Interfacce di rete multiple
Questa pagina fornisce una panoramica di più interfacce di rete per le istanze VM di Compute Engine. Le istanze con più interfacce di rete vengono chiamate istanze multi-NIC.
Un'istanza ha sempre almeno un'interfaccia di rete virtuale (vNIC). A seconda del tipo di macchina, puoi configurare interfacce di rete aggiuntive.
Casi d'uso
Le istanze con più NIC sono utili nei seguenti scenari:
Per connettersi alle risorse in reti VPC separate: le istanze con più NIC possono connettersi alle risorse situate in reti VPC diverse che non sono connesse tra loro tramite il peering di rete VPC o Network Connectivity Center.
Poiché ogni interfaccia di un'istanza multi-NIC si trova in una rete VPC distinta, puoi utilizzare ogni interfaccia per uno scopo specifico. Ad esempio, puoi utilizzare alcune interfacce per instradare i pacchetti tra le reti VPC che trasportano il traffico di produzione e un'altra interfaccia a fini di gestione o configurazione.
All'interno del sistema operativo guest di ogni istanza multi-NIC, devi configurare le policy di routing e le tabelle di routing locali.
Routing dei pacchetti tra reti VPC: le istanze con più NIC possono essere utilizzate come hop successivi per le route che connettono due o più reti VPC.
Il software in esecuzione all'interno del sistema operativo guest di un'istanza con più NIC può eseguire ispezione dei pacchetti, Network Address Translation (NAT) o un'altra funzione di sicurezza di rete.
Quando colleghi reti VPC utilizzando istanze con più NIC, è buona prassi configurare due o più istanze con più NIC, utilizzandole come backend per un bilanciatore del carico di rete passthrough interno in ogni rete VPC. Per ulteriori informazioni, consulta la sezione Caso d'uso nella documentazione relativa ai bilanciatori del carico di rete passthrough interni come hop successivi.
Puoi anche utilizzare istanze multi-NIC con interfacce Private Service Connect per connettere le reti di producer e consumer di servizi in progetti diversi.
Tipi di interfaccia di rete
Google Cloud supporta i seguenti tipi di interfacce di rete:
vNICs: le interfacce di rete virtuali delle istanze Compute Engine. Ogni istanza deve avere almeno una vNIC. Le vNIC nelle reti VPC normali possono essere
GVNIC,VIRTIO_NEToIDPF. Puoi configurare le vNIC solo durante la creazione di un'istanza.NIC dinamiche (anteprima): un'interfaccia secondaria di una vNIC principale. Puoi configurare le NIC dinamiche quando crei un'istanza o aggiungerle in un secondo momento. Per ulteriori informazioni, consulta NIC dinamiche.
Puoi anche configurare istanze con più NIC utilizzando tipi di macchine che includono interfacce di rete RDMA (MRDMA), che devono essere collegate a una rete VPC con un profilo di rete RDMA. Altri tipi di interfacce di rete, tra cui le NIC dinamiche, non sono supportati nelle reti VPC con un profilo di rete RDMA.
Specifiche
Le seguenti specifiche si applicano alle istanze con più interfacce di rete:
Istanze e interfacce di rete: ogni istanza ha un'interfaccia
nic0. Il numero massimo di interfacce di rete varia in base al tipo di macchina dell'istanza.- A ogni interfaccia è associato un tipo di stack, che determina i tipi di stack di sottorete e le versioni degli indirizzi IP supportati. Per saperne di più, consulta Tipo di stack e indirizzi IP.
Rete univoca per ogni interfaccia di rete: ad eccezione delle reti VPC create con un profilo di rete RDMA, ogni interfaccia di rete deve utilizzare una sottorete in una rete VPC univoca.
Per le reti VPC create con un profilo di rete RDMA, più NIC RDMA possono utilizzare la stessa rete VPC, a condizione che ogni NIC RDMA utilizzi una subnet univoca.
