Visão geral da rede de VMs

Neste documento, apresentamos uma visão geral da funcionalidade de rede das suas instâncias de máquina virtual (VM). Ele oferece uma compreensão básica de como as instâncias de máquina virtual (VM) interagem com redes de nuvem privada virtual (VPC). Para mais informações sobre redes VPC e recursos relacionados, leia a visão geral da rede VPC.

Redes e sub-redes

Toda VM faz parte de uma rede VPC. As redes VPC fornecem conectividade à sua instância de VM para outros Google Cloud produtos e para a Internet. As redes VPC podem ser modo automático ou personalizado.

  • As redes VPC de modo automático têm uma sub-rede (sub-rede) em cada região. Todas as sub-redes estão nesse intervalo de endereços IP: 10.128.0.0/9. As redes VPC de modo automático são compatíveis apenas com intervalos de sub-rede IPv4.
  • As redes de modo personalizado não têm uma configuração de sub-rede especificada. Você decide quais sub-redes criar nas regiões escolhidas usando os intervalos de IP especificados. Redes de modo personalizado também são compatíveis com intervalos de sub-rede IPv6.

A menos que você desative essa opção, cada projeto tem uma rede default, que é uma rede VPC de modo automático. É possível desativar a criação de redes padrão criando uma política da organização.

Cada sub-rede em uma rede VPC está associada a uma região e contém um ou mais intervalos de endereços IP. É possível criar mais de uma sub-rede por região Cada uma das interfaces de rede da VM precisa estar conectada a uma sub-rede.

Ao criar uma VM, é possível especificar uma sub-rede e uma rede VPC. Se você omitir essa configuração, a rede e a sub-rede default serão usadas. Google Cloud atribui um endereço IPv4 interno à nova VM do intervalo de endereços IPv4 principal da sub-rede selecionada. Se a sub-rede também tiver um intervalo de endereços IPv6 (chamado de pilha dupla) ou se você criou uma sub-rede somente IPv6 (pré-lançamento), é possível atribuir um endereço IPv6 à VM.

Para mais informações sobre redes VPC, leia a Visão geral da rede VPC. Para ver um exemplo ilustrado de VMs que usam uma rede VPC com três sub-redes em duas regiões, consulte Exemplo de rede VPC.

Controladores de interface de rede (NICs)

Cada instância de computação em uma rede VPC tem uma interface de rede padrão. Só é possível definir interfaces de rede ao criar uma instância de computação. Ao configurar uma interface de rede, você seleciona uma rede VPC e uma sub-rede dentro dela para conectar a interface. É possível criar outras interfaces de rede para as instâncias, mas cada interface precisa ser anexada a uma rede VPC diferente.

Ter várias interfaces de rede permite criar configurações em que uma instância se conecta diretamente a várias redes VPC. Várias interfaces de rede são úteis quando os aplicativos em execução em uma instância precisam fazer a separação do tráfego. Isso inclui separar os tráfegos do plano de dados e do plano de gerenciamento. Para mais informações sobre o uso de várias NICs, consulte a Visão geral de várias interfaces de rede.

Ao configurar a interface de rede para uma instância de computação, é possível especificar o tipo de driver de rede a ser usado com a interface, VirtIO ou NIC virtual do Google (gVNIC). Para séries de máquinas de primeira e segunda geração, o padrão é VirtIO. As séries de máquinas de terceira geração e mais recentes são configuradas para usar gVNIC por padrão e não oferecem suporte ao VirtIO para a interface de rede. As instâncias bare metal usam o IDPF.

Além disso, é possível usar o desempenho de rede por VM de Tier_1 com uma instância de computação que usa gVNIC ou IPDF. A rede Tier_1 permite limites de throughput de rede mais altos para transferências de dados de entrada e saída.

Largura de banda da rede

Google Cloud considera a largura de banda por instância de VM, e não por interface de rede (NIC) ou endereço IP. A largura de banda é medida usando duas dimensões: direção do tráfego (entrada e saída) e tipo de endereço IP de destino. A taxa de saída máxima possível é determinada pelo tipo de máquina usado para criar a instância. No entanto, só é possível alcançar essa taxa de saída máxima em situações específicas. Para mais informações, consulte Largura de banda de rede.

Para oferecer suporte a larguras de banda de rede mais altas, como 200 Gbps para séries de máquinas de terceira geração e mais recentes, é necessário usar a placa de rede virtual do Google (gVNIC).

  • Os limites padrão de largura de banda de saída variam de 1 Gbps a 100 Gbps.
  • O desempenho de rede por VM de Tier_1 aumenta o limite máximo de largura de banda de saída para 200 Gbps, dependendo do tamanho e do tipo de máquina da instância de computação.

Algumas séries de máquinas têm limites diferentes, conforme documentado na tabela de resumo de largura de banda.

Endereços IP

Cada VM recebe um endereço IP da sub-rede associada à interface de rede. A lista a seguir fornece mais informações sobre os requisitos para configurar endereços IP.

