Ringkasan networking untuk VM

Dokumen ini berisi ringkasan fungsi jaringan instance mesin virtual (VM) Anda. Layanan ini memberikan pemahaman dasar tentang cara instance virtual machine (VM) Anda berinteraksi dengan jaringan Virtual Private Cloud (VPC). Untuk mengetahui informasi lebih lanjut mengenai jaringan VPC dan fitur terkait, baca Ringkasan jaringan VPC.

Jaringan dan subnet

Setiap VM adalah bagian dari jaringan VPC. Jaringan VPC menyediakan konektivitas untuk instance VM Anda ke produk Google Cloud lain dan ke internet. Jaringan VPC dapat berupa mode otomatis atau mode kustom.

  • Jaringan VPC mode otomatis memiliki satu subjaringan (subnet) di setiap region. Semua subnet terdapat dalam rentang alamat IP ini: 10.128.0.0/9. Jaringan VPC mode otomatis hanya mendukung rentang subnet IPv4.
  • Jaringan mode kustom tidak memiliki konfigurasi subnet yang ditentukan; Anda menentukan subnet yang akan dibuat di region yang dipilih menggunakan rentang IP yang Anda tentukan. Jaringan mode kustom juga mendukung rentang subnet IPv6.

Kecuali jika Anda memilih untuk menonaktifkannya, setiap project memiliki jaringan default, yang merupakan jaringan VPC mode otomatis. Anda dapat menonaktifkan pembuatan jaringan default dengan membuat kebijakan organisasi.

Setiap subnet dalam jaringan VPC dikaitkan dengan region dan berisi satu atau beberapa rentang alamat IP. Anda dapat membuat lebih dari satu subnet per region. Setiap antarmuka jaringan untuk VM Anda harus terhubung ke subnet.

Saat membuat VM, Anda dapat menentukan jaringan dan subnet VPC. Jika Anda menghapus konfigurasi ini, jaringan dan subnet default akan digunakan.Google Cloud menetapkan alamat IPv4 internal ke VM baru dari rentang alamat IPv4 utama subnet yang dipilih. Jika subnet juga memiliki rentang alamat IPv6 (disebut sebagai dual-stack), atau jika Anda membuat subnet khusus IPv6 (Pratinjau), Anda dapat menetapkan alamat IPv6 ke VM.

Untuk mengetahui informasi lebih lanjut mengenai jaringan VPC, baca Ringkasan jaringan VPC. Untuk memberikan contoh ilustrasi VM yang menggunakan jaringan VPC dengan tiga subnet di dua region, lihat Contoh jaringan VPC.

Pengontrol antarmuka jaringan (NIC)

Setiap instance komputasi di jaringan VPC memiliki antarmuka jaringan default. Anda hanya dapat menentukan antarmuka jaringan saat membuat instance compute. Saat mengonfigurasi antarmuka jaringan, pilih jaringan VPC dan subnet dalam jaringan VPC tersebut untuk menghubungkan antarmuka. Anda dapat membuat antarmuka jaringan tambahan untuk instance, tetapi setiap antarmuka harus diinstal ke jaringan VPC yang berbeda.

Beberapa antarmuka jaringan memungkinkan Anda membuat konfigurasi untuk sebuah instance yang terhubung langsung ke beberapa jaringan VPC. Beberapa antarmuka jaringan berguna saat aplikasi yang berjalan di instance memerlukan pemisahan traffic, seperti pemisahan traffic bidang data dari traffic bidang pengelolaan. Untuk informasi selengkapnya tentang menggunakan beberapa NIC, lihat Ringkasan beberapa antarmuka jaringan.

Saat mengonfigurasi antarmuka jaringan untuk instance komputasi, Anda dapat menentukan jenis driver jaringan yang akan digunakan dengan antarmuka, baik VirtIO maupun Google Virtual NIC (gVNIC). Untuk seri mesin generasi pertama dan kedua, defaultnya adalah VirtIO. Seri mesin generasi ketiga dan yang lebih baru dikonfigurasi untuk menggunakan gVNIC secara default dan tidak mendukung VirtIO untuk antarmuka jaringan. Instance bare metal menggunakan IDPF.

Selain itu, Anda dapat memilih untuk menggunakan performa jaringan Tingkat_1 per VM dengan instance compute yang menggunakan gVNIC atau IPDF. Jaringan Tier_1 memungkinkan batas throughput jaringan yang lebih tinggi untuk transfer data masuk dan keluar.

