GSP212

Descripción general

En este lab, aprenderás a configurar una red para registrar el tráfico entrante y saliente de un servidor web de Apache usando registros de flujo de VPC. Luego, exportarás los registros a BigQuery para su análisis.

Los registros de flujo de VPC se pueden utilizar para diversos casos de uso. Por ejemplo, puedes usarlos para determinar desde dónde se accede a tus aplicaciones y optimizar los gastos del tráfico de red, para crear balanceadores de cargas HTTP y equilibrar el tráfico a nivel global, o bien para incluir las direcciones IP no deseadas en una lista de bloqueo a través de Cloud Armor.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Configurar una red personalizada con registros de flujo de VPC
• Crear un servidor web de Apache
• Verificar que se registre el tráfico de red
• Exportar el tráfico de red a BigQuery para analizar los registros en más detalle
• Configurar la agregación de los registros de flujo de VPC

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar tu lab y acceder a la consola de Google Cloud

1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón Abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debe usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia Cuenta de Google podría generar cargos adicionales.

7. Haga clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para ver un menú con una lista de productos y servicios de Google Cloud, haz clic en el menú de navegación que se encuentra en la parte superior izquierda.

Activa Cloud Shell

Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud. Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. Haz clic en Activar Cloud Shell en la parte superior de la consola de Google Cloud.

Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. El resultado contiene una línea que declara el PROJECT_ID para esta sesión:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con la función de autocompletado con tabulador.

2. Puedes solicitar el nombre de la cuenta activa con este comando (opcional):

gcloud auth list

3. Haz clic en Autorizar.

4. Ahora, el resultado debería verse de la siguiente manera:

Resultado:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. Puedes solicitar el ID del proyecto con este comando (opcional):

gcloud config list project

Resultado:

[core] project = <project_ID>

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: Para obtener toda la documentación de gcloud, consulta la guía con la descripción general de gcloud CLI en Google Cloud.

Tarea 1: Configura una red personalizada con registros de flujo de VPC

Crea la red personalizada

De manera predeterminada, las redes tienen los registros de flujo de VPC inhabilitados. Por lo tanto, deberás crear una nueva red de modo personalizado y habilitar los registros de flujo de VPC.

1. En la consola, ve al menú de navegación () > Red de VPC > Redes de VPC.

   

2. Haz clic en Crear red de VPC.

3. Define los siguientes valores y deja el resto con la configuración predeterminada:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	vpc-net
   Descripción	Ingresa una descripción opcional

4. En Modo de creación de subredes, haz clic en Personalizado.

5. Define los siguientes valores y deja el resto con la configuración predeterminada:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	vpc-subnet
   Región
   Rango IPv4	10.1.3.0/24
   Registros de flujo	Activados

6. Haz clic en Listo y, luego, en Crear.

Nota: Activar los registros de flujo de VPC no afectará el rendimiento, pero algunos sistemas generarán una gran cantidad de registros, lo que puede aumentar los costos. Nota: Espera a que se cree la red antes de continuar con el siguiente paso.

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Crear la red personalizada Crear una subred para la red personalizada en la región .

Crea la regla de firewall

Para entregar tráfico HTTP y SSH a la red, debes crear una regla de firewall.

1. En el menú de la izquierda, haz clic en Firewall.

2. Haz clic en Crear regla de firewall.

3. Define los siguientes valores y deja el resto con la configuración predeterminada:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	allow-http-ssh
   Red	vpc-net
   Destinos	Etiquetas de destino especificadas
   Etiquetas de destino	http-server
   Filtro de origen	Rangos de IPv4
   Rangos IPv4 de origen	0.0.0.0/0
   Protocolos y puertos	Protocolos y puertos especificados; marca tcp y escribe 80, 22

Nota: Asegúrate de incluir el valor /0 en Rangos de IPv4 de origen para especificar todas las redes.

4. Haz clic en Crear.

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Crear la regla de firewall en la red personalizada

Tarea 2: Crea un servidor web de Apache

Crea el servidor web

1. En la consola, ve al menú de navegación () > Compute Engine > Instancias de VM.

2. Haz clic en CREAR INSTANCIA.

3. Define los siguientes valores y deja el resto con la configuración predeterminada:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	web-server
   Región
   Zona
   Tipo de máquina	e2-micro (2 CPU virtuales, 1 GB de memoria)
   Firewall	Permitir tráfico HTTP

4. Luego, haz clic en Herramientas de redes, discos, seguridad, administración, usuario único.

5. Haz clic en Herramientas de redes.

6. En Interfaces de red, haz clic en default para editar.

7. Define los siguientes valores y deja el resto con la configuración predeterminada:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Red	vpc-net
   Subred	vpc-subnet

8. Haz clic en Listo y, luego, en Crear.

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Crear el servidor web en la red personalizada (zona: ).

