Indirizzi IP

Molte risorse Google Cloud possono avere indirizzi IP interni ed esterni. Ad esempio, puoi assegnare un indirizzo IP interno ed esterno alle istanze Compute Engine. Le istanze utilizzano questi indirizzi per comunicare con altre risorse Google Cloud e sistemi esterni.

Ogni interfaccia di rete utilizzata da un'istanza deve avere un indirizzo IPv4 interno principale. Ogni interfaccia di rete può avere anche uno o più intervalli IPv4 di alias e un indirizzo IPv4 esterno. Se l'istanza è collegata a una subnet che supporta IPv6, a ogni interfaccia di rete possono essere assegnati anche indirizzi IPv6 interni o esterni.

Un'istanza può comunicare con le istanze della stessa rete VPC (Virtual Private Cloud) utilizzando l'indirizzo IPv4 interno dell'istanza. Se nelle istanze sono configurati indirizzi IPv6, puoi anche utilizzare uno degli indirizzi IPv6 interni o esterni dell'istanza. Come best practice, utilizza indirizzi IPv6 interni per le comunicazioni interne.

Per comunicare con internet, puoi utilizzare un indirizzo IPv4 o IPv6 esterno configurato nell'istanza. Se al suo interno non è configurato nessun indirizzo esterno, è possibile utilizzare Cloud NAT per il traffico IPv4.

Analogamente, devi utilizzare l'indirizzo IPv4 o IPv6 esterno dell'istanza per connetterti alle istanze esterne alla stessa rete VPC. Tuttavia, se le reti sono connesse in qualche modo, ad esempio tramite il peering di rete VPC, puoi utilizzare l'indirizzo IP interno dell'istanza.

Per informazioni su come identificare l'indirizzo IP interno ed esterno per le istanze, consulta Visualizza la configurazione di rete di un'istanza.

Indirizzi IP interni

Alle interfacce di rete di un'istanza vengono assegnati gli indirizzi IP della subnet a cui sono collegate. Ogni interfaccia di rete ha un indirizzo IPv4 interno principale, assegnato dall'intervallo IPv4 principale della subnet. Se la subnet ha un intervallo IPv6 interno oltre all'indirizzo IPv4 interno principale, puoi configurare facoltativamente l'interfaccia di rete con un indirizzo IPv6 interno principale.

Gli indirizzi IPv4 interni possono essere assegnati nei seguenti modi:

Compute Engine assegna automaticamente un singolo indirizzo IPv4 dagli intervalli di subnet IPv4 principali.
Quando crei un'istanza di computing, devi assegnare un indirizzo IPv4 interno specifico utilizzando un indirizzo IPv4 interno statico riservato oppure specificando un indirizzo IPv4 interno temporaneo personalizzato.

Gli indirizzi IPv6 interni possono essere assegnati alle istanze collegate a una subnet con un intervallo IPv6 interno nei seguenti modi:

Quando configuri un indirizzo IPv6 interno sulla vNIC di un'istanza, Compute Engine assegna automaticamente un singolo intervallo /96 di indirizzi IPv6 dall'intervallo IPv6 interno della subnet.
Quando crei un'istanza, devi assegnare un indirizzo IPv6 interno specifico utilizzando un indirizzo IPv6 interno statico riservato o specificando un indirizzo IPv6 interno temporaneo personalizzato.

Puoi anche prenotare un indirizzo interno statico dall'intervallo IPv4 o IPv6 della subnet e assegnarlo a un'istanza.

Le istanze di computing possono anche avere intervalli e indirizzi IP alias. Se esiste più di un servizio in esecuzione su un'istanza, puoi assegnare a ogni servizio il proprio indirizzo IP univoco.

Nomi DNS interni

Google Cloud risolve automaticamente il nome DNS completo (FQDN) di un'istanza negli indirizzi IP interni dell'istanza. I nomi DNS interni funzionano solo all'interno della rete VPC dell'istanza.

Per saperne di più sui nomi di dominio completi (FQDN), consulta DNS interno.

Indirizzi IP esterni

Se devi comunicare con internet o con risorse di un'altra rete VPC, puoi assegnare un indirizzo IPv4 o IPv6 esterno a un'istanza. Se le regole firewall o le policy del firewall gerarchiche consentono la connessione, le origini esterne a una rete VPC possono raggiungere una risorsa specifica utilizzando il relativo indirizzo IP esterno. Solo le risorse con un indirizzo IP esterno possono comunicare direttamente con le risorse esterne alla rete VPC. Le comunicazioni con una risorsa tramite un indirizzo IP esterno possono comportare addebiti aggiuntivi.

Gli indirizzi IPv4 esterni sono disponibili per tutte le istanze di calcolo. Quando configuri un indirizzo IPv4 esterno sulla vNIC di un'istanza, verrà assegnato un singolo indirizzo IPv4 dagli intervalli di indirizzi IPv4 esterni di Google. Per maggiori informazioni, consulta Dove posso trovare gli intervalli IP di Compute Engine.
Gli indirizzi IPv6 esterni sono disponibili per le istanze Compute Engine collegate a una subnet con un intervallo IPv6 esterno. Quando configuri un indirizzo IPv6 esterno sull'interfaccia di rete dell'istanza, viene assegnato un singolo intervallo /96 di indirizzi IPv6 dall'intervallo IPv6 esterno della subnet.

