Muitos Google Cloud os recursos podem ter endereços IP internos e endereços IP externos. Por exemplo, você pode atribuir um endereço IP interno e externo às instâncias do Compute Engine. As instâncias usam esses endereços para se comunicar com outros Google Cloud recursos e sistemas externos.
Cada interface de rede usada por uma instância deve ter um endereço IPv4 interno primário. Cada interface de rede também pode ter um ou mais intervalos IPv4 de alias e um endereço IPv4 externo. Se a instância estiver conectada a uma sub-rede compatível com IPv6, cada interface de rede também poderá ter endereços IPv6 internos ou externos atribuídos.
Uma instância pode se comunicar com instâncias na mesma rede Virtual Private Cloud (VPC), usando o endereço IPv4 interno da instância. Se as instâncias tiverem IPv6 configurado, você também poderá usar um dos endereços IPv6 internos ou externos da instância. Como prática recomendada, use endereços IPv6 internos para comunicação interna.
Para se comunicar com a Internet, você pode usar um endereço IPv4 externo ou IPv6 externo configurado na instância. Se nenhum endereço externo estiver configurado na instância, o Cloud NAT poderá ser usado para tráfego IPv4.
Da mesma forma, você deve usar o IPv4 externo ou o IPv6 externo da instância para se conectar a instâncias fora da mesma rede VPC. No entanto, se as redes estiverem conectadas de alguma forma, como usando peering de rede VPC , você poderá usar o endereço IP interno da instância.
Para obter informações sobre como identificar o endereço IP interno e externo de suas instâncias, consulte Visualizar a configuração de rede de uma instância .
Endereços IP internos
As interfaces de rede de uma instância recebem endereços IP da sub-rede à qual estão conectadas. Cada interface de rede possui um endereço IPv4 interno primário, que é atribuído a partir do intervalo IPv4 primário da sub-rede. Se a sub-rede tiver um intervalo IPv6 interno, além do endereço IPv4 interno primário, você poderá configurar opcionalmente a interface de rede com um endereço IPv6 interno primário.
Endereços IPv4 internos podem ser atribuídos das seguintes maneiras:
- O Compute Engine atribui automaticamente um único endereço IPv4 dos intervalos de sub-rede IPv4 primários.
- Você atribui um endereço IPv4 interno específico ao criar uma instância de computação, usando um endereço IPv4 interno estático reservado ou especificando um endereço IPv4 interno efêmero personalizado.
Endereços IPv6 internos podem ser atribuídos a instâncias conectadas a uma sub-rede que tenha um intervalo IPv6 interno das seguintes maneiras:
- Quando você configura um endereço IPv6 interno no vNIC de uma instância , o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 interno da sub-rede . - Você atribui um endereço IPv6 interno específico ao criar uma instância, usando um endereço IPv6 interno estático reservado ou especificando um endereço IPv6 interno efêmero personalizado.
Você também pode reservar um endereço interno estático do intervalo IPv4 ou IPv6 da sub-rede e atribuí-lo a uma instância.
As instâncias de computação também podem ter endereços IP e intervalos de alias . Se você tiver mais de um serviço em execução em uma instância, poderá atribuir a cada serviço seu próprio endereço IP exclusivo.
Nomes DNS internos
Google Cloud resolve automaticamente o nome DNS totalmente qualificado (FQDN) de uma instância para os endereços IP internos da instância. Os nomes DNS internos funcionam somente na rede VPC da instância.
Para obter mais informações sobre nomes de domínio totalmente qualificados (FQDN), consulte DNS interno .
Endereços IP externos
Se precisar se comunicar com a Internet ou com recursos em outra rede VPC, você poderá atribuir um endereço IPv4 ou IPv6 externo a uma instância. Se regras de firewall ou políticas hierárquicas de firewall permitirem a conexão, fontes externas a uma rede VPC poderão acessar um recurso específico usando seu endereço IP externo. Somente recursos com endereço IP externo podem se comunicar diretamente com recursos fora da rede VPC. A comunicação com um recurso usando um endereço IP externo pode gerar cobranças adicionais .
Endereços IPv4 externos estão disponíveis para todas as instâncias de computação. Quando você configura um endereço IPv4 externo no vNIC de uma instância, um único endereço IPv4 é atribuído a partir dos intervalos de endereços IPv4 externos do Google. Para mais informações, consulte Onde posso encontrar os intervalos de IP do Compute Engine .
Endereços IPv6 externos estão disponíveis para instâncias de computação conectadas a uma sub-rede que possui um intervalo IPv6 externo. Quando você configura um endereço IPv6 externo na interface de rede da instância, um único intervalo
/96de endereços IPv6 é atribuído do intervalo IPv6 externo da sub-rede .Você também pode reservar um endereço IPv6 externo estático do intervalo IPv6 da sub-rede e atribuí-lo a uma instância de computação.
Alternativas ao uso de um endereço IP externo
Os endereços IP internos ou privados oferecem uma série de vantagens sobre os endereços IP externos ou públicos, incluindo:
- Superfície de ataque reduzida . A remoção de endereços IP externos de instâncias de computação torna mais difícil para os invasores alcançarem as instâncias e explorarem possíveis vulnerabilidades.
