Cette page a été traduite par l'API Cloud Translation.

Interfaces réseau multiples

Cette page présente les différentes interfaces réseau des instances de VM Compute Engine. Les instances avec plusieurs interfaces réseau sont appelées instances à plusieurs cartes d'interface réseau.

Une instance possède toujours au moins une interface réseau virtuelle (vNIC). Selon le type de machine, vous pouvez configurer des interfaces réseau supplémentaires.

Cas d'utilisation

Les instances à cartes d'interface réseau multiples sont utiles dans les scénarios suivants:

Pour se connecter aux ressources de réseaux VPC distincts: les instances multi-NIC peuvent se connecter aux ressources situées dans différents réseaux VPC qui ne sont pas connectés les uns aux autres via l'appairage de réseaux VPC ou Network Connectivity Center.
- Étant donné que chaque interface d'une instance à plusieurs cartes d'interface réseau se trouve dans un réseau VPC distinct, vous pouvez utiliser chaque interface à des fins uniques. Par exemple, vous pouvez utiliser certaines interfaces pour acheminer des paquets entre des réseaux VPC qui transportent du trafic de production et une autre interface à des fins de gestion ou de configuration.
- Dans l'OS invité de chaque instance multi-NIC, vous devez configurer des règles de routage et des tables de routage locales.
Routage des paquets entre des réseaux VPC: les instances multi-NIC peuvent être utilisées comme sauts suivants pour les routes afin de connecter deux réseaux VPC ou plus.
- Le logiciel exécuté dans l'OS invité d'une instance multi-NIC peut effectuer une inspection des paquets, une traduction d'adresses réseau (NAT) ou une autre fonction de sécurité réseau.
- Lorsque vous connectez des réseaux VPC à l'aide d'instances multi-NIC, il est recommandé de configurer au moins deux instances multi-NIC, en les utilisant comme backends pour un équilibreur de charge réseau passthrough interne dans chaque réseau VPC. Pour en savoir plus, consultez la section Cas d'utilisation de la documentation sur les équilibreurs de charge réseau passthrough internes utilisés en tant que saut suivant.

Vous pouvez également utiliser des instances multi-NIC avec des interfaces Private Service Connect pour connecter les réseaux producteurs et consommateurs de services dans différents projets.

Types d'interfaces réseau

Google Cloud est compatible avec les types d'interfaces réseau suivants:

vNICs: interface réseau virtuelle des instances Compute Engine. Chaque instance doit disposer d'au moins un vNIC. Les vNIC des réseaux VPC standards peuvent être GVNIC, VIRTIO_NET ou IDPF. Vous ne pouvez configurer des vNIC que lorsque vous créez une instance.
Carte d'interface réseau dynamique (preview) : interface enfant d'une vNIC parente. Vous pouvez configurer des NIC dynamiques lorsque vous créez une instance ou les ajouter ultérieurement. Pour en savoir plus, consultez la section Contrôleurs réseau dynamiques.

Vous pouvez également configurer des instances multi-NIC à l'aide de types de machines qui incluent des interfaces réseau RDMA (MRDMA), qui doivent être associées à un réseau VPC avec un profil réseau RDMA. Les autres types d'interfaces réseau, y compris les cartes d'interface réseau dynamiques, ne sont pas compatibles avec les réseaux VPC dotés d'un profil réseau RDMA.

Spécifications

Les spécifications suivantes s'appliquent aux instances avec plusieurs interfaces réseau:

