Beberapa antarmuka jaringan
Halaman ini memberikan ringkasan tentang beberapa antarmuka jaringan untuk instance VM Compute Engine. Instance dengan beberapa antarmuka jaringan disebut sebagai instance multi-NIC.
Instance selalu memiliki minimal satu antarmuka jaringan virtual (vNIC). Bergantung pada jenis mesin, Anda dapat mengonfigurasi antarmuka jaringan tambahan.
Kasus penggunaan
Instance multi-NIC berguna dalam skenario berikut:
Untuk terhubung ke resource di jaringan VPC terpisah: instance multi-NIC dapat terhubung ke resource yang berada di jaringan VPC yang berbeda dan tidak terhubung satu sama lain melalui Peering Jaringan VPC atau Network Connectivity Center.
Karena setiap antarmuka instance multi-NIC berada dalam jaringan VPC yang terpisah, Anda dapat menggunakan setiap antarmuka untuk tujuan unik. Misalnya, Anda dapat menggunakan beberapa antarmuka untuk merutekan paket antara jaringan VPC yang membawa traffic produksi dan antarmuka lain untuk tujuan pengelolaan atau konfigurasi.
Dalam OS tamu setiap instance multi-NIC, Anda harus mengonfigurasi kebijakan rute dan tabel rute lokal.
Merutekan paket di antara jaringan VPC: instance multi-NIC dapat digunakan sebagai next hop untuk rute guna menghubungkan dua atau beberapa jaringan VPC.
Software yang berjalan dalam OS tamu instance multi-NIC dapat melakukan pemeriksaan paket, penafsiran alamat jaringan (NAT), atau fungsi keamanan jaringan lainnya.
Saat menghubungkan jaringan VPC menggunakan instance multi-NIC, sebaiknya konfigurasi dua instance multi-NIC atau lebih, dengan menggunakannya sebagai backend untuk Load Balancer Jaringan passthrough internal di setiap jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Kasus penggunaan dalam dokumentasi Load Balancer Jaringan passthrough internal sebagai next hop.
Anda juga dapat menggunakan instance multi-NIC dengan antarmuka Private Service Connect untuk menghubungkan jaringan produsen dan konsumen layanan di project yang berbeda.
Jenis antarmuka jaringan
Google Cloud mendukung jenis antarmuka jaringan berikut:
vNICs: antarmuka jaringan virtual instance Compute Engine. Setiap instance harus memiliki minimal satu vNIC. vNIC di jaringan VPC reguler dapat berupa
GVNIC,VIRTIO_NET, atauIDPF. Anda hanya dapat mengonfigurasi vNIC saat membuat instance.Dynamic NIC (Pratinjau): antarmuka turunan dari vNIC induk. Anda dapat mengonfigurasi Dynamic NIC saat membuat instance, atau menambahkannya nanti. Untuk informasi selengkapnya, lihat NIC Dinamis.
Anda juga dapat mengonfigurasi instance multi-NIC menggunakan jenis mesin yang
menyertakan antarmuka jaringan RDMA (MRDMA), yang harus
disertakan ke jaringan VPC dengan
profil jaringan RDMA. Jenis antarmuka jaringan
lainnya, termasuk NIC Dinamis, tidak
didukung di jaringan VPC dengan profil jaringan RDMA.
Spesifikasi
Spesifikasi berikut berlaku untuk instance dengan beberapa antarmuka jaringan:
Instance dan antarmuka jaringan: setiap instance memiliki antarmuka
nic0. Jumlah maksimum antarmuka jaringan bervariasi bergantung pada jenis mesin instance.- Setiap antarmuka memiliki jenis stack terkait, yang menentukan jenis stack subnet dan versi alamat IP yang didukung. Untuk informasi selengkapnya, lihat Jenis stack dan alamat IP.
Jaringan unik untuk setiap antarmuka jaringan: kecuali untuk jaringan VPC yang dibuat dengan profil jaringan RDMA, setiap antarmuka jaringan harus menggunakan subnet di jaringan VPC unik.