- Maior flexibilidade . A introdução de uma camada de abstração, como um balanceador de carga ou um serviço NAT, permite uma entrega de serviços mais confiável e flexível quando comparada com endereços IP externos estáticos.
A tabela a seguir resume as maneiras pelas quais as instâncias de computação podem acessar ou ser acessadas pela Internet quando não têm um endereço IP externo.
| Método de acesso | Solução | Melhor usado quando |
|---|---|---|
| Interativo | Configurar o encaminhamento TCP para Identity-Aware Proxy (IAP) | Você deseja usar serviços administrativos como SSH e RDP para se conectar às instâncias de back-end, mas as solicitações devem passar por verificações de autenticação e autorização antes de chegarem ao recurso de destino. |
| Buscando | Gateway NAT na nuvem | Você deseja que suas instâncias do Compute Engine que não têm endereços IP externos se conectem à Internet (saída), mas os hosts fora da sua rede VPC não podem iniciar suas próprias conexões com suas instâncias de computação (entrada). Você pode usar essa abordagem para atualizações de sistema operacional ou APIs externas. |
| Proxy da Web seguro | Você precisa isolar suas instâncias do Compute Engine da Internet criando novas conexões TCP em nome delas, ao mesmo tempo em que segue a política de segurança administrada. | |
| Servindo | Crie um balanceador de carga externo | Você deseja que os clientes se conectem a recursos sem endereços IP externos em qualquer lugar Google Cloud ao mesmo tempo que protege suas instâncias de computação contra ataques DDoS e ataques diretos. |
Endereços IP regionais e globais
Ao listar ou descrever endereços IP em seu projeto, Google Cloudrotula os endereços como globais ou regionais, o que indica como um determinado endereço está sendo usado. Ao associar um endereço a um recurso regional, como uma instância, Google Cloud rotula o endereço como regional. As regiões são Google Cloudregiões , como us-east4 ou europe-west2 .
Endereços IP globais são usados nas seguintes configurações:
- Endereços IP internos globais: acesse APIs do Google por meio de endpoints ou acesso a serviços privados
- Endereços IP externos globais: balanceadores de carga de rede de proxy externo e balanceadores de carga de aplicativos externos usando uma rede de nível Premium
Para obter instruções sobre como criar um endereço IP global, consulte Reservar um novo endereço IP externo estático .
Visão geral do SLA para redes do Compute Engine
O Compute Engine tem um acordo de nível de serviço (SLA) , que define objetivos de nível de serviço (SLOs) para a porcentagem mensal de tempo de atividade para níveis de serviço de rede.
Ao criar uma instância do Compute Engine, por padrão você recebe um endereço IP interno. Além disso, você pode configurar um endereço IP externo com rede Premium Tier (padrão) ou Standard Tier. O nível de serviço de rede escolhido depende dos requisitos de custo e qualidade do serviço. Cada camada de serviço de rede possui um SLO diferente.
Ao criar a instância de computação, você pode configurar várias NICs anexadas à instância, e cada NIC pode ter uma configuração de rede diferente, conforme mostrado no diagrama a seguir:
Figura 1. Uma instância com três NICs, cada uma delas lidando com tráfego de rede diferente com níveis de serviço de rede diferentes.
No diagrama anterior, a instância de exemplo chamada VM Appliance possui três NICs, que são configuradas da seguinte forma:
-
nic0está configurado com uma sub-rede IP interna. -
nic1é configurado com uma sub-rede IP externa e usa a camada de rede Padrão. -
nic2está configurado com uma sub-rede IP externa e usa o nível de rede Premium.
Neste exemplo, a instância de VM não é uma VM com otimização de memória. Dependendo de qual NIC sofre perda de conectividade, diferentes SLOs são aplicáveis. A lista a seguir descreve o SLA para as diferentes NICs neste exemplo.
-
nic0: uma VM de instância única com endereços IP internos. A porcentagem de tempo de atividade mensal é de 99,9%. -
nic1: uma VM de instância única com um endereço IP externo que usa a camada de rede Padrão. Esta VM não está protegida por nenhum SLA. Apenas múltiplas instâncias entre zonas são protegidas em 99,9% com o nível de rede Padrão. -
nic2: uma VM de instância única com endereço IP externo que usa a camada de rede Premium. A porcentagem de tempo de atividade mensal é de 99,9%. Para múltiplas instâncias entre zonas, a porcentagem mensal de tempo de atividade é de 99,99% com o nível de rede Premium.
O que vem a seguir
- Visualize a configuração de rede de uma instância .
- Reserve um novo endereço IP externo estático .
- Atribuindo um IP externo estático a uma nova instância .
- Escolhendo um endereço IP interno na criação da instância .
- Promoção de um endereço IP externo efêmero .
- Saiba como usar nomes DNS internos para endereçar instâncias na rede VPC interna.
- Saiba mais sobre endereços IP .
- Saiba mais sobre IPv6 .
- Saiba mais sobre endereços IP e balanceamento de carga .
- Revise os preços de endereços IP externos .