Instances et interfaces réseau: chaque instance dispose d'une interface nic0. Le nombre maximal d'interfaces réseau varie en fonction du type de machine de l'instance.
- Chaque interface est associée à un type de pile, qui détermine les types de piles de sous-réseaux et les versions d'adresses IP compatibles. Pour en savoir plus, consultez la section Type de pile et adresses IP.
Réseau unique pour chaque interface réseau: à l'exception des réseaux VPC créés avec un profil réseau RDMA, chaque interface réseau doit utiliser un sous-réseau dans un réseau VPC unique.
- Pour les réseaux VPC créés avec un profil réseau RDMA, plusieurs cartes d'interface réseau RDMA peuvent utiliser le même réseau VPC, à condition que chaque carte d'interface réseau RDMA utilise un sous-réseau unique.
- Un réseau et un sous-réseau VPC doivent exister avant que vous puissiez créer une instance dont l'interface réseau utilise le réseau et le sous-réseau. Pour en savoir plus sur la création de réseaux et de sous-réseaux, consultez la section Créer et gérer des réseaux VPC.
Projet d'instance et sous-réseaux: pour les instances multi-NIC dans des projets autonomes, chaque interface réseau doit utiliser un sous-réseau situé dans le même projet que l'instance.
- Pour les instances dans les projets hôtes ou de service VPC partagés, consultez VPC partagé .
- Les interfaces Private Service Connect permettent à une instance multi-NIC d'avoir des interfaces réseau dans des sous-réseaux de différents projets. Pour en savoir plus, consultez la page À propos des rattachements de réseau.
Considérations concernant le transfert IP, le MTU et le routage: les instances à plusieurs cartes d'interface réseau nécessitent une planification minutieuse des options de configuration spécifiques à l'instance et à l'interface suivantes:
- L'option de transfert IP est configurable par instance et s'applique à toutes les interfaces réseau. Pour en savoir plus, consultez la section Activer le transfert IP pour les instances.
- Chaque interface réseau peut utiliser une unité de transmission maximale (MTU) unique, correspondant à celle du réseau VPC associé. Pour en savoir plus, consultez la section Unité de transmission maximale.
- Chaque instance reçoit une route par défaut à l'aide de l'option 121 du protocole DHCP, comme défini dans la RFC 3442. La route par défaut est associée à nic0. Sauf configuration manuelle différente, tout trafic quittant une instance pour une destination autre qu'un sous-réseau directement connecté quittera l'instance en utilisant la route par défaut sur nic0.
  
  Sur les systèmes Linux, vous pouvez configurer des règles et des routes personnalisées dans l'OS invité à l'aide du fichier /etc/iproute2/rt_tables et des commandes ip rule et ip route. Pour en savoir plus, consultez la documentation de l'OS invité. Pour obtenir un exemple, consultez le tutoriel suivant: Configurer le routage pour une interface supplémentaire.

Cartes d'interface réseau dynamiques

Les NIC dynamiques sont utiles dans les scénarios suivants:

Vous devez ajouter ou supprimer des interfaces réseau à des instances existantes ou en supprimer. Ajouter ou supprimer des NIC dynamiques ne nécessite pas de redémarrer ni de recréer l'instance.
Vous avez besoin d'autres interfaces réseau. Le nombre maximal de vNIC pour la plupart des types de machines dans Google Cloud est de 10. Toutefois, vous pouvez configurer jusqu'à 16 interfaces au total à l'aide de cartes d'interface réseau dynamiques. Pour en savoir plus, consultez la section Nombre maximal d'interfaces réseau.
Vous devez configurer des instances bare metal Compute Engine à plusieurs cartes d'interface réseau, qui ne disposent que d'une seule vNIC.

Propriétés des NIC dynamiques

Consultez les informations suivantes sur les propriétés des NIC dynamiques:

