1. Introducción
Las rutas estáticas personalizadas influyen en el comportamiento de enrutamiento predeterminado en una VPC. Las rutas personalizadas IPv6 ahora admiten nuevos atributos de próximo salto: next-hop-gateway, next-hop-instance y next-hop-address. En este codelab, se describe cómo usar rutas personalizadas de IPv6 con estas nuevas opciones de próximo salto mediante dos VPC conectadas por una instancia de VM con varias NIC. También demostrarás cómo combinar la asignación de ULA y GUA, y proporcionar accesibilidad a la VPC de ULA a la Internet pública con la nueva función de ruta personalizada.
Qué aprenderás
- Cómo crear una ruta IPv6 personalizada con un próximo salto next-hop-ilb especificando el nombre del ILB
- Cómo crear una ruta IPv6 personalizada con un próximo salto next-hop-ilb especificando la dirección IPv6 del ILB
Requisitos
- Proyecto de Google Cloud
2. Antes de comenzar
Actualiza el proyecto para admitir el codelab
En este codelab, se usan $variables para ayudar a implementar la configuración de gcloud en Cloud Shell.
En Cloud Shell, haz lo siguiente:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
export projectname=$(gcloud config list --format="value(core.project)")
Arquitectura general del lab
Para demostrar ambos tipos de saltos siguientes de rutas personalizadas, crearás 2 VPC: una VPC de cliente y una de servidor que usen direcciones ULA.
Para que la VPC del cliente acceda al servidor, usarás una ruta personalizada con next-hop-ilb que apunte a un ILB (con el nombre del ILB) frente a un grupo de instancias de puerta de enlace de varias NIC que se encuentran entre dos ILB. Para proporcionar enrutamiento a la instancia del cliente (después de borrar la ruta predeterminada ::/0), usarás una ruta personalizada con next-hop-ilb (con la dirección del ILB) que apunte al ILB.
3. Configuración de la VPC del cliente
Crea la VPC del cliente
En Cloud Shell, haz lo siguiente:
gcloud compute networks create client-vpc \
--project=$projectname \
--subnet-mode=custom --mtu=1500 \
--bgp-routing-mode=regional \
--enable-ula-internal-ipv6
Crea la subred del cliente
En Cloud Shell, haz lo siguiente:
gcloud compute networks subnets create client-subnet \
--network=client-vpc \
--project=$projectname \
--range=192.168.1.0/24 \
--stack-type=IPV4_IPV6 \
--ipv6-access-type=internal \
--region=us-central1
Registra la subred IPv6 asignada en una variable de entorno con este comando
export client_subnet=$(gcloud compute networks subnets \
describe client-subnet \
--project $projectname \
--format="value(internalIpv6Prefix)" \
--region us-central1)
Cómo iniciar la instancia de cliente
En Cloud Shell, haz lo siguiente:
gcloud compute instances create client-instance \
--subnet client-subnet \
--stack-type IPV4_IPV6 \
--zone us-central1-a \
--project=$projectname
Agrega una regla de firewall para el tráfico de la VPC del cliente
En Cloud Shell, haz lo siguiente:
gcloud compute firewall-rules create allow-gateway-client \
--direction=INGRESS --priority=1000 \
--network=client-vpc --action=ALLOW \
--rules=tcp --source-ranges=$client_subnet \
--project=$projectname
Agrega una regla de firewall para permitir IAP en la instancia del cliente
En Cloud Shell, haz lo siguiente:
gcloud compute firewall-rules create allow-iap-client \
--direction=INGRESS --priority=1000 \
--network=client-vpc --action=ALLOW \
--rules=tcp:22 --source-ranges=35.235.240.0/20 \
--project=$projectname
Confirma el acceso SSH a la instancia de cliente
En Cloud Shell, accede a la instancia de cliente:
gcloud compute ssh client-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Si se realiza correctamente, verás una ventana de terminal desde la instancia del cliente. Sal de la sesión de SSH para continuar con el codelab.