Per poter creare un'istanza la cui interfaccia di rete utilizza la rete e la subnet, è necessario che esistano una rete e una subnet VPC. Per ulteriori informazioni sulla creazione di reti e subnet, consulta Creare e gestire reti VPC.
Progetto di istanze e subnet: per le istanze con più NIC in progetti autonomi, ogni interfaccia di rete deve utilizzare una subnet nello stesso progetto dell'istanza.
Per le istanze nei progetti host o di servizio VPC condiviso, consulta VPC condivisa .
Le interfacce Private Service Connect consentono a un'istanza con più NIC di avere interfacce di rete in sottoreti di progetti diversi. Per saperne di più, consulta Informazioni sugli attacchi alla rete.
Considerazioni sul forwarding IP, sull'MTU e sul routing: le istanze con più NIC richiedono una pianificazione attenta per le seguenti opzioni di configurazione specifiche per l'istanza e l'interfaccia:
L'opzione di inoltro IP è configurabile su base di istanza e si applica a tutte le interfacce di rete. Per ulteriori informazioni, vedi Attivare il forwarding IP per le istanze.
Ogni interfaccia di rete può utilizzare un'unità massima di trasmissione (MTU) univoca corrispondente all'MTU della rete VPC associata. Per ulteriori informazioni, consulta la sezione Unità massima di trasmissione.
Ogni istanza riceve una route predefinita utilizzando l'opzione DHCP 121, come definito dalla RFC 3442. Il percorso predefinito è associato a
nic0. Se non manualmente configurato in modo diverso, il traffico che lascia un'istanza per qualsiasi destinazione diversa da una subnet con collegamento diretto lascerà l'istanza utilizzando la route predefinita sunic0.Sui sistemi Linux, puoi configurare regole e route personalizzati all'interno del sistema operativo guest utilizzando il file
/etc/iproute2/rt_tablese i comandiip ruleeip route. Per saperne di più, consulta la documentazione del sistema operativo guest. Per un esempio, consulta il seguente tutorial: Configurare il routing per un'interfaccia aggiuntiva.
NIC dinamiche
Le NIC dinamiche sono utili nei seguenti scenari:
Devi aggiungere o rimuovere interfacce di rete da o verso istanze esistenti. L'aggiunta o la rimozione di NIC dinamiche non richiede il riavvio o la ricreazione dell'istanza.
Ti servono più interfacce di rete. Il numero massimo di vNIC per la maggior parte dei tipi di macchine in Google Cloud è 10. Tuttavia, puoi configurare fino a 16 interfacce totali utilizzando le NIC dinamiche. Per ulteriori informazioni, consulta Numero massimo di interfacce di rete.
Devi configurare istanze bare metal di Compute Engine con più NIC, che hanno una sola vNIC.
Proprietà delle NIC dinamiche
Consulta le seguenti informazioni sulle proprietà delle NIC dinamiche:
Le NIC dinamiche sono interfacce VLAN che utilizzano il formato di pacchetto standard IEEE 802.1Q. Tieni presente le seguenti considerazioni:
- L'ID VLAN di una NIC dinamica deve essere un numero intero compreso tra 2 e 255.
- L'ID VLAN di una NIC dinamica deve essere univoco all'interno di una vNIC padre. Tuttavia, le NIC dinamiche che appartengono a vNIC principali diverse possono utilizzare lo stesso ID VLAN.
Google Cloud utilizza il seguente formato per il nome di una NIC dinamica:
nicNUMBER.VLAN_ID, dovenicNUMBERè il nome della vNIC principale, ad esempionic0.VLAN_IDè l'ID VLAN impostato, ad esempio4.
Un esempio di nome NIC dinamico è
nic0.4.La creazione di un'istanza con NIC dinamiche o l'aggiunta di NIC dinamiche a un'istanza esistente richiede passaggi aggiuntivi per installare e gestire le interfacce VLAN corrispondenti nel sistema operativo guest. Puoi utilizzare uno dei seguenti metodi:
- Configura la gestione automatica delle NIC dinamiche utilizzando l'agente ospite Google.
- Configura manualmente il sistema operativo guest.