  • Para sub-redes somente IPv4, o endereço IP é um endereço IPv4 interno. Também é possível configurar um endereço IPv4 externo para a VM.
  • Se a interface de rede se conectar a uma sub-rede de pilha dupla que tenha um intervalo IPv6, use uma rede VPC de modo personalizado. A VM tem os seguintes endereços IP:
    • Um endereço IPv4 interno. Também é possível configurar um endereço IPv4 externo para a VM.
    • Um endereço IPv6 interno ou externo, dependendo do tipo de acesso da sub-rede.
  • Para sub-redes somente IPv6 (pré-lançamento), é necessário usar uma rede VPC de modo personalizado. A VM tem um endereço IPv6 interno ou externo, dependendo do tipo de acesso da sub-rede.
  • Para criar uma instância somente IPv6 (Pré-lançamento) com um endereço IPv6 interno e externo, especifique duas interfaces de rede ao criar a VM. Não é possível adicionar interfaces de rede a uma instância atual.

Os endereços IP externos e internos podem ser temporários ou estáticos.

Os endereços IP internos são locais para uma das seguintes opções:

  • Uma rede VPC
  • Uma rede VPC conectada usando peering de rede VPC
  • Uma rede local conectada a uma rede VPC usando o Cloud VPN, o Cloud Interconnect ou um dispositivo roteador

Uma instância pode se comunicar com instâncias na mesma rede VPC ou com uma rede conectada, conforme especificado na lista anterior, usando o endereço IPv4 interno da VM. Se a interface de rede da VM se conectar a uma sub-rede de pilha dupla ou a uma sub-rede somente IPv6, você poderá usar os endereços IPv6 internos ou externos da VM para se comunicar com outras instâncias na mesma rede. Como prática recomendada, use endereços IPv6 internos para comunicação interna. Para mais informações sobre endereços IP, leia a visão geral de Endereços IP para o Compute Engine.

Para se comunicar com a Internet ou sistemas externos, use um endereço IPv4 ou IPv6 externo configurado na instância da VM. Os endereços IP externos são endereços IP roteáveis publicamente. Se uma instância não tiver um endereço IP externo, o Cloud NAT poderá ser usado para o tráfego IPv4.

Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IP interno diferente usando intervalos de IPv4 de alias. A rede VPC encaminha os pacotes destinados a um determinado serviço para a VM correspondente. Para mais informações, consulte Intervalos de IP de alias.

Níveis de serviço de rede

Os níveis de serviço de rede permitem otimizar a conectividade entre sistemas na Internet e nas instâncias do Compute Engine. O nível Premium oferece tráfego no backbone premium do Google, enquanto o nível Standard usa redes ISP comuns. Use o nível Premium para otimizar o desempenho e o nível Standard para otimizar o custo.

Como você escolhe um nível de rede no nível do recurso, como o endereço IP externo de uma VM, é possível usar o nível Standard para alguns recursos e o nível Premium para outros. Se você não especificar um nível, nível Premium será usado.

As instâncias de computação que usam endereços IP internos para se comunicar em redes VPC sempre usam a infraestrutura de rede do nível Premium.

Ao usar o nível Premium ou Standard, não há cobrança pela transferência de dados de entrada. O preço da transferência de dados de saída é por GiB enviado e é diferente para cada um dos níveis de serviço de rede. Para informações sobre preços, consulte Preços dos níveis de serviço de rede.

Os níveis de serviço de rede não são iguais ao desempenho de rede de Tier_1 por VM, que é uma opção de configuração que você pode usar com suas instâncias de computação. Há um custo extra associado ao uso da rede Tier_1, conforme descrito em Preços de rede de largura de banda mais alta de Tier_1. Para mais informações sobre a rede Tier_1, consulte Configurar o desempenho de rede Tier_1 por VM.

Nível Premium

O nível Premium oferece tráfego de sistemas externos para recursos do Google Cloud usando a rede global de baixa latência e altamente confiável do Google. Essa rede foi projetada para tolerar várias falhas e interrupções enquanto mantém o tráfego. O nível Premium é ideal para clientes com usuários em vários locais no mundo que precisam do melhor desempenho e confiabilidade de rede.

A rede Premium Tier consiste em uma extensa rede privada de fibra com mais de 100 pontos de presença (PoPs, na sigla em inglês) em todo o mundo. Na rede do Google, o tráfego é roteado desse POP para a instância de computação na sua rede VPC. O tráfego de saída é enviado pela rede do Google e sai no PoP mais próximo do destino. Esse método de roteamento minimiza o congestionamento e maximiza o desempenho, reduzindo o número de saltos entre os usuários finais e os PoPs mais próximos deles.

Nível Standard

A rede do nível Standard entrega tráfego de sistemas externos para recursos doGoogle Cloud por meio de roteamento pela Internet. Os pacotes que saem da rede do Google são entregues usando a Internet pública e estão sujeitos à confiabilidade dos provedores de trânsito e dos ISPs. O nível Standard oferece qualidade e confiabilidade de rede comparáveis a outros provedores de nuvem.