Les NIC dynamiques sont des interfaces VLAN qui utilisent le format de paquet standard IEEE 802.1Q. Veuillez noter les points suivants:
- L'ID de VLAN d'une interface réseau dynamique doit être un entier compris entre 2 et 255.
- L'ID de VLAN d'une interface réseau dynamique doit être unique dans une carte d'interface réseau virtuelle parente. Toutefois, les interfaces réseau dynamiques appartenant à différentes cartes d'interface réseau virtuelle parentes peuvent utiliser le même ID de VLAN.
Google Cloud utilise le format suivant pour le nom d'une carte réseau dynamique : nicNUMBER.VLAN_ID, où
- nicNUMBER est le nom du vNIC parent, par exemple nic0.
- VLAN_ID correspond à l'ID de VLAN que vous définissez, par exemple 4.
Voici un exemple de nom de carte réseau dynamique : nic0.4.
La création d'une instance avec des NIC dynamiques ou l'ajout de NIC dynamiques à une instance existante nécessite des étapes supplémentaires pour installer et gérer les interfaces VLAN correspondantes dans l'OS invité. Vous pouvez utiliser l'une des méthodes suivantes:
- Configurez la gestion automatique des NIC dynamiques à l'aide de l'agent invité Google.
- Configurez l'OS invité manuellement.
Pour en savoir plus, consultez Configurer l'OS invité pour les NIC dynamiques.
Les NIC dynamiques partagent la bande passante de leur vNIC parent, et aucune isolation de trafic n'est effectuée au sein d'un vNIC parent. Pour éviter que l'une des interfaces réseau ne consomme toute la bande passante, vous devez créer une stratégie de trafic spécifique à l'application dans l'OS invité afin de hiérarchiser ou de distribuer le trafic, par exemple à l'aide de Linux Traffic Control (TC).
Les NIC dynamiques partagent les mêmes files d'attente de réception et d'émission que leur vNIC parent.

Limites des interfaces réseau dynamiques

Voici les limites des NIC dynamiques:

Vous ne pouvez pas modifier les propriétés suivantes d'une carte réseau dynamique après sa création:
- Carte d'interface réseau virtuelle parente à laquelle l'interface réseau dynamique appartient.
- ID de VLAN de la carte réseau dynamique.
Les NIC dynamiques ne sont pas compatibles avec les éléments suivants:
- Protection DDoS avancée du réseau et stratégies de sécurité en périphérie du réseau pour Google Cloud Armor
- Configurations par instance pour les MIG
- Interfaces IPv6 uniquement (bêta)
- Fonctionnalités qui reposent sur l'interception de paquets, telles que les points de terminaison de pare-feu
- Systèmes d'exploitation (OS) Windows
Une carte d'interface réseau dynamique avec un vNIC parent dont le type est GVNIC peut rencontrer des pertes de paquets avec certaines tailles de MTU personnalisées. Pour éviter de perdre des paquets, n'utilisez pas les tailles de MTU suivantes: 1 986 octets, 3 986 octets, 5 986 octets et 7 986 octets.
Pour les VM de troisième génération, une carte d'interface réseau dynamique avec un ID de VLAN de 255 ne peut pas accéder à l'adresse IP du serveur de métadonnées. Si vous devez accéder au serveur de métadonnées, assurez-vous d'utiliser un autre ID de VLAN.
Pour les VM de troisième génération, la suppression et l'ajout d'une carte d'interface réseau dynamique ayant le même ID de VLAN peuvent autoriser un accès non autorisé sur différents réseaux VPC. Pour en savoir plus, consultez la section Problèmes connus.

Types de piles et adresses IP

Lorsque vous créez un vNIC, vous spécifiez l'un des types de pile d'interface suivants:

IPv4 uniquement
Double pile
IPv6 uniquement (bêta)

Remarque :Les NIC dynamiques ne sont pas compatibles avec les vNIC dont le type de pile est IPv6 uniquement.

Le tableau suivant décrit les types de piles de sous-réseaux compatibles et les détails des adresses IP pour chaque type de pile d'interface:

Interface	Sous-réseau IPv4 uniquement	Sous-réseau à double pile	Sous-réseau IPv6 uniquement (preview)	Informations sur l'adresse IP
IPv4 uniquement (pile unique)				Adresses IPv4 uniquement Consultez la section Détails des adresses IPv4.
IPv4 et IPv6 (double pile)				Les adresses IPv4 et IPv6. Consultez les sections Détails de l'adresse IPv4 et Détails de l'adresse IPv6.
IPv6 uniquement (pile unique) (bêta)				Adresses IPv6 uniquement Consultez la section Détails des adresses IPv6.

