tutoriales.com

Simplificando la Conectividad Híbrida: Conexión Segura entre tu Red On-Premise y Google Cloud con Cloud VPN

Este tutorial te guiará paso a paso para configurar una conexión VPN de sitio a sitio entre tu red on-premise y Google Cloud. Descubre cómo asegurar tus comunicaciones y extender tu centro de datos a la nube de manera efectiva, utilizando las capacidades de Cloud VPN.

Intermedio15 min de lectura5 views
Reportar error

📖 Introducción a la Conectividad Híbrida y Cloud VPN

En el panorama tecnológico actual, la adopción de arquitecturas híbridas es una estrategia fundamental para muchas organizaciones. Esta aproximación permite combinar la infraestructura existente en las instalaciones (on-premise) con los vastos recursos y la escalabilidad de la nube pública. Google Cloud Platform (GCP) ofrece diversas soluciones para lograr esta integración, y una de las más versátiles para establecer una conectividad segura y robusta es Cloud VPN.

¿Qué es la Conectividad Híbrida? 🤔

La conectividad híbrida se refiere a la capacidad de interconectar y operar sin problemas entornos de TI tanto locales como basados en la nube. Esto permite a las empresas aprovechar lo mejor de ambos mundos: mantener ciertos datos o aplicaciones en local por razones de cumplimiento o rendimiento, mientras que otras cargas de trabajo se benefician de la flexibilidad, la escalabilidad y los servicios avanzados que ofrece la nube.

¿Por qué Cloud VPN? ✨

Google Cloud VPN te permite conectar de forma segura tu red de iguales (on-premise) a tu red de Google Cloud a través de una conexión IPsec VPN. Es una solución ideal para escenarios donde necesitas una conexión segura y confiable sin la complejidad o el costo de una interconexión dedicada (como Cloud Interconnect).

Características clave de Cloud VPN:

  • Seguridad: Utiliza el protocolo IPsec para cifrar el tráfico entre tu red local y GCP.
  • Fiabilidad: Soporta túneles VPN de alta disponibilidad para minimizar el tiempo de inactividad.
  • Flexibilidad: Permite conexiones de sitio a sitio, es decir, conectar una puerta de enlace VPN en tu red on-premise a una puerta de enlace VPN en Google Cloud.
  • Coste-efectivo: Generalmente más económico que las opciones de interconexión dedicada para anchos de banda moderados.

🎯 Conceptos Clave de Cloud VPN

Antes de sumergirnos en la configuración, es importante entender algunos términos y componentes clave de Cloud VPN.

Tipos de Cloud VPN en GCP 🌉

Google Cloud ofrece dos tipos principales de Cloud VPN:

  • VPN de alta disponibilidad (HA VPN): Es la opción recomendada para conexiones de producción. Proporciona un SLA del 99.99% de tiempo de actividad y asegura la continuidad del servicio mediante el uso de múltiples interfaces y túneles en la parte de Google Cloud, que se conectan a tu dispositivo de puerta de enlace de pares.
  • VPN clásica: Es la versión anterior de Cloud VPN. Se recomienda solo para escenarios de baja disponibilidad o de pruebas, ya que no ofrece las mismas garantías de SLA y redundancia que HA VPN. En este tutorial, nos centraremos en HA VPN debido a sus beneficios superiores.

Componentes Esenciales 🧩

Para configurar Cloud VPN, interactuarás con los siguientes componentes:

  • Puerta de enlace VPN de Cloud (Cloud VPN Gateway): Es el recurso en Google Cloud que actúa como un punto final para los túneles VPN IPsec. Para HA VPN, esta puerta de enlace tiene múltiples interfaces IP externas.
  • Túnel VPN (VPN Tunnel): Es la conexión IPsec encriptada entre tu puerta de enlace de Cloud VPN y tu puerta de enlace de pares.
  • Puerta de enlace de pares (Peer VPN Gateway): Es tu dispositivo VPN on-premise (router, firewall, etc.) que se conecta a la puerta de enlace VPN de Cloud.
  • Red de Google Cloud (VPC Network): La red virtual en GCP a la que deseas conectar tu red on-premise.
  • Rutas estáticas o dinámicas (BGP): Mecanismos para el intercambio de información de rutas entre tu red on-premise y tu VPC de Google Cloud. HA VPN utiliza BGP para el enrutamiento dinámico.
  • Reglas de Firewall: Configuración en tu VPC para permitir el tráfico a través del túnel VPN.
Red On-Premise Puerta de enlace VPN (Peer) IP Pública: 1.2.3.4 Red de Google Cloud (VPC) Puerta de enlace HA VPN Interfaz 0 (IP Pública A) Interfaz 1 (IP Pública B) Red VPC Máquinas Virtuales / Recursos Túnel IPsec 1 Túnel IPsec 2 Enrutamiento BGP Flujo de Tráfico Bidireccional
🔥 Importante: Para HA VPN, tu puerta de enlace de pares debe ser compatible con BGP y tener dos interfaces externas, o una con la capacidad de establecer dos túneles separados a las dos interfaces de la puerta de enlace de HA VPN de Cloud.