4. Configuración de la VPC del servidor
Crea la VPC del servidor
En Cloud Shell, haz lo siguiente:
gcloud compute networks create server-vpc \
--project=$projectname \
--subnet-mode=custom --mtu=1500 \
--bgp-routing-mode=regional \
--enable-ula-internal-ipv6
Crea las subredes del servidor
En Cloud Shell, haz lo siguiente:
gcloud compute networks subnets create server-subnet \
--network=server-vpc \
--project=$projectname \
--range=192.168.0.0/24 \
--stack-type=IPV4_IPV6 \
--ipv6-access-type=internal \
--region=us-central1
Registra la subred asignada en una variable de entorno con este comando
export server_subnet=$(gcloud compute networks subnets \
describe server-subnet \
--project $projectname \
--format="value(internalIpv6Prefix)" \
--region us-central1)
Inicia la VM del servidor
En Cloud Shell, haz lo siguiente:
gcloud compute instances create server-instance \
--subnet server-subnet \
--stack-type IPV4_IPV6 \
--zone us-central1-a \
--project=$projectname
Agrega una regla de firewall para permitir el acceso al servidor desde el cliente
En Cloud Shell, haz lo siguiente:
gcloud compute firewall-rules create allow-client-server \
--direction=INGRESS --priority=1000 \
--network=server-vpc --action=ALLOW \
--rules=tcp --source-ranges=$client_subnet \
--project=$projectname
Agrega una regla de firewall para permitir IAP
En Cloud Shell, haz lo siguiente:
gcloud compute firewall-rules create allow-iap-server \
--direction=INGRESS --priority=1000 \
--network=server-vpc --action=ALLOW \
--rules=tcp:22 \
--source-ranges=35.235.240.0/20 \
--project=$projectname
Instala Apache en la instancia del servidor de ULA
En Cloud Shell, accede a la instancia de cliente:
gcloud compute ssh server-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la shell de la VM del servidor, ejecuta el siguiente comando:
sudo apt update && sudo apt -y install apache2
Verifica que Apache esté en ejecución
sudo systemctl status apache2
Reemplaza la página web predeterminada
echo '<!doctype html><html><body><h1>Hello World! From Server Instance!</h1></body></html>' | sudo tee /var/www/html/index.html
Sal de la sesión de SSH para continuar con el codelab.
5. Crea instancias de puerta de enlace
Crea una plantilla de instancia de puerta de enlace con varias NIC
En Cloud Shell, haz lo siguiente:
gcloud compute instance-templates create gateway-instance-template \
--project=$projectname \
--instance-template-region=us-central1 \
--region=us-central1 \
--network-interface=stack-type=IPV4_IPV6,subnet=client-subnet,no-address \
--network-interface=stack-type=IPV4_IPV6,subnet=server-subnet,no-address \
--can-ip-forward \
--metadata=startup-script='#! /bin/bash
sudo sysctl -w net.ipv6.conf.ens4.accept_ra=2
sudo sysctl -w net.ipv6.conf.ens5.accept_ra=2
sudo sysctl -w net.ipv6.conf.ens4.accept_ra_defrtr=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1'
Crea un grupo de instancias de puerta de enlace con varias NIC
En Cloud Shell, haz lo siguiente:
gcloud compute instance-groups managed create gateway-instance-group \
--project=$projectname \
--base-instance-name=gateway-instance \
--template=projects/$projectname/regions/us-central1/instanceTemplates/gateway-instance-template \
--size=2 \
--zone=us-central1-a
Verifica las instancias de la puerta de enlace
Para asegurarnos de que nuestra secuencia de comandos de inicio se haya pasado correctamente y de que la tabla de enrutamiento v6 sea correcta. Establece una conexión SSH a una de las instancias de la puerta de enlace
En Cloud Shell, ejecuta el siguiente comando para obtener una lista de las instancias de puerta de enlace:
gcloud compute instances list \
--project=$projectname \
--zones=us-central1-a \
--filter name~gateway \
--format 'csv(name)'
Anota uno de los nombres de las instancias y úsalo en el siguiente comando para establecer una conexión SSH a la instancia.
