É possível reservar endereços IP externos estáticos para sua instância de máquina virtual (VM). Também é possível alterar, listar e liberar endereços IP estáticos da sua VM.
Os endereços IP externos podem ser estáticos ou temporários. Se uma VM exige um endereço IP externo fixo que não muda, é possível conseguir um endereço IP externo estático. É possível reservar novos endereços IP externos ou promover endereços IP externos temporários já existentes.
Para reservar um dos seguintes endereços IP externos, consulte Endereços IP externos estáticos.
Um endereço IPv4 ou IPv6 global que possa ser usado em balanceadores de carga globais
Um endereço IPv4 regional que possa ser usado por instâncias de VM com uma ou mais interfaces de rede ou por balanceadores de carga regionais.
Para uma lista de balanceadores de carga regionais e globais, consulte o Resumo de balanceadores de carga do Google Cloud.
Para reservar endereços IPv6 externos regionais (prévia) para VMs, consulte Endereço IPv6 externo regional estático.
Se você precisa de um endereço IP estático na rede interna do Compute Engine, leia Como reservar um endereço interno estático.
No Compute Engine, cada instância de VM pode ter várias interfaces de rede. Cada interface pode ter endereços IP internos e externos. As regras de encaminhamento podem ter endereços IP externos para balanceamento de carga externo ou endereços internos para balanceamento de carga interno. Saiba mais sobre endereços IP estáticos em Endereços IP externos.
Antes de começar
- Para usar os exemplos de linha de comando deste guia, faça o seguinte:
- Instale ou atualize para a versão mais recente da Google Cloud CLI.
- Defina uma região e uma zona padrão.
- Para usar os exemplos da API deste guia, configure o acesso a ela.
- Leia sobre endereços IP.
- Leia sobre cotas e limites de endereços IP externos estáticos.
- Leia sobre preços de endereço IP externo.
Especificações para o uso de endereços IP externos estáticos
Apenas um recurso por vez usa um endereço IP externo estático.
Não há como verificar se um endereço IP é estático ou efêmero depois que ele é atribuído a um recurso. É possível comparar o endereço IP com a lista de endereços IP externos estáticos reservados para esse projeto. Use o subcomando
compute addresses listpara ver uma lista de endereços IP externos estáticos disponíveis para o projeto.Cada instância de VM pode ter várias interfaces de rede, mas cada interface de rede pode ter apenas um endereço IP externo temporário ou estático.
Não é possível alterar o nome de um endereço IP estático.
Os endereços IP externos atribuídos existem no mesmo host físico que a instância de VM e existem na mesma região que a VM para todos os fins, incluindo roteamento, latência e preços. Isso ocorre independentemente das informações de pesquisa de geolocalização na Internet.
Observação: as interfaces de rede podem receber tráfego de várias regras de encaminhamento, que também disponibilizam outros endereços IP externos. Qualquer número de endereços IP externos pode referir-se a uma interface de rede com essas regras de encaminhamento, mas cada interface de rede pode ter apenas um endereço IP externo.
Para mais informações sobre balanceamento de carga e regras de encaminhamento, leia a documentação sobre o balanceamento de carga.
Endereços IP externos estáticos
Um endereço IP externo estático é o endereço reservado para seu projeto até que você decida liberá-lo. Se você tiver um endereço IP que os clientes ou usuários usam para acessar seu serviço, reserve-o para que apenas seu projeto possa usá-lo. Também é possível promover um endereço IP externo temporário para um endereço IP externo estático.
Use estas instruções para reservar um dos seguintes endereços IP externos:
Um endereço IPv4 ou IPv6 global que possa ser usado em balanceadores de carga globais
Um endereço IPv4 regional que possa ser usado por instâncias de VM com uma ou mais interfaces de rede ou por balanceadores de carga regionais.
Para uma lista de balanceadores de carga regionais e globais, consulte o Resumo de balanceadores de carga do Google Cloud.
Para reservar um endereço IPv6 externo regional (prévia) para VMs, consulte Endereço IPv6 externo regional estático.
Reservar um novo endereço IP externo estático.
Depois disso, atribua-o a uma nova instância durante a criação ou a uma instância existente.
Console
Acesse a página Reservar um endereço estático
Escolha um nome para o novo endereço.
Especifique se o endereço é
IPv4ouIPv6. EndereçosIPv6globais só podem ser usados com balanceadores de carga globais.Especifique se esse endereço IP é regional ou global. Se você estiver reservando um endereço IP estático para uma instância ou para um balanceador de carga regional, escolha Regional. Se estiver reservando um endereço IP estático para um balanceador de carga global, escolha Global.
Se o endereço IP for regional, selecione a região para criar o endereço.
Opcional: selecione um recurso para anexar o IP.
Clique em Reservar para reservar o IP.
gcloud
Para reservar um endereço IP externo estático usando gcloud compute,
use o comando compute addresses create.
Se você quiser reservar um endereço IP global, use os campos --global e
--ip-version. No campo --ip-version, especifique IPV4
ou IPV6. Endereços IPv6 globais só podem ser usados com
balanceadores de carga globais.
