Sub-redes

As redes de nuvem privada virtual (VPC, na sigla em inglês) são recursos globais. Cada rede VPC consiste em um ou mais intervalos de endereços IP chamados sub-redes. As sub-redes são recursos regionais e têm intervalos de endereços IP associados a elas.

No Google Cloud, os termos rede e sub-rede são sinônimos. Eles são usados alternadamente no Console do Google Cloud, nos comandos da Google Cloud CLI e na documentação da API.

Redes e sub-redes

Uma rede precisa ter pelo menos uma sub-rede para que você possa usá-la. As redes VPC de modo automático criam sub-redes em cada região automaticamente. As redes VPC do modo personalizado começam sem sub-redes, o que proporciona controle total sobre a criação de sub-redes. É possível criar mais de uma sub-rede por região. Para informações sobre as diferenças entre as redes VPC de modo automático e modo personalizado, consulte Tipos de redes VPC.

Ao criar um recurso no Google Cloud, você escolhe uma rede e uma sub-rede. Para recursos que não sejam modelos de instância, você também precisa selecionar uma zona ou região. Selecionar uma zona escolhe implicitamente a região pai. Como as sub-redes são objetos regionais, a região selecionada para um recurso determina as sub-redes que ele pode usar:

  • Ao criar uma instância, você seleciona uma zona para ela. Se você não selecionar uma rede para a VM, será usada a rede VPC padrão, que tem uma sub-rede em cada região. Se você selecionar uma rede para a VM, é necessário selecionar uma rede que tenha uma sub-rede na região pai da zona selecionada.

  • Ao criar um grupo gerenciado de instâncias, você seleciona uma zona ou região, dependendo do tipo de grupo e de um modelo de instância. O modelo de instância define qual rede VPC usar. Portanto, ao criar um grupo gerenciado de instâncias, você precisa selecionar um modelo de instância com a configuração adequada. O modelo precisa especificar uma rede VPC que tenha sub-redes na zona ou região selecionada. As redes VPC de modo automático sempre têm uma sub-rede em cada região.

  • O processo de criação de um cluster de contêineres do Kubernetes envolve a seleção de uma zona ou região (dependendo do tipo de cluster), uma rede e uma sub-rede. Selecione uma sub-rede disponível na zona ou região selecionada.

Tipos de sub-redes

As redes VPC são compatíveis com os seguintes tipos de sub-redes:

  • Sub-redes somente IPv4 (pilha única), com apenas intervalos de sub-rede IPv4

  • Sub-redes IPv4 e IPv6 (pilha dupla), com intervalos de sub-rede IPv4 e IPv6

Uma única rede VPC pode conter qualquer combinação desses tipos de sub-rede.

Ao criar uma sub-rede, você especifica qual tipo de pilha usar. Também é possível atualizar uma sub-rede somente IPv4 existente para configurá-la como uma sub-rede de pilha dupla.

As sub-redes de pilha dupla são compatíveis apenas com redes VPC de modo personalizado. Sub-redes de pilha dupla não são compatíveis com redes VPC de modo automático ou redes legadas.

Ao criar um intervalo de sub-rede IPv4, você fornece as seguintes informações:

Configuração de sub-rede Valores válidos Detalhes
Intervalo IPv4 Um intervalo válido escolhido Obrigatório
Intervalo de IPv4 secundário Um intervalo válido escolhido Opcional

Ao criar um intervalo de sub-rede IPv6, você fornece as seguintes informações:

Configuração de sub-rede Valores válidos Detalhes
Tipo de acesso IPv6

  • Interno
  • Externo

Um intervalo de endereços IPv6 /64 é atribuído automaticamente à sub-rede.

Objetivos das sub-redes

As sub-redes podem ser usadas para diversas finalidades:

  • Sub-redes normais: este é o tipo de sub-rede padrão. As sub-redes normais são criadas pelos usuários ou automaticamente em redes VPC de modo automático para serem usadas com instâncias de VM. As sub-redes normais têm a finalidade PRIVATE na CLI ou API da gcloud. O propósito é Nenhum no console do Google Cloud.
  • Sub-redes do Private Service Connect: uma sub-rede a ser usada para publicar um serviço gerenciado usando o Private Service Connect.
  • Sub-redes somente proxy: uma sub-rede somente proxy para usar com balanceadores de carga regionais baseados no Envoy.
  • Sub-redes NAT particulares: uma sub-rede reservada para uso como o intervalo de origem de NAT particular. Essa sub-rede é definida como --purpose=PRIVATE_NAT.