Untuk jaringan VPC yang dibuat dengan profil jaringan RDMA, beberapa NIC RDMA dapat menggunakan jaringan VPC yang sama, selama setiap NIC RDMA menggunakan subnet unik.
Jaringan dan subnet VPC harus ada sebelum Anda dapat membuat instance yang antarmuka jaringannya menggunakan jaringan dan subnet. Untuk mengetahui informasi selengkapnya tentang cara membuat jaringan dan subnet, lihat Membuat dan mengelola jaringan VPC.
Project instance dan subnet: untuk instance multi-NIC dalam project mandiri, setiap antarmuka jaringan harus menggunakan subnet yang berada dalam project yang sama dengan instance.
Untuk instance di project host atau layanan VPC Bersama, lihat VPC Bersama .
Antarmuka Private Service Connect menyediakan cara bagi instance multi-NIC untuk memiliki antarmuka jaringan di subnet dalam project yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Tentang lampiran jaringan.
Pertimbangan penerusan IP, MTU, dan perutean: instance multi-NIC memerlukan perencanaan yang cermat untuk opsi konfigurasi khusus instance dan antarmuka berikut:
Opsi penerusan IP dapat dikonfigurasi per instance, yang berlaku untuk semua antarmuka jaringan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan penerusan IP untuk instance.
Setiap antarmuka jaringan dapat menggunakan unit transmisi maksimum (MTU) unik, yang cocok dengan MTU jaringan VPC terkait. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
Setiap instance menerima rute default menggunakan Opsi DHCP 121, seperti yang ditentukan oleh RFC 3442. Rute default dikaitkan dengan
nic0. Kecuali jika dikonfigurasi secara manual, traffic yang keluar dari instance untuk tujuan apa pun selain subnet yang terhubung langsung akan keluar dari instance menggunakan rute default dinic0.Di sistem Linux, Anda dapat mengonfigurasi aturan dan rute kustom dalam OS tamu menggunakan file
/etc/iproute2/rt_tablesdan perintahip ruledanip route. Untuk informasi selengkapnya, lihat dokumentasi OS tamu. Misalnya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.
NIC Dinamis
NIC dinamis berguna dalam skenario berikut:
Anda perlu menambahkan atau menghapus antarmuka jaringan ke atau dari instance yang ada. Menambahkan atau menghapus NIC Dinamis tidak memerlukan memulai ulang atau membuat ulang instance.
Anda memerlukan lebih banyak antarmuka jaringan. Jumlah maksimum vNIC untuk sebagian besar jenis mesin di Google Cloud adalah 10; namun, Anda dapat mengonfigurasi hingga 16 antarmuka total menggunakan NIC Dinamis. Untuk mengetahui informasi selengkapnya, lihat Jumlah maksimum antarmuka jaringan.
Anda perlu mengonfigurasi instance bare metal Compute Engine multi-NIC, yang hanya memiliki satu vNIC.
Properti Dynamic NIC
Lihat informasi berikut tentang properti NIC Dinamis:
NIC dinamis adalah antarmuka VLAN yang menggunakan format paket standar IEEE 802.1Q. Lihat pertimbangan berikut:
- ID VLAN NIC Dinamis harus berupa bilangan bulat dari 2 hingga 255.
- ID VLAN NIC Dinamis harus unik dalam vNIC induk. Namun, NIC Dinamis yang termasuk dalam vNIC induk yang berbeda dapat menggunakan ID VLAN yang sama.
Google Cloud menggunakan format berikut untuk nama NIC Dinamis:
nicNUMBER.VLAN_ID, dengannicNUMBERadalah nama vNIC induk, sepertinic0.VLAN_IDadalah ID VLAN yang Anda tetapkan, seperti4.
Contoh nama NIC Dinamis adalah
nic0.4.Membuat instance dengan Dynamic NIC atau menambahkan Dynamic NIC ke instance yang ada memerlukan langkah tambahan untuk menginstal dan mengelola antarmuka VLAN yang sesuai di OS tamu. Anda dapat menggunakan salah satu metode berikut:
- Konfigurasikan pengelolaan otomatis NIC Dinamis dengan menggunakan agen tamu Google.
