Visão geral da rede para VMs

Este documento fornece uma visão geral da funcionalidade de rede das instâncias de máquina virtual (VM). Ele fornece uma compreensão básica de como suas instâncias de máquina virtual (VM) interagem com redes de nuvem privada virtual (VPC). Para obter mais informações sobre redes VPC e recursos relacionados, leia a visão geral da rede VPC .

Redes e sub-redes

Cada VM faz parte de uma rede VPC. As redes VPC fornecem conectividade para sua instância de VM com outras Google Cloud produtos e para a internet. As redes VPC podem estar no modo automático ou no modo personalizado .

  • As redes VPC de modo automático têm uma sub-rede (sub-rede) em cada região. Todas as sub-redes estão contidas neste intervalo de endereços IP: 10.128.0.0/9 . As redes VPC de modo automático oferecem suporte apenas a intervalos de sub-redes IPv4.
  • As redes de modo personalizado não possuem uma configuração de sub-rede especificada; você decide quais sub-redes criar nas regiões escolhidas usando os intervalos de IP especificados . As redes de modo personalizado também suportam intervalos de sub-redes IPv6.

A menos que você opte por desativá-lo, cada projeto terá uma rede default , que é uma rede VPC de modo automático. Você pode desabilitar a criação de redes padrão criando uma política da organização .

Cada sub-rede em uma rede VPC está associada a uma região e contém um ou mais intervalos de endereços IP. Você pode criar mais de uma sub-rede por região. Cada uma das interfaces de rede da sua VM deve estar conectada a uma sub-rede.

Ao criar uma VM, você pode especificar uma rede e uma sub-rede VPC. Se você omitir esta configuração, a rede e a sub-rede default serão usadas.Google Cloud atribui um endereço IPv4 interno à nova VM do intervalo de endereços IPv4 primário da sub-rede selecionada. Se a sub-rede também tiver um intervalo de endereços IPv6 (referido como dual-stack ) ou se você criou uma sub-rede somente IPv6 ( Preview ), você poderá atribuir um endereço IPv6 à VM.

Para obter mais informações sobre redes VPC, leia a visão geral da rede VPC . Para ver um exemplo ilustrado de VMs que usam uma rede VPC com três sub-redes em duas regiões, consulte Exemplo de rede VPC .

Controladores de interface de rede (NICs)

Cada instância de computação em uma rede VPC tem uma interface de rede padrão. Você pode definir interfaces de rede somente ao criar uma instância de computação. Ao configurar uma interface de rede, você seleciona uma rede VPC e uma sub-rede dentro dessa rede VPC para conectar a interface. Você pode criar interfaces de rede adicionais para suas instâncias, mas cada interface deve ser conectada a uma rede VPC diferente.

Várias interfaces de rede permitem criar configurações nas quais uma instância se conecta diretamente a diversas redes VPC. Várias interfaces de rede são úteis quando os aplicativos em execução em uma instância exigem separação de tráfego, como a separação do tráfego do plano de dados do tráfego do plano de gerenciamento. Para obter mais informações sobre o uso de múltiplas NICs, consulte Visão geral de múltiplas interfaces de rede .

Ao configurar a interface de rede para uma instância de computação, você pode especificar o tipo de driver de rede a ser usado com a interface, VirtIO ou Google Virtual NIC (gVNIC). Para séries de máquinas de primeira e segunda geração , o padrão é VirtIO . As séries de máquinas de terceira geração e mais recentes são configuradas para usar gVNIC por padrão e não oferecem suporte a VirtIO para a interface de rede. Instâncias bare metal usam IDPF .

Além disso, você pode optar por usar o desempenho de rede por VM Tier_1 com uma instância de computação que usa gVNIC ou IPDF. A rede Tier_1 permite limites de rendimento de rede mais altos para transferências de dados de entrada e saída.

Largura de banda da rede

Google Cloud considera a largura de banda por instância de VM, não por interface de rede (NIC) ou endereço IP. A largura de banda é medida usando duas dimensões: direção do tráfego (entrada e saída) e tipo de endereço IP de destino. A taxa de saída máxima possível é determinada pelo tipo de máquina usada para criar a instância; entretanto, você só pode atingir a taxa de saída máxima possível em situações específicas. Para obter mais informações, consulte Largura de banda da rede .

Para oferecer suporte a larguras de banda de rede mais altas, como 200 Gbps para máquinas de terceira geração e séries posteriores, é necessário o Google Virtual NIC (gVNIC).

  • Os limites máximos de largura de banda de saída padrão variam de 1 Gbps a 100 Gbps.
  • O desempenho de rede por VM Tier_1 aumenta o limite máximo de largura de banda de saída para 200 Gbps, dependendo do tamanho e do tipo de máquina da sua instância de computação.

Algumas séries de máquinas têm limites diferentes, conforme documentado na tabela de resumo de largura de banda .

Endereços IP

Cada VM recebe um endereço IP da sub-rede associada à interface de rede. A lista a seguir fornece informações adicionais sobre os requisitos para configuração de endereços IP.