Substitua ADDRESS_NAME pelo nome escolhido para
chamar esse endereço.
gcloud compute addresses create ADDRESS_NAME \
--global \
--ip-version [IPV4 | IPV6]
Se você quiser reservar um endereço IP regional, use o campo --region:
gcloud compute addresses create ADDRESS_NAME \
--region=REGION
Substitua:
ADDRESS_NAME: o nome que você quer atribuir a esse endereço.REGION: a região em que você quer reservar o endereço. Ela precisa ser a mesma região do recurso ao qual o endereço IP será anexado; Todos os endereços IP regionais sãoIPv4.
Use o comando compute addresses describe para ver o resultado:
gcloud compute addresses describe ADDRESS_NAME
Terraform
É possível usar o recurso google_compute_address
para criar um endereço IP externo regional.
Veja na amostra a seguir como usar o recurso google_compute_global_address para criar um endereço IPv6 externo global:
API
Para criar um endereço IPv4 regional, chame o método addresses.insert regional:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses
O corpo da sua solicitação precisa ter:
{
"name": "ADDRESS_NAME"
}
Substitua:
ADDRESS_NAME: o nome que você quer atribuir ao endereço;REGION: o nome da região para essa solicitação;PROJECT_ID: o ID do projeto desta solicitação;
Para endereços IPv4 estáticos globais, chame o método globalAddresses.insert:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses
O corpo da sua solicitação precisa ter:
{
"name": "ADDRESS_NAME"
}
Para endereços IPv6 estáticos globais, chame o método globalAddresses.insert:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses
O corpo da sua solicitação precisa ter:
{
"name": "ADDRESS_NAME",
"ipVersion": "IPV6"
}
Use o método addresses.get para ver o resultado.
Atribuir um endereço IP externo estático a uma nova instância de VM
Quando você cria uma instância de VM, um endereço IP externo temporário é atribuído automaticamente. Se você não quiser um endereço IP externo temporário, atribua explicitamente um estático à instância.
Console
Acesse a página Criar uma instância.
Especifique os detalhes da VM.
Expanda a seção Rede, discos, segurança, gerenciamento, locação individual.
Expanda a seção Networking e faça o seguinte:
- Na seção Interfaces de rede, expanda uma interface de rede para editá-la.
- Na lista IP externo, selecione o endereço IP externo estático que você reservou.
- Para concluir a modificação da interface de rede padrão, clique em Concluído.
Continue com o processo de criação da VM.
gcloud
Para atribuir um endereço IP externo estático, use a sinalização --address durante a criação da instância e informe o endereço IP externo estático:
gcloud compute instances create VM_NAME --address=IP_ADDRESS
Substitua:
VM_NAME: o nome da VM.IP_ADDRESS: o endereço IP a ser atribuído à instância. Use o endereço IP externo estático reservado, não o nome do endereço.
Terraform
Use o recurso google_compute_instance para atribuir um endereço IP externo.
API
Na solicitação para criar uma instância nova, informe explicitamente a propriedade networkInterfaces[].accessConfigs[].natIP e o IP externo que pretende usar. Exemplo:
{
"name": "VM_NAME",
"machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
"networkInterfaces": [{
"accessConfigs": [{
"type": "ONE_TO_ONE_NAT",
"name": "External NAT",
"natIP": "IP_ADDRESS"
}],
"network": "global/networks/default"
}],
"disks": [{
"autoDelete": "true",
"boot": "true",
"type": "PERSISTENT",
"initializeParams": {
"sourceImage": "projects/debian-cloud/global/images/v20150818"
}
}]
}
Alterar ou atribuir um endereço IP externo a uma instância atual
Atribua ou altere um endereço IP externo, temporário ou estático, a uma instância atual modificando a configuração de acesso da instância.
Uma instância pode ter várias interfaces e cada interface pode ter um endereço IP externo. Se ela já tiver um, remova esse endereço primeiro excluindo a configuração de acesso antiga. Depois adicione uma nova configuração de acesso com o novo endereço IP externo.
Console
- Acesse a página Instâncias da VM.
- Clique no nome da instância à qual pretende atribuir um IP externo. A página de detalhes da instância é aberta.
Na página "Detalhes da instância", siga estas etapas:
- Clique em Editar.
Em Interfaces de rede, clique no botão de edição.
Em IP externo, selecione um endereço IP externo temporário ou estático para atribuir à instância.
Clique em Concluir.
Clique em Salvar.
gcloud
[Opcional] Reserve um endereço IP externo estático.
Para atribuir um endereço IP externo estático, reserve um endereço e verifique se ele não está em uso. Se necessário, siga as instruções para reservar um novo endereço IP externo estático ou para cancelar a atribuição de um endereço desse tipo.
Se você pretende usar um endereço IP externo temporário, pule esta etapa e um endereço IP externo temporário será atribuído aleatoriamente pelo Compute Engine.
Exclua configurações de acesso atuais.