Bandwidth jaringan

Google Cloud memperhitungkan bandwidth per instance VM, bukan per antarmuka jaringan (NIC) atau alamat IP. Bandwidth diukur menggunakan dua dimensi: arah traffic (akses masuk dan keluar) dan jenis alamat IP tujuan. Rasio traffic keluar maksimum yang memungkinkan ditentukan oleh jenis mesin yang digunakan untuk membuat instance; tetapi, Anda hanya dapat mencapai tingkat traffic keluar maksimum yang dimungkinkan dalam situasi tertentu. Untuk mengetahui informasi selengkapnya, lihat Bandwidth jaringan.

Untuk mendukung bandwidth jaringan yang lebih tinggi—seperti 200 Gbps untuk seri mesin generasi ketiga dan yang lebih baru—Google Virtual NIC (gVNIC) diperlukan.

  • Batas bandwidth keluar maksimum standar berkisar dari 1 Gbps hingga 100 Gbps.
  • Performa jaringan per VM Tier_1 meningkatkan batas bandwidth keluar maksimum menjadi 200 Gbps, bergantung pada ukuran dan jenis mesin instance komputasi Anda.

Beberapa seri mesin memiliki batas yang berbeda, seperti yang didokumentasikan dalam Tabel ringkasan bandwidth.

Alamat IP

Setiap VM diberi alamat IP dari subnet yang terkait dengan antarmuka jaringan. Daftar berikut memberikan informasi tambahan tentang persyaratan untuk mengonfigurasi alamat IP.

  • Untuk subnet khusus IPv4, alamat IP adalah alamat IPv4 internal. Jika ingin, Anda dapat mengonfigurasi alamat IPv4 eksternal untuk VM.
  • Jika antarmuka jaringan terhubung ke subnet stack ganda yang memiliki rentang IPv6, Anda harus menggunakan jaringan VPC mode kustom. VM memiliki alamat IP berikut:
    • Alamat IPv4 internal. Jika ingin, Anda dapat mengonfigurasi alamat IPv4 eksternal untuk VM.
    • Alamat IPv6 internal atau eksternal, bergantung pada jenis akses subnet.
  • Untuk subnet khusus IPv6 (Pratinjau), Anda harus menggunakan jaringan VPC mode kustom. VM memiliki alamat IPv6 internal atau eksternal, bergantung pada jenis akses subnet.
  • Untuk membuat instance khusus IPv6 (Pratinjau) dengan alamat IPv6 internal dan eksternal, Anda harus menentukan dua antarmuka jaringan saat membuat VM. Anda tidak dapat menambahkan antarmuka jaringan ke instance yang ada.

Alamat IP eksternal dan internal dapat bersifat sementara atau statis.

Alamat IP internal bersifat lokal untuk salah satu dari hal berikut:

  • Jaringan VPC
  • Jaringan VPC yang terhubung menggunakan Peering Jaringan VPC
  • Jaringan lokal yang terhubung ke jaringan VPC menggunakan Cloud VPN, Cloud Interconnect, atau perangkat Router

Instance dapat berkomunikasi dengan instance pada jaringan VPC yang sama, atau jaringan terhubung seperti yang ditentukan dalam daftar sebelumnya, menggunakan alamat IPv4 internal VM. Jika antarmuka jaringan VM terhubung ke subnet stack ganda atau ke subnet khusus IPv6, Anda dapat menggunakan alamat IPv6 internal atau eksternal VM untuk berkomunikasi dengan instance lain di jaringan yang sama. Sebagai praktik terbaik, gunakan alamat IPv6 internal untuk komunikasi internal. Untuk informasi selengkapnya tentang alamat IP, baca ringkasan Alamat IP untuk Compute Engine.

Untuk berkomunikasi dengan internet atau sistem eksternal, gunakan alamat IPv4 eksternal atau alamat IPv6 eksternal yang dikonfigurasi pada instance VM. Alamat IP eksternal adalah alamat IP yang dapat dirutekan secara publik. Jika instance tidak memiliki alamat IP eksternal, Cloud NAT dapat digunakan untuk traffic IPv4.

Jika memiliki beberapa layanan yang berjalan pada satu instance VM, Anda dapat memberikan alamat IPv4 internal yang berbeda kepada setiap layanan menggunakan rentang IP alias. Jaringan VPC meneruskan paket yang ditujukan ke layanan tertentu ke VM yang sesuai. Untuk mengetahui informasi selengkapnya, lihat rentang IP alias.

Network Service Tiers

Network Service Tiers memungkinkan Anda mengoptimalkan konektivitas antara sistem di internet dan instance Compute Engine Anda. Paket Premium mengirimkan traffic di backbone premium Google, sedangkan Paket Standar menggunakan jaringan ISP reguler. Gunakan Paket Premium untuk mengoptimalkan performa, dan gunakan Paket Standar untuk mengoptimalkan biaya.