🛠️ Requisitos Previos y Preparación

Antes de iniciar la configuración, asegúrate de tener los siguientes elementos listos:

Lado de Google Cloud:

  1. Proyecto de Google Cloud: Un proyecto activo donde configurarás la VPN.
  2. Red VPC: Una red VPC existente con sus subredes en la región deseada. Anota el nombre de la VPC y las subredes que deseas exponer a tu red on-premise.
  3. Permisos: Tu cuenta de usuario debe tener los permisos necesarios para crear recursos de red (por ejemplo, el rol de Compute Network Admin o Owner).

Lado On-Premise (Tu Red):

  1. Dispositivo VPN: Un dispositivo de puerta de enlace VPN (router o firewall) compatible con IPsec y BGP. Ejemplos incluyen Cisco, Juniper, FortiGate, o strongSwan.
  2. Dirección IP Pública Estática: La dirección IP pública de tu dispositivo VPN on-premise. Esta dirección debe ser accesible desde Internet.
  3. Rangos de IP de la Red On-Premise: Los rangos de IP (CIDR) de las subredes en tu red local que necesitan acceder a GCP.
  4. Credenciales: Prepara una clave pre-compartida (PSK) segura para la autenticación IPsec. Utiliza una cadena de caracteres compleja y larga.
⚠️ Advertencia: Asegúrate de que tu dispositivo VPN on-premise no esté detrás de un NAT (Network Address Translation) que modifique las direcciones IP de origen/destino, ya que esto puede causar problemas con la negociación IPsec. Si usa NAT, debe ser un 1:1 NAT estático.

⚙️ Configuración Paso a Paso en Google Cloud

Ahora, vamos a configurar HA VPN en Google Cloud.

Paso 1: Crear una Red VPC (si no tienes una) 🌐

Si ya tienes una VPC, puedes omitir este paso.

  1. Ve a la Consola de Google Cloud.
  2. Navega a Menú de navegación > Redes de VPC > Redes de VPC.
  3. Haz clic en Crear red de VPC.
  4. Dale un Nombre (ej. mi-vpc-hibrida).
  5. Selecciona Automática o Personalizada para la creación de subredes. Para este tutorial, asumiremos que usarás subredes personalizadas. Crea una subred en la región donde deseas tu VPN (ej. europe-west1, 10.10.0.0/20).
  6. Haz clic en Crear.

Paso 2: Crear una Puerta de Enlace HA VPN de Cloud 🚪

  1. Navega a Menú de navegación > Conectividad de red > VPN.
  2. Haz clic en Crear conexión VPN.
  3. Selecciona Alta disponibilidad (HA VPN) y haz clic en Continuar.
  4. Nombre de la puerta de enlace: Dale un nombre descriptivo (ej. mi-ha-vpn-gateway).
  5. Red: Selecciona la VPC que creaste o ya tienes (ej. mi-vpc-hibrida).
  6. Región: Selecciona la misma región que tu subred (ej. europe-west1).
  7. Haz clic en Crear y continuar.

Google Cloud provisionará una puerta de enlace HA VPN con dos direcciones IP públicas. Anota estas IPs, las necesitarás para configurar tu dispositivo VPN on-premise.

33%

Paso 3: Crear Túneles VPN 🔗

Desde la misma pantalla donde creaste la puerta de enlace, continuarás para crear los túneles.

  1. Nombre del túnel 1: tunel-a-onpremise-1

  2. Puerta de enlace de VPN de pares: Selecciona En la premisa o en otra nube. Introduce la Dirección IP externa de tu dispositivo VPN on-premise.