Modifier le type de pile de l'interface réseau

Vous pouvez modifier le type de pile d'une interface réseau comme suit:

Vous pouvez convertir une interface IPv4 uniquement en double pile si le sous-réseau de l'interface est un sous-réseau à double pile ou si vous arrêtez l'instance et attribuez l'interface à un sous-réseau à double pile.
Vous pouvez convertir une interface à double pile en IPv4 uniquement.

Vous ne pouvez pas modifier le type de pile d'une interface IPv6 uniquement. Les interfaces IPv6 uniquement (Preview) ne sont compatibles qu'avec la création d'instances.

Détails de l'adresse IPv4

Chaque interface réseau IPv4 uniquement ou à double pile reçoit une adresse IPv4 interne principale. Chaque interface peut éventuellement prendre en charge des plages d'adresses IP d'alias et une adresse IPv4 externe. Vous trouverez ci-dessous les spécifications et les exigences concernant l'IPv4:

Adresse IPv4 interne principale: Compute Engine attribue à l'interface réseau une adresse IPv4 interne principale à partir de la plage d'adresses IPv4 principale du sous-réseau de l'interface. L'adresse IPv4 interne principale est allouée par le protocole DHCP.
- Vous pouvez contrôler l'adresse IPv4 interne principale attribuée en configurant une adresse IPv4 interne statique ou en spécifiant une adresse IPv4 interne éphémère personnalisée.
- Dans un réseau VPC, l'adresse IPv4 interne principale de chaque interface réseau de VM est unique.
Plages d'adresses IP d'alias: vous pouvez éventuellement attribuer à l'interface une ou plusieurs plages d'adresses IP d'alias. Chaque plage d'adresses IP d'alias peut provenir de la plage d'adresses IPv4 principale ou d'une plage d'adresses IPv4 secondaire du sous-réseau de l'interface.
- Dans un réseau VPC, la plage d'adresses IP d'alias de chaque interface doit être unique.
Adresse IPv4 externe: vous pouvez éventuellement attribuer à l'interface une adresse IPv4 externe éphémère ou réservée. Google Cloud garantit l'unicité de chaque adresse IPv4 externe.

Détails de l'adresse IPv6

Compute Engine attribue à chaque interface réseau à double pile ou IPv6 uniquement (Preview) une plage d'adresses IPv6 /96 à partir de la plage d'adresses IPv6 /64 du sous-réseau de l'interface:

La plage d'adresses IPv6 /96 est interne ou externe en fonction du type d'accès IPv6 du sous-réseau de l'interface. Google Cloud garantit l'unicité de chaque plage d'adresses IPv6 interne et externe. Pour en savoir plus, consultez les spécifications IPv6.
- Si une instance a besoin à la fois d'une plage d'adresses IPv6 interne et d'une plage d'adresses IPv6 externe, vous devez configurer deux interfaces à double pile, deux interfaces IPv6 uniquement ou une interface à double pile et une interface IPv6 uniquement. Le sous-réseau utilisé par une interface doit avoir une plage d'adresses IPv6 externe, et le sous-réseau utilisé par l'autre interface doit avoir une plage d'adresses IPv6 interne.
La première adresse IPv6 (/128) est configurée sur l'interface par DHCP. Pour en savoir plus, consultez la section Attribution d'adresses IPv6.
Vous pouvez contrôler la plage d'adresses IPv6 /96 attribuée en configurant une plage d'adresses IPv6 interne ou externe statique. Pour les adresses IPv6 internes, vous pouvez spécifier une adresse IPv6 interne éphémère personnalisée.

Si vous connectez une instance à plusieurs réseaux à l'aide d'adresses IPv6, installez google-guest-agent version 20220603.00 ou une version ultérieure. Pour en savoir plus, consultez la section Je ne parviens pas à me connecter à l'adresse IPv6 d'une interface secondaire.

