Articles /

Enrutador en la nube de Google

  • El enrutador en la nube es un servicio de nube de Google totalmente distribuido y administrado que te ayuda a definir rutas dinámicas personalizadas y escalas con el tráfico de red.

Características

  • Funciona con redes heredadas y redes de Nube Privada Virtual (VPC).
  • El enrutador en la nube utiliza el Protocolo de Puerta de enlace Fronteriza (BGP) para intercambiar rutas entre su red de Nube Privada Virtual (VPC) y su red local.
  • Se requiere o recomienda el uso de un enrutador en la nube en los siguientes casos:
    • Se requiere para NAT en la nube
    • Se requiere para Interconexión en la nube y VPN de alta disponibilidad
    • Una opción de configuración recomendada para VPN Clásica
  • Cuando extiendas tu red local a Google Cloud, usa el enrutador en la nube para intercambiar rutas dinámicamente entre tus redes de Google Cloud y tu red local.
  • Enrutador en la nube pares con su gateway o enrutador VPN local. Los routers intercambian información de topología a través de BGP.

Enrutar anuncios

  • A través de BGP, el enrutador en la nube anuncia las direcciones IP de los recursos de Google a los que pueden llegar los clientes de su red local. A continuación, su red local envía paquetes a su red VPC que tienen una dirección IP de destino que coincide con un rango de IP anunciado. Después de llegar a Google Cloud, las reglas y rutas de firewall de su red VPC determinan cómo enrutar los paquetes en Google Cloud.
  • Anuncio de ruta predeterminada: El enrutador en la nube anuncia subredes en su región para enrutamiento dinámico regional o todas las subredes en una red VPC para enrutamiento dinámico global.
  • Anuncio de ruta personalizada: Especifique explícitamente las rutas que un enrutador en la nube anuncia en su red local.

Valide sus conocimientos

Pregunta 1

Está alojando una aplicación web en su centro de datos local que necesita recuperar archivos de un bucket de almacenamiento en la nube. Sin embargo, su empresa implementa estrictamente políticas de seguridad que prohíben que sus servidores de metal desnudo tengan una dirección IP pública o tengan acceso a Internet. Desea seguir las prácticas recomendadas por Google para proporcionar a su aplicación web el acceso necesario al almacenamiento en la nube.¿Qué deberías hacer?

  1. un comando. Issue nslookup en la línea de comandos para obtener la dirección IP de storage.googleapis.com.
    b. Discuta con el equipo de seguridad por qué necesita tener una dirección IP pública para los servidores.
    c. Permita explícitamente el tráfico de salida de sus servidores a la dirección IP de storage.googleapis.com.
  2. a. Cree un túnel VPN que se conecte a una VPC de modo personalizado en Google Cloud Platform con Cloud VPN.
    b. Cree una instancia de Compute Engine e instale el servidor Proxy Squid. Utilice la VPC de modo personalizado como ubicación.
    c. Configure sus servidores locales para que usen la nueva instancia como proxy para acceder al bucket de almacenamiento en la nube.
  3. a. Migre su servidor local usando Migrate for Compute Engine (anteriormente conocido como Velostrata).
    b. Aprovisione un equilibrador de carga interno (ILB)que use storage.googleapis.com como motor.
    c. Configure las nuevas instancias para usar ILB como proxy para conectarse al almacenamiento en la nube.
  4. a. Cree un túnel VPN a GCP usando VPN en la nube o Interconexión en la nube.
    b. Utilice el enrutador en la nube para crear un anuncio de ruta personalizado para 199.36.153.4/30. Anuncie esa red a su red local a través de un túnel VPN.
    c. Configure el servidor DNS en su red local para resolver *.googleapis.com como CNAME para restricted.googleapis.com.

¡Muéstrame la respuesta!

Respuesta correcta: 4

El acceso privado de Google para hosts locales requiere que dirija los servicios a uno de los siguientes dominios especiales. El dominio especial que elija determina a qué servicios puede acceder:

private.googleapis.com (199.36.153.8/30) proporciona acceso a la mayoría de las API y servicios de Google, incluidas las API para desarrolladores y en la nube que admiten Controles de Servicio de VPC y las que no admiten Controles de Servicio de VPC. Los controles de servicio de VPC se aplican cuando se configura un servicio perimeter.restricted.googleapis.com (199.36.153.4/30) solo proporciona acceso a las API de desarrolladores y de la nube que admiten los controles de servicio de VPC. Los controles de servicio de VPC se aplican a estos servicios si ha configurado un perímetro de servicio. Está prohibido el acceso a cualquier API o servicio de Google que no sea compatible con los Controles de servicio de VPC.

Para que los hosts locales lleguen a los servicios restringidos de la API de Google, las solicitudes a las API de Google deben enviarse a través de una red VPC, ya sea a través de un túnel VPN en la nube o una conexión de interconexión en la nube.

