# 🌐 Redes VPC Múltiples (Multiple VPC Networks)

En este laboratorio, aprenderás a crear y configurar múltiples redes **VPC (Virtual Private Cloud)** en Google Cloud, cada una con sus propias subredes, reglas de firewall y máquinas virtuales (VMs). Las redes VPC funcionan como departamentos internos dentro de una empresa, permitiendo aislar entornos, controlar accesos y proteger datos sensibles, como los registros financieros en un contexto contable.

💡 **Beneficio empresarial**: Las redes VPC permiten segmentar sistemas críticos, como los de contabilidad, para garantizar seguridad, cumplimiento normativo y una gestión eficiente del tráfico de red, reduciendo riesgos y optimizando costos operativos.

Para más información sobre redes VPC, consulta la [Documentación oficial de Google Cloud VPC](https://cloud.google.com/vpc/docs).

## 🎯 Objetivos principales del laboratorio
- Crear redes VPC en modo personalizado con reglas de firewall.
- Desplegar instancias de máquina virtual (VM).
- Explorar la conectividad entre VMs ubicadas en diferentes redes.
- Crear una VM con múltiples interfaces de red.

## 🧾 Requisitos y preparación
- Usa una cuenta temporal de estudiante proporcionada por Google Cloud (no uses una cuenta personal).
- El laboratorio tiene un tiempo límite de **1 hora y 10 minutos**.
- Requiere un navegador web, preferiblemente Chrome en modo incógnito.
- Si se requiere pago, el sistema lo indicará.
- Una vez comenzado, el laboratorio no se puede pausar.

📊 **Analogía contable**: Una red VPC es como un departamento contable virtual con sus propias reglas y límites, asegurando que los datos financieros estén protegidos y solo sean accesibles por los sistemas autorizados.

## 🚀 Comandos útiles en Cloud Shell

Antes de comenzar, verifica tu entorno en **Cloud Shell** con los siguientes comandos:

### Ver la cuenta activa
Este comando muestra qué cuenta estás utilizando.

In [None]:
gcloud auth list

**Explicación**:
- Muestra la cuenta activa, asegurando que estás usando las credenciales temporales del laboratorio.

💡 **Contexto empresarial**: Esto es como verificar que un contador esté usando las credenciales correctas para acceder a los sistemas financieros de la empresa.

### Ver el proyecto actual
Este comando muestra el ID del proyecto asignado al laboratorio.

In [None]:
gcloud config list project

**Explicación**:
- Confirma que estás trabajando en el proyecto correcto, evitando errores en la configuración.

## 🚀 Tarea 1: Crear redes VPC en modo personalizado con reglas de firewall

En esta tarea, crearás dos redes VPC en modo personalizado (`managementnet` y `privatenet`) y configurarás reglas de firewall para controlar el tráfico.

📊 **¿Qué es el modo personalizado?** En términos contables, una red en modo automático es como un plan contable predefinido con cuentas estándar. En cambio, el modo personalizado es como diseñar un plan contable desde cero, definiendo cada cuenta (subred) según las necesidades específicas de la empresa.

### Paso 1: Crear la red managementnet desde la consola

1. Ve a **Navigation menu** > **VPC network** > **VPC networks**.
2. Haz clic en **Create VPC Network**.
3. Completa los siguientes campos:
   - **Name**: `managementnet`
   - **Subnet creation mode**: **Custom**
   - **Subnet name**: `managementsubnet-1`
   - **Region**: `Region_1` (por ejemplo, `us-central1`)
   - **IPv4 range**: `10.130.0.0/20`
4. Haz clic en **Done**, luego en **Create**.

**Explicación**:
- Esto crea una red VPC vacía con una subred personalizada, permitiendo un control preciso sobre las direcciones IP.

💡 **Contexto empresarial**: Esta red es como un departamento de gestión financiera que opera de forma aislada, con sus propias reglas de acceso para proteger datos sensibles.

### Paso 2: Crear la red privatenet desde Cloud Shell

Ejecuta los siguientes comandos en **Cloud Shell**:

#### Comando 1: Crear la red privatenet

In [None]:
gcloud compute networks create privatenet --subnet-mode=custom

**Explicación del comando**:
- `gcloud compute networks create`: Crea una nueva red VPC.
- `privatenet`: Nombre de la red.
- `--subnet-mode=custom`: Configura la red en modo personalizado, sin subredes automáticas.