  • Para sub-redes somente IPv4, o endereço IP é um endereço IPv4 interno. Opcionalmente, você pode configurar um endereço IPv4 externo para a VM.
  • Se a interface de rede se conectar a uma sub-rede de pilha dupla que tenha um intervalo IPv6, você deverá usar uma rede VPC de modo personalizado. A VM tem os seguintes endereços IP:
    • Um endereço IPv4 interno. Opcionalmente, você pode configurar um endereço IPv4 externo para a VM.
    • Um endereço IPv6 interno ou externo, dependendo do tipo de acesso da sub-rede.
  • Para sub-redes somente IPv6 ( Visualização ), você deve usar uma rede VPC de modo personalizado. A VM possui um endereço IPv6 interno ou externo, dependendo do tipo de acesso da sub-rede.
  • Para criar uma instância somente IPv6 ( Preview ) com um endereço IPv6 interno e externo, você deve especificar duas interfaces de rede ao criar a VM. Não é possível adicionar interfaces de rede a uma instância existente.

Os endereços IP externos e internos podem ser efêmeros ou estáticos .

Os endereços IP internos são locais para um dos seguintes:

  • Uma rede VPC
  • Uma rede VPC conectada usando peering de rede VPC
  • Uma rede local conectada a uma rede VPC usando Cloud VPN, Cloud Interconnect ou um dispositivo roteador

Uma instância pode se comunicar com instâncias na mesma rede VPC ou em uma rede conectada, conforme especificado na lista anterior, usando o endereço IPv4 interno da VM. Se a interface de rede da VM se conectar a uma sub-rede de pilha dupla ou a uma sub-rede somente IPv6, você poderá usar os endereços IPv6 internos ou externos da VM para se comunicar com outras instâncias na mesma rede. Como prática recomendada, use endereços IPv6 internos para comunicação interna. Para mais informações sobre endereços IP, leia a visão geral de endereços IP do Compute Engine.

Para se comunicar com a Internet ou sistemas externos, use um endereço IPv4 externo ou IPv6 externo configurado na instância de VM. Endereços IP externos são endereços IP roteáveis ​​publicamente. Se uma instância não tiver um endereço IP externo, o Cloud NAT poderá ser usado para tráfego IPv4.

Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IPv4 interno diferente usando intervalos de IP de alias. A rede VPC encaminha pacotes destinados a um determinado serviço para a VM correspondente. Para obter mais informações, consulte intervalos de IP de alias .

Níveis de serviço de rede

Os níveis de serviço de rede permitem otimizar a conectividade entre sistemas na Internet e suas instâncias do Compute Engine. O nível Premium fornece tráfego no backbone premium do Google, enquanto o nível padrão usa redes ISP regulares. Use o nível Premium para otimizar o desempenho e use o nível Standard para otimizar o custo.

Como você escolhe uma camada de rede no nível do recurso, como o endereço IP externo de uma VM, você pode usar a camada Standard para alguns recursos e a camada Premium para outros. Se você não especificar um nível, o nível Premium será usado.

As instâncias de computação que usam endereços IP internos para se comunicar em redes VPC sempre usam a infraestrutura de rede de nível Premium.

Ao usar o nível Premium ou o nível Standard, não há cobrança pela transferência de dados de entrada. O preço da transferência de dados de saída é por GiB entregue e é diferente para cada um dos níveis de serviço de rede. Para obter informações sobre preços, consulte Preços dos níveis de serviço de rede .

Os níveis de serviço de rede não são iguais ao desempenho de rede VM Tier_1, que é uma opção de configuração que você pode escolher para usar com suas instâncias de computação. Há um custo extra associado ao uso da rede Tier_1, conforme descrito em Preços de rede com largura de banda mais alta Tier_1 . Para obter mais informações sobre a rede Tier_1, consulte Configurar por desempenho de rede Tier_1 da VM .

Nível premium

O nível Premium entrega tráfego de sistemas externos para Google Cloudrecursos usando a rede global altamente confiável e de baixa latência do Google. Essa rede foi projetada para tolerar diversas falhas e interrupções e, ao mesmo tempo, entregar tráfego. O nível Premium é ideal para clientes com usuários em vários locais do mundo que precisam do melhor desempenho e confiabilidade de rede.

A rede Premium Tier consiste em uma extensa rede de fibra privada com mais de 100 pontos de presença (PoPs) em todo o mundo. Na rede do Google , o tráfego é roteado desse PoP para a instância de computação na sua rede VPC. O tráfego de saída é enviado pela rede do Google, saindo no PoP mais próximo do seu destino. Este método de roteamento minimiza o congestionamento e maximiza o desempenho, reduzindo o número de saltos entre os usuários finais e os PoPs mais próximos deles.

Camada padrão

A rede Standard Tier entrega tráfego de sistemas externos paraGoogle Cloud recursos, roteando-os pela Internet. Os pacotes que saem da rede do Google são entregues pela Internet pública e estão sujeitos à confiabilidade dos provedores de trânsito e ISPs intervenientes. O nível padrão oferece qualidade e confiabilidade de rede comparáveis ​​às de outros provedores de nuvem.