Per ulteriori informazioni, consulta Configurare il sistema operativo guest per le NIC dinamiche.
Le NIC dinamiche condividono la larghezza di banda della vNIC principale e non è previsto alcun isolamento del traffico all'interno di una vNIC principale. Per impedire a una delle interfacce di rete di consumare tutta la larghezza di banda, devi creare un criterio di traffico specifico per l'applicazione nel sistema operativo guest per dare la priorità o distribuire il traffico, ad esempio utilizzando Linux Traffic Control (TC).
Le NIC dinamiche condividono le stesse code di ricezione e trasmissione della vNIC principale.
Limitazioni delle NIC dinamiche
Tieni presenti le seguenti limitazioni delle NIC dinamiche:
Non puoi modificare le seguenti proprietà di una NIC dinamica dopo la creazione:
- La vNIC principale a cui appartiene la NIC dinamica.
- L'ID VLAN della NIC dinamica.
Le NIC dinamiche non supportano quanto segue:
- Protezione DDoS avanzata della rete e criteri di sicurezza perimetrale della rete per Google Cloud Armor
- Configurazioni per istanza per i MIG
- Interfacce solo IPv6 (anteprima)
- Funzionalità che si basano sull'intercettazione dei pacchetti, come gli endpoint del firewall
- Sistemi operativi Windows
Una NIC dinamica con una vNIC principale di tipo
GVNICpotrebbe riscontrare una perdita di pacchetti con alcune dimensioni MTU personalizzate. Per evitare la perdita di pacchetti, non utilizzare le seguenti dimensioni MTU: 1986 byte, 3986 byte, 5986 byte e 7986 byte.Per le VM di terza generazione, una NIC dinamica con un ID VLAN pari a
255non può accedere all'indirizzo IP del server di metadati. Se devi accedere al server dei metadati, assicurati di utilizzare un ID VLAN diverso.Per le VM di terza generazione, l'eliminazione e l'aggiunta di una NIC dinamica con lo stesso ID VLAN potrebbe consentire l'accesso non autorizzato a diverse reti VPC. Per ulteriori informazioni, vedi Problemi noti.
Tipi di stack e indirizzi IP
Quando crei una vNIC, specifica uno dei seguenti tipi di stack di interfaccia:
- Solo IPv4
- Doppio stack
Solo IPv6 (anteprima)
La tabella seguente descrive i tipi di stack di subnet e i dettagli degli indirizzi IP supportati per ogni tipo di stack di interfaccia:
| Interfaccia | Subnet solo IPv4 | Subnet dual-stack | Subnet solo IPv6 (anteprima) | Dettagli dell'indirizzo IP |
|---|---|---|---|---|
| Solo IPv4 (stack singolo) | Solo indirizzi IPv4. Consulta la sezione Dettagli sull'indirizzo IPv4. | |||
| IPv4 e IPv6 (stack doppio) | Sia gli indirizzi IPv4 che IPv6. Consulta Dettagli sull'indirizzo IPv4 e Dettagli sull'indirizzo IPv6 | |||
| Solo IPv6 (stack singolo) (anteprima) | Solo indirizzi IPv6. Consulta la sezione Dettagli sull'indirizzo IPv6. |
Modifica del tipo di stack dell'interfaccia di rete
Puoi modificare il tipo di stack di un'interfaccia di rete nel seguente modo:
Puoi convertire un'interfaccia solo IPv4 in a doppio stack se la subnet dell'interfaccia è una subnet a doppio stack o se interrompi l'istanza e assegni l'interfaccia a una subnet a doppio stack.
Puoi convertire un'interfaccia a doppio stack in solo IPv4.
Non puoi modificare il tipo di stack di un'interfaccia solo IPv6. Le interfacce solo IPv6 (anteprima) sono supportate solo durante la creazione delle istanze.