💡 **Contexto empresarial**: Esta red es como un departamento contable secundario, separado para manejar transacciones específicas, como las de una sucursal.

#### Comando 2: Crear subred privatesubnet-1

In [None]:
gcloud compute networks subnets create privatesubnet-1 --network=privatenet --region=Region_1 --range=172.16.0.0/24

**Explicación del comando**:
- `subnets create privatesubnet-1`: Crea una subred llamada `privatesubnet-1`.
- `--network=privatenet`: Asocia la subred a la red `privatenet`.
- `--region=Region_1`: Define la región (por ejemplo, `us-central1`).
- `--range=172.16.0.0/24`: Especifica el rango de direcciones IP para la subred.

#### Comando 3: Crear subred privatesubnet-2

In [None]:
gcloud compute networks subnets create privatesubnet-2 --network=privatenet --region=Region_2 --range=172.20.0.0/20

**Explicación**:
- Crea una segunda subred en una región diferente (por ejemplo, `us-west1`), simulando segmentación geográfica.

💡 **Contexto empresarial**: Estas subredes son como sucursales regionales que operan bajo el mismo departamento contable, pero con rangos de IP separados para evitar conflictos.

### Paso 3: Crear reglas de firewall

Las reglas de firewall actúan como puertas de acceso que controlan el tráfico hacia las VMs, permitiendo o bloqueando conexiones según protocolos y orígenes.

#### Crear regla para managementnet (desde consola)

1. Ve a **VPC network** > **Firewall** > **Create Firewall Rule**.
2. Completa:
   - **Name**: `managementnet-allow-icmp-ssh-rdp`
   - **Network**: `managementnet`
   - **Targets**: **All instances in the network**
   - **Source filter**: **IPv4 Ranges**
   - **Source IPv4 ranges**: `0.0.0.0/0` (permite acceso desde cualquier dirección)
   - **Protocols and ports**: `icmp, tcp:22, tcp:3389`
3. Haz clic en **Create**.

**Explicación**:
- Esta regla permite tráfico **ICMP** (ping), **SSH** (puerto 22) y **RDP** (puerto 3389) desde cualquier origen hacia las instancias en `managementnet`.

💡 **Contexto empresarial**: Esto es como autorizar a auditores externos a conectarse a sistemas contables, pero solo a través de canales específicos y seguros.

#### Crear regla para privatenet (desde Cloud Shell)

In [None]:
gcloud compute firewall-rules create privatenet-allow-icmp-ssh-rdp --direction=INGRESS --priority=1000 --network=privatenet --action=ALLOW --rules=icmp,tcp:22,tcp:3389 --source-ranges=0.0.0.0/0

**Explicación del comando**:
- `firewall-rules create privatenet-allow-icmp-ssh-rdp`: Nombre de la regla.
- `--direction=INGRESS`: Aplica la regla al tráfico entrante.
- `--priority=1000`: Define la prioridad de la regla (menor número = mayor prioridad).
- `--network=privatenet`: Aplica la regla a la red `privatenet`.
- `--action=ALLOW`: Permite el tráfico especificado.
- `--rules=icmp,tcp:22,tcp:3389`: Habilita los protocolos **ICMP**, **SSH** (puerto 22) y **RDP** (puerto 3389).
- `--source-ranges=0.0.0.0/0`: Permite acceso desde cualquier IP.

💡 **Contexto empresarial**: Esta regla es como permitir que un equipo de auditoría acceda a los registros financieros de una sucursal, pero solo a través de métodos autorizados.

## 🚀 Tarea 3: Explorar la conectividad entre instancias de VM

En esta tarea, probarás la conectividad entre VMs para entender cómo las redes VPC afectan la comunicación, utilizando IPs públicas e internas.