  3. IKE pre-shared key: Introduce la PSK que acordaste con tu administrador de red on-premise.

  4. Enrutamiento: Selecciona Cloud Router (BGP).

  5. Cloud Router: Selecciona un Cloud Router existente o crea uno nuevo. Dale un Nombre (ej. mi-cloud-router). Selecciona el ASN de Google (puede ser un valor predeterminado como 65500).

  6. Sesión BGP 1:

    • Nombre: bgp-session-1
    • ASN de pares: El ASN de tu dispositivo VPN on-premise.
    • Dirección IP de BGP de Google Cloud: Se autogenera, es una /30 para la sesión BGP.
    • Dirección IP de BGP de pares: La dirección IP de BGP en tu dispositivo on-premise para este túnel.

  7. Segundo Túnel (Alta Disponibilidad): Para HA VPN, debes crear un segundo túnel que se conectará a la segunda interfaz IP pública de tu puerta de enlace HA VPN de Cloud. Repite los pasos 1-6 para el segundo túnel, asegurándote de usar:

    • Nombre del túnel 2: tunel-a-onpremise-2
    • Una dirección IP de BGP de pares diferente de tu dispositivo on-premise para este túnel.

  8. Haz clic en Crear túneles VPN.

66%

Paso 4: Configurar Reglas de Firewall 🛡️

Por defecto, las VPC de Google Cloud bloquean todo el tráfico entrante. Debes crear reglas de firewall para permitir el tráfico desde tu red on-premise a tus recursos en GCP.

  1. Navega a Menú de navegación > Redes de VPC > Firewall.
  2. Haz clic en Crear regla de firewall.
  3. Nombre: allow-vpn-inbound
  4. Red: Selecciona tu VPC (ej. mi-vpc-hibrida).
  5. Prioridad: (ej. 1000, asegúrate de que sea más baja que cualquier regla de denegación).
  6. Acción al coincidir: Permitir
  7. Direcciones IP de origen: Introduce los rangos CIDR de tu red on-premise (ej. 192.168.1.0/24).
  8. Protocolos y puertos: Selecciona Todos los protocolos y puertos o especifica solo los necesarios (ej. tcp:80,443; udp:53). Se recomienda ser específico por motivos de seguridad.
  9. Haz clic en Crear.

También es posible que necesites una regla para el tráfico saliente si tienes restricciones, aunque la regla de salida predeterminada (allow-all-egress) suele ser suficiente.

100%

🧑‍💻 Configuración del Dispositivo VPN On-Premise

Esta es la parte más dependiente de tu hardware o software VPN específico. A continuación, se presenta una guía general, pero deberás consultar la documentación de tu proveedor.

Puntos Clave a Configurar:

  1. Configuración de la Interfaz: Asegúrate de que tu dispositivo VPN tenga una interfaz pública con la IP estática configurada.
  2. Parámetros IPsec (Fase 1 - IKE):
    • Modo: Modo principal
    • Cifrado: AES256, AES128
    • Autenticación: SHA256, SHA1
    • Grupo Diffie-Hellman: DH14, DH2, DH5 (asegúrate de que coincida con la configuración de Google Cloud; GCP recomienda DH14 o superior)
    • Tiempo de vida: 3600 segundos (1 hora)
    • PSK: La misma clave pre-compartida que configuraste en GCP.
  3. Parámetros IPsec (Fase 2 - IPsec):
    • Protocolo: ESP
    • Cifrado: AES256, AES128
    • Autenticación: SHA256, SHA1
    • Grupo Diffie-Hellman: El mismo que la Fase 1 (o none si no se aplica PFS)
    • Tiempo de vida: 10800 segundos (3 horas)
    • Selector de tráfico: Dejar como 0.0.0.0/0 (cualquiera a cualquiera) ya que el enrutamiento se manejará con BGP.
  4. Configuración BGP:
    • Router BGP: Habilita el BGP en la interfaz que se conecta al túnel VPN.
    • ASN Local: Tu ASN on-premise (el que configuraste como ASN de pares en GCP).
    • Vecinos (Peers): Configura dos vecinos BGP, uno para cada dirección IP de BGP de Google Cloud que se generó para tus túneles VPN.
    • Direcciones IP de Vecinos: Las IPs de BGP de Google Cloud (son direcciones /30).
    • ASN Remoto: El ASN de Google Cloud (ej. 65500).
    • Anunciar rutas: Configura tu dispositivo para anunciar los rangos de IP de tu red on-premise (ej. 192.168.1.0/24) a los vecinos BGP de Google Cloud.
  5. Reglas de Firewall: Asegúrate de que el firewall de tu dispositivo on-premise permita el tráfico IPsec (UDP 500, UDP 4500) y el tráfico BGP (TCP 179) hacia y desde las direcciones IP públicas de la puerta de enlace HA VPN de Google Cloud.
💡 Consejo: Muchos fabricantes de dispositivos VPN proporcionan guías de configuración específicas para Google Cloud VPN. Búscalas para tu modelo exacto.