É possível definir uma configuração de acesso para cada instância. Antes de tentar atribuir uma nova configuração de acesso a uma instância, faça uma solicitação
gcloud compute instances describepara verificar se a instância tem uma configuração de acesso:gcloud compute instances describe VM_NAME
Se já houver uma configuração de acesso, ela aparecerá no formato a seguir:
networkInterfaces: - accessConfigs: - kind: compute#accessConfig name: external-nat natIP: 203.0.113.1 type: ONE_TO_ONE_NATAntes de adicionar uma nova configuração de acesso, use o subcomando
instances delete-access-configpara excluir a configuração atual:gcloud compute instances delete-access-config VM_NAME \ --access-config-name="ACCESS_CONFIG_NAME"Substitua:
VM_NAME: o nome da VM.ACCESS_CONFIG_NAME: a configuração de acesso a ser excluída. Inclua o nome completo entre aspas.
Adicione o novo endereço IP externo.
Use o subcomando
instances add-access-configpara adicionar um novo endereço IP externo:Observação: não substituaIP_ADDRESSpelo nome do IP estático. É necessário usar o endereço IP real.gcloud compute instances add-access-config VM_NAME \ --access-config-name="ACCESS_CONFIG_NAME" --address=IP_ADDRESS
Substitua:
VM_NAME: o nome da VM.ACCESS_CONFIG_NAME: o nome a ser atribuído a essa configuração de acesso. Inclua o nome completo entre aspas.IP_ADDRESS: o endereço IP a ser adicionado.
Se você quiser que o Compute Engine atribua um endereço IP externo temporário em vez de usar um endereço IP externo estático, omita a propriedade
--address IP_ADDRESS:gcloud compute instances add-access-config VM_NAME \ --access-config-name="ACCESS_CONFIG_NAME"
API
You can change the external IP address of a VM by adding a new access
configuration for that VM.
Verifique se a VM tem uma configuração de acesso atual. Para verificar os detalhes da VM, faça uma solicitação GET para o
GETmétodoinstances.get.GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME
Substitua:
PROJECT_ID: o ID do projeto desta solicitação;ZONE: é a zona em que a VM está localizadaVM_NAME: o nome da VM Se já houver uma configuração de acesso, a resposta será semelhante à seguinte:
"networkInterfaces": [ { "network": ... "networkIP": "192.0.2.1", "name": "nic0", "accessConfigs": [ { "type": "ONE_TO_ONE_NAT", "name": "External NAT", "natIP": "203.0.113.1", "networkTier": "PREMIUM", "kind": "compute#accessConfig" } ], ... } ]O campo
networkInterfaces[].accessConfigs[].natIPretorna o endereço IP externo estático da instância de VM.Exclua a configuração de acesso atual fazendo uma solicitação
POSTao métodoinstances.deleteAccessConfig.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/deleteAccessConfig
Adicione uma nova configuração de acesso à interface de rede da instância de VM fazendo uma solicitação
POSTao métodoinstances.addAccessConfig.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/addAccessConfig { "natIP": "IP_ADDRESS", "name": "ACCESS_CONFIG_NAME" }Substitua:
IP_ADDRESS: o endereço IP externo a ser associado à instância. Especifique um endereço IP externo estático reservado não utilizado disponível para o projeto.ACCESS_CONFIG_NAME: o nome da configuração de acesso. O nome padrão e recomendado éexternal-nat.
Promover um endereço IP externo temporário
Se a instância tiver um endereço IP externo temporário e você quiser atribuir o IP permanentemente ao projeto, promova o endereço IP externo temporário a um endereço IP externo estático. Promover um endereço IP externo temporário a reservado não faz com que o Google Cloud ignore pacotes enviados para a instância. Isso inclui pacotes enviados para a instância diretamente ou por meio de um balanceador de carga.
Console
- Acesse a página Endereços IP externos.
- Na mesma linha do endereço IP que você quer promover para estático, clique em Reservar.
- Atribua um nome ao novo endereço IP estático e clique em Reservar.
gcloud
Para promover um endereço IP externo temporário para um estático, forneça o endereço IP externo temporário usando a sinalização --addresses com o comando compute addresses create.
Use a sinalização region para promover um endereço IP regional temporário ou a sinalização global para promover um endereço IP global temporário.
gcloud compute addresses create ADDRESS_NAME --addresses=IP_ADDRESS \ [--region=REGION | --global]
Substitua:
ADDRESS_NAME: o nome que você quer atribuir a esse endereço;IP_ADDRESS: o endereço IP que você quer promover.REGION: a região a que o endereço IP regional pertence.
API
Para promover um endereço IP regional temporário, chame o método addresses.insert:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses
Para promover um endereço IP global temporário, faça uma solicitação POST para o URI a seguir:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses
O corpo da sua solicitação precisa ter:
{
"name": "ADDRESS_NAME",
"address": "IP_ADDRESS"
}
Substitua:
ADDRESS_NAME: o nome que você quer atribuir a esse endereço;IP_ADDRESS: o endereço IP que você quer promover.REGION: a região à qual o endereço IP pertence.PROJECT_ID: o ID do projeto desta solicitação;
O endereço IP externo permanece anexado à instância, mesmo depois de ser sido promovido para um endereço IP externo estático. Se você precisar atribuir o endereço estático recém-promovido a outro recurso, cancele a atribuição do endereço IP externo estático da instância existente.