En Cloud Shell, accede a una de las instancias de la puerta de enlace.
gcloud compute ssh gateway-instance-<suffix> \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la shell de la VM de la puerta de enlace, ejecuta el siguiente comando para verificar el reenvío de IPv6:
sudo sysctl net.ipv6.conf.all.forwarding
El comando debe mostrar un valor de “1” que indique que el reenvío de IPv6 está habilitado.
Verifica la tabla de enrutamiento IPv6 en la instancia
ip -6 route show
Ejemplo de salida que muestra las rutas de subred de ULA y GUA, con la ruta predeterminada que apunta a la interfaz de GUA.
::1 dev lo proto kernel metric 256 pref medium
2600:1900:4000:7a7f:0:1:: dev ens4 proto kernel metric 256 expires 83903sec pref medium
2600:1900:4000:7a7f::/65 via fe80::4001:c0ff:fea8:101 dev ens4 proto ra metric 1024 expires 88sec pref medium
fd20:3df:8d5c::1:0:0 dev ens5 proto kernel metric 256 expires 83904sec pref medium
fd20:3df:8d5c::/64 via fe80::4001:c0ff:fea8:1 dev ens5 proto ra metric 1024 expires 84sec pref medium
fe80::/64 dev ens5 proto kernel metric 256 pref medium
fe80::/64 dev ens4 proto kernel metric 256 pref medium
default via fe80::4001:c0ff:fea8:101 dev ens4 proto ra metric 1024 expires 88sec pref medium
Sal de la sesión de SSH para continuar con el codelab.
6. Crea componentes del balanceador de cargas
Antes de poder crear rutas en ambas VPC, necesitaremos crear balanceadores de cargas de transferencia interna en ambos lados de las instancias de puerta de enlace para reenviar el tráfico.
Los balanceadores de cargas creados en este codelab se componen de lo siguiente:
- Verificación de estado: En este codelab, crearemos verificaciones de estado simples que se orienten al puerto 22. Ten en cuenta que las verificaciones de estado no funcionarán como se implementaron (esto implicaría agregar reglas de firewall para permitir las verificaciones de estado y crear rutas especiales en las instancias de puerta de enlace). Dado que este codelab se enfoca en el reenvío de IPv6, usaremos el comportamiento de distribución de tráfico predeterminado de los balanceadores de cargas de transferencia interna cuando todos los backends estén inactivos, es decir, para reenviar a todos los backends como último recurso.
- Servicio de backend: Usaremos el protocolo TCP para el servicio de backend. Sin embargo, como los balanceadores de cargas se crean con fines de enrutamiento, todos los protocolos se reenvían independientemente del protocolo del servicio de backend.
- Regla de reenvío: Creamos una regla de reenvío por VPC .
- Dirección IPv6 interna: En este codelab, permitiremos que la regla de reenvío asigne direcciones IPv6 automáticamente desde la subred.