### Paso 1: Hacer ping a las IP públicas

1. Ve a **Navigation Menu** > **Compute Engine** > **VM Instances**.
2. Anota las **IP públicas** de las siguientes instancias:
   - `mynet-vm-2`
   - `managementnet-vm-1`
   - `privatenet-vm-1`
3. Ingresa a `mynet-vm-1` haciendo clic en **SSH** para abrir una terminal.
4. Ejecuta los siguientes comandos, reemplazando `IP_EXT` con la IP pública correspondiente:

In [None]:
ping -c 3 IP_EXT

**Resultados esperados**:
- ✅ Podrás hacer ping a todas las VMs (`mynet-vm-2`, `managementnet-vm-1`, `privatenet-vm-1`), ya que las IP públicas permiten comunicación externa gracias a las reglas de firewall que habilitan **ICMP**.

💡 **Contexto empresarial**: Las IP públicas son como los sitios web públicos de una empresa, accesibles desde cualquier lugar, pero protegidos por reglas de firewall.

### Paso 2: Hacer ping a las IP internas

1. Anota las **IP internas** de las mismas VMs.
2. Desde la terminal de `mynet-vm-1`, ejecuta:

In [None]:
ping -c 3 IP_INTERNA

**Resultados esperados**:
- ✅ `mynet-vm-2`: Funciona, ya que está en la misma red VPC (`mynetwork`).
- ❌ `managementnet-vm-1`: No funciona (100% pérdida de paquetes), ya que está en una red VPC diferente (`managementnet`).
- ❌ `privatenet-vm-1`: No funciona, ya que está en otra red VPC (`privatenet`).

**Explicación**:
- Las redes VPC están aisladas por defecto, como oficinas separadas que no comparten red a menos que se configure **VPC peering** o una VPN.

💡 **Contexto empresarial**: Las IP internas son como una red local privada dentro de un departamento contable, donde solo los sistemas dentro de la misma red pueden comunicarse directamente.

### Pregunta conceptual

**¿Qué instancia se puede hacer ping desde `mynet-region-1-vm` usando IP interna?**
- ✅ `mynet-region-2-vm`: Sí, está en la misma red VPC (`mynetwork`), aunque en otra región.
- ❌ `managementnet-region-1-vm`: No, está en otra VPC (`managementnet`).
- ❌ `privatenet-region-1-vm`: No, está en otra VPC (`privatenet`).

Para más información, consulta la [Documentación de Google Cloud VPC](https://cloud.google.com/vpc/docs).

## 🚀 Tarea 4: Crear una VM con múltiples interfaces de red

En esta tarea, crearás una VM (`vm-appliance`) con múltiples interfaces de red para conectarse a diferentes redes VPC simultáneamente.

📊 **Analogía contable**: Una VM con múltiples interfaces es como un "router contable" que puede acceder a varios sistemas financieros (por ejemplo, casa matriz, sucursal y auditoría externa) desde una sola máquina.

### Paso 1: Crear la instancia vm-appliance

1. Ve a **Navigation Menu** > **Compute Engine** > **VM Instances**.
2. Haz clic en **Create Instance**.
3. Configura:
   - **Name**: `vm-appliance`
   - **Region**: `US_Region` (por ejemplo, `us-central1`)
   - **Zone**: `US_Zone` (por ejemplo, `us-central1-a`)
   - **Series**: `E2`
   - **Machine Type**: `e2-standard-4`
4. Configura las interfaces de red:
   - **Primera interfaz (nic0)**:
     - **Red**: `privatenet`
     - **Subred**: `privatesubnet-1`
   - **Segunda interfaz (nic1)**:
     - **Red**: `managementnet`
     - **Subred**: `managementsubnet-1`
   - **Tercera interfaz (nic2)**:
     - **Red**: `mynetwork`
     - **Subred**: `mynetwork`
5. Haz clic en **Create**.

**Explicación**:
- La VM `vm-appliance` puede conectarse a tres redes VPC diferentes gracias a sus múltiples interfaces de red (NICs).
- Las subredes no deben superponerse para evitar conflictos de IP.

💡 **Contexto empresarial**: Esta VM es como un sistema central que conecta diferentes departamentos contables, permitiendo una gestión unificada de datos financieros.