O nível Standard tem um preço mais baixo que o Premium, porque o tráfego de sistemas na Internet é roteado por redes de trânsito (ISP) antes de ser enviado para instâncias de computação na rede VPC. O tráfego de saída do nível Standard normalmente sai da rede do Google da mesma região usada pela instância de computação de envio, independentemente do destino.

O nível Standard inclui 200 GB de uso gratuito por mês em cada região usada em todos os seus projetos, por recurso.

Nomes do Sistema de Nomes de Domínio Interno (DNS)

Quando você cria uma instância de máquina virtual (VM), Google Cloud ela cria um nome DNS interno com base no nome da VM. A menos que você especifique um nome de host personalizado, oGoogle Cloud usa o nome de DNS interno criado automaticamente como o nome de host fornecido para a VM.

Para a comunicação entre VMs na mesma rede VPC, é possível especificar o nome DNS totalmente qualificado (FQDN) da instância de destino em vez de usar o endereço IP interno. Google Cloud resolve automaticamente o FQDN para o endereço IP interno da instância.

Para mais informações sobre nomes de domínio totalmente qualificados (FQDN, na sigla em inglês), consulte Nomes DNS internos globais e zonais.

Rotas

AsGoogle Cloud rotas definem o percurso do tráfego de rede de uma instância de máquina virtual (VM) para outros destinos. Esses destinos podem estar na sua rede VPC (por exemplo, em outra VM) ou fora dela. A tabela de roteamento de uma rede VPC é definida no nível da rede VPC. Cada instância de VM tem um controlador que conhece todas as rotas aplicáveis da tabela de roteamento da rede. Cada pacote que deixa uma VM é entregue no próximo salto apropriado de uma rota aplicável com base em uma ordem de roteamento.

As rotas de sub-rede definem os caminhos para recursos como VMs e balanceadores de carga internos em uma rede VPC. Cada sub-rede tem pelo menos uma rota de sub-rede com um destino que corresponde ao intervalo de IP primário da sub-rede. Rotas de sub-rede sempre têm os destinos mais específicos. Elas não podem ser substituídas por outras rotas, mesmo que outra tenha uma prioridade mais alta. Isso ocorre porque o Google Cloud considera a especificidade do destino antes da prioridade ao selecionar uma rota. Para mais informações sobre intervalos de IP de sub-rede, consulte a visão geral de sub-redes.

Regras de encaminhamento

Enquanto as rotas controlam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um recurso Google Cloud em uma rede VPC com base em endereços IP, protocolos e portas. Algumas regras de encaminhamento direcionam o tráfego de fora da Google Cloud para um destino na rede, enquanto outras direcionam o tráfego de dentro da rede.

É possível configurar regras de encaminhamento para que as instâncias implementem a hospedagem virtual por IPs, Cloud VPN, IPs virtuais particulares (VIPs) e balanceamento de carga. Para mais informações sobre regras de encaminhamento, consulte Como usar o encaminhamento de protocolo.

Regras de firewall

Com as regras de firewall da VPC, você permite ou recusa conexões de ou para sua VM com base na configuração especificada. Google Cloud Sempre aplica regras de firewall da VPC ativadas, protegendo suas VMs independentemente da configuração e do sistema operacional, mesmo que a VM não tenha sido iniciada.

Por padrão, cada rede VPC tem regras de firewall de entrada (ingress) e de saída (egress) que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída. A rede default tem mais regras de firewall, incluindo a default-allow-internal, que permite a comunicação entre instâncias na rede. Se você não estiver usando a rede default, será necessário criar explicitamente regras de firewall de entrada de prioridade mais alta para permitir que as instâncias se comuniquem entre si.

Toda rede VPC funciona como um firewall distribuído. As regras de firewall são definidas no nível da VPC e podem ser aplicadas a todas as instâncias na rede. Outra opção é usar tags de destino ou contas de serviço de destino para aplicar regras a instâncias específicas. Pense nas regras de firewall da VPC como existentes não apenas entre suas instâncias e outras redes, mas também entre instâncias individuais dentro da mesma rede VPC.

As políticas hierárquicas de firewall permitem criar e aplicar uma política de firewall consistente em toda a organização. É possível atribuir políticas hierárquicas de firewall à organização como um todo ou a pastas individuais. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, da mesma forma que as regras de firewall da VPC. Além disso, as regras das políticas hierárquicas de firewall delegam a avaliação a políticas de nível inferior ou de firewall de VPC com uma ação goto_next. As regras de nível inferior não podem substituir uma regra de um lugar mais alto na hierarquia de recursos. Isso permite que os administradores de toda a organização gerenciem regras de firewall importantes em um só lugar.

Grupos gerenciados de instâncias e configurações de rede

Se você usa grupos de instâncias gerenciadas (MIGs, na sigla em inglês), a configuração de rede especificada no modelo de instância será aplicada a todas as VMs criadas com o modelo. Se você criar um modelo de instância em uma rede VPC de modo automático,o Google Cloud selecionará automaticamente a sub-rede para a região em que criou o grupo gerenciado de instâncias.

Para mais informações, consulte Redes e sub-redes e Criar modelos de instância.

A seguir