Muitos recursos do Google Cloud podem ter endereços IP internos e externos. Por exemplo, é possível atribuir um endereço IP interno e externo a instâncias do Compute Engine. As instâncias usam esses endereços para se comunicar com outros recursos do Google Cloud e sistemas externos.
Cada interface de rede usada por uma instância precisa ter um endereço IPv4 interno principal. Cada interface de rede também pode ter um ou mais intervalos IPv4 de alias e um endereço IPv4 externo. Se a instância estiver conectada a uma sub-rede compatível com IPv6, cada interface de rede também poderá ter endereços IPv6 internos ou externos atribuídos.
Uma instância pode se comunicar com instâncias na mesma rede de nuvem privada virtual (VPC), usando o endereço IPv4 interno da instância. Se as instâncias tiverem o IPv6 configurado, também será possível usar um dos endereços IPv6 internos ou externos da instância. Como prática recomendada, use endereços IPv6 internos para comunicação interna.
Para se comunicar com a Internet, use um endereço IPv4 ou IPv6 externo configurado na instância. Se nenhum endereço externo estiver configurado na instância, o Cloud NAT poderá ser usado para o tráfego IPv4.
Da mesma forma, é preciso usar o IPv4 externo ou o IPv6 externo da instância para se conectar a instâncias fora da mesma rede VPC. No entanto, se as redes estiverem conectadas de alguma forma (por exemplo, usando o peering de rede VPC), será possível usar o endereço IP interno da instância.
Para informações sobre como identificar o endereço IP interno e externo das instâncias, consulte Ver a configuração de rede de uma instância.
Endereços IP internos
As interfaces de rede de uma instância recebem endereços IP da sub-rede a que estão conectadas. Cada interface de rede tem um endereço IPv4 interno principal, que é atribuído a partir do intervalo IPv4 principal da sub-rede. Se a sub-rede tiver um intervalo IPv6 interno, além do endereço IPv4 interno principal, será possível configurar a interface de rede com um endereço IPv6 interno principal.
Os endereços IPv4 internos podem ser atribuídos das seguintes maneiras:
- O Compute Engine atribui automaticamente um único endereço IPv4 dos intervalos de sub-rede IPv4 principais.
- Você atribui um endereço IPv4 interno específico ao criar uma instância de computação, usando um endereço IPv4 interno estático reservado ou especificando um endereço IPv4 interno efêmero personalizado.
Endereços IPv6 internos podem ser atribuídos a instâncias conectadas a uma sub-rede com um intervalo IPv6 interno das seguintes maneiras:
- Quando você configura um endereço IPv6 interno na vNIC de uma instância, o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 interno da sub-rede. - Você atribui um endereço IPv6 interno específico ao criar uma instância, usando um endereço IPv6 interno estático reservado ou especificando um endereço IPv6 interno efêmero personalizado.
Também é possível reservar um endereço interno estático no intervalo IPv4 ou IPv6 da sub-rede e atribuí-lo a uma instância mais tarde.
As instâncias de computação também podem ter intervalos e endereços IP de alias. Se você tiver mais de um serviço em execução em uma instância, poderá atribuir a cada um deles o próprio endereço IP exclusivo.
Nomes DNS internos
Google Cloud resolve automaticamente o nome DNS totalmente qualificado (FQDN, na sigla em inglês) de uma instância para os endereços IP internos dela. Os nomes DNS internos funcionam apenas na rede VPC da instância.
Para ver mais informações sobre nomes de domínio totalmente qualificados (FQDN, na sigla em inglês), leia DNS interno.
Endereços IP externos
Se você precisar se comunicar com a Internet ou com recursos em outra rede VPC, atribua um endereço IPv4 ou IPv6 externo a uma instância. Se as regras de firewall ou as políticas hierárquicas de firewall permitirem a conexão, as origens externas a uma rede VPC poderão acessar um recurso específico usando o endereço IP externo dele. Somente recursos com um endereço IP externo podem se comunicar diretamente com recursos fora da rede VPC. A comunicação com um recurso usando um endereço IP externo pode gerar cobranças adicionais.
Os endereços IPv4 externos podem ser atribuídos das seguintes maneiras:
- O Compute Engine atribui automaticamente um endereço IPv4 dos intervalos de endereços IPv4 externos do Google.
Você atribui um endereço IPv4 externo específico ao criar uma instância usando um endereço IPv4 externo estático reservado.
Para mais informações, consulte Onde posso encontrar intervalos de IP do Compute Engine.
Endereços IPv6 externos podem ser atribuídos a instâncias conectadas a uma sub-rede com um intervalo IPv6 externo das seguintes maneiras:
- Quando você configura um endereço IPv6 externo na vNIC de uma instância, o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 externo da sub-rede. - Você atribui um endereço IPv6 externo específico ao criar uma instância, usando um endereço IPv6 externo estático reservado ou especificando um endereço IPv6 externo temporário personalizado.