Dettagli dell'indirizzo IPv4
Ogni interfaccia di rete solo IPv4 o a doppio stack riceve un indirizzo IPv4 interno primario. Ogni interfaccia supporta facoltativamente intervalli di indirizzi IP di alias e un indirizzo IPv4 esterno. Di seguito sono riportate le specifiche e i requisiti di IPv4:
Indirizzo IPv4 interno principale: Compute Engine assegna all'interfaccia di rete un indirizzo IPv4 interno principale dall'intervallo di indirizzi IPv4 principale della subnet dell'interfaccia. L'indirizzo IPv4 interno principale viene allocato tramite DHCP.
Puoi controllare quale indirizzo IPv4 interno principale viene assegnato configurando un indirizzo IPv4 interno statico o specificando un indirizzo IPv4 interno temporaneo personalizzato.
All'interno di una rete VPC, l'indirizzo IPv4 interno principale di ogni interfaccia di rete della VM è univoco.
Intervalli IP alias: facoltativamente, puoi assegnare all'interfaccia uno o più intervalli IP alias. Ogni intervallo IP alias può provenire dall'intervallo di indirizzi IPv4 primario o da un intervallo di indirizzi IPv4 secondario della subnet dell'interfaccia.
- All'interno di una rete VPC, l'intervallo IP alias di ogni interfaccia deve essere univoco.
Indirizzo IPv4 esterno: facoltativamente, puoi assegnare all'interfaccia un indirizzo IPv4 esterno temporaneo o riservato. Google Cloud garantisce l'unicità di ogni indirizzo IPv4 esterno.
Dettagli dell'indirizzo IPv6
Compute Engine assegna a ogni interfaccia di rete a doppio stack o solo IPv6
(anteprima) un intervallo di indirizzi IPv6 /96 dall'intervallo di indirizzi IPv6 /64 della subnet dell'interfaccia:
L'intervallo di indirizzi IPv6
/96è interno o esterno a seconda del tipo di accesso IPv6 della subnet dell'interfaccia. Google Cloud garantisce la unicità di ogni intervallo di indirizzi IPv6 interno ed esterno. Per ulteriori informazioni, consulta le specifiche IPv6.- Se un'istanza ha bisogno sia di un intervallo di indirizzi IPv6 interno sia di un intervallo di indirizzi IPv6 esterno, devi configurare due interfacce a doppio stack, due interfacce solo IPv6 o un'interfaccia a doppio stack e un'interfaccia solo IPv6. La subnet utilizzata da un'interfaccia deve avere un intervallo di indirizzi IPv6 esterno, mentre la subnet utilizzata dall'altra interfaccia deve avere un intervallo di indirizzi IPv6 interno.
Il primo indirizzo IPv6 (
/128) viene configurato sull'interfaccia tramite DHCP. Per ulteriori informazioni, vedi Assegnazione di indirizzi IPv6.Puoi controllare quale intervallo di indirizzi IPv6
/96viene assegnato configurando un intervallo di indirizzi IPv6 interni o esterni statico. Per gli indirizzi IPv6 interni, puoi specificare un indirizzo IPv6 interno personalizzato ed effimero.
Se colleghi un'istanza a più reti utilizzando indirizzi IPv6, installa google-guest-agent versione
20220603.00
o successiva. Per ulteriori informazioni, vedi Non riesco a connettermi all'indirizzo IPv6 di un'interfaccia secondaria.
Numero massimo di interfacce di rete
Per la maggior parte dei tipi di macchine, il numero massimo di interfacce di rete che puoi collegare a un'istanza varia in base al numero di vCPU, come descritto nelle tabelle seguenti.
Di seguito sono riportate le eccezioni specifiche della macchina:
Le istanze bare metal di Compute Engine supportano una singola vNIC.
Il numero massimo di vNIC è diverso per alcuni tipi di macchine ottimizzate per l'acceleratore, come A3, A4 e A4X. Per saperne di più, consulta la Famiglia di macchine ottimizzate per l'acceleratore.