Na maioria dos casos, não é possível alterar a finalidade de uma sub-rede depois que ela é criada. Para mais informações, consulte a referência do comando gcloud compute networks subnets update.

Limitações para nomear sub-redes

Os nomes de sub-rede têm as seguintes limitações:

  • Em um projeto do Google Cloud, uma sub-rede não pode ter o mesmo nome de uma rede VPC, a menos que seja um membro dessa rede. Em um projeto, as sub-redes na mesma região precisam ter nomes exclusivos. Por exemplo, uma rede denominada production pode ter várias sub-redes também denominadas production, desde que cada uma dessas sub-redes esteja em uma região exclusiva.

  • Não é possível alterar o nome ou a região de uma sub-rede depois de criá-la. No entanto, é possível excluir uma sub-rede e substituí-la, desde que nenhum recurso esteja usando essa sub-rede.

Intervalos de sub-rede IPv4

Cada sub-rede tem um intervalo de endereços IPv4 principal. Os endereços internos primários dos seguintes recursos vêm do intervalo principal da sub-rede: instâncias de VM, balanceadores de carga internos e encaminhamento de protocolo interno. Se quiser, é possível adicionar intervalos de endereços IP secundários a uma sub-rede, que são usados apenas por intervalos de IP de alias. No entanto, é possível configurar intervalos de IP de alias para instâncias do intervalo primário ou secundário de uma sub-rede.

Suas sub-redes IPv4 não precisam formar um bloco CIDR contíguo predefinido, mas é possível fazer isso se quiser. Por exemplo, as redes VPC de modo automático criam sub-redes que se encaixam em um intervalo de IP de modo automático predefinido. Porém o intervalo principal de uma sub-rede pode ser 10.0.0.0/24, enquanto o intervalo principal de outra sub-rede da mesma rede pode ser 192.168.0.0/16.

Limitações para intervalos de sub-rede IPv4

Os intervalos de sub-rede IPv4 têm as seguintes limitações:

  • Cada intervalo de IPv4 primário ou secundário de todas as sub-redes de uma rede VPC precisa ser um bloco CIDR válido exclusivo.

  • O número de intervalos de endereços IP secundários que você pode definir é descrito em por limites de rede.

  • Depois de criar uma sub-rede, o intervalo IPv4 principal da sub-rede pode ser expandido, mas não substituído ou reduzido.

  • É possível remover e substituir o intervalo secundário de endereços IPv4 de uma sub-rede somente se nenhuma instância estiver usando esse intervalo.

  • O tamanho mínimo do intervalo primário ou secundário é de oito endereços IPv4. Em outras palavras, a máscara de sub-rede mais longa que pode ser usada é /29.

  • A máscara de sub-rede mais curta que pode ser usada é /4. No entanto, para a maioria dos intervalos de endereços IP /4, outras validações impedem que você crie uma sub-rede desse tamanho. Por exemplo, um intervalo de sub-rede não pode se sobrepor a um intervalo IPv4 particular ou outro intervalo reservado. Para minimizar a chance de escolher um intervalo de sub-rede inválido, recomendamos que você limite o tamanho máximo de sub-rede para /8.

  • Não é possível criar intervalos primários e secundários para sub-redes que se sobrepõem a intervalo alocado, qualquer valor ao intervalo secundário de outra sub-rede na mesma rede ou a qualquer intervalo IPv4 de sub-redes em redes com peering. O Google Cloud impede a criação de intervalos de sub-redes sobrepostos nesses cenários.

  • O Google Cloud cria as rotas de sub-rede correspondentes para os intervalos de IP primário e secundário. Rotas de sub-rede e, portanto, intervalos de IP de sub-rede, precisam ter os intervalos de IP mais específicos por definição.