O nível Standard tem um preço inferior ao do nível Premium porque o tráfego de sistemas na Internet é roteado por redes de trânsito (ISP) antes de ser enviado para instâncias de computação em sua rede VPC. O tráfego de saída do nível Standard normalmente sai da rede do Google pela mesma região usada pela instância de computação remetente, independentemente do destino.

O nível Standard inclui 200 GB de uso gratuito por mês em cada região que você usa em todos os seus projetos, por recurso.

Nomes internos do sistema de nomes de domínio (DNS)

Ao criar uma instância de máquina virtual (VM), Google Cloudcria um nome DNS interno a partir do nome da VM. A menos que você especifique um nome de host personalizado ,Google Cloud usa o nome DNS interno criado automaticamente como o nome do host que fornece à VM.

Para comunicação entre VMs na mesma rede VPC, você pode especificar o nome DNS totalmente qualificado (FQDN) da instância de destino em vez de usar o endereço IP interno. Google Cloud resolve automaticamente o FQDN para o endereço IP interno da instância.

Para obter mais informações sobre nomes de domínio totalmente qualificados (FQDN), consulte Nomes DNS internos zonais e globais .

Rotas

Google Cloud as rotas definem os caminhos que o tráfego de rede percorre de uma instância de máquina virtual (VM) para outros destinos. Esses destinos podem estar dentro da sua rede VPC (por exemplo, em outra VM) ou fora dela. A tabela de roteamento de uma rede VPC é definida no nível da rede VPC. Cada instância de VM possui um controlador que é mantido informado sobre todas as rotas aplicáveis ​​da tabela de roteamento da rede. Cada pacote que sai de uma VM é entregue ao próximo salto apropriado de uma rota aplicável com base em uma ordem de roteamento.

As rotas de sub-rede definem caminhos para recursos como VMs e balanceadores de carga internos em uma rede VPC. Cada sub-rede possui pelo menos uma rota de sub-rede cujo destino corresponde ao intervalo de IP primário da sub-rede. As rotas de sub-rede sempre têm os destinos mais específicos. Elas não podem ser substituídas por outras rotas, mesmo que outra rota tenha prioridade mais alta. Isto é porque Google Cloudconsidera a especificidade do destino antes da prioridade ao selecionar uma rota. Para obter mais informações sobre intervalos de IP de sub-redes, consulte a visão geral das sub-redes .

Regras de encaminhamento

Embora as rotas governem o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para uma instância. Google Cloud recurso em uma rede VPC com base em endereço IP, protocolo e porta. Algumas regras de encaminhamento direcionam o tráfego de fora Google Cloud para um destino na rede; outras regras direcionam o tráfego de dentro da rede.

Você pode configurar regras de encaminhamento para suas instâncias para implementar hospedagem virtual por IPs, Cloud VPN, IPs virtuais privados (VIPs) e balanceamento de carga. Para obter mais informações sobre regras de encaminhamento, consulte Usando encaminhamento de protocolo .

Regras de firewall

As regras de firewall da VPC permitem permitir ou negar conexões de ou para sua VM com base em uma configuração especificada por você. Google Cloud sempre impõe regras de firewall de VPC habilitadas, protegendo suas VMs independentemente da configuração e do sistema operacional, mesmo que a VM não tenha sido iniciada.

Por padrão, toda rede VPC tem regras de firewall de entrada (entrada) e saída (saída) que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída. A rede default possui regras de firewall adicionais , incluindo a regra default-allow-internal , que permite a comunicação entre instâncias na rede. Se não estiver usando a rede default , você deverá criar explicitamente regras de firewall de entrada de prioridade mais alta para permitir que as instâncias se comuniquem entre si.

Cada rede VPC funciona como um firewall distribuído. As regras de firewall são definidas no nível da VPC e podem ser aplicadas a todas as instâncias da rede, ou você pode usar tags de destino ou contas de serviço de destino para aplicar regras a instâncias específicas. Você pode pensar nas regras de firewall da VPC como existindo não apenas entre suas instâncias e outras redes, mas também entre instâncias individuais na mesma rede VPC.

As políticas hierárquicas de firewall permitem criar e aplicar uma política de firewall consistente em toda a sua organização. Você pode atribuir políticas de firewall hierárquicas à organização como um todo ou a pastas individuais. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, da mesma forma que as regras de firewall da VPC. Além disso, as regras de política de firewall hierárquicas podem delegar a avaliação a políticas de nível inferior ou regras de firewall de VPC com uma ação goto_next . As regras de nível inferior não podem substituir uma regra de um local superior na hierarquia de recursos. Isso permite que os administradores de toda a organização gerenciem regras críticas de firewall em um só lugar.

Grupos de instâncias gerenciadas e configurações de rede

Se você usar grupos gerenciados de instâncias (MIGs) , a configuração de rede especificada no modelo de instância se aplicará a todas as VMs criadas com o modelo. Se você criar um modelo de instância em uma rede VPC de modo automático, Google Cloud seleciona automaticamente a sub-rede da região onde você criou o grupo gerenciado de instâncias.

Para obter mais informações, consulte Redes e sub-redes e Criar modelos de instância .

O que vem a seguir?