✅ Verificación y Resolución de Problemas

Una vez que hayas configurado ambos lados, es hora de verificar la conexión.

Verificación en Google Cloud ☁️

  1. Estado del Túnel: Vuelve a Conectividad de red > VPN en la Consola de Google Cloud. Deberías ver tus túneles con un estado de Establecido o Verde.
    • Si los túneles no se establecen, verifica los logs de la puerta de enlace VPN en Cloud Logging.
  2. Rutas BGP: Navega a Conectividad de red > Cloud Routers. Selecciona tu Cloud Router y revisa las Rutas aprendidas. Deberías ver las rutas de tu red on-premise.
  3. Ping y SSH: Desde una máquina virtual en tu VPC de Google Cloud, intenta hacer ping o SSH a una máquina en tu red on-premise, y viceversa.
gcloud compute ssh vm-en-gcp --zone=us-central1-a
ping 192.168.1.10 # IP de una máquina on-premise

Resolución de Problemas Comunes 🛠️

  • Túneles no se establecen:
    • PSK Incorrecta: La clave pre-compartida debe ser exactamente la misma en ambos extremos.
    • Parámetros IPsec (Fase 1/Fase 2) no coincidentes: Revisa el cifrado, autenticación, grupos DH, y tiempos de vida. Deben coincidir.
    • Problemas de Firewall: Asegúrate de que el puerto UDP 500 (IKE) y UDP 4500 (IPsec NAT-T) estén abiertos en ambos lados.
    • Direcciones IP de pares incorrectas: Confirma que las direcciones IP públicas de la puerta de enlace de Cloud VPN y tu dispositivo on-premise sean correctas y estén accesibles.
  • Túneles establecidos, pero no hay tráfico:
    • Problemas de Enrutamiento BGP: Verifica que las sesiones BGP estén activas y que las rutas se estén anunciando y aprendiendo correctamente en ambos lados. Revisa el ASN local y remoto.
    • Reglas de Firewall: Asegúrate de que las reglas de firewall en GCP y en tu red on-premise permitan el tráfico deseado (protocolos y puertos) desde los rangos IP de origen correctos.
    • Subredes no anunciadas: Confirma que los rangos de IP de las subredes en ambos entornos estén siendo anunciados por BGP.
Ejemplo de Configuración de strongSwan (Cliente Linux)

Si usas strongSwan en un servidor Linux como tu "puerta de enlace de pares", aquí hay un ejemplo básico de configuración en /etc/ipsec.conf y /etc/ipsec.secrets.

/etc/ipsec.conf (ejemplo simplificado)

conn google-vpn-1
  ikelifetime=1h
  keylife=3h
  rekeymargin=3m
  keyingtries=%forever
  keyexchange=ikev2
  authby=secret
  left=%any
  leftid=<TU_IP_PUBLICA_ONPREMISE>
  leftsubnet=192.168.1.0/24
  right=<IP_PUBLICA_GCP_TUNEL_1>
  rightsubnet=10.10.0.0/20
  auto=start
  type=tunnel
  dpddelay=10s
  dpdtimeout=30s
  dpdaction=restart
  ike=aes256-sha256-modp1024!
  esp=aes256-sha256!

conn google-vpn-2
  ikelifetime=1h
  keylife=3h
  rekeymargin=3m
  keyingtries=%forever
  keyexchange=ikev2
  authby=secret
  left=%any
  leftid=<TU_IP_PUBLICA_ONPREMISE>
  leftsubnet=192.168.1.0/24
  right=<IP_PUBLICA_GCP_TUNEL_2>
  rightsubnet=10.10.0.0/20
  auto=start
  type=tunnel
  dpddelay=10s
  dpdtimeout=30s
  dpdaction=restart
  ike=aes256-sha256-modp1024!
  esp=aes256-sha256!