Crea una verificación de estado
En Cloud Shell, haz lo siguiente:
gcloud compute health-checks create tcp tcp-hc-22 \
--project=$projectname \
--region=us-central1 \
--port=22
Crea servicios de backend
En Cloud Shell, haz lo siguiente:
gcloud compute backend-services create bes-ilb-clientvpc \
--project=$projectname \
--load-balancing-scheme=internal \
--protocol=tcp \
--network=client-vpc \
--region=us-central1 \
--health-checks=tcp-hc-22 \
--health-checks-region=us-central1
gcloud compute backend-services create bes-ilb-servervpc \
--project=$projectname \
--load-balancing-scheme=internal \
--protocol=tcp \
--network=server-vpc \
--region=us-central1 \
--health-checks=tcp-hc-22 \
--health-checks-region=us-central1
Agrega un grupo de instancias al servicio de backend
En Cloud Shell, haz lo siguiente:
gcloud compute backend-services add-backend bes-ilb-clientvpc \
--project=$projectname \
--region=us-central1 \
--instance-group=gateway-instance-group \
--instance-group-zone=us-central1-a
gcloud compute backend-services add-backend bes-ilb-servervpc \
--project=$projectname \
--region=us-central1 \
--instance-group=gateway-instance-group \
--instance-group-zone=us-central1-a
Crea reglas de reenvío
En Cloud Shell, haz lo siguiente:
gcloud compute forwarding-rules create fr-ilb-clientvpc \
--project=$projectname \
--region=us-central1 \
--load-balancing-scheme=internal \
--network=client-vpc \
--subnet=client-subnet \
--ip-protocol=TCP \
--ip-version=IPV6 \
--ports=ALL \
--backend-service=bes-ilb-clientvpc \
--backend-service-region=us-central1
gcloud compute forwarding-rules create fr-ilb-servervpc \
--project=$projectname \
--region=us-central1 \
--load-balancing-scheme=internal \
--network=server-vpc \
--subnet=server-subnet \
--ip-protocol=TCP \
--ip-version=IPV6 \
--ports=ALL \
--backend-service=bes-ilb-servervpc \
--backend-service-region=us-central1
Para registrar las direcciones IPv6 de ambas reglas de reenvío, emite los siguientes comandos en Cloudshell:
export fraddress_client=$(gcloud compute forwarding-rules \
describe fr-ilb-clientvpc \
--project $projectname \
--format="value(IPAddress)" \
--region us-central1)
export fraddress_server=$(gcloud compute forwarding-rules \
describe fr-ilb-servervpc \
--project $projectname \
--format="value(IPAddress)" \
--region us-central1)
7. Crea y prueba rutas a balanceadores de cargas (con la dirección del balanceador de cargas)
En esta sección, agregarás rutas a las VPC del cliente y del servidor con las direcciones IPv6 de los balanceadores de cargas como los próximos saltos.
Anota las direcciones del servidor
En Cloud Shell, haz lo siguiente:
gcloud compute instances list \
--project $projectname \
--zones us-central1-a \
--filter="name~server-instance" \
--format='value[separator=","](name,networkInterfaces[0].ipv6Address)'
Esto debería mostrar los nombres de las instancias del servidor y sus prefijos IPv6. Resultado de muestra
server-instance,fd20:3df:8d5c:0:0:0:0:0
Anota la dirección del servidor, ya que la usarás más adelante en los comandos curl desde la instancia del cliente. Lamentablemente, las variables de entorno no se pueden usar fácilmente para almacenarlas, ya que no se transfieren a través de sesiones de SSH.
Ejecuta el comando curl desde el cliente a la instancia del servidor de ULA
Para ver el comportamiento antes de agregar rutas nuevas. Ejecuta un comando curl desde la instancia de cliente hacia server-instance1.
En Cloud Shell, accede a la instancia de cliente:
gcloud compute ssh client-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la instancia del cliente, realiza un curl con la dirección IPv6 ULA de la instancia de server1 (el comando establece un tiempo de espera corto de 5 segundos para evitar que curl espere demasiado tiempo).
curl -m 5.0 -g -6 'http://[ULA-ipv6-address-of-server1]:80/'
Este comando curl debería agotar el tiempo de espera porque la VPC del cliente aún no tiene una ruta hacia la VPC del servidor.
Intentemos solucionarlo. Sal de la sesión de SSH por ahora.
Agrega una ruta personalizada en la VPC del cliente
Dado que a la VPC del cliente le falta una ruta hacia el prefijo ULA. Ahora, agreguemos una ruta que apunte al ILB del cliente por dirección.