Alternativas ao uso de um endereço IP externo
Os endereços IP internos ou privados oferecem várias vantagens em relação aos endereços IP externos ou públicos, incluindo:
- Superfície de ataque reduzida. A remoção de endereços IP externo das instâncias de computação dificulta o acesso dos invasores às instâncias e a exploração de possíveis vulnerabilidades.
- Maior flexibilidade. A introdução de uma camada de abstração, como um balanceador de carga ou um serviço NAT, permite a entrega de serviços mais confiável e flexível quando comparada com endereços IP externos estáticos.
A tabela a seguir resume as maneiras pelas quais as instâncias de computação podem acessar ou ser acessadas da Internet quando não têm um endereço IP externo.
| Método de acesso | Solução | Melhor usado quando |
|---|---|---|
| Interativo | Configurar o encaminhamento de TCP para o Identity-Aware Proxy (IAP) | Você quer usar serviços administrativos, como SSH e RDP, para se conectar às instâncias de back-end, mas as solicitações precisam passar por verificações de autenticação e autorização antes de chegar ao recurso de destino. |
| Busca | Gateway do Cloud NAT | Você quer que as instâncias do Compute Engine que não têm endereços IP externo se conectem à Internet (saída), mas os hosts fora da sua rede VPC não podem iniciar as próprias conexões com as instâncias de computação (entrada). Você pode usar essa abordagem para atualizações do SO ou APIs externas. |
| Proxy seguro da Web | É necessário isolar as instâncias do Compute Engine da Internet criando novas conexões TCP em nome delas, seguindo a política de segurança administrada. | |
| Disponibilização | Criar um balanceador de carga externo | Você quer que os clientes se conectem a recursos sem endereços IP externo em qualquer lugar do Google Cloud , protegendo suas instâncias de computação contra ataques DDoS e diretos. |
Endereços IP regionais e globais
Ao listar ou descrever endereços IP no seu projeto,o Google Cloud
rotula os endereços como globais ou regionais, o que indica como determinado endereço
está sendo usado. Ao associar um endereço a um recurso regional, como uma instância,o Google Cloud rotula o endereço como regional.
Entende-se por regiões as Google Cloud
regiões, como us-east4 ou europe-west2.
Os endereços IP globais são usados nas seguintes configurações:
- Endereços IP internos globais: Acessar APIs do Google por meio de endpoints ou acesso a serviços particulares
- Endereços IP externo globais: balanceadores de carga de rede de proxy externo e balanceadores de carga de aplicativo externos usando uma rede de nível Premium
Para instruções sobre como criar um endereço IP global, consulte Reservar um novo endereço IP externo estático.
Visão geral do SLA para rede do Compute Engine
O Compute Engine tem um contrato de nível de serviço (SLA), que define objetivos de nível de serviço (SLOs) para a porcentagem de tempo de atividade mensal dos níveis de serviço de rede.
Ao criar uma instância do Compute Engine, você recebe um endereço IP interno por padrão. Também é possível configurar um endereço IP externo com o nível Premium (padrão) ou Standard de rede. O nível de serviço de rede escolhido depende dos seus requisitos de custo e qualidade de serviço. Cada nível de serviço de rede tem um SLO diferente.
Ao criar a instância de computação, é possível configurar várias placas de rede conectadas a ela. Cada placa pode ter uma configuração de rede diferente, como mostrado no diagrama a seguir:
Figura 1. Uma instância com três NICs, cada uma processando tráfego de rede diferente com diferentes níveis de serviço de rede.
No diagrama anterior, a instância de exemplo chamada VM appliance tem três NICs, que são configuradas da seguinte maneira:
nic0é configurado com uma sub-rede IP interna.nic1é configurado com uma sub-rede IP externo e usa o nível de rede Standard.nic2é configurado com uma sub-rede IP externo e usa o nível de rede Premium.
Neste exemplo, a instância de VM não é uma VM com otimização de memória. Dependendo de qual NIC sofre uma perda de conectividade, diferentes SLOs são aplicáveis. A lista a seguir descreve o SLA das diferentes NICs neste exemplo.
nic0: uma VM de instância única com endereços IP internos. A porcentagem de tempo de atividade mensal é de 99,9%.nic1: uma VM de instância única com um endereço IP externo que usa o nível de rede Standard. Essa VM não é protegida por nenhum SLA. Somente várias instâncias em zonas são protegidas em 99,9% com o nível de rede Standard.nic2: uma VM de instância única com endereço IP externo que usa o nível de rede Premium. A porcentagem de tempo de atividade mensal é de 99,9%. Para várias instâncias em várias zonas, a porcentagem de tempo de atividade mensal é de 99,99% com o nível de rede Premium.
A seguir
- Ver a configuração de rede de uma instância.
- Reservar um novo endereço IP externo estático.
- Como atribuir um endereço IP externo estático a uma nova instância.
- Como especificar um endereço IP interno na criação da instância.
- Como promover um endereço IP externo temporário.
- Saiba como usar nomes DNS internos para mencionar as instâncias na rede VPC interna.
- Saiba mais sobre endereços IP.
- Saiba mais sobre o IPv6.
- Saiba mais sobre endereços IP e balanceamento de carga.
- Revise o preço do endereço IP externo.