Listar endereços IP externos estáticos
Para listar endereços IP externos estáticos que você reservou para o
projeto, use o console, execute compute addresses list ou faça uma solicitação GET para a API.
Console
Para ver uma lista de endereços IP do seu projeto, acesse a página Endereços IP externos.
gcloud
Use o
comando compute addresses list.
gcloud compute addresses list
API
Chame o método addresses.list:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses
Substitua:
REGION: o nome da região para essa solicitação;PROJECT_ID: o ID do projeto desta solicitação;
Para listar todos os endereços em todas as regiões, chame o método aggregatedList.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/addresses
Descrever um endereço IP externo estático
Para informações sobre um endereço IP externo estático, use o console, a CLI gcloud ou a API.
Console
- Acesse a página Endereços IP externos.
- Clique em um endereço IP para ver mais informações sobre ele.
gcloud
Use o comando addresses describe e substitua ADDRESS_NAME pelo nome do
endereço IP externo que você quer descrever.
gcloud compute addresses describe ADDRESS_NAME
API
Chame o método addresses.get:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME
Substitua:
ADDRESS_NAME: o nome do endereço IPREGION: o nome da região para essa solicitaçãoPROJECT_ID: o ID do projeto para a solicitação.
Cancelar a atribuição de um endereço IP externo estático
É possível cancelar a atribuição de um endereço IP externo estático alterando a atribuição de endereço IP usando o console do Google Cloud ou excluindo a configuração de acesso anexada à VM que está usando o endereço. Também é possível cancelar a atribuição do endereço IP excluindo a instância. O cancelamento da atribuição de um endereço IP externo estático permite que você reatribua o endereço IP externo estático a outro recurso.
O cancelamento da atribuição de um endereço IP remove-o do recurso, mas mantém o endereço IP reservado para o projeto.
Console
- Acesse a página Endereços IP externos.
- Selecione o endereço IP estático para o qual você quer cancelar a atribuição.
- Clique em Alterar para abrir a caixa de diálogo Anexar endereço IP.
- Na lista suspensa Anexar a, selecione Nenhuma.
- Clique em OK.
gcloud
É possível verificar se um endereço IP estático está em uso
executando o comando gcloud compute addresses list:
gcloud compute addresses list
A resposta será semelhante a:
NAME REGION ADDRESS STATUS example-address REGION 198.51.100.1 RESERVED example-address-new REGION 203.0.113.1 IN_USE
Neste exemplo, example-address-new está em uso no momento.
Para excluir uma configuração de acesso à instância e cancelar a atribuição de um endereço IP externo estático, siga estas etapas:
Encontre o nome da configuração de acesso a ser excluída. Para encontrar o nome, use o comando
gcloud compute instances describe. SubstituaVM_NAMEpelo nome da VM.gcloud compute instances describe VM_NAME
A configuração de acesso aparece no formato a seguir:
networkInterfaces: - accessConfigs: - kind: compute#accessConfig name: external-nat natIP: 203.0.113.1 type: ONE_TO_ONE_NATExclua a configuração de acesso.
Use o comando
gcloud compute instances delete-access-config(em inglês).gcloud compute instances delete-access-config VM_NAME \ --access-config-name="ACCESS_CONFIG_NAME"
Substitua:
VM_NAME: o nome da instância da máquina virtual;ACCESS_CONFIG_NAME: o nome da configuração de acesso a ser excluída. Inclua o nome completo entre aspas.
Verifique se o endereço IP externo estático está disponível e marcado como
RESERVEDvez deIN_USE.gcloud compute addresses list
Exemplo:
NAME REGION ADDRESS STATUS example-address REGION 198.51.100.1 RESERVED example-address-new REGION 203.0.113.1 RESERVED
Agora que o endereço IP externo estático está disponível, atribua-o a outra instância.
API
É possível cancelar a atribuição de um endereço IP externo estático excluindo a configuração de acesso anexada à VM que está usando o endereço.
Para verificar os detalhes de configuração de acesso de uma VM, faça uma solicitação GET ao
GETmétodoinstances.get.GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME
Exclua a configuração de acesso atual fazendo uma solicitação
POSTao métodoinstances.deleteAccessConfig.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/deleteAccessConfig
Substitua:
PROJECT_ID: o ID do projeto desta solicitação;ZONE: é a zona em que a VM está localizadaVM_NAME: O nome da VM.
Liberar um endereço IP externo estático
Se o endereço IP externo estático não for mais necessário, libere-o para que ele retorne ao pool geral de IPs para outros usuários do Google Compute Engine.
Console
- Acesse a página Endereços IP externos.