Nombre maximal d'interfaces réseau

Pour la plupart des types de machines, le nombre maximal d'interfaces réseau que vous pouvez associer à une instance évolue en fonction du nombre de processeurs virtuels, comme décrit dans les tableaux suivants.

Les exceptions suivantes sont spécifiques à la machine:

Les instances Bare Metal Compute Engine ne prennent en charge qu'un seul vNIC.
Le nombre maximal de vNIC est différent pour certains types de machines optimisés pour les accélérateurs, tels que A3, A4 et A4X. Pour en savoir plus, consultez la section Famille de machines optimisées pour les accélérateurs.

Nombre maximal d'interfaces

Le tableau suivant vous permet de déterminer le nombre d'interfaces réseau pouvant être associées à une instance.

Nombre de processeurs virtuels	Nombre maximal de vNIC	Nombre maximal d'interfaces réseau dynamiques	Nombre maximal d'interfaces réseau (vNIC et NIC dynamiques)
2 ou moins	2	1	2
4	4	3	4
6	6	5	6
8	8	7	8
10	10	9	10
12	10	10	11
14	10	11	12
16	10	12	13
18	10	13	14
20	10	14	15
22 ou plus	10	15	16

Formules de référence

Le tableau suivant fournit les formules utilisées pour calculer le nombre maximal d'interfaces réseau d'une instance. La formule dépend du nombre de vCPU.

Nombre de vCPU (X)	Nombre maximal de vNIC	Nombre maximal d'interfaces réseau dynamiques	Nombre maximal d'interfaces réseau (vNIC et NIC dynamiques)
`X=1`	`2`	`1`	`2`
`2 ≤ X ≤ 10`	`X`	`(X-1)`	`X`
`X ≥ 12`	`10`	`min(15, (X-10)/2 + 9)`	`min(16, (X-10)/2 + 10)`

Exemples de distributions de NIC dynamiques

Vous n'avez pas besoin de répartir les NIC dynamiques de manière uniforme entre les vNIC. Toutefois, vous pouvez opter pour une distribution uniforme, car les NIC dynamiques partagent la bande passante de leur vNIC parent.

Une instance doit disposer d'au moins un vNIC. Par exemple, une instance avec deux CPU virtuels peut avoir l'une des configurations suivantes:

1 vNIC
2 vNIC
1 vNIC et 1 interface réseau dynamique

Les tableaux suivants fournissent des exemples de configurations qui distribuent uniformément les cartes d'interface réseau dynamiques sur les vNIC tout en utilisant le nombre maximal d'interfaces réseau pour un nombre donné de vCPU.

2 vCPU, 2 NIC

Le tableau suivant fournit des exemples pour une instance avec deux CPU virtuels qui indiquent le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de vNIC.

Nombre de processeurs virtuels	Nombre de cartes d'interface réseau virtuelles	Nombre d'interfaces réseau dynamiques par vNIC	Nombre total d'interfaces réseau (vNIC + NIC dynamiques)
2	1	1	2
2	2	0	2

4 vCPU, 4 NIC

Le tableau suivant fournit des exemples pour une instance avec quatre CPU virtuels qui indiquent le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de vNIC.

Nombre de processeurs virtuels	Nombre de cartes d'interface réseau virtuelles	Nombre de cartes réseau dynamiques par vNIC	Nombre total d'interfaces réseau (vNIC + NIC dynamiques)
4	1	3	4
	2	1
	4	0

8 vCPU, 8 NIC

Le tableau suivant fournit des exemples pour une instance avec huit CPU virtuels qui indiquent le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de vNIC.

Nombre de processeurs virtuels	Nombre de cartes d'interface réseau virtuelles	Nombre d'interfaces réseau dynamiques par vNIC	Nombre total d'interfaces réseau (vNIC + NIC dynamiques)
8	1	7	8
	2	3
	4	1
	8	0

14 vCPU, 12 NIC

Le tableau suivant fournit des exemples pour une instance avec 12 CPU virtuels qui indiquent le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de vNIC.

