de la subred.

1. En la consola, ve a Menú de navegación () > Compute Engine > Instancias de VM.

2. Haz clic en +CREAR INSTANCIA.

3. Configura los siguientes valores y deja el resto con sus configuraciones predeterminadas:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	mynet-us-vm
   Región
   Zona
   Serie	E2
   Tipo de máquina	e2-micro

4. Haz clic en Crear y espera a que se cree la instancia.

5. Verifica que la IP interna se haya asignado a partir del rango de direcciones IP para la subred en .

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Crear una instancia de VM en

Crea una instancia de VM en

Crea una instancia de VM en la región .

1. Haz clic en +CREAR INSTANCIA.

2. Configura los siguientes valores y deja el resto con sus configuraciones predeterminadas:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	mynet-second-vm
   Región
   Zona
   Serie	E2
   Tipo de máquina	e2-micro

3. Haz clic en Crear y espera a que se cree la instancia.

Nota: Si recibes un error que indica que esta zona no tiene suficientes recursos para completar la solicitud, vuelve a ejecutar los pasos del 1 al 3 con una zona diferente.

4. Verifica que la IP interna se haya asignado a partir del rango de direcciones IP para la subred en .

   La IP interna debe ser , ya que x.x.x.1 está reservada para la puerta de enlace y no configuraste ninguna otra instancia en esa subred.

Nota: Las direcciones IP externas de ambas instancias de VM son efímeras. Si se detiene una instancia, las direcciones IP externas efímeras asignadas a la instancia se devuelven al grupo general de Compute Engine y quedan disponibles para que las usen otros proyectos.

Cuando se vuelve a iniciar una instancia detenida, se le asigna una nueva dirección IP externa efímera. De manera alternativa, puedes reservar una dirección IP externa estática, que asigna la dirección a tu proyecto de forma indefinida hasta que la liberes de manera explícita.

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Crear una instancia de VM en

Tarea 3: Explora la conectividad de las instancias de VM

Explora la conectividad de las instancias de VM. Específicamente, accede con SSH a tus instancias de VM mediante tcp:22 y haz ping a las direcciones IP internas y externas de tus instancias de VM con ICMP. Luego, explora los efectos de las reglas de firewall en la conectividad. Para eso, quita las reglas de a una.

Verifica la conectividad de las instancias de VM

Las reglas de firewall que creaste con mynetwork permiten el tráfico ICMP y SSH de entrada desde dentro de mynetwork (IP interna) y fuera de esa red (IP externa).

1. En la consola, navega a Menú de navegación () > Compute Engine > Instancias de VM.

   Toma nota de las direcciones IP internas y externas de mynet-second-vm.

2. En mynet-us-vm, haz clic en SSH para iniciar una terminal y conectarte. Es posible que debas hacer clic en SSH dos veces.

   Puedes acceder con SSH debido a la regla de firewall allow-ssh, que permite el tráfico entrante desde cualquier lado (0.0.0.0/0) para tcp:22.

   Nota: La conexión SSH funciona sin problemas porque Compute Engine genera una clave SSH para ti y la almacena en una de las siguientes ubicaciones:
   • De forma predeterminada, Compute Engine agrega la clave generada a los metadatos del proyecto o de la instancia.
   • Si tu cuenta está configurada para usar Acceso al SO, Compute Engine almacenará la clave generada con tu cuenta de usuario.
   De manera alternativa, puedes controlar el acceso a instancias de Linux creando claves SSH y editando los metadatos públicos de claves SSH.

3. Para probar la conectividad con la IP interna de mynet-second-vm, ejecuta el siguiente comando con la IP interna de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's internal IP here>

   Puedes hacer ping a la IP interna de mynet-second-vm debido a la regla de firewall allow-custom.

4. Para probar la conectividad con la IP externa de mynet-second-vm, ejecuta el siguiente comando con la IP externa de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's external IP here>

Tarea 4: Pon a prueba tus conocimientos

A continuación, se presentan algunas preguntas de opción múltiple para reforzar tus conocimientos de los conceptos de este lab. Trata de responderlas lo mejor posible.

