Interfacce di rete multiple
Questa pagina fornisce una panoramica di più interfacce di rete per le istanze VM di Compute Engine. Le VM con più interfacce di rete sono chiamate VM multi-NIC.
Un'istanza VM ha sempre almeno un'interfaccia di rete virtuale (vNIC). A seconda del tipo di macchina, puoi configurare interfacce di rete aggiuntive.
Casi d'uso
Le VM con più NIC sono utili nei seguenti scenari:
Per connettersi alle risorse in reti VPC separate: le VM con più NIC possono connettersi alle risorse situate in reti VPC diverse che non sono connesse tra loro tramite il peering di rete VPC o Network Connectivity Center.
Poiché ogni interfaccia di una VM con più NIC si trova in una rete VPC distinta, puoi utilizzare ogni interfaccia per uno scopo specifico. Ad esempio, puoi utilizzare alcune interfacce per instradare i pacchetti tra le reti VPC che trasportano il traffico di produzione e un'altra interfaccia a fini di gestione o configurazione.
All'interno del sistema operativo guest di ogni VM con più NIC, dovrai configurare le policy di routing e le tabelle di routing locali.
Routing dei pacchetti tra reti VPC: le VM con più NIC possono essere utilizzate come hop successivi per le route che connettono due o più reti VPC.
Il software in esecuzione all'interno del sistema operativo guest di una VM con più NIC può eseguire ispezione dei pacchetti, Network Address Translation (NAT) o un'altra funzione di sicurezza di rete.
Quando colleghi reti VPC utilizzando VM con più NIC, è buona prassi configurare due o più VM con più NIC, utilizzandole come backend per un bilanciatore del carico di rete passthrough interno in ogni rete VPC. Per ulteriori informazioni, consulta la sezione Caso d'uso nella documentazione relativa ai bilanciatori del carico di rete passthrough interni come hop successivi.
Specifiche
Le seguenti specifiche si applicano alle VM con più interfacce di rete:
Istanze e interfacce di rete: ogni istanza ha un'interfaccia
nic0. Il numero massimo di interfacce di rete varia in base al tipo di macchina dell'istanza.Puoi aggiungere o rimuovere interfacce di rete solo durante la creazione di un'istanza.
A ogni interfaccia è associato un tipo di stack, che determina i tipi di stack di sottorete e le versioni degli indirizzi IP supportati. Per saperne di più, consulta Tipo di stack e indirizzi IP.
Rete univoca per ogni interfaccia di rete: ad eccezione delle reti VPC create con un profilo di rete RDMA, ogni interfaccia di rete deve utilizzare una sottorete in una rete VPC univoca.
Per le reti VPC create con un profilo di rete RDMA, più NIC RDMA possono utilizzare la stessa rete VPC, a condizione che ogni NIC RDMA utilizzi una subnet univoca.
Per poter creare un'istanza la cui interfaccia di rete utilizza la rete e la subnet, è necessario che esistano una rete e una subnet VPC. Per ulteriori informazioni sulla creazione di reti e subnet, consulta Creare e gestire reti VPC.
Progetto di istanze e subnet: per le VM con più NIC in progetti autonomi, ogni interfaccia di rete deve utilizzare una subnet nello stesso progetto della VM.
Per le VM nei progetti host o di servizio VPC condiviso, consulta VPC condiviso .
Le interfacce Private Service Connect consentono a una VM con più NIC di avere interfacce di rete in subnet in progetti diversi. Per saperne di più, consulta Informazioni sugli attacchi alla rete.
Considerazioni su inoltro IP, MTU e routing: le VM con più NIC richiedono una pianificazione attenta per le seguenti opzioni di configurazione specifiche per istanze e interfacce:
L'opzione di inoltro IP è configurabile su base di istanza e si applica a tutte le interfacce di rete. Per ulteriori informazioni, vedi Attivare il forwarding IP per le istanze.
Ogni interfaccia di rete può utilizzare un'unità massima di trasmissione (MTU) univoca corrispondente all'MTU della rete VPC associata. Per ulteriori informazioni, consulta la sezione Unità massima di trasmissione.
Ogni VM riceve una route predefinita utilizzando l'opzione DHCP 121, come definito dalla RFC 3442. Il percorso predefinito è associato a
nic0. Se non manualmente configurato in modo diverso, il traffico che lascia un'istanza per qualsiasi destinazione diversa da una subnet con collegamento diretto lascerà l'istanza utilizzando la route predefinita sunic0.Sui sistemi Linux, puoi configurare regole e route personalizzati all'interno del sistema operativo guest utilizzando il file
/etc/iproute2/rt_tablese i comandiip ruleeip route. Per saperne di più, consulta la documentazione del sistema operativo guest. Per un esempio, consulta il seguente tutorial: Configurare il routing per un'interfaccia aggiuntiva.