Nota: Los balanceadores de cargas de transferencia interna de IPv6 se asignan direcciones /96. Es necesario quitar la máscara /96 de la dirección antes de pasarla al siguiente comando. (a continuación, se usa la sustitución en el lugar de bash)
En Cloud Shell, haz lo siguiente:
gcloud compute routes create client-to-server-route \
--project=$projectname \
--destination-range=$server_subnet \
--network=client-vpc \
--next-hop-ilb=${fraddress_client//\/96}
Vuelve a establecer una conexión SSH a la instancia de cliente:
gcloud compute ssh client-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la instancia del cliente, vuelve a intentar el curl a la instancia del servidor. (el comando establece un tiempo de espera corto de 5 segundos para evitar que curl espere demasiado tiempo).
curl -m 5.0 -g -6 'http://[ULA-ipv6-address-of-server1]:80/'
Este comando curl aún se agota porque la VPC del servidor aún no tiene una ruta de regreso a la VPC del cliente a través de la instancia de puerta de enlace.
Sal de la sesión de SSH para continuar con el codelab.
Agrega una ruta personalizada en la VPC del servidor
En Cloud Shell, haz lo siguiente:
gcloud compute routes create server-to-client-route \
--project=$projectname \
--destination-range=$client_subnet \
--network=server-vpc \
--next-hop-ilb=${fraddress_server//\/96}
Vuelve a establecer una conexión SSH a la instancia de cliente:
gcloud compute ssh client-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la instancia del cliente, intenta realizar el curl a la instancia del servidor una vez más.
curl -m 5.0 -g -6 'http://[ULA-ipv6-address-of-server1]:80/'
Este comando curl ahora se realiza correctamente, lo que demuestra que tienes accesibilidad de extremo a extremo desde la instancia del cliente a la instancia del servidor de ULA. Esta conectividad solo es posible ahora a través del uso de rutas personalizadas IPv6 con next-hop-ilb como siguiente salto.
Resultado de muestra
<user id>@client-instance:~$ curl -m 5.0 -g -6 'http://[fd20:3df:8d5c:0:0:0:0:0]:80/'
<!doctype html><html><body><h1>Hello World! From Server Instance!</h1></body></html>
Sal de la sesión de SSH para continuar con el codelab.
8. Crea y prueba rutas a los balanceadores de cargas (con el nombre del balanceador de cargas)
Como alternativa, next-hop-ilb también puede hacer referencia al nombre del balanceador de cargas en lugar de su dirección IPv6. En esta sección, repasamos el procedimiento para hacerlo y probar que la conectividad siga establecida entre el cliente y el servidor.
Borra rutas anteriores
Para restablecer el entorno a la configuración anterior a la adición de rutas personalizadas, borra las rutas personalizadas que usan el nombre de la instancia.
En Cloud Shell, haz lo siguiente:
gcloud compute routes delete client-to-server-route --quiet --project=$projectname
gcloud compute routes delete server-to-client-route --quiet --project=$projectname
Ejecuta el comando curl desde el cliente a la instancia del servidor de ULA
Para confirmar que las rutas anteriores se borraron correctamente, ejecuta un comando curl desde la instancia de cliente hacia server-instance1.
En Cloud Shell, accede a la instancia de cliente:
gcloud compute ssh client-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la instancia del cliente, realiza un curl con la dirección IPv6 ULA de la instancia de server1 (el comando establece un tiempo de espera corto de 5 segundos para evitar que curl espere demasiado tiempo).
curl -m 5.0 -g -6 'http://[ULA-ipv6-address-of-server1]:80/'
Este comando curl debería agotar el tiempo de espera porque la VPC del cliente ya no tiene una ruta hacia la VPC del servidor.
Agrega rutas personalizadas en las VPC de clientes y servidores
Volvamos a agregar las rutas personalizadas en las VPC del cliente y del servidor, pero, en lugar de usar la dirección del ILB, usaremos el nombre y la región del ILB en el comando.