Nombre de processeurs virtuels	Nombre de cartes d'interface réseau virtuelles	Nombre d'interfaces réseau dynamiques par vNIC	Nombre total d'interfaces réseau (vNIC + NIC dynamiques)
14	1	11	12
	2	5
	4	2
	6	1

22 vCPU, 16 NIC

Le tableau suivant fournit des exemples pour une instance avec 22 CPU virtuels qui indiquent le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de vNIC.

Nombre de processeurs virtuels	Nombre de cartes d'interface réseau virtuelles	Nombre d'interfaces réseau dynamiques par vNIC	Nombre total d'interfaces réseau (vNIC + NIC dynamiques)
22	1	15	16
	2	7
	4	3
	8	1

Interaction avec les produits

Cette section décrit les interactions entre les instances multi-NIC et d'autres produits et fonctionnalités dans Google Cloud.

VPC partagé

À l'exception des interfaces Private Service Connect, la relation entre le sous-réseau et le projet d'une instance multi-NIC dans un projet hôte ou de service de VPC partagé est la suivante:

Chaque interface réseau d'une instance multi-NIC située dans un projet hôte VPC partagé doit utiliser un sous-réseau d'un réseau VPC partagé dans le projet hôte.
Chaque interface réseau d'une instance multi-NIC située dans un projet de service VPC partagé peut utiliser l'une des options suivantes:
- Sous-réseau d'un réseau VPC dans le projet de service.
- Sous-réseau d'un réseau VPC partagé dans le projet hôte.

Pour en savoir plus sur le VPC partagé, consultez les ressources suivantes:

DNS interne de Compute Engine

Compute Engine ne crée des enregistrements de nom DNS A et PTR internes que pour l'adresse IPv4 interne principale de l'interface réseau nic0 d'une instance. Compute Engine ne crée pas d'enregistrements DNS internes pour toute adresse IPv4 ou IPv6 associée à une interface réseau différente de nic0.

Pour en savoir plus, consultez la section DNS interne de Compute Engine.

Routes statiques

Les routes statiques peuvent être limitées à des instances spécifiques à l'aide de tags réseau. Lorsqu'un tag réseau est associé à une instance, il s'applique à toutes les interfaces réseau de l'instance. Par conséquent, ajouter ou supprimer un tag réseau à une instance peut modifier les routes statiques qui s'appliquent à n'importe quelle interface réseau de l'instance.

Équilibreurs de charge

Les backend de groupes d'instances et les backend de NEG zonaux sont chacun associés à un réseau VPC, comme suit:

Pour les groupes d'instances gérés (MIG), le réseau VPC du groupe d'instances est le réseau VPC attribué à l'interface nic0 dans le modèle d'instance.
Pour les groupes d'instances non gérés, le réseau VPC du groupe d'instances est le réseau VPC utilisé par l'interface réseau nic0 de la première instance que vous ajoutez au groupe d'instances non géré.

Le tableau suivant indique les backends compatibles avec la distribution de connexions ou de requêtes vers n'importe quelle interface réseau.

Équilibreur de charge	Groupes d'instances	NEG `GCE_VM_IP`	NEG `GCE_VM_IP_PORT`
Équilibreur de charge réseau passthrough externe basé sur un service de backend Le service de backend n'est pas associé à un réseau VPC. Pour en savoir plus, consultez la section Services de backend et réseaux VPC.	`nic0` uniquement	N'importe quelle carte d'interface réseau	N/A
Équilibreur de charge réseau passthrough interne Le service de backend est associé à un réseau VPC. Pour en savoir plus, consultez les sections Spécifications du réseau du service de backend et Règles de réseau du service de backend.	N'importe quelle carte d'interface réseau	N'importe quelle carte d'interface réseau	N/A
Équilibreur de charge réseau proxy externe Pour en savoir plus sur les exigences concernant le service de backend et le réseau, consultez Backends et réseaux VPC.	`nic0` uniquement	N/A	N'importe quelle carte d'interface réseau
Équilibreur de charge réseau proxy interne Pour en savoir plus sur les exigences concernant le service de backend et le réseau, consultez la section Backends et réseaux VPC.	`nic0` uniquement	N/A	N'importe quelle carte d'interface réseau
Équilibreur de charge d'application externe Pour en savoir plus sur les exigences concernant le service de backend et le réseau, consultez Backends et réseaux VPC.	`nic0` uniquement	N/A	N'importe quelle carte d'interface réseau
Équilibreur de charge d'application interne Pour en savoir plus sur les exigences concernant le service de backend et le réseau, consultez la section Backends et réseaux VPC.	`nic0` uniquement	N/A	N'importe quelle carte d'interface réseau