- Konfigurasikan OS tamu secara manual.
Untuk informasi selengkapnya, lihat Mengonfigurasi OS tamu untuk NIC Dinamis.
NIC dinamis berbagi bandwidth vNIC induknya, dan tidak ada isolasi traffic dalam vNIC induk. Untuk mencegah antarmuka jaringan menggunakan semua bandwidth, Anda harus membuat kebijakan traffic khusus aplikasi di OS tamu untuk memprioritaskan atau mendistribusikan traffic, seperti dengan menggunakan Linux Traffic Control (TC).
NIC dinamis memiliki antrean terima dan kirim yang sama dengan vNIC induknya.
Batasan Dynamic NIC
Lihat batasan NIC Dinamis berikut:
Anda tidak dapat mengubah properti NIC Dinamis berikut setelah dibuat:
- vNIC induk tempat NIC Dinamis berada.
- ID VLAN Dynamic NIC.
NIC dinamis tidak mendukung hal berikut:
- Perlindungan DDoS jaringan tingkat lanjut dan kebijakan keamanan edge jaringan untuk Google Cloud Armor
- Konfigurasi per instance untuk MIG
- Antarmuka khusus IPv6 (Pratinjau)
- Fitur yang mengandalkan intersepsi paket, seperti endpoint firewall
- Sistem operasi (OS) Windows
NIC Dinamis dengan vNIC induk yang jenisnya
GVNICmungkin mengalami kehilangan paket dengan beberapa ukuran MTU kustom. Untuk menghindari paket hilang, jangan gunakan ukuran MTU berikut: 1.986 byte, 3.986 byte, 5.986 byte, dan 7.986 byte.Untuk VM generasi ketiga, NIC Dinamis dengan ID VLAN
255tidak dapat mengakses alamat IP Server metadata. Jika Anda perlu mengakses server metadata, pastikan Anda menggunakan ID VLAN yang berbeda.Untuk VM generasi ketiga, menghapus dan menambahkan NIC Dinamis yang memiliki ID VLAN yang sama dapat mengizinkan akses tidak sah di berbagai jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Masalah umum.
Jenis stack dan alamat IP
Saat membuat vNIC, Anda menentukan salah satu jenis stack antarmuka berikut:
- Khusus IPv4
- Stack ganda
Khusus IPv6 (Pratinjau)
Tabel berikut menjelaskan jenis stack subnet dan detail alamat IP yang didukung untuk setiap jenis stack antarmuka:
| Antarmuka | Subnet khusus IPv4 | Subnet stack ganda | Subnet khusus IPv6 (Pratinjau) | Detail alamat IP |
|---|---|---|---|---|
| Khusus IPv4 (stack tunggal) | Hanya alamat IPv4. Lihat Detail alamat IPv4. | |||
| IPv4 and IPv6 (dual-stack) | Alamat IPv4 dan IPv6. Lihat Detail alamat IPv4 dan Detail alamat IPv6 | |||
| Khusus IPv6 (stack tunggal) (Pratinjau) | Hanya alamat IPv6. Lihat Detail alamat IPv6. |
Mengubah jenis stack antarmuka jaringan
Anda dapat mengubah jenis stack antarmuka jaringan sebagai berikut:
Anda dapat mengonversi antarmuka khusus IPv4 menjadi dual-stack jika subnet antarmuka adalah subnet dual-stack atau jika Anda menghentikan instance dan menetapkan antarmuka ke subnet dual-stack.
Anda dapat mengonversi antarmuka dual-stack menjadi khusus IPv4.
Anda tidak dapat mengubah jenis stack antarmuka khusus IPv6. Antarmuka khusus IPv6 (Pratinjau) hanya didukung saat membuat instance.
Detail alamat IPv4
Setiap antarmuka jaringan khusus IPv4 atau dual-stack menerima alamat IPv4 internal utama. Setiap antarmuka secara opsional mendukung rentang IP alias dan alamat IPv4 eksternal. Berikut adalah spesifikasi dan persyaratan IPv4:
Alamat IPv4 internal utama: Compute Engine menetapkan alamat IPv4 internal utama ke antarmuka jaringan dari rentang alamat IPv4 utama subnet antarmuka. Alamat IPv4 internal utama dialokasikan oleh DHCP.