Numeri di interfaccia massimi
Utilizza la seguente tabella per determinare quante interfacce di rete possono essere collegate a un'istanza.
| Numero di vCPU | Numero massimo di vNIC | Numero massimo di NIC dinamiche | Numero massimo di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 2 o meno | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 o più | 10 | 15 | 16 |
Formule di riferimento
La seguente tabella fornisce le formule utilizzate per calcolare il numero massimo di interfacce di rete per un'istanza. La formula dipende dal numero di vCPU.
| Numero di vCPU (X) | Numero massimo di vNIC | Numero massimo di NIC dinamiche | Numero massimo di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Distribuzioni di esempio di NIC dinamiche
Non è necessario distribuire le NIC dinamiche in modo uniforme tra le vNIC. Tuttavia, potresti volere una distribuzione uniforme perché le NIC dinamiche condividono la larghezza di banda della vNIC principale.
Un'istanza deve avere almeno una vNIC. Ad esempio, un'istanza con 2 vCPU può avere una delle seguenti configurazioni:
- 1 vNIC
- 2 vNIC
- 1 vNIC e 1 NIC dinamica
Le tabelle seguenti forniscono configurazioni di esempio che distribuiscono uniformemente le NIC dinamiche tra le vNIC utilizzando il numero massimo di interfacce di rete per un determinato numero di vCPU.
2 vCPU, 2 NIC
La tabella seguente fornisce esempi per un'istanza con 2 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
4 vCPU, 4 NIC
La tabella seguente fornisce esempi per un'istanza con 4 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
8 vCPU, 8 NIC
La tabella seguente fornisce esempi per un'istanza con 8 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
14 vCPU, 12 NIC
La tabella seguente fornisce esempi per un'istanza con 12 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
22 vCPU, 16 NIC
La tabella seguente fornisce esempi per un'istanza con 22 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
Interazioni con i prodotti
Questa sezione descrive le interazioni tra istanze multi-NIC e altri prodotti e funzionalità in Google Cloud.
VPC condiviso
Ad eccezione delle interfacce Private Service Connect, la relazione tra la sottorete e il progetto di un'istanza multi-NIC in un progetto di servizio o host VPC condiviso è la seguente:
Ogni interfaccia di rete di un'istanza multi-NIC situata in un progetto host VPC condiviso deve utilizzare una subnet di una rete VPC condivisa nel progetto host.
Ogni interfaccia di rete di un'istanza con più NIC in un progetto di servizio VPC condiviso può utilizzare una delle seguenti opzioni:
- Una subnet di una rete VPC nel progetto di servizio.
- Una subnet di una rete VPC condiviso nel progetto host.
Per ulteriori informazioni sul VPC condiviso, consulta:
DNS interno di Compute Engine
Compute Engine crea record DNS A e PTR interni solo per
l'indirizzo IPv4 interno principale dell'interfaccia di rete nic0 di un'istanza. Compute Engine non crea record DNS interni per nessun indirizzo IPv4 o IPv6 associato a un'interfaccia di rete diversa da nic0.
Per ulteriori informazioni, consulta DNS interno di Compute Engine.
Route statiche
L'ambito delle route statiche può essere limitato a istanze specifiche utilizzando i tag di rete. Quando un tag di rete è associato a un'istanza, si applica a tutte le interfacce di rete dell'istanza. Di conseguenza, l'aggiunta o la rimozione di un tag di rete da un'istanza potrebbe modificare le route statiche applicate a qualsiasi delle sue interfacce di rete.
Bilanciatori del carico
I backend di gruppo di istanze e i backend NEG a livello di zona hanno ciascuno una rete VPC associata come segue:
Per i gruppi di istanze gestite (MIG), la rete VPC per il gruppo di istanze è la rete VPC assegnata all'interfaccia
nic0nel modello di istanza.Per i gruppi di istanze non gestite, la rete VPC per il gruppo di istanze è la rete VPC utilizzata dall'interfaccia di rete
nic0della prima istanza aggiunta al gruppo di istanze non gestite.