  • Os intervalos de sub-rede não podem corresponder, ser mais estreitos ou mais amplos que um intervalo restrito. Por exemplo, 169.0.0.0/8 não é um intervalo de sub-rede válido porque se sobrepõe ao intervalo de link local 169.254.0.0/16 (RFC 3927), que é um intervalo restrito.

  • Os intervalos de sub-rede não podem abranger um intervalo RFC (descrito na tabela anterior) e um intervalo de endereços IP públicos usado de maneira privada. Por exemplo, 172.0.0.0/10 não é um intervalo de sub-rede válido porque inclui o intervalo de endereços IP privados 172.16.0.0/12 e os endereços IP públicos.

  • Os intervalos de sub-rede não podem abranger vários intervalos de RFC. Por exemplo, 192.0.0.0/8 não é um intervalo de sub-rede válido porque inclui 192.168.0.0/16 (de RFC 1918) e 192.0.0.0/24 (de RFC 6890). No entanto, é possível criar duas sub-redes com intervalos primários diferentes, uma com 192.168.0.0/16 e outra com 192.0.0.0/24. Ou você pode usar esses dois intervalos na mesma sub-rede se transformar um deles em um intervalo secundário.

Intervalos IPv4 válidos

Os intervalos de endereços IPv4 primários e secundários de uma sub-rede são endereços IPv4 internos regionais. A tabela a seguir descreve intervalos válidos.

Range Descrição
Intervalos de endereços IPv4 privados
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Endereços IP privados RFC 1918

Para saber mais sobre o uso de 172.17.0.0/16, consulte Outras considerações.

100.64.0.0/10 Espaço de endereços compartilhado RFC 6598
192.0.0.0/24 Atribuições do protocolo IETF RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Documentação RFC 5737
192.88.99.0/24 Retransmissão IPv6 para IPv4 (obsoleta) RFC 7526
198.18.0.0/15 Teste de comparativo de mercado RFC 2544
240.0.0.0/4

Reservado para uso futuro (classe E) como indicado em RFC 5735 e RFC 1112.

Alguns sistemas operacionais não aceitam o uso desse intervalo. Portanto, antes de criar sub-redes com ele, verifique se o SO que você usa é compatível.

Intervalos de endereços IP públicos usados de maneira privada
Endereços IPv4 públicos usados de modo privado Endereços IPv4 públicos usados de maneira privada:
  • são endereços IPv4 que normalmente são roteáveis na Internet, mas são usados de modo privado em uma rede VPC.
  • Não podem pertencer a um intervalo de sub-rede proibido

Quando você usa esses endereços como intervalos de sub-rede, o Google Cloud não divulga essas rotas para a Internet e não encaminha o tráfego da Internet para elas.

Se você importou endereços IP públicos para o Google usando Traga seu próprio IP (BYOIP), os intervalos de BYOIP e os intervalos de endereços IP públicos usados de maneira particular na mesma rede VPC não podem se sobrepor.

Para peering de rede VPC, as rotas de sub-rede para endereços IP públicos não são trocadas automaticamente. As rotas de sub-rede são exportadas automaticamente por padrão, mas as redes com peering precisam ser explicitamente configuradas para importá-las e usá-las.

Intervalos de sub-rede IPv4 proibidos

Os intervalos de sub-redes proibidos incluem endereços IP públicos do Google e intervalos RFC comumente reservados, conforme descrito na tabela a seguir. Esses intervalos não podem ser usados para intervalos de sub-rede.

Intervalo Descrição
Endereços IP públicos para APIs e serviços do Google, inclusive netblocks do Google Cloud. Encontre esses endereços IP em https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30
e
199.36.153.8/30
Endereços IP virtuais específicos do Acesso privado do Google
0.0.0.0/8 Rede (local) atual RFC 1122
127.0.0.0/8 Host local RFC 1122
169.254.0.0/16 Link local RFC 3927
224.0.0.0/4 Multicast (Classe D) RFC 5771
255.255.255.255/32 Endereço de destino da transmissão limitada RFC 8190 e RFC 919

Endereços inutilizáveis em intervalos de sub-rede IPv4

O Google Cloud usa os dois primeiros e os dois últimos endereços IPv4 em cada intervalo de endereços IPv4 principal da sub-rede para hospedar a sub-rede. O Google Cloud permite usar todos os endereços em intervalos IPv4 secundários.