- Marque a caixa ao lado do endereço IP a ser liberado.
- Clique em Liberar endereço IP.
gcloud
Use o comando compute addresses delete.
gcloud compute addresses delete ADDRESS_NAME
Substitua ADDRESS_NAME pelo nome do endereço IP a ser liberado.
API
Chame o método addresses.delete:
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME
Substitua:
ADDRESS_NAME: o nome do endereço IPREGION: o nome da região para essa solicitação;PROJECT_ID: o ID do projeto desta solicitação;
Endereços IPv6 externos regionais estáticos
Se você tem uma sub-rede de pilha dupla com um intervalo de IPv6 externo, é possível reservar endereços IPv6 estáticos dessa sub-rede.
Quando você reserva um endereço IPv6 externo regional, um
intervalo de endereços IPv6 /96 é alocado da sub-rede especificada. Em seguida,
use o endereço reservado para configurar uma VM de
pilha dupla com um endereço IPv6 regional estático. A configuração de endereços IPv6 estáticos só é compatível com nic0.
Veja o que acontece quando você configura uma VM com um endereço IPv6 estático:
A interface da VM é configurada com o primeiro endereço IPv6 (
/128) do intervalo/96alocado.A VM é configurada com um link de endereços IP locais, que é atribuído do intervalo
fe80::/10, mas é usado somente para descoberta de vizinhos.A configuração da MTU na interface de rede da VM se aplica aos pacotes IPv4 e IPv6.
Os procedimentos a seguir permitem configurar e gerenciar endereços IPv6 externos regionais estáticos:
- Reservar um novo endereço IPv6 externo regional estático
- Listar endereços IPv6 externos regionais estáticos
- Descrever endereços IPv6 externos regionais estáticos
- Atribuir um endereço IPv6 externo regional estático a uma nova instância de VM
- Promover um endereço IPv6 externo regional temporário
- Alterar a configuração de endereço IPv6 externo das instâncias existentes
- Cancelar a atribuição de um endereço IPv6 externo regional estático
Limitações
Se a rede VPC estiver em um projeto de serviço da VPC compartilhada, não será possível reservar um endereço IPv6 externo estático de uma sub-rede compartilhada no projeto host. Só é possível reservar um endereço IPv6 externo estático de uma sub-rede na sua própria rede VPC.
Reservar um novo endereço IPv6 externo regional estático
Quando você reserva um endereço IPv6 externo regional, um intervalo /96 é atribuído
da sub-rede especificada.
gcloud alpha compute addresses create ADDRESS_NAME \
--region=REGION \
--subnet=SUBNET \
--ip-version=IPV6 \
--endpoint-type=VM
Substitua:
ADDRESS_NAME: um nome para o endereço.REGION: a região do endereço.SUBNET: a sub-rede da qual o endereço IPv6 regional será atribuído. A sub-rede precisa ter um intervalo de endereços IPv6 externo atribuído.
Listar endereços IPv6 externos regionais estáticos
Endereços IPv6 externos regionais estáticos não aparecem no console do Google Cloud como endereços reservados. Use a CLI do Google Cloud para ver os endereços.
gcloud compute addresses list \
--regions=REGION
Substitua REGION pela região em que você quer listar os
endereços.
Descrever endereços IPv6 externos regionais estáticos
Endereços IPv6 externos regionais estáticos não aparecem no
console do Google Cloud como endereços reservados. Use a CLI do Google Cloud para ver
o intervalo de endereços IPv6 /96 atribuído.
gcloud compute addresses describe ADDRESS_NAME \
--region=REGION
Substitua:
ADDRESS_NAME: o nome do endereçoREGION: a região do endereço.
Atribuir um endereço IPv6 externo regional estático a uma nova instância de VM
Crie uma VM e atribua um endereço IPv6 externo regional estático já reservado. A VM precisa ser configurada com a mesma região e sub-rede que o endereço IPv6 reservado.
gcloud alpha compute instances create VM_NAME \
--subnet=SUBNET \
--stack-type=IPV4_IPV6 \
--ipv6-address=IPV6_ADDRESS \
--ipv6-prefix-length=96 \
--ipv6-network-tier=PREMIUM \
--zone=ZONE
Substitua:
VM_NAME: o nome da VM.SUBNET: a sub-rede que contém o endereço reservado.IPV6_ADDRESS: o endereço IPv6 que será atribuído à VM. Especifique o primeiro endereço IPv6 no intervalo/96.ZONE: a zona para a VM.
Promover um endereço IPv6 externo regional temporário
Para promover um endereço IPv6 externo regional temporário a um endereço IPv6
externo estático, forneça o endereço IP externo temporário usando a
sinalização --addresses com o comando
compute addresses create.
gcloud alpha compute addresses create ADDRESS_NAME \
--region=REGION \
--addresses=IPV6_ADDRESS \
--prefix-length=96
Substitua:
ADDRESS_NAME: um nome para o recurso de endereço IP.REGION: a região do recurso de endereço IPv6.IPV6_ADDRESS: o endereço IPv6 que você está promovendo.