/etc/ipsec.secrets

<TU_IP_PUBLICA_ONPREMISE> <IP_PUBLICA_GCP_TUNEL_1> : PSK "<TU_PSK_SECRETA>"
<TU_IP_PUBLICA_ONPREMISE> <IP_PUBLICA_GCP_TUNEL_2> : PSK "<TU_PSK_SECRETA>"

Configuración BGP (para strongSwan, necesitarías un software BGP como FRR o Bird)

Esto es un ejemplo conceptual para FRR (/etc/frr/frr.conf):

router bgp <TU_ASN_ONPREMISE>
  bgp router-id <IP_BGP_ONPREMISE>
  neighbor <IP_BGP_GCP_TUNEL_1> remote-as <ASN_GCP>
  neighbor <IP_BGP_GCP_TUNEL_1> update-source <IP_INTERFACE_ONPREMISE>
  neighbor <IP_BGP_GCP_TUNEL_2> remote-as <ASN_GCP>
  neighbor <IP_BGP_GCP_TUNEL_2> update-source <IP_INTERFACE_ONPREMISE>
  address-family ipv4 unicast
    network 192.168.1.0/24
  exit-address-family

📈 Beneficios y Casos de Uso

La implementación de Cloud VPN, especialmente HA VPN, abre un abanico de posibilidades y beneficios para tu organización.

Beneficios Clave:

  • Extensión de Data Center: Conecta tus redes locales a GCP, extendiendo eficazmente tu centro de datos a la nube.
  • Recuperación ante Desastres (DR): Replica datos y aplicaciones críticas a GCP para garantizar la continuidad del negocio en caso de un desastre local.
  • Respaldo y Archivo: Utiliza el almacenamiento de GCP para realizar copias de seguridad de datos locales de forma segura y rentable.
  • Migración de Cargas de Trabajo: Facilita la migración gradual de aplicaciones y bases de datos a la nube.
  • Acceso Seguro: Proporciona a tus empleados o aplicaciones on-premise acceso seguro a recursos en la nube.
  • Alta Disponibilidad: HA VPN garantiza una conexión robusta con un SLA elevado, crítico para operaciones de producción.

Casos de Uso Típicos:

Acceso a Bases de Datos en Cloud SQL: Permite que aplicaciones on-premise se conecten de forma segura a bases de datos alojadas en Cloud SQL.
Acceso a APIs o Microservicios en GKE/Cloud Run: Aplicaciones legacy en tu red local pueden interactuar con microservicios modernos desplegados en Google Kubernetes Engine o Cloud Run.
Sincronización de Directorios: Sincroniza directorios como Active Directory entre tu entorno local y servicios de identidad en Google Cloud (como Managed Microsoft AD).
Consumo de Servicios Gestionados de GCP: Facilita el acceso seguro a BigQuery, Cloud Storage, y otros servicios de GCP desde tu infraestructura local.

💲 Consideraciones de Costo

Comprender el modelo de precios de Cloud VPN es crucial para una planificación efectiva.

Componentes de Costo:

  1. Cuota por hora de la puerta de enlace VPN: Se te cobra por cada hora que tu puerta de enlace de Cloud VPN esté activa, independientemente del uso del túnel. HA VPN tiene una tarifa diferente a la VPN clásica.
  2. Cuota por GB de tráfico saliente: Se te cobra por el tráfico de salida que fluye a través de los túneles VPN desde Google Cloud hacia tu red on-premise. El tráfico entrante a Google Cloud no tiene costo.
📌 Nota: Los costos pueden variar según la región. Consulta la página oficial de precios de Google Cloud VPN para obtener la información más actualizada.

Siempre planifica tus costos y utiliza las herramientas de monitoreo de GCP para rastrear el uso y las estimaciones de facturación.

Conclusión ✨

Google Cloud VPN ofrece una solución efectiva y segura para integrar tus entornos on-premise con Google Cloud. Al seguir los pasos de este tutorial, habrás establecido una conexión híbrida robusta que te permitirá aprovechar la elasticidad y los servicios avanzados de la nube, mientras mantienes la flexibilidad y el control sobre tu infraestructura local. La HA VPN es la elección superior para entornos de producción, garantizando una conectividad fiable y de alta disponibilidad.

¡Felicidades, tu camino hacia una infraestructura híbrida segura está en marcha!

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!