Tipi di stack e indirizzi IP
Quando crei un'interfaccia di rete, specifica uno dei seguenti tipi di stack di interfaccia:
- Solo IPv4
- Solo IPv6 (anteprima)
- Doppio stack
La tabella seguente descrive i tipi di stack di subnet e i dettagli degli indirizzi IP supportati per ogni tipo di stack di interfaccia:
| Interfaccia | Subnet solo IPv4 | Subnet dual-stack | Subnet solo IPv6 (anteprima) | Dettagli dell'indirizzo IP |
|---|---|---|---|---|
| Solo IPv4 (stack singolo) | Solo indirizzi IPv4. Consulta la sezione Dettagli sull'indirizzo IPv4. | |||
| IPv4 e IPv6 (stack doppio) | Sia gli indirizzi IPv4 che IPv6. Consulta Dettagli sull'indirizzo IPv4 e Dettagli sull'indirizzo IPv6 | |||
| Solo IPv6 (stack singolo) (anteprima) | Solo indirizzi IPv6. Consulta la sezione Dettagli sull'indirizzo IPv6. |
Modifica del tipo di stack dell'interfaccia di rete
Puoi modificare il tipo di stack di un'interfaccia di rete nel seguente modo:
Puoi convertire un'interfaccia solo IPv4 in a doppio stack se la subnet dell'interfaccia è una subnet a doppio stack o se interrompi l'istanza e assegni l'interfaccia a una subnet a doppio stack.
Puoi convertire un'interfaccia a doppio stack in solo IPv4.
Non puoi modificare il tipo di stack di un'interfaccia solo IPv6. Le interfacce solo IPv6 (anteprima) sono supportate solo durante la creazione delle VM.
Dettagli dell'indirizzo IPv4
Ogni interfaccia di rete solo IPv4 o a doppio stack riceve un indirizzo IPv4 interno primario. Ogni interfaccia supporta facoltativamente intervalli di indirizzi IP di alias e un indirizzo IPv4 esterno. Di seguito sono riportate le specifiche e i requisiti di IPv4:
Indirizzo IPv4 interno principale: Compute Engine assegna all'interfaccia di rete un indirizzo IPv4 interno principale dall'intervallo di indirizzi IPv4 principale della subnet dell'interfaccia. L'indirizzo IPv4 interno principale viene allocato tramite DHCP.
Puoi controllare quale indirizzo IPv4 interno principale viene assegnato configurando un indirizzo IPv4 interno statico o specificando un indirizzo IPv4 interno temporaneo personalizzato.
Devi assicurarti che ogni interfaccia di rete abbia un indirizzo IPv4 interno principale univoco. Ciò significa che la subnet di ogni interfaccia deve utilizzare un intervallo di indirizzi IPv4 principale univoco e non sovrapposto.
Intervalli IP alias: facoltativamente, puoi assegnare all'interfaccia uno o più intervalli IP alias. Ogni intervallo IP alias può provenire dall'intervallo di indirizzi IPv4 primario o da un intervallo di indirizzi IPv4 secondario della subnet dell'interfaccia.
- Devi assicurarti che l'intervallo IP dell'alias di ogni interfaccia sia univoco. Ciò significa che gli intervalli di indirizzi IPv4 principali e secondari della subnet di ogni interfaccia devono essere univoci e non sovrapporsi.
Indirizzo IPv4 esterno: facoltativamente, puoi assegnare all'interfaccia un indirizzo IPv4 esterno temporaneo o riservato. Google Cloud garantisce l'unicità di ogni indirizzo IPv4 esterno.
Dettagli dell'indirizzo IPv6
Compute Engine assegna a ogni interfaccia di rete a doppio stack o solo IPv6
(anteprima) un intervallo di indirizzi IPv6 /96 dall'intervallo di indirizzi IPv6 /64 della subnet dell'interfaccia:
L'intervallo di indirizzi IPv6
/96è interno o esterno a seconda del tipo di accesso IPv6 della subnet dell'interfaccia. Google Cloud garantisce la unicità di ogni intervallo di indirizzi IPv6 interno ed esterno. Per ulteriori informazioni, consulta le specifiche IPv6.- Se un'istanza ha bisogno sia di un intervallo di indirizzi IPv6 interno sia di un intervallo di indirizzi IPv6 esterno: devi configurare due interfacce a doppio stack, due interfacce solo IPv6 o un'interfaccia a doppio stack e un'interfaccia solo IPv6. La subnet utilizzata da un'interfaccia deve avere un intervallo di indirizzi IPv6 esterno e la subnet utilizzata dall'altra interfaccia deve avere un intervallo di indirizzi IPv6 interno.
Il primo indirizzo IPv6 (
/128) viene configurato sull'interfaccia tramite DHCP. Per ulteriori informazioni, consulta la sezione Assegnazione di indirizzi IPv6.Puoi controllare quale intervallo di indirizzi IPv6
/96viene assegnato configurando un intervallo di indirizzi IPv6 interni o esterni statico. Per IPv6 interno, puoi specificare un indirizzo IPv6 interno temporaneo personalizzato.
Numero massimo di interfacce di rete
Per la maggior parte dei tipi di macchine, il numero di interfacce di rete virtuali varia in base al numero di vCPU, con un minimo di 2 e un massimo di 10. Di seguito sono riportate le eccezioni:
Le istanze bare metal di Compute Engine supportano una singola vNIC.