Anda dapat mengontrol alamat IPv4 internal utama yang ditetapkan dengan mengonfigurasi alamat IPv4 internal statis atau dengan menentukan alamat IPv4 internal sementara kustom.
Dalam jaringan VPC, alamat IPv4 internal utama dari setiap antarmuka jaringan VM bersifat unik.
Rentang IP alias: secara opsional, Anda dapat menetapkan satu atau beberapa rentang IP alias ke antarmuka. Setiap rentang IP alias dapat berasal dari rentang alamat IPv4 utama atau rentang alamat IPv4 sekunder dari subnet antarmuka.
- Dalam jaringan VPC, setiap rentang IP alias antarmuka harus unik.
External IPv4 address: secara opsional, Anda dapat menetapkan alamat IPv4 eksternal sementara atau yang dicadangkan ke antarmuka. Google Cloud memastikan keunikan setiap alamat IPv4 eksternal.
Detail alamat IPv6
Compute Engine menetapkan rentang alamat IPv6 /96 dari
/64 rentang alamat IPv6 subnet antarmuka kepada setiap antarmuka jaringan stack ganda atau khusus IPv6
(Pratinjau):
Apakah rentang alamat IPv6
/96bersifat internal atau eksternal bergantung pada jenis akses IPv6 subnet antarmuka. Google Cloud memastikan keunikan setiap rentang alamat IPv6 internal dan eksternal. Untuk mengetahui informasi selengkapnya, lihat spesifikasi IPv6.- Jika instance memerlukan rentang alamat IPv6 internal dan rentang alamat IPv6 eksternal: Anda harus mengonfigurasi dua antarmuka dual-stack, dua antarmuka khusus IPv6, atau satu antarmuka dual-stack dan satu antarmuka khusus IPv6. Subnet yang digunakan oleh satu antarmuka harus memiliki rentang alamat IPv6 eksternal, dan subnet yang digunakan oleh antarmuka lain harus memiliki rentang alamat IPv6 internal.
Alamat IPv6 pertama (
/128) dikonfigurasi di antarmuka oleh DHCP. Untuk mengetahui informasi selengkapnya, lihat Pemberian alamat IPv6.Anda dapat mengontrol rentang alamat IPv6
/96yang ditetapkan dengan mengonfigurasi rentang alamat IPv6 internal atau eksternal statis. Untuk alamat IPv6 internal, Anda dapat menentukan alamat IPv6 internal sementara kustom.
Jika Anda menghubungkan instance ke beberapa jaringan menggunakan alamat IPv6, instal google-guest-agent versi 20220603.00 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Saya tidak dapat terhubung ke alamat IPv6 antarmuka sekunder.
Jumlah antarmuka jaringan maksimum
Untuk sebagian besar jenis mesin, jumlah maksimum antarmuka jaringan yang dapat Anda lampirkan ke instance diskalakan dengan jumlah vCPU seperti yang dijelaskan dalam tabel berikut.
Berikut adalah pengecualian khusus mesin:
Instance bare metal Compute Engine mendukung satu vNIC.
Jumlah maksimum vNIC berbeda untuk beberapa jenis mesin yang dioptimalkan akselerator, seperti A3, A4, dan A4X. Untuk mengetahui informasi selengkapnya, lihat Kelompok mesin yang dioptimalkan akselerator.
Jumlah antarmuka maksimum
Gunakan tabel berikut untuk menentukan jumlah antarmuka jaringan yang dapat dipasang ke instance.
| Jumlah vCPU | Jumlah maksimum vNIC | Jumlah maksimum Dynamic NIC | Jumlah maksimum antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 2 atau kurang | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 atau lebih | 10 | 15 | 16 |
Formula referensi
Tabel berikut memberikan formula yang digunakan untuk menghitung jumlah maksimum antarmuka jaringan untuk instance. Formula ini bergantung pada jumlah vCPU.
| Jumlah vCPU (X) | Jumlah maksimum vNIC | Jumlah maksimum Dynamic NIC | Jumlah maksimum antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Contoh distribusi NIC Dinamis
Anda tidak perlu mendistribusikan NIC Dinamis secara merata di seluruh vNIC. Namun, Anda mungkin menginginkan distribusi yang merata karena NIC Dinamis berbagi bandwidth vNIC induknya.