En Cloud Shell, haz lo siguiente:
gcloud compute routes create client-to-server-route \
--project=$projectname \
--destination-range=$server_subnet \
--network=client-vpc \
--next-hop-ilb=fr-ilb-clientvpc \
--next-hop-ilb-region=us-central1
gcloud compute routes create server-to-client-route \
--project=$projectname \
--destination-range=$client_subnet \
--network=server-vpc \
--next-hop-ilb=fr-ilb-servervpc \
--next-hop-ilb-region=us-central1
Vuelve a establecer una conexión SSH a la instancia de cliente:
gcloud compute ssh client-instance \
--project=$projectname \
--zone=us-central1-a \
--tunnel-through-iap
Dentro de la instancia del cliente, vuelve a intentar el curl a la instancia del servidor. (el comando establece un tiempo de espera corto de 5 segundos para evitar que curl espere demasiado tiempo).
curl -m 5.0 -g -6 'http://[ULA-ipv6-address-of-server1]:80/'
Este comando curl ahora se realiza correctamente, lo que demuestra que tienes accesibilidad de extremo a extremo desde la instancia del cliente a la instancia del servidor de ULA.
9. Limpia
Limpia las rutas personalizadas
En Cloud Shell, haz lo siguiente:
gcloud compute routes delete client-to-server-route --quiet --project=$projectname
gcloud compute routes delete server-to-client-route --quiet --project=$projectname
Limpia los componentes del LB
En Cloud Shell, haz lo siguiente:
gcloud compute forwarding-rules delete fr-ilb-clientvpc --region us-central1 --quiet --project=$projectname
gcloud compute forwarding-rules delete fr-ilb-servervpc --region us-central1 --quiet --project=$projectname
gcloud compute backend-services delete bes-ilb-clientvpc --region us-central1 --quiet --project=$projectname
gcloud compute backend-services delete bes-ilb-servervpc --region us-central1 --quiet --project=$projectname
gcloud compute health-checks delete tcp-hc-22 --region us-central1 --quiet --project=$projectname
Limpia las instancias y la plantilla de instancias
En Cloud Shell, haz lo siguiente:
gcloud compute instances delete client-instance --zone us-central1-a --quiet --project=$projectname
gcloud compute instances delete server-instance --zone us-central1-a --quiet --project=$projectname
gcloud compute instance-groups managed delete gateway-instance-group --zone us-central1-a --quiet --project=$projectname
gcloud compute instance-templates delete gateway-instance-template --region us-central1 --quiet --project=$projectname
Limpia las subredes
En Cloud Shell, haz lo siguiente:
gcloud compute networks subnets delete client-subnet --region=us-central1 --quiet --project=$projectname
gcloud compute networks subnets delete server-subnet --region=us-central1 --quiet --project=$projectname
Cómo limpiar reglas de firewall
En Cloud Shell, haz lo siguiente:
gcloud compute firewall-rules delete allow-iap-client --quiet --project=$projectname
gcloud compute firewall-rules delete allow-iap-server --quiet --project=$projectname
gcloud compute firewall-rules delete allow-gateway-client --quiet --project=$projectname
gcloud compute firewall-rules delete allow-client-server --quiet --project=$projectname
Cómo limpiar las VPC
En Cloud Shell, haz lo siguiente:
gcloud compute networks delete client-vpc --quiet --project=$projectname
gcloud compute networks delete server-vpc --quiet --project=$projectname
10. Felicitaciones
Usaste correctamente rutas estáticas IPv6 personalizadas con los siguientes saltos configurados en next-hop-ilb. También validaste la comunicación IPv6 de extremo a extremo con esas rutas.
Próximos pasos
Consulta algunos codelabs sobre los siguientes temas:
- Cómo acceder a las APIs de Google desde hosts locales con direcciones IPv6
- Opciones de direcciones IP IPv4 e IPv6
- Cómo usar la instancia, la dirección y la puerta de enlace de próximo salto de las rutas estáticas IPv6