Endereço IPv4 inutilizável Descrição Exemplo
endereço de rede Primeiro endereço no intervalo IPv4 principal 10.1.2.0 no intervalo 10.1.2.0/24
Endereço de gateway padrão Segundo endereço no intervalo IPv4 principal 10.1.2.1 no intervalo 10.1.2.0/24
Penúltimo endereço Penúltimo endereço no intervalo IPv4 principal

Esse intervalo é reservado pelo Google Cloud para um possível uso futuro.

10.1.2.254 no intervalo 10.1.2.0/24
endereço de transmissão Último endereço no intervalo IPv4 principal 10.1.2.255 no intervalo 10.1.2.0/24

Intervalos IPv4 do modo automático

Esta tabela lista os intervalos de IPv4 para as sub-redes criadas automaticamente em uma rede VPC de modo automático. Os intervalos de IP dessas sub-redes cabem no bloco CIDR 10.128.0.0/9. As redes VPC de modo automático são criadas com uma sub-rede por região e recebem automaticamente novas sub-redes em novas regiões. Partes não utilizadas de 10.128.0.0/9 são reservadas para uso futuro no Google Cloud.

Region Intervalo de IP (CIDR) Gateway padrão Endereços utilizáveis (inclusivos)
africa-south1 10.218.0.0/20 10.218.0.1 10.218.0.2 a 10.218.15.253
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 a 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 para 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-south2 10.190.0.0/20 10.190.0.1 10.190.0.2 a 10.190.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
asia-southeast2 10.184.0.0/20 10.184.0.1 10.184.0.2 a 10.184.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
australia-southeast2 10.192.0.0/20 10.192.0.1 10.192.0.2 to 10.192.15.253
europe-central2 10.186.0.0/20 10.186.0.1 10.186.0.2 a 10.186.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 a 10.172.15.253
europe-west8 10.198.0.0/20 10.198.0.1 10.198.0.2 a 10.198.15.253
europe-west9 10.200.0.0/20 10.200.0.1 10.200.0.2 a 10.200.15.253
europe-west10 10.214.0.0/20 10.214.0.1 De 10.214.0.2 a 10.214.15.253
europe-west12 10.210.0.0/20 10.210.0.1 10.210.0.2 a 10.210.15.253
europe-southwest1 10.204.0.0/20 10.204.0.1 10.204.0.2 a 10.204.15.253
me-central1 10.212.0.0/20 10.212.0.1 10.212.0.2 to 10.212.15.253
me-central2 10.216.0.0/20 10.216.0.1 10.216.0.2 a 10.216.15.253
me-west1 10.208.0.0/20 10.208.0.1 10.208.0.2 a 10.208.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
northamerica-northeast2 10.188.0.0/20 10.188.0.1 10.188.0.2 to 10.188.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
southamerica-west1 10.194.0.0/20 10.194.0.1 10.194.0.2 to 10.194.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 ao 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-east5 10.202.0.0/20 10.202.0.1 10.202.0.2 até 10.202.15.253
us-south1 10.206.0.0/20 10.206.0.1 10.206.0.2 a 10.206.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 para 10.180.15.253
us-west4 10.182.0.0/20 10.182.0.1 10.182.0.2 a 10.182.15.253

Outras considerações

Verifique se todos os intervalos de endereços IPv4 principais e secundários da sub-rede não estão em conflito com os intervalos de endereços IPv4 que o software em execução nas VMs precisa usar. Alguns produtos do Google e de terceiros usam 172.17.0.0/16 para o roteamento no sistema operacional convidado. Por exemplo, a rede de ponte padrão do Docker usa esse intervalo. Se você depende de um produto que usa 172.17.0.0/16, não o utilize como intervalo de endereços IPv4 primário e secundário da sub-rede.

Intervalos de sub-rede IPv6

Ao ativar o IPv6 em uma sub-rede em uma rede VPC, você escolhe um tipo de acesso IPv6 para a sub-rede. O tipo de acesso IPv6 determina se a sub-rede está configurada com endereços IPv6 internos ou endereços IPv6 externos.

  • Os endereços IPv6 internos são usados para a comunicação entre VMs dentro das redes VPC. Elas podem ser roteadas apenas no escopo de redes VPC e não podem ser roteadas para a Internet.