Instance harus memiliki minimal satu vNIC. Misalnya, instance yang memiliki 2 vCPU dapat memiliki salah satu konfigurasi berikut:
- 1 vNIC
- 2 vNIC
- 1 vNIC dan 1 Dynamic NIC
Tabel berikut memberikan contoh konfigurasi yang mendistribusikan Dynamic NIC secara merata di seluruh vNIC sekaligus menggunakan jumlah maksimum antarmuka jaringan untuk jumlah vCPU tertentu.
2 vCPU, 2 NIC
Tabel berikut memberikan contoh untuk instance dengan 2 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk jumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah Dynamic NIC per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
4 vCPU, 4 NIC
Tabel berikut memberikan contoh untuk instance dengan 4 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk jumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah NIC Dinamis per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
8 vCPU, 8 NIC
Tabel berikut memberikan contoh untuk instance dengan 8 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk jumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah Dynamic NIC per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
14 vCPU, 12 NIC
Tabel berikut memberikan contoh untuk instance dengan 12 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk jumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah Dynamic NIC per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
22 vCPU, 16 NIC
Tabel berikut memberikan contoh untuk instance dengan 22 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk jumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah Dynamic NIC per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
Interaksi produk
Bagian ini menjelaskan interaksi antara instance multi-NIC dan produk serta fitur lainnya di Google Cloud.
VPC Bersama
Kecuali untuk antarmuka Private Service Connect, hubungan subnet dan project instance multi-NIC di project layanan atau host VPC Bersama adalah sebagai berikut:
Setiap antarmuka jaringan instance multi-NIC yang berada di project host VPC Bersama harus menggunakan subnet jaringan VPC Bersama di project host.
Setiap antarmuka jaringan instance multi-NIC yang berada di project layanan VPC Bersama dapat menggunakan salah satu dari hal berikut:
- Subnet jaringan VPC di project layanan.
- Subnet jaringan VPC Bersama di project host.
Untuk mengetahui informasi selengkapnya tentang VPC Bersama, lihat:
DNS internal Compute Engine
Compute Engine membuat data PTR dan A nama DNS internal hanya untuk alamat IPv4 internal primer antarmuka jaringan nic0 instance. Compute Engine tidak membuat data DNS internal untuk alamat IPv4 atau IPv6 apa pun yang terkait dengan antarmuka jaringan yang berbeda dari nic0.
Untuk mengetahui informasi selengkapnya, lihat DNS internal Compute Engine.
Rute statis
Rute statis dapat dicakup ke instance tertentu menggunakan tag jaringan. Jika tag jaringan dikaitkan dengan instance, tag tersebut akan berlaku untuk semua antarmuka jaringan instance. Akibatnya, menambahkan tag jaringan ke atau menghapus tag jaringan dari instance dapat mengubah rute statis yang berlaku untuk salah satu antarmuka jaringan instance.
Load balancers
Backend grup instance dan backend NEG zonal masing-masing memiliki jaringan VPC terkait sebagai berikut:
Untuk grup instance terkelola (MIG), jaringan VPC untuk grup instance adalah jaringan VPC yang ditetapkan ke antarmuka
nic0dalam template instance.Untuk grup instance tidak terkelola, jaringan VPC untuk grup instance adalah jaringan VPC yang digunakan oleh antarmuka jaringan
nic0dari instance pertama yang Anda tambahkan ke grup instance tidak terkelola.