Alterar a configuração do endereço IPv6 externo das instâncias existentes
É possível modificar uma VM existente para adicionar ou remover uma configuração de endereço IPv6 externo.
Para visualizar a configuração do IPv6, descreva a VM:
Verifique se a instância tem uma configuração IPv6 fazendo uma solicitação
gcloud compute instances describe:gcloud compute instances describe VM_NAME \ --region=REGIONSubstitua:
VM_NAME: O nome da VM.ZONE: a zona da VM;
Se um endereço IPv6 externo já tiver sido atribuído a
nic0, a configuração será exibida no seguinte formato:networkInterfaces: ... ipv6AccessConfigs: - externalIpv6: 2001:db8:4000:15:0:0:0:0 externalIpv6PrefixLength: 96 kind: compute#accessConfig name: external-ipv6 networkTier: PREMIUM type: DIRECT_IPV6 ipv6AccessType: EXTERNAL kind: compute#networkInterface name: nic0Para remover a configuração do IPv6 externo, mude o tipo de pilha de pilha dupla para pilha única.
Remova a configuração do endereço IPv6 usando o subcomando
instance network-interfaces update:gcloud alpha compute instances network-interfaces update VM_NAME \ --network-interface=nic0 \ --stack-type=IPV4_ONLY \ --zone=ZONESubstitua:
VM_NAME: O nome da VM.ZONE: a zona da VM;
Para atribuir um endereço IPv6 externo regional estático, mude o tipo de pilha de pilha única para pilha dupla. Verifique se a VM ainda não tem uma configuração IPv6 externa antes de atribuir o endereço.
Reserve um endereço IPv6 externo estático.
Para atribuir um endereço IPv6 externo regional estático, reserve um endereço e verifique se ele não está sendo usado por outro recurso. O endereço IPv6 reservado precisa estar na mesma região e sub-rede que a VM.
- Para reservar um endereço IP externo regional, consulte Reservar um novo endereço IPv6 externo regional estático.
- Para verificar se o endereço IPv6 externo regional está em uso, consulte Cancelar a atribuição de um endereço IPv6 externo regional estático.
Para adicionar um endereço IPv6 regional estático, faça o seguinte:
Use o subcomando
instance network-interfaces updatepara adicionar um novo endereço IP externo:gcloud alpha compute instances network-interfaces update VM_NAME \ --network-interface=nic0 \ --ipv6-network-tier=PREMIUM \ --stack-type=IPV4_IPV6 \ --ipv6-address=IPV6_ADDRESS \ --ipv6-prefix-length=96 \ --zone=ZONE
Substitua:
VM_NAME: o nome da VMIPV6_ADDRESS: o endereço IPv6 que será atribuído à VM. Especifique o primeiro endereço IPv6 no intervalo/96.ZONE: a zona da VM;
Cancelar a atribuição de um endereço IPv6 externo regional estático
Cancele a atribuição de um endereço IPv6 externo regional excluindo a instância ou alterando o tipo de pilha da instância para apenas IPv4. Cancelar a atribuição de um endereço IP estático remove o endereço do recurso, mas mantém o endereço IP reservado.
Se você quiser remover a reserva, Libere um endereço IPv6 externo regional estático.
Verifique o status do recurso de endereço IP usando o comando
compute addresses describe.gcloud compute addresses describe ADDRESS_NAME \ --region=REGIONSubstitua:
ADDRESS_NAME: o nome do recurso de endereço IPv6.REGION: a região do recurso de endereço IPv6.
O resultado será assim:
address: IPV6_ADDRESS addressType: EXTERNAL creationTimestamp: 'TIMESTAMP' description: 'DESCRIPTION' id: ID ipVersion: IPV6 kind: compute#address name: ADDRESS_NAME networkTier: PREMIUM prefixLength: 96 region: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/addresses/ADDRESS_NAME status: IN_USE subnetwork: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/subnetworks/SUBNET users: - https://www.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances/VM_NAME
- Se o endereço IP não estiver em uso,
statusseráRESERVED. - Se o endereço IP estiver em uso,
statusseráIN_USEe o campousersexibirá a VM que está usando o endereço IP.
Se o endereço IP estiver em uso, remova a atribuição do endereço IPv6 externo regional estático da VM usando o comando
instance network-interfaces update.gcloud alpha compute instances network-interfaces update VM_NAME \ --network-interface=nic0 \ --ipv6-network-tier=PREMIUM \ --stack-type=IPV4_ONLY \ --zone=ZONESubstitua:
VM_NAME: o nome da instância da máquina virtual que está usando o endereço IP.ZONE: a zona da instância;
Verifique se o endereço IPv6 externo estático está disponível e marcado como
RESERVEDvez deIN_USE.gcloud compute addresses list \ --filter="ADDRESS_NAME AND region=REGION"Substitua:
ADDRESS_NAME: o nome do recurso de endereço IPv6.REGION: a região do recurso de endereço IPv6.