Karena Anda memilih tingkat jaringan di tingkat resource—seperti alamat IP eksternal untuk VM—Anda dapat menggunakan Paket Standar untuk beberapa resource dan Paket Premium untuk resource lainnya. Jika Anda tidak menentukan tingkat, Paket Premium akan digunakan.

Instance Compute yang menggunakan alamat IP internal untuk berkomunikasi dalam jaringan VPC selalu menggunakan infrastruktur jaringan Paket Premium.

Saat menggunakan Paket Premium atau Paket Standar, tidak ada biaya untuk transfer data masuk. Harga transfer data keluar adalah per GiB yang dikirimkan, dan berbeda untuk setiap Network Service Tiers. Untuk mengetahui informasi tentang harga, lihat Harga Network Service Tiers.

Tingkat Layanan Jaringan tidak sama dengan performa jaringan Tingkat_1 per VM, yang merupakan opsi konfigurasi yang dapat Anda pilih untuk digunakan dengan instance komputasi. Ada biaya tambahan yang terkait dengan penggunaan jaringan Tier_1, seperti yang dijelaskan dalam Harga jaringan bandwidth Tier_1 yang lebih tinggi. Untuk informasi selengkapnya tentang jaringan Tingkat_1, lihat Mengonfigurasi performa jaringan Tingkat_1 per VM.

Paket premium

Paket Premium mengirimkan traffic dari sistem eksternal ke resource Google Cloud dengan menggunakan jaringan global Google yang berlatensi rendah dan sangat andal. Jaringan ini dirancang untuk menoleransi beberapa kegagalan dan gangguan saat masih mengirimkan traffic. Paket Premium cocok bagi pelanggan dengan pengguna di beberapa lokasi di seluruh dunia yang membutuhkan performa dan keandalan jaringan terbaik.

Jaringan Paket Premium terdiri dari jaringan fiber pribadi yang luas dengan lebih dari 100 titik kehadiran (PoP) di seluruh dunia. Dalam jaringan Google, traffic dirutekan dari PoP tersebut ke instance komputasi di jaringan VPC Anda. Traffic keluar dikirim melalui jaringan Google, keluar di PoP yang terdekat dengan tujuannya. Metode pemilihan rute ini meminimalkan kemacetan dan memaksimalkan performa dengan mengurangi jumlah lompatan antara pengguna akhir dan PoP yang terdekat dengannya.

Paket Standar

Jaringan Paket Standar mengirimkan traffic dari sistem eksternal ke resourceGoogle Cloud dengan merutekannya melalui internet. Paket yang keluar dari jaringan Google akan dikirimkan menggunakan internet publik, dan tunduk pada keandalan ISP dan penyedia transportasi umum yang melakukan intervensi. Paket Standar memberikan kualitas dan keandalan jaringan yang sebanding dengan penyedia cloud lainnya.

Tarif Standar lebih rendah daripada Paket Premium karena traffic dari sistem di internet dirutekan melalui jaringan transit (ISP) sebelum dikirim ke instance komputasi di jaringan VPC Anda. Traffic keluar Paket Standar biasanya keluar dari jaringan Google dari region yang sama dengan yang digunakan oleh instance komputasi pengirim, terlepas dari tujuannya.

Paket Standar mencakup penggunaan gratis sebesar 200 GB per bulan di setiap region yang Anda gunakan di semua project, berdasarkan resource.

Nama Domain Name System (DNS) Internal

Saat Anda membuat instance virtual machine (VM), Google Cloud akan membuat nama DNS internal dari nama VM. Kecuali Anda menentukan nama host kustom,Google Cloud menggunakan nama DNS internal yang dibuat otomatis sebagai nama host yang diberikan ke VM.

Untuk komunikasi antara VM dalam jaringan VPC yang sama, Anda dapat menentukan nama DNS yang sepenuhnya memenuhi syarat (FQDN) dari instance target, bukan menggunakan alamat IP internalnya. Google Cloud akan otomatis me-resolve FQDN ke alamat IP internal instance.

Untuk mengetahui informasi selengkapnya tentang nama domain yang sepenuhnya memenuhi syarat (FQDN), lihat Nama DNS internal zona dan global.