Il numero massimo di vNIC per le serie di macchine A3 e A4 è diverso. Per saperne di più, consulta la Famiglia di macchine ottimizzate per l'acceleratore.
Utilizza la tabella seguente per determinare quante interfacce di rete possono essere collegate a un'istanza:
| Numero di vCPU | Numero di vNIC |
|---|---|
| 2 o meno | 2 |
| 4 | fino a 4 |
| 6 | fino a 6 |
| 8 | fino a 8 |
| 10 o più | fino a 10 |
Interazioni con i prodotti
Questa sezione descrive le interazioni tra le VM con più NIC e altri prodotti e funzionalità in Google Cloud.
VPC condiviso
La relazione tra la subnet e il progetto di una VM con più NIC in un progetto di servizio o host VPC condiviso è la seguente:
Ogni interfaccia di rete di una VM con più NIC situata in un progetto host VPC condiviso deve utilizzare una subnet di una rete VPC condivisa nel progetto host.
Ogni interfaccia di rete di una VM con più NIC situata in un progetto di servizio VPC condiviso può utilizzare una delle seguenti opzioni:
- Una subnet di una rete VPC nel progetto di servizio.
- Una subnet di una rete VPC condivisa nel progetto host.
Per ulteriori informazioni sul VPC condiviso, consulta:
DNS interno di Compute Engine
Compute Engine crea record DNS A e PTR interni solo per
l'indirizzo IPv4 interno principale dell'interfaccia di rete nic0 di un'istanza. Compute Engine non crea record DNS interni per nessun indirizzo IPv4 o IPv6 associato a un'interfaccia di rete diversa da nic0.
Per ulteriori informazioni, consulta DNS interno di Compute Engine.
Route statiche
L'ambito delle route statiche può essere limitato a istanze VM specifiche utilizzando i tag di rete. Quando un tag di rete viene associato a un'istanza, si applica a tutte le interfacce di rete dell'istanza. Di conseguenza, l'aggiunta o la rimozione di un tag di rete da un'istanza potrebbe modificare le route statiche applicate a qualsiasi delle interfacce di rete della VM.
Bilanciatori del carico
I backend di gruppo di istanze e i backend NEG a livello di zona hanno ciascuno una rete VPC associata come segue:
Per i gruppi di istanze gestite (MIG), la rete VPC per il gruppo di istanze è la rete VPC assegnata all'interfaccia
nic0nel modello di istanza.Per i gruppi di istanze non gestite, la rete VPC per il gruppo di istanze è la rete VPC utilizzata dall'interfaccia di rete
nic0della prima istanza VM aggiunta al gruppo di istanze non gestite.
La tabella seguente mostra i backend che supportano la distribuzione di connessioni o richieste a qualsiasi interfaccia di rete.
| Bilanciatore del carico | Gruppi di istanze | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| Bilanciatore del carico di rete passthrough esterno basato sul servizio di backend Il servizio di backend non è associato a una rete VPC. Per ulteriori informazioni, consulta Servizi di backend e reti VPC. |
Solo nic0 |
Qualsiasi NIC | N/D |
| Bilanciatore del carico di rete passthrough interno Il servizio di backend è associato a una rete VPC. Per ulteriori informazioni, consulta Specifiche della rete del servizio di backend e Regole della rete del servizio di backend. |
Qualsiasi NIC | Qualsiasi NIC | N/D |
| Bilanciatore del carico di rete proxy esterno Per ulteriori informazioni sui requisiti di rete e del servizio di backend, consulta Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico di rete proxy interno Per ulteriori informazioni sui requisiti di rete e del servizio di backend, consulta Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico delle applicazioni esterno Per ulteriori informazioni sui requisiti di rete e del servizio di backend, consulta Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico di applicazioni interno Per ulteriori informazioni sui requisiti della rete e del servizio di backend, consulta Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
I bilanciatori del carico di rete passthrough esterni basati su pool di destinazione non utilizzano gruppi di istanze o NEG e supportano solo il bilanciamento del carico verso interfacce di rete nic0.
Regole firewall
L'insieme di regole firewall, dai criteri firewall gerarchici, ai criteri firewall di rete globali, ai criteri firewall di rete regionali e alle regole firewall VPC, è univoco per ogni interfaccia di rete. Per determinare quali regole firewall si applicano a un'interfaccia di rete e la fonte di ogni regola, consulta Ottenere regole firewall efficaci per un'interfaccia VM.
L'ambito delle regole firewall può essere limitato a istanze VM specifiche utilizzando tag di rete. Quando un tag di rete viene associato a un'istanza, si applica a tutte le interfacce di rete dell'istanza. Di conseguenza, l'aggiunta o la rimozione di un tag di rete da un'istanza potrebbe modificare le regole firewall applicate a qualsiasi delle interfacce di rete della VM.
Le regole firewall in una policy firewall di rete globale o in una policy firewall di rete regionale supportano i tag sicuri, che si applicano per interfaccia di rete. Per ulteriori informazioni, consulta Confronto tra tag sicuri e tag di rete.