  • Os endereços IPv6 externos podem ser usados para a comunicação entre VMs dentro de redes VPC e também são roteáveis na Internet.

Se uma interface de VM estiver conectada a uma sub-rede que tenha um intervalo de sub-rede IPv6, é possível configurar endereços IPv6 na VM. O tipo de acesso IPv6 da sub-rede determina se a VM recebeu um endereço IPv6 interno ou um IPv6 externo.

Especificações do IPv6

  • Os intervalos de sub-rede IPv6 são recursos regionais.

  • Os intervalos de sub-rede IPv6 interna e externa estão disponíveis em todas as regiões.

  • Intervalos de sub-rede IPv6 são atribuídos automaticamente a intervalos /64.

  • Não é possível alterar o tipo de acesso IPv6 (interno ou externo) de uma sub-rede.

  • Não é possível alterar uma sub-rede de pilha dupla para pilha única se o tipo de acesso IPv6 for interno.

Especificações do IPv6 interno

  • Os intervalos IPv6 internos usam endereços locais exclusivos (ULAs, na sigla em inglês).

  • Os ULAs para IPv6 são análogos aos endereços RFC 1918 para IPv4. Os ULAs não podem ser acessados pela Internet e não são roteáveis publicamente.

  • Para criar sub-redes com intervalos IPv6 internos, primeiro atribua um intervalo IPv6 interno à rede VPC. Um intervalo IPv6 /48 foi atribuído. Quando você cria uma sub-rede com um intervalo IPv6 interno, o intervalo de /64 da sub-rede é atribuído pelo intervalo da rede VPC.

    • O intervalo IPv6 interno de uma rede VPC é exclusivo no Google Cloud.

    • É possível permitir que o Google atribua o intervalo IPv6 interno da rede VPC ou selecione um intervalo específico. Se a rede VPC se conectar a redes fora do Google Cloud, é possível escolher um intervalo que não se sobreponha aos intervalos usados nesses ambientes.

  • A atribuição de um intervalo IPv6 interno /48 da rede VPC é permanente. Não é possível desativá-lo ou alterá-lo posteriormente.

  • É possível reservar endereços IPv6 internos regionais estáticos.

Nenhuma outra rede VPC pode usar o mesmo intervalo, o que elimina a possibilidade de sobrepor intervalos de sub-redes IPv6 ao usar o peering de rede VPC.

Especificações do IPv6 externo

Atribuição de intervalo IPv6

Os intervalos IPv6 podem ser atribuídos a redes, sub-redes e instâncias de máquina virtual (VMs, na sigla em inglês).

Tipo de recurso Tamanho do intervalo Detalhes
Rede VPC /48

Para ativar o IPv6 interno em uma sub-rede, é preciso primeiro atribuir um intervalo IPv6 interno na rede VPC.

Um intervalo de ULA de /48 oriundo de fd20::/20 é atribuído à rede. Todos os intervalos de sub-rede IPv6 internos na rede são atribuídos a partir desse intervalo /48.

O intervalo /48 pode ser atribuído automaticamente ou é possível selecionar um intervalo específico de fd20::/20.

Sub-rede /64

A configuração do tipo de acesso IPv6 controla se os endereços IPv6 são internos ou externos.

Uma sub-rede pode ter endereços IPv6 internos ou externos, mas não ambos.

Quando você ativa o IPv6, ocorre o seguinte:

  • Se você ativar o IPv6 interno em uma sub-rede, um intervalo /64 de ULAs internos será atribuído do intervalo /48 da rede VPC.

  • Se você ativar o IPv6 externo em uma sub-rede, um intervalo /64 de GUAs externas será atribuído.
Instância de máquina virtual (VM) /96

Quando você ativa o IPv6 em uma VM, ela recebe um intervalo /96 da sub-rede em que está conectada. O primeiro endereço IP nesse intervalo é atribuído à interface principal usando o DHCPv6.

Você não configura se uma VM recebe endereços IPv6 internos ou externos. A VM herda o tipo de acesso IPv6 da sub-rede em que está conectada.

A seguir

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud NAT em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Faça uma avaliação gratuita do Cloud NAT