Rute

Google Cloud Rute menentukan jalur yang diambil traffic jaringan dari instance virtual machine (VM) ke tujuan lain. Tujuan ini dapat berada di dalam jaringan VPC Anda (misalnya, di VM lain) atau di luar jaringannya. Tabel perutean untuk jaringan VPC ditentukan pada tingkat jaringan VPC. Setiap instance VM memiliki pengontrol yang terus diberi informasi tentang semua rute yang berlaku dari tabel pemilihan rute jaringan. Setiap paket yang meninggalkan VM dikirim ke hop berikutnya yang sesuai dari rute yang berlaku berdasarkan urutan perutean.

Rute subnet menentukan jalur ke resource seperti VM dan load balancer internal di jaringan VPC. Setiap subnet memiliki setidaknya satu rute subnet yang tujuannya cocok dengan rentang IP utama subnet. Rute subnet selalu memiliki tujuan yang paling spesifik. Rute ini tidak dapat diganti oleh rute lain, meskipun rute lain memiliki prioritas yang lebih tinggi. Hal ini karena Google Cloud mempertimbangkan kekhususan tujuan sebelum prioritas saat memilih rute. Untuk mengetahui informasi selengkapnya tentang rentang IP subnet, lihat ringkasan subnet.

Aturan penerusan

Meskipun rute mengatur traffic yang keluar dari instance, aturan penerusan mengarahkan traffic ke resource Google Cloud di jaringan VPC berdasarkan alamat IP, protokol, dan port. Beberapa aturan penerusan mengarahkan traffic dari luar Google Cloud ke tujuan di jaringan; aturan lain mengarahkan traffic dari dalam jaringan.

Anda dapat mengonfigurasi aturan penerusan untuk instance agar dapat menerapkan hosting virtual dengan IP, Cloud VPN, IP virtual pribadi (VIP), dan load balancing. Untuk mengetahui informasi lebih lanjut tentang aturan penerusan, lihat Menggunakan penerusan protokol.

Aturan firewall

Dengan aturan firewall VPC, Anda dapat mengizinkan atau menolak koneksi ke atau dari VM berdasarkan konfigurasi yang Anda tentukan. Google Cloud selalu menerapkan aturan firewall VPC yang diaktifkan, sehingga melindungi VM Anda, terlepas dari konfigurasi dan sistem operasinya, meskipun VM belum dimulai.

Secara default, setiap jaringan VPC memiliki aturan firewall masuk (ingress) dan keluar (egress) yang memblokir semua koneksi masuk dan mengizinkan semua koneksi keluar. Jaringan default memiliki aturan firewall tambahan, termasuk aturan default-allow-internal, yang mengizinkan komunikasi di antara instance dalam jaringan. Jika tidak menggunakan jaringan default, Anda harus secara eksplisit membuat aturan firewall masuk dengan prioritas lebih tinggi agar instance dapat berkomunikasi satu sama lain.

Setiap jaringan VPC berfungsi sebagai firewall terdistribusi. Aturan firewall ditentukan pada tingkat VPC, dan dapat berlaku untuk semua instance dalam jaringan, atau Anda dapat menggunakan tag target atau akun layanan target untuk menerapkan aturan pada instance tertentu. Anda dapat menganggap bahwa aturan firewall VPC sudah ada tidak hanya antara instance Anda dan jaringan lainnya, tetapi juga antara instance individual dalam jaringan VPC yang sama.

Kebijakan firewall hierarkis memungkinkan Anda membuat dan menerapkan kebijakan firewall yang konsisten di seluruh organisasi. Anda dapat menetapkan kebijakan Firewall hierarkis ke organisasi secara keseluruhan atau ke folder individual. Kebijakan ini berisi aturan yang dapat secara eksplisit menolak atau mengizinkan koneksi, sama seperti aturan firewall VPC. Selain itu, aturan kebijakan firewall hierarkis dapat mendelegasikan evaluasi ke kebijakan tingkat rendah atau aturan firewall VPC dengan tindakan goto_next. Aturan tingkat yang lebih rendah tidak dapat mengganti aturan dari tempat yang lebih tinggi dalam hierarki resource. Hal ini memungkinkan administrator di seluruh organisasi mengelola aturan firewall penting di satu tempat.

Grup instance terkelola dan konfigurasi jaringan

Jika Anda menggunakan grup instance terkelola (MIG), konfigurasi jaringan yang Anda tentukan pada template instance berlaku di semua VM yang dibuat dengan template tersebut. Jika Anda membuat template instance dalam jaringan VPC mode otomatis, Google Cloud akan otomatis memilih subnet untuk region tempat Anda membuat grup instance terkelola.

Untuk mengetahui informasi selengkapnya, lihat artikel Jaringan dan subnet serta Membuat template instance.

Apa langkah selanjutnya?