Tabel berikut menunjukkan backend yang mendukung distribusi koneksi atau permintaan ke antarmuka jaringan apa pun.
| Load balancer | Grup instance | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| Load Balancer Jaringan passthrough Eksternal berbasis layanan backend Layanan backend tidak dikaitkan dengan jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Layanan backend dan jaringan VPC. |
Hanya nic0 |
NIC apa pun | T/A |
| Load Balancer Jaringan passthrough internal Layanan backend dikaitkan dengan jaringan VPC. Untuk informasi selengkapnya, lihat Spesifikasi jaringan layanan backend dan Aturan jaringan layanan backend. |
NIC apa pun | NIC apa pun | T/A |
| Load Balancer Jaringan proxy eksternal Untuk informasi selengkapnya tentang layanan backend dan persyaratan jaringan, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC apa pun |
| Load Balancer Jaringan proxy internal Untuk mengetahui informasi selengkapnya tentang layanan backend dan persyaratan jaringan, lihat Layanan backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC apa pun |
| Load Balancer Aplikasi Eksternal Untuk informasi selengkapnya tentang layanan backend dan persyaratan jaringan, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC apa pun |
| Load Balancer Aplikasi Internal Untuk mengetahui informasi selengkapnya tentang persyaratan jaringan dan layanan backend, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC apa pun |
Load Balancer Jaringan passthrough Eksternal berbasis kumpulan target tidak menggunakan grup instance atau NEG dan hanya mendukung load balancing ke antarmuka jaringan nic0.
Aturan firewall
Kumpulan aturan firewall—dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, kebijakan firewall jaringan regional, dan aturan firewall VPC—unik untuk setiap antarmuka jaringan. Pastikan setiap jaringan memiliki aturan firewall yang sesuai untuk mengizinkan traffic yang ingin Anda izinkan masuk dan keluar dari instance multi-NIC. Untuk menentukan aturan firewall yang berlaku untuk antarmuka jaringan, dan sumber untuk setiap aturan, lihat Mendapatkan aturan firewall yang efektif untuk antarmuka VM.
Aturan firewall dapat dicakup ke instance VM tertentu menggunakan tag jaringan atau tag aman, yang keduanya berlaku untuk semua antarmuka jaringan instance. Untuk informasi selengkapnya, lihat Perbandingan tag aman dan tag jaringan.
Masalah umum
Bagian ini menjelaskan masalah umum terkait penggunaan beberapa antarmuka jaringan di Google Cloud.
Interaksi firewall saat menggunakan kembali ID VLAN dengan NIC Dinamis
Untuk VM generasi ketiga, menghapus dan menambahkan NIC Dinamis yang memiliki ID VLAN yang sama dapat mengizinkan akses tidak sah di berbagai jaringan VPC.
Pertimbangkan skenario berikut yang mencakup dua jaringan (network-1 dan
network-2) serta ID VLAN A:
- Anda menghapus NIC Dinamis dengan ID VLAN
Adarinetwork-1. - Dalam periode pelacakan koneksi Cloud NGFW selama 10 menit,
Anda membuat NIC Dinamis baru dengan ID VLAN
Ayang sama dinetwork-2. - Traffic yang berasal dari NIC Dinamis baru di
network-2mungkin cocok dengan entri pelacakan koneksi yang ada yang sebelumnya dibuat oleh NIC Dinamis yang dihapus dinetwork-1.
Jika hal ini terjadi, traffic yang dikirim dari atau diterima oleh Dynamic NIC baru di network-2 mungkin diizinkan jika cocok dengan entri di tabel pelacakan koneksi Cloud NGFW, tempat entri dibuat untuk koneksi yang digunakan oleh Dynamic NIC yang dihapus di network-1. Untuk menghindari masalah ini, lihat solusi berikut.
Solusi:
Untuk menghindari masalah ini, lakukan salah satu tindakan berikut:
- Setelah Anda menghapus NIC Dinamis, jangan gunakan kembali ID VLAN-nya saat membuat NIC Dinamis baru.
- Setelah Anda menghapus NIC Dinamis, tunggu setidaknya 10 menit untuk membuat NIC Dinamis baru yang menggunakan ID VLAN yang sama.
Untuk mengetahui informasi selengkapnya tentang pelacakan koneksi dan aturan firewall, lihat Spesifikasi dalam dokumentasi Cloud Next Generation Firewall.