Liberar um endereço IPv6 externo regional estático
Se você não precisar mais do endereço IPv6 reservado, é possível liberá-lo. O endereço liberado é retornado para o pool de endereços temporários na sub-rede e está disponível para uso por outros recursos.
Use o comando compute addresses delete.
gcloud compute addresses delete ADDRESS_NAME
Substitua ADDRESS_NAME pelo nome do endereço IPv6 a ser
liberado.
Como restringir endereços IP externos a VMs específicas
Determinadas cargas de trabalho podem exigir requisitos essenciais que incluam restrições de segurança e rede. Por exemplo, é possível restringir os endereços IP externos para que somente VMs específicas possam usá-los. Essa opção pode ajudar a evitar a exfiltração de dados ou a manter o isolamento da rede. É possível usar uma política da organização para restringir endereços IP externos a instâncias de VM específicas com limitações para controlar o uso de endereços IP externos para suas instâncias de VM dentro de uma organização ou um projeto.
A restrição para controlar o endereço IP externo nas VMs é:
constraints/compute.vmExternalIpAccess
Para usar a restrição, especifique uma política com uma allowedList de VMs que podem ter endereços IP externos. Se você não especificar uma política, todos os endereços IP externos serão permitidos para todas as VMs. Quando a política estiver em
vigor, somente as instâncias de VM relacionadas na lista allowedValues poderão
ser atribuídas a um endereço IP externo, instável ou estático. As
instâncias de VM do Compute Engine que não forem
definidas explicitamente na política não poderão usar endereços
IP externos.
As VMs são identificadas nas listas de permissão e negação usando o URI da instância:
projects/PROJECT_ID/zones/ZONE/instances/VM_NAME
Especificações para restringir endereços IP externos
- É possível aplicar essa restrição de lista apenas às VMs.
- Não é possível aplicar a restrição retroativamente. Todas as VMs que têm endereços IP externos antes da ativação da política mantêm os endereços IP externos.
- Essa restrição aceita uma
allowedListou umadeniedList, mas não ambas na mesma política. - Cabe a você ou a um administrador com as permissões solicitadas gerenciar e manter o ciclo de vida e a integridade da instância. A restrição apenas verifica o URI da instância e não impede que as VMs da lista de permissões sejam alteradas, excluídas ou recriadas.
Permissões necessárias para restringir endereços IP externos
Para definir uma restrição no nível do projeto ou da organização, você precisa ter recebido o papel orgpolicy.policyAdmin na organização.
Definir a restrição de política no nível da organização
Console
- Acesse a página Políticas da organização.
- Se necessário, selecione a organização no menu suspenso do projeto.
- Clique em Definir os IPs externos para instâncias de VM permitidas.
- Clique em Editar para editar a política de IP externo. É necessário ter as permissões corretas para poder acessar a ferramenta Editar.
Selecione Personalizar para definir a política da organização para VMs específicas.
Selecione as opções Aplicação da política e Tipo de política.
Em Valores da política, selecione Personalizada.
Insira um URI para uma instância de VM e pressione enter. O URI precisa estar no seguinte formato:
projects/PROJECT_ID/zones/ZONE/instances/VM_NAME
Clique em Novo valor de política e digite URIs para as VMs, conforme necessário.
Clique em Salvar para aplicar a restrição.
gcloud
Para definir uma restrição de acesso de IP externo, você precisa saber o código da organização. Encontre o ID da organização executando o comando organizations list e procurando pelo ID numérico na resposta:
gcloud organizations list
A CLI gcloud retorna uma lista de organizações no seguinte formato:
DISPLAY_NAME ID example-organization1 29252605212 example-organization2 1234567890
Use o comando gcloud resource-manager org-policies set-policy para definir a política. Será preciso fornecer a política como um arquivo JSON.
Crie um arquivo JSON no seguinte formato:
{
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
"allowedValues": [
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME",
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME",
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME"
]
}
}
Substitua:
PROJECT_ID: o ID do projeto para esta solicitação, comoexample-project. Observe que isso é diferente de configurar políticas da organização, que exigem o ID numérico da organização.ZONE: a zona da instância;VM_NAME: o nome da instância da máquina virtual;
Como alternativa, é possível especificar uma lista de deniedValues para expressar instâncias de VM proibidas explicitamente de ter um endereço IP externo. Qualquer instância que não esteja na lista poderia, implicitamente, ter um endereço IP externo. É possível especificar allowedValues ou deniedValues, mas não ambos.
Depois, passe o arquivo com sua solicitação :
gcloud resource-manager org-policies set-policy MY_POLICY.JSON --organization=ORGANIZATION_ID
Substitua ORGANIZATION_ID pelo ID numérico da organização.
Se você não quiser que nenhuma instância tenha acesso de IP externo, configure uma política com allValues definido como DENY:
{
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
"allValues": "DENY"
}
}
API
Use a API setOrgPolicy() para definir a restrição. As VMs na lista allowedValue especificada podem ter endereços IP externos. Como alternativa, é possível especificar uma lista de deniedValues para expressar instâncias de VM proibidas explicitamente de ter um endereço IP externo. Qualquer instância que não esteja na lista poderia, implicitamente, ter um endereço IP externo. É possível especificar allowedValues ou deniedValues, mas não ambos.