Nota: Pudiste acceder con SSH a mynet-us-vm y hacer ping a las direcciones IP interna y externa de mynet-second-vm como estaba previsto. Como alternativa, podrías acceder con SSH a mynet-second-vm y hacer ping a las direcciones IP interna y externa de mynet-us-vm, lo cual también funciona.

Tarea 5: Quita las reglas de firewall allow-icmp

Quita la regla de firewall allow-icmp y, luego, intenta hacer ping a las direcciones IP interna y externa de mynet-second-vm.

1. En la consola, navega a Menú de navegación () > Red de VPC > Firewall.

2. Marca la regla mynetwork-allow-icmp.

3. Haz clic en BORRAR.

4. Haz clic en BORRAR para confirmar esta acción.

   Espera hasta que se borre la regla de firewall.

5. Regresa a la terminal SSH de mynet-us-vm.

6. Para probar la conectividad con la IP interna de mynet-second-vm, ejecuta el siguiente comando con la IP interna de mynet-second-vm:

ping -c 3 <Enter mynet-second-vm's internal IP here>

Puedes hacer ping a la IP interna de mynet-second-vm debido a la regla de firewall allow-custom.

7. Para probar la conectividad con la IP externa de mynet-second-vm, ejecuta el siguiente comando con la IP externa de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's external IP here>

Nota: La pérdida del 100% de los paquetes indica que no pudiste hacer ping a la IP externa de mynet-second-vm. Esto es normal, ya que borraste la regla de firewall allow-icmp.

Tarea 6: Quita las reglas de firewall allow-custom

Quita la regla de firewall allow-custom y, luego, intenta hacer ping a la dirección IP interna de mynet-second-vm.

1. En la consola, navega a Menú de navegación () > Red de VPC > Firewall.

2. Marca la regla mynetwork-allow-custom y, luego, haz clic en BORRAR.

3. Haz clic en BORRAR para confirmar esta acción.

   Espera hasta que se borre la regla de firewall.

4. Regresa a la terminal SSH de mynet-us-vm.

5. Para probar la conectividad con la IP interna de mynet-second-vm, ejecuta el siguiente comando con la IP interna de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's internal IP here>

Nota: La pérdida del 100% de los paquetes indica que no pudiste hacer ping a la IP interna de mynet-second-vm. Esto es normal, ya que borraste la regla de firewall allow-custom.

6. Cierra la terminal SSH:

   exit

Tarea 7: Quita las reglas de firewall allow-ssh

Quita la regla de firewall allow-ssh y, luego, intenta acceder con SSH a mynet-us-vm.

1. En la consola, navega a Menú de navegación () > Red de VPC > Firewall.

2. Marca la regla mynetwork-allow-ssh y, luego haz clic en BORRAR.

3. Haz clic en BORRAR para confirmar esta acción.

   Espera hasta que se borre la regla de firewall.

4. En la consola, navega a Menú de navegación () > Compute Engine > Instancias de VM.

5. En mynet-us-vm, haz clic en SSH para iniciar una terminal y conectarte.

Nota: El mensaje Error de conexión indica que no pudiste establecer la conexión SSH a mynet-us-vm porque borraste la regla de firewall allow-ssh.

¡Felicitaciones!

En este lab, exploraste la red predeterminada y sus subredes, rutas y reglas de firewall. Además, borraste la red predeterminada y comprobaste que no puedes crear ninguna instancia de VM sin una red de VPC. Entonces, creaste una nueva red de VPC de modo automático con subredes, rutas y reglas de firewall, y dos instancias de VM. Luego, probaste la conectividad de las instancias de VM y exploraste los efectos de las reglas de firewall sobre la conectividad.

Próximos pasos y más información

Obtén más información sobre las VPC de Google en la descripción general de la red de la nube privada virtual (VPC).

Última actualización del manual: 10 de febrero de 2024

Prueba más reciente del lab: 1 de septiembre de 2023

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.