Instala Apache

Configura la instancia de VM que creaste como servidor web de Apache y reemplaza la página web predeterminada.

1. Regresa a la página de instancias de VM en la consola (Menú de navegación [] > Compute Engine > Instancias de VM). En web-server, haz clic en SSH para iniciar una terminal y conectarte.
2. En la terminal SSH de web-server, actualiza el índice del paquete:

sudo apt-get update

3. Instala el paquete apache2:

sudo apt-get install apache2 -y

4. Reemplaza la página web predeterminada existente para crear otra nueva:

echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

5. Sal de la terminal SSH:

exit

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Instalar Apache en el servidor web

Tarea 3: Verifica que se registre el tráfico de red

Genera tráfico de red

1. Regresa a la página de instancias de VM en la consola (Menú de navegación [] > Compute Engine > Instancias de VM).
2. Para acceder al servidor y ver la opción web-server, haz clic en la IP externa.

Nota: Se abrirá la página de bienvenida Hello World! que configuraste. Como alternativa, puedes acceder al servidor en una pestaña nueva navegando a http://ingresa la dirección IP externa.

Encuentra tu dirección IP

Encuentra la dirección IP de la computadora que estés usando. Una manera fácil de hacerlo es ir a un sitio web que proporcione esta dirección.

1. Haz clic en whatismyip.host para encontrar tu dirección IPv4.
2. Copia tu dirección IP. Se la denominará YOUR_IP_ADDRESS.

Accede a los registros de flujo de VPC

1. En la consola, ve al menú de navegación > Logging > Explorador de registros.

2. En el panel Campos de registro, en Tipo de recurso, haz clic en Subred. En el panel Resultados de la consulta, aparecerán las entradas de los registros de la subred.

3. En el panel Campos de registro, en Nombre del registro, haz clic en compute.googleapis.com/vpc_flows.

4. Ingresa "YOUR_IP_ADDRESS" en el cuadro de búsqueda Consulta de la parte superior. Luego, haz clic en Ejecutar consulta.

Nota: Si no ves la opción de filtro compute.googleapis.com/vpc_flows o si no se muestra ningún registro, es posible que debas esperar unos minutos y actualizar la información.

5. Haz clic en alguna de las entradas de registro para expandirla.
6. Una vez que te encuentres en la entrada deseada, haz clic en las flechas para expandir jsonPayload y, luego, la conexión. Es posible que debas hacer clic en Expandir todo para ver la conexión.

Nota: La conexión contiene las direcciones IP y los números de puerto de origen y de destino, así como el protocolo. Según la dirección del tráfico, el destino será tu web-server o la máquina en la que trabajes, y viceversa para el origen.

El protocolo debería ser 6, que es el protocolo de IANA para el tráfico de TCP. Uno de los números de puerto será 80, que representa el puerto HTTP en web-server, y el otro debería ser un número superior a 1024, que representa el puerto HTTP de tu máquina.

Si lo deseas, puedes explorar otros campos de la entrada de registro antes de continuar con la próxima tarea.

Tarea 4: Exporta el tráfico de red a BigQuery para analizar los registros en más detalle

Crea un receptor de exportación

1. En la consola, en el menú de la izquierda, haz clic en Explorador de registros.

2. En el menú desplegable Recursos, selecciona Subred. Luego, haz clic en Aplicar.

3. En el menú desplegable Nombre del registro, marca la casilla vpc_flows y haz clic en Aplicar. Luego, haz clic en Ejecutar consulta.

4. Haz clic en Más acciones > Crear un receptor.

5. En “Nombre del receptor”, escribe vpc-flows y haz clic en SIGUIENTE.

6. En “Seleccionar el servicio del receptor”, selecciona el conjunto de datos de BigQuery.

7. En “Destino del receptor”, selecciona Crear nuevo conjunto de datos de BigQuery.

8. En “ID del conjunto de datos”, escribe bq_vpcflows y, luego, haz clic en CREAR CONJUNTO DE DATOS.

9. Haz clic en CREAR UN RECEPTOR. Aparecerá la página Receptores de enrutadores de registros. Deberías poder ver el receptor que creaste (vpc-flows). Si no es así, haz clic en Enrutador de registros.