La seguente tabella mostra quali backend supportano la distribuzione di connessioni o richieste a qualsiasi interfaccia di rete.
| Bilanciatore del carico | Gruppi di istanze | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| Bilanciatore del carico di rete passthrough esterno basato sui servizi di backend Il servizio di backend non è associato a una rete VPC. Per ulteriori informazioni, consulta Servizi di backend e reti VPC. |
Solo nic0 |
Qualsiasi NIC | N/D |
| Bilanciatore del carico di rete passthrough interno Il servizio di backend è associato a una rete VPC. Per ulteriori informazioni, consulta Specifiche della rete del servizio di backend e Regole della rete del servizio di backend. |
Qualsiasi NIC | Qualsiasi NIC | N/D |
| Bilanciatore del carico di rete proxy esterno Per ulteriori informazioni sui requisiti della rete e del servizio di backend, consulta Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico di rete proxy interno Per ulteriori informazioni sui requisiti di rete e dei servizio di backend, consulta Servizi di backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico delle applicazioni esterno Per ulteriori informazioni sui requisiti della rete e del servizio di backend, consulta Backends e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico di applicazioni interno Per ulteriori informazioni sui requisiti della rete e del servizio di backend, consulta Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
I bilanciatori del carico di rete passthrough esterni basati su pool di destinazione non utilizzano gruppi di istanze o NEG e supportano solo il bilanciamento del carico verso interfacce di rete nic0.
Regole firewall
L'insieme di regole firewall, dai criteri firewall gerarchici, ai criteri firewall di rete globali, ai criteri firewall di rete regionali e alle regole firewall VPC, è univoco per ogni interfaccia di rete. Assicurati che ogni rete abbia regole firewall appropriate per consentire il traffico che vuoi consentire verso e da un'istanza con più NIC. Per determinare quali regole firewall si applicano a un'interfaccia di rete e la fonte di ogni regola, consulta Ottenere regole firewall efficaci per un'interfaccia VM.
L'ambito delle regole firewall può essere limitato a istanze VM specifiche utilizzando i tag di rete o i tag sicuri, che si applicano a tutte le interfacce di rete di un'istanza. Per maggiori informazioni, consulta Confronto tra tag sicuri e tag di rete.
Problemi noti
Questa sezione descrive i problemi noti relativi all'utilizzo di più interfacce di rete in Google Cloud.
Interazioni del firewall quando si riutilizza un ID VLAN con NIC dinamiche
Per le VM di terza generazione, l'eliminazione e l'aggiunta di una NIC dinamica con lo stesso ID VLAN potrebbe consentire l'accesso non autorizzato a diverse reti VPC.
Prendi in considerazione il seguente scenario che include due reti (network-1 e
network-2) e un ID VLAN A:
- Elimini una NIC dinamica con ID VLAN
Adanetwork-1. - Nel periodo di monitoraggio delle connessioni del NGFW Cloud di 10 minuti,
crea una nuova NIC dinamica con lo stesso ID VLAN
Ainnetwork-2. - Il traffico proveniente dalla nuova NIC dinamica in
network-2potrebbe corrispondere a una voce di monitoraggio delle connessioni esistente creata in precedenza dalla NIC dinamica eliminata innetwork-1.
In questo caso, il traffico inviato o ricevuto dalla nuova NIC dinamica in network-2 potrebbe essere consentito se corrisponde a una voce nella tabella di monitoraggio delle connessioni NGFW Cloud, dove la voce è stata creata per una connessione utilizzata dalla NIC dinamica eliminata in network-1. Per evitare questo problema, consulta la seguente soluzione alternativa.
Soluzione:
Per evitare questo problema, esegui una delle seguenti operazioni:
- Dopo aver eliminato una NIC dinamica, non riutilizzare il relativo ID VLAN quando crei una nuova NIC dinamica.
- Dopo aver eliminato una NIC dinamica, attendi almeno 10 minuti per creare una nuova NIC dinamica che utilizzi lo stesso ID VLAN.
Per ulteriori informazioni sul monitoraggio delle connessioni e sulle regole del firewall, consulta le Specifiche nella documentazione di Cloud Next Generation Firewall.