### Paso 2: Verificar las interfaces desde la consola

1. Ve a la lista de VMs y haz clic en el campo **Internal IP** de `vm-appliance`.
2. Revisa las interfaces:

| **NIC** | **Red conectada**   | **IP interna esperada** |
|---------|---------------------|-------------------------|
| `nic0`  | `privatesubnet-1`   | `172.16.0.3` (aprox.)   |
| `nic1`  | `managementsubnet-1`| `10.130.0.3` (aprox.)   |
| `nic2`  | `mynetwork`         | `10.128.0.3` (aprox.)   |

### Paso 3: Ver interfaces desde la terminal

1. Abre una sesión por **SSH** en `vm-appliance`.
2. Ejecuta:

In [None]:
sudo ifconfig

**Explicación**:
- Este comando muestra las interfaces de red (`eth0`, `eth1`, `eth2`) con sus respectivas IP internas.

💡 **Contexto empresarial**: Ver las interfaces es como confirmar que un sistema contable central tiene acceso a todos los departamentos financieros relevantes.

### Paso 4: Probar conectividad entre interfaces

1. Anota las **IP internas** de:
   - `privatenet-vm-1`
   - `managementnet-vm-1`
   - `mynet-vm-1`
   - `mynet-vm-2`
2. Desde la terminal de `vm-appliance`, ejecuta:

In [None]:
ping -c 3 IP_OBJETIVO

**Resultados esperados**:

| **VM destino**         | **¿Funciona ping?** | **Motivo**                              |
|------------------------|---------------------|-----------------------------------------|
| `privatenet-vm-1`      | ✅ Sí               | Misma red (`nic0`)                      |
| `managementnet-vm-1`   | ✅ Sí               | Conectado a `nic1`                      |
| `mynet-vm-1`           | ✅ Sí               | Conectado a `nic2`                      |
| `mynet-vm-2`           | ❌ No               | No está en la tabla de ruteo            |

**Explicación**:
- La VM `vm-appliance` puede comunicarse con VMs en las redes conectadas a sus interfaces (`privatenet`, `managementnet`, `mynetwork`), pero no con `mynet-vm-2` si no está configurada una ruta adecuada.

### Paso 5: Ver rutas de red

Ejecuta el siguiente comando en la terminal de `vm-appliance`:

In [None]:
ip route

**Explicación**:
- Este comando muestra las rutas de red para cada interfaz. Ejemplo de salida:
```
default via 172.16.0.1 dev eth0
10.128.0.0/20 via 10.128.0.1 dev eth2
10.130.0.0/20 via 10.130.0.1 dev eth1
172.16.0.0/24 via 172.16.0.1 dev eth0
```
- La ruta por defecto usa la interfaz principal (`eth0`). Si una red no está conectada directamente, no se puede alcanzar sin configuración adicional (como **policy routing**).

💡 **Contexto empresarial**: Las rutas de red son como las instrucciones que indican cómo enviar documentos financieros entre departamentos. Si no hay una ruta definida, la comunicación no es posible.

## 🚀 Resumen de conceptos

El siguiente cuadro resume los conceptos clave y herramientas utilizadas en este laboratorio:

| **Concepto**             | **Explicación contable simplificada**                                   |
|--------------------------|-----------------------------------------------------------------------|
| **IP pública**           | Dirección "visible desde afuera", como el sitio web de tu empresa.     |
| **IP interna**           | Dirección interna de red local (como red contable interna).            |
| **VPC (Virtual Private Cloud)** | Departamento contable virtual, con sus propias reglas y límites. |
| **Interfaz de red (NIC)** | Conexión de la VM a una red, como accesos a distintos ERP.           |
| **Ping**                 | Test de conexión (envía y espera respuesta).                          |
| **Firewall**             | Control de acceso (quién entra y por qué puerto).                    |
| **Rutas de red**         | Instrucciones de “por dónde salir” (como caminos contables según sucursal). |

💡 **Conclusión empresarial**: Las redes VPC permiten segmentar sistemas empresariales, como los de contabilidad, para mejorar la seguridad y la eficiencia. Configurar múltiples interfaces de red en una VM facilita la integración de sistemas financieros distribuidos, mientras que las reglas de firewall aseguran que solo las conexiones autorizadas sean permitidas, reduciendo riesgos y optimizando costos.

Para más información, consulta la [Documentación de Google Cloud VPC](https://cloud.google.com/vpc/docs).