En ambos casos, todas las solicitudes a las API y servicios de Google deben enviarse a un rango de dirección IP virtual (VIP) 199.36.153.4 / 30 (restricted.googleapis.com). El rango de direcciones IP no se anuncia a Internet. El tráfico enviado al VIP permanece solo dentro de la red de Google.

Las rutas de su red local deben configurarse para dirigir el tráfico a los intervalos de direcciones IP utilizados por el private.googleapis.com o restricted.googleapis.com túneles VPN en la nube o archivos adjuntos de interconexión en la nube (VLAN) que se conectan a su red VPC.

Puede usar Anuncios de rutas personalizadas de enrutador en la nube para anunciar rutas para los siguientes destinos:

199.36.153.8/30– si elige private.googleapis.com199.36.153.4/30– si elige restringido.googleapis.com

La red local debe tener zonas y registros DNS configurados para que los nombres de dominio de Google se resuelvan con el conjunto de direcciones IP de cualquiera de los dos private.googleapis.com o restricted.googleapis.com. Puede crear zonas privadas administradas por DNS en la nube y usar una directiva de servidor de entrada de DNS en la nube, o puede configurar servidores de nombres locales. Por ejemplo, puede usar DNS de BIND o Microsoft Active Directory.

Por lo tanto, la respuesta correcta es:

1. Cree un túnel VPN a GCP mediante VPN en la nube o interconexión en la nube.2. Utilice el enrutador en la nube para crear un anuncio de ruta personalizado para199.36.153.4/30. Anuncie esa red a su red local a través de un túnel VPN.3. Configure un registro CNAME en su servidor DNS local para resolver todo el tráfico*.googleapis.comarestricted.googleapis.com.

La siguiente opción es incorrecta porque su empresa no le permite aprovisionar una dirección IP pública para su centro de datos local. Además, aún debe establecer un túnel VPN para conectar su red local a Google Cloud de forma privada, lo que no se menciona en esta opción:

1. Ejecute el comandonslookupen la línea de comandos para obtener la dirección IP destorage.googleapis.com.2. Discuta con el equipo de seguridad por qué necesita tener una dirección IP pública para los servidores.3. Permitir explícitamente el tráfico de salida de sus servidores a la dirección IP destorage.googleapis.com.

La siguiente opción es incorrecta porque el uso de un servidor Proxy Squid expone la red al público a través de la instancia de Compute Engine. Necesita conectarse al almacenamiento en la nube de forma privada para que esta opción no satisfaga el requisito:

1. Cree un túnel VPN que se conecte a una VPC de modo personalizado en Google Cloud Platform con Cloud VPN.2. Cree una instancia de Compute Engine e instale el servidor Proxy Squid. Utilice la VPC de modo personalizado como ubicación.3. Configure sus servidores locales para que usen la nueva instancia como proxy para acceder al bucket de almacenamiento en la nube.

La siguiente opción es incorrecta porque no es necesario migrar el servidor local existente a Google Cloud. En el escenario se indica que necesita su aplicación local para conectarse al almacenamiento en la nube de forma privada, por lo que usar Migrate for Compute Engine no es apropiado para este escenario:

1. Migre su servidor local usandoMigrate for Compute Engine2. Aprovisione un equilibrador de carga interno (ILB)que usestorage.googleapis.comcomo motor.3. Configure las nuevas instancias para usar ILB como proxy para conectarse al almacenamiento en la Nube.

https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip

Nota: Esta pregunta se extrajo de nuestros Exámenes de Práctica de Ingeniero Asociado Certificado en la Nube de Google.

Para obtener más preguntas del examen de práctica de Google Cloud con explicaciones detalladas, consulte el Portal Dojo de Tutoriales:

Referencia:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview

Supere sus certificaciones de AWS, Azure y Google Cloud con el Portal Dojo de Tutoriales

Nuestros Exámenes de Práctica de Asociado de Arquitecto de Soluciones Certificadas AWS más vendidos

Inscríbase ahora: Nuestros Exámenes de Práctica de AWS con una tasa de aprobación del 95%

¡Curso GRATUITO de AWS Cloud Practitioner Essentials!

Inscríbase Ahora: Nuestros Revisores de Exámenes de Certificación de Azure

Inscríbase Ahora: Nuestros Revisores de Exámenes de Certificación de Google Cloud

Tutoriales Guía de Estudio del Examen Dojo Libros ELECTRÓNICOS

Suscríbase a nuestro Canal de YouTube

Introducción GRATUITA a la Computación en la Nube para principiantes

Muestreadores de Pruebas Prácticas GRATUITOS de AWS, Azure, GCP

Explorar otros cursos

Publicaciones recientes

  • Introducción a SageMaker Ground Truth Personal privado
  • Familia de Transferencia de AWS
  • Procesamiento y Transformación de datos escalables con SageMaker Procesamiento (Parte 2 de 2)

Leave a Reply