Puoi anche prenotare un indirizzo IPv6 esterno statico dall'intervallo IPv6 della subnet e assegnarlo a un'istanza di computing.

Alternative all'utilizzo di un indirizzo IP esterno

Gli indirizzi IP interni o privati offrono una serie di vantaggi rispetto agli indirizzi IP esterni o pubblici, tra cui:

Superficie di attacco ridotta. La rimozione degli indirizzi IP esterni dalle istanze di computing rende più difficile per gli utenti malintenzionati raggiungere le istanze e sfruttare potenziali vulnerabilità.
Maggiore flessibilità. L'introduzione di un livello di astrazione, come un bilanciatore del carico o un servizio NAT, consente di fornire servizi più affidabili e flessibili rispetto all'uso di indirizzi IP esterni statici.

La tabella seguente riassume i modi in cui le istanze di computing possono accedere o essere accessibili da internet quando non hanno un indirizzo IP esterno.

Metodo di accesso	Soluzione	Ideale se
Interattivo	Configura il forwarding TCP per Identity-Aware Proxy (IAP)	Vuoi utilizzare servizi amministrativi come SSH e RDP per connetterti alle istanze di backend, ma le richieste devono superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione.
Recupero	Gateway Cloud NAT	Vuoi che le istanze Compute Engine che non dispongono di indirizzi IP esterni si connettano a internet (in uscita), senza che gli host esterni alla tua rete VPC possano avviare le proprie connessioni alle tue istanze di computing (in entrata). Potresti utilizzare questo approccio per gli aggiornamenti del sistema operativo o per le API esterne.
Recupero	Secure Web Proxy	Devi isolare le istanze Compute Engine da internet creando nuove connessioni TCP per loro conto, rispettando al contempo la policy di sicurezza gestita.
Gestione	Crea un bilanciatore del carico esterno	Vuoi che i client si connettano alle risorse senza indirizzi IP esterni in qualsiasi parte di Google Cloud , proteggendo al contempo le istanze di computing da attacchi DDoS e attacchi diretti.

Indirizzi IP regionali e globali

Quando elenchi o descrivi gli indirizzi IP in un progetto, Google Cloudli etichetta come globali o regionali, a indicare come viene utilizzato un determinato indirizzo. Quando associ un indirizzo a una risorsa di regione, ad esempio un'istanza, Google Cloud etichetta l'indirizzo come regionale. Sono regioni Google Cloud, ad esempio us-east4 o europe-west2.

Gli indirizzi IP globali vengono utilizzati nelle seguenti configurazioni:

Indirizzi IP interni globali: accedi alle API di Google tramite endpoint o accesso privato ai servizi
Indirizzi IP esterni globali: bilanciatori del carico di rete con proxy esterno e bilanciatori del carico delle applicazioni esterni che utilizzano una rete di livello Premium

Per istruzioni su come creare un indirizzo IP globale, consulta Prenota un nuovo indirizzo IP esterno statico.

Panoramica dello SLA per il networking di Compute Engine

Compute Engine ha un accordo sul livello del servizio (SLA) che definisce gli obiettivi del livello di servizio (SLO) per la percentuale di uptime mensile per i livelli di servizio di rete.

Quando crei un'istanza Compute Engine, per impostazione predefinita viene visualizzato un indirizzo IP interno. Inoltre, puoi configurare un indirizzo IP esterno con una rete di livello Premium (predefinito) o di livello Standard. Il livello di servizio di rete scelto dipende dalle esigenze specifiche in merito di costi e qualità del servizio. Ogni livello di servizio di rete ha uno SLO diverso.

Quando crei l'istanza di computing, puoi configurare più NIC collegate all'istanza e ogni NIC può avere una configurazione di rete diversa, come mostrato nel seguente diagramma:

Un'istanza con tre schede NIC, ciascuna delle quali gestisce un traffico di rete diverso con livelli di servizio di rete diversi.

Figura 1. Un'istanza con tre schede NIC, ciascuna delle quali gestisce un traffico di rete diverso con livelli di servizio di rete diversi.

Nel diagramma precedente, l'istanza di esempio denominata VM appliance ha tre NIC, configurate come segue:

nic0 è configurata con una subnet IP interna.
nic1 è configurata con una subnet IP esterna e utilizza il livello di rete Standard.
nic2 è configurata con una subnet IP esterna e utilizza il livello di rete Premium.

In questo esempio, l'istanza VM non è una VM ottimizzata per la memoria. Sono applicabili SLO diversi a seconda della NIC che registra una perdita di connettività. L'elenco seguente descrive l'accordo sul livello del servizio per le diverse NIC in questo esempio.

nic0: una VM a istanza singola con indirizzi IP interni. La percentuale di uptime mensile è del 99,9%.
nic1: una VM a istanza singola con un indirizzo IP esterno che utilizza il livello di rete Standard. Questa VM non è protetta da nessuno SLA. Solo istanze multiple in più zone sono protette al 99,9% con il livello di rete Standard.
nic2: una VM a istanza singola con indirizzo IP esterno che utilizza il livello di rete Premium. La percentuale di uptime mensile è del 99,9%. Nel caso di istanze multiple in più zone, la percentuale di uptime mensile è del 99,99% con il livello di networking Premium.

Indirizzi IP Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.