Genera tráfico de registros para BigQuery

Ahora que se exportaron los registros de tráfico de red a BigQuery, accede a web-server varias veces para generar más tráfico. En Cloud Shell, puedes usar el comando curl con la dirección IP de web-server varias veces.

1. En la consola, ve al menú de navegación () > Compute Engine > Instancias de VM.
2. Anota la dirección IP externa de la instancia web-server para utilizarla en el paso siguiente. Se la denominará EXTERNAL_IP.
3. En la línea de comandos de Cloud Shell, ejecuta el siguiente comando para almacenar la EXTERNAL_IP en una variable de entorno. Reemplaza <EXTERNAL_IP> por la dirección que acabas de anotar:

export MY_SERVER=<EXTERNAL_IP>

4. En Cloud Shell, accede a web-server 50 veces:

for ((i=1;i<=50;i++)); do curl $MY_SERVER; done

Prueba la tarea completada

Haz clic en Revisar mi progreso para verificar la tarea realizada. Si la completaste correctamente, se te otorgará una puntuación de evaluación.

Exportar el tráfico de red a BigQuery

Visualiza los registros de flujo de VPC en BigQuery

1. En la consola, ve al menú de navegación () > BigQuery.
2. Haz clic en Listo.
3. En el lado izquierdo, expande el conjunto de datos bq_vpcflows para mostrar la tabla. Es posible que, primero, debas expandir el ID del proyecto para mostrar el conjunto de datos.
4. Haz clic en el nombre de la tabla. Debería comenzar con compute_googleapis.

Nota: Si no ves el conjunto de datos bq_vpcflows o si no se expande, espera un momento y actualiza la página.

5. Haz clic en la pestaña Detalles.

6. Copia el ID de la tabla proporcionado en la pestaña Detalles.

7. Agrega el siguiente código al Editor de consultas. Asegúrate de reemplazar your_table_id por el TABLE_ID y de dejar los acentos (`) en ambos lados:

#standardSQL SELECT jsonPayload.src_vpc.vpc_name, SUM(CAST(jsonPayload.bytes_sent AS INT64)) AS bytes, jsonPayload.src_vpc.subnetwork_name, jsonPayload.connection.src_ip, jsonPayload.connection.src_port, jsonPayload.connection.dest_ip, jsonPayload.connection.dest_port, jsonPayload.connection.protocol FROM `your_table_id` GROUP BY jsonPayload.src_vpc.vpc_name, jsonPayload.src_vpc.subnetwork_name, jsonPayload.connection.src_ip, jsonPayload.connection.src_port, jsonPayload.connection.dest_ip, jsonPayload.connection.dest_port, jsonPayload.connection.protocol ORDER BY bytes DESC LIMIT 15

8. Haz clic en Ejecutar.

Nota: La tabla de resultados muestra el total de bytes enviados, las direcciones IP de origen y destino, el puerto de destino, el protocolo y los respectivos nombres de VPC y subred. Nota: Si se produce un error, asegúrate de no haber quitado la sección de #standardSQL de la consulta. Si el error persiste, asegúrate de no haber incluido el ID del proyecto en el TABLE_ID.

Analiza los registros de flujo de VPC en BigQuery

La consulta anterior te brindó la misma información que viste en la consola de Cloud. Ahora, cambia la consulta para identificar las principales direcciones IP que intercambiaron tráfico con web-server.

1. Utiliza el siguiente código para crear una consulta nueva en el Editor de consultas. Asegúrate de reemplazar your_table_id por el TABLE_ID y de dejar los acentos (`) en ambos lados:

#standardSQL SELECT jsonPayload.connection.src_ip, jsonPayload.connection.dest_ip, SUM(CAST(jsonPayload.bytes_sent AS INT64)) AS bytes, jsonPayload.connection.dest_port, jsonPayload.connection.protocol FROM `your_table_id` WHERE jsonPayload.reporter = 'DEST' GROUP BY jsonPayload.connection.src_ip, jsonPayload.connection.dest_ip, jsonPayload.connection.dest_port, jsonPayload.connection.protocol ORDER BY bytes DESC LIMIT 15

2. Haz clic en Ejecutar.

Nota: La tabla de resultados ahora tiene una fila para cada dirección IP de origen y se organiza según la cantidad de bytes enviados a web-server, en orden descendente. El resultado principal debería reflejar tu dirección IP de Cloud Shell. Nota: A menos que hayas accedido a web-server tras crear el receptor de exportación, no verás la dirección IP de tu máquina en la tabla.