Les équilibreurs de charge réseau passthrough externes basés sur un pool cible n'utilisent pas de groupes d'instances ni de NEG, et ne prennent en charge que l'équilibrage de charge vers les interfaces réseau nic0.

Règles de pare-feu

L'ensemble des règles de pare-feu (à partir des stratégies de pare-feu hiérarchiques, des stratégies de pare-feu réseau mondiales, des stratégies de pare-feu réseau régionales et des règles de pare-feu VPC) est propre à chaque interface réseau. Assurez-vous que chaque réseau dispose de règles de pare-feu appropriées pour autoriser le trafic souhaité depuis et vers une instance à plusieurs cartes d'interface réseau. Pour déterminer quelles règles de pare-feu s'appliquent à une interface réseau et la source de chaque règle, consultez la section Obtenir des règles de pare-feu efficaces pour une interface de VM.

Les règles de pare-feu peuvent être limitées à des instances de VM spécifiques à l'aide de tags réseau ou de tags sécurisés, qui s'appliquent à toutes les interfaces réseau d'une instance. Pour en savoir plus, consultez la section Comparaison des tags sécurisés et des tags réseau.

Problèmes connus

Cette section décrit les problèmes connus liés à l'utilisation de plusieurs interfaces réseau dans Google Cloud.

Interactions du pare-feu lors de la réutilisation d'un ID de VLAN avec des NIC dynamiques

Pour les VM de troisième génération, la suppression et l'ajout d'une carte d'interface réseau dynamique ayant le même ID de VLAN peuvent autoriser un accès non autorisé sur différents réseaux VPC.

Prenons le scénario suivant, qui inclut deux réseaux (network-1 et network-2) et un ID de VLAN A:

Vous supprimez une carte réseau dynamique avec l'ID de VLAN A de network-1.
Pendant la période de suivi des connexions du Cloud NGFW de 10 minutes, vous créez une nouvelle NIC dynamique avec le même ID de VLAN A dans network-2.
Le trafic provenant de la nouvelle NIC dynamique dans network-2 peut correspondre à une entrée de suivi des connexions existante créée précédemment par la NIC dynamique supprimée dans network-1.

Dans ce cas, le trafic envoyé ou reçu par la nouvelle carte réseau dynamique dans network-2 peut être autorisé s'il correspond à une entrée dans le tableau de suivi des connexions du Cloud NGFW, où l'entrée a été créée pour une connexion utilisée par la carte réseau dynamique supprimée dans network-1. Pour éviter ce problème, consultez la solution de contournement suivante.

Solution :

Pour éviter ce problème, effectuez l'une des opérations suivantes :

Une fois que vous avez supprimé une carte réseau dynamique, ne réutilisez pas son ID de VLAN lorsque vous créez une autre carte réseau dynamique.
Après avoir supprimé une carte réseau dynamique, attendez au moins 10 minutes pour en créer une autre qui utilise le même ID de VLAN.

Pour en savoir plus sur le suivi des connexions et les règles de pare-feu, consultez la section Spécifications de la documentation sur le pare-feu Cloud nouvelle génération.

Étapes suivantes

Créer des VM avec plusieurs interfaces réseau