Por exemplo, a seguir há uma solicitação para definir a restrição compute.vmExternalIpAccess em uma organização em que as instâncias de VM de determinados projetos dentro da organização têm permissão para ter endereços IP externos:
POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORGANIZATION_ID:setOrgPolicy
ORGANIZATION_ID é o ID numérico da organização.
No corpo da solicitação, forneça a política desejada para essa restrição:
{
"policy": {
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
"allowedValues": [
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME",
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME",
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME"
]
}
}
}
Se você não quiser que nenhuma instância tenha acesso de IP externo, configure uma política com allValues definido como DENY:
{
"policy": {
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
"allValues": "DENY"
}
}
}Definir a política para envolvidos no projeto
A definição de uma política no nível do projeto substitui a política no nível da organização. Por exemplo, se o nível da organização tiver example-vm-1 na lista allowedValues, mas a política no projeto tiver a mesma VM na lista deniedValues, a instância de VM não poderá ter um endereço IP externo.
Console
Siga o mesmo processo documentado em Definir a restrição de política no nível da organização, mas escolha o projeto desejado no seletor de projetos, em vez da organização.
gcloud
Use o comando gcloud resource-manager org-policies set-policy para definir a política. Será preciso fornecer a política como um arquivo JSON. Crie um arquivo JSON no seguinte formato:
{
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
"allowedValues": [
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME"
]
}
}
Substitua:
PROJECT_ID: o ID do projeto para esta solicitação, comoexample-project. Observe que isso é diferente de configurar políticas da organização, que exigem o ID numérico da organização.ZONE: a zona da instância.VM_NAME: o nome da instância da máquina virtual;
Como alternativa, é possível especificar uma deniedValues de instâncias de VM proibidas explicitamente de ter um endereço IP externo. Qualquer instância que não esteja na lista poderia, implicitamente, ter um endereço IP externo.
É possível especificar allowedValues ou deniedValues, mas não ambos.
Depois, passe o arquivo com sua solicitação :
gcloud resource-manager org-policies set-policy MY_POLICY.JSON --project=example-project
API
Use a API setOrgPolicy para definir a restrição. As VMs na lista allowedValue especificada podem ter endereços IP externos. Como alternativa, é possível especificar uma lista de deniedValues para expressar instâncias de VM proibidas explicitamente de ter um endereço IP externo. Qualquer instância que não esteja na lista está implicitamente autorizada a ter um endereço IP externo. É possível especificar allowedValues ou deniedValues, mas não ambos.
Por exemplo, a seguir há uma solicitação para definir a restrição compute.vmExternalIpAccess em um projeto para permitir que instâncias de VM específicas tenham endereços IP externos:
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setOrgPolicy
Substitua PROJECT_ID pelo ID do projeto para esta solicitação.
O corpo da solicitação contém a política pretendida para esta restrição:
{
"policy": {
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
"allowedValues": [
"projects/PROJECT_ID/zones/ZONE/instances/VM_NAME"
]
}
}
}
Práticas recomendadas para restringir endereços IP externos
Evite usar a lista
deniedValuescom essa restrição. Se você definir valores na listadeniedValues, significa que apenas as instâncias de VM na listadeniedValuesestarão restritas de usar endereços IP externos. Essa pode ser uma preocupação de segurança se você quer controlar exatamente quais VMs podem ter endereços IP externos. Se você quiser remover determinadas VMs da listaallowedValues, atualize a política atual para remover as VMs daallowedListem vez de colocar as VMs na listadeniedValuesem uma hierarquia inferior.Se você quiser definir uma política em grande parte da hierarquia de recursos, mas excluir determinados projetos, restaure a política padrão usando a
setOrgPolicy, especificando orestoreDefaultpara permitir que todas as VMs nos projetos sejam associadas a endereços IP externos. As políticas atualmente em vigor para projetos não são afetadas pela configuração padrão.Use esta política organizacional com os papéis do IAM para controlar melhor o ambiente. Essa política se aplica apenas a VMs, mas se você quiser controlar e restringir melhor os endereços IP externos em dispositivos de rede, conceda o papel
compute.networkAdminàs partes apropriadas.Todos os serviços e produtos em execução no Compute Engine na organização ou no projeto com a política ativada estão sujeitos a essa política organizacional. Especificamente, serviços como o Google Kubernetes Engine, Dataflow, Dataproc e Cloud SQL são afetados por essa política. Se isso for um problema, recomendamos configurar outros serviços e produtos em um projeto diferente sem a aplicação da política da organização. Se necessário, use a Rede de projetos cruzados.
A seguir
- Saiba mais sobre endereços IP.
- Saiba mais sobre redes e firewalls.
- Saiba como lidar com instâncias de VM usando DNS interno.
- Revise os preços da VPC.