Si lo deseas, puedes generar más tráfico para web-server desde varias fuentes y consultar la tabla nuevamente para determinar la cantidad de bytes enviados al servidor.

Tarea 5: Configura la agregación de los registros de flujo de VPC

Ahora, explorarás una nueva versión para reducir el volumen de los registros de flujo de VPC. No todos los paquetes se capturan en su propio registro. Sin embargo, incluso en el caso de las muestras, las capturas de registros pueden ser bastante grandes.

Puedes equilibrar tus necesidades de visibilidad del tráfico y de costo de almacenamiento. Para ello, debes ajustar aspectos específicos de la recopilación de registros, lo cual analizaremos en esta sección.

Cómo configurar la agregación

1. En la consola, navega al menú de navegación () > Red de VPC > Redes de VPC.

2. Haz clic en vpc-net y, luego, en Editar.

3. En la pestaña Subredes, haz clic en vpc-subnet:

4. Haz clic en Editar > Configurar registros para mostrar los siguientes campos:

A continuación, se explica qué significa cada campo:

• Intervalo de agregación: Los paquetes de muestra de un intervalo de tiempo se agregan en una sola entrada de registro. Este intervalo de tiempo puede ser de 5 s (predeterminado), 30 s, 1 min, 5 min, 10 min o 15 min.

• Anotaciones de metadatos: De manera predeterminada, se anotan las entradas del registro de flujo con información de metadatos, como los nombres de las VM de origen y destino o la región geográfica de fuentes y destinos externos. Se puede desactivar esta anotación de metadatos para ahorrar espacio de almacenamiento.

• Muestreo de entradas de registro: Antes de escribirse en la base de datos, se puede muestrear la cantidad de registros para reducir su número. De forma predeterminada, el volumen de entradas de registro se ajusta en 0.50 (50%), lo que significa que se conserva la mitad de las entradas. Puedes configurar este ajuste eligiendo un valor entre 0.0 (0%; no se conserva ningún registro) y 1.0 (100%; se conservan todas las entradas de registro).

5. Configura el Intervalo de agregación en 30 segundos.

6. Configura la Tasa de muestreo en 25%.

7. Haz clic en Guardar. Deberías ver el siguiente mensaje:

Configurar el intervalo de agregación en 30 segundos puede reducir el tamaño de tus registros de flujo en hasta un 83% en comparación con el intervalo de agregación predeterminado de 5 segundos. Ajustar la agregación de registros de flujo puede tener un impacto significativo en la visibilidad del tráfico y los costos de almacenamiento.

¡Felicitaciones!

Configuraste una red de VPC, habilitaste registros de flujo de VPC y creaste un servidor web en dicha red. Luego, generaste tráfico HTTP para el servidor web, consultaste los registros de tráfico en la consola de Cloud y los analizaste en BigQuery.

Finaliza tu Quest

Este lab de autoaprendizaje forma parte de la Quest Network Performance and Optimization. Una Quest es una serie de labs relacionados que forman una ruta de aprendizaje. Si completas esta Quest, obtendrás una insignia como reconocimiento por tu logro. Puedes hacer públicas tus insignias y agregar vínculos a ellas en tu currículum en línea o en tus cuentas de redes sociales. Inscríbete en cualquier Quest que contenga este lab y obtén un crédito inmediato de finalización. Consulta el catálogo de Google Cloud Skills Boost para ver todas las Quests disponibles.

Completa tu próxima Quest

Continúa tu aprendizaje con otra Quest, como Google Cloud Solutions I: Scaling Your Infrastructure, o bien consulta las siguientes sugerencias:

• Cómo crear balanceos de cargas entre regiones

Próximos pasos y más información

Si deseas obtener información acerca de los conceptos básicos de Google Cloud Identity and Access Management, consulta lo siguiente:

• Cómo solucionar errores comunes de SQL con BigQuery

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Actualización más reciente del manual: 28 de septiembre de 2023

Prueba más reciente del lab: 28 de septiembre de 2023

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.