Visão geral da rede de VMs

Neste documento, apresentamos uma visão geral da funcionalidade de rede das suas instâncias de máquina virtual (VM). Ele oferece uma compreensão básica de como suas VMs interagem com redes de nuvem privada virtual (VPC) do Google Cloud. Para mais informações sobre redes VPC e recursos relacionados, leia a visão geral da rede VPC.

Redes e sub-redes

Toda VM faz parte de uma rede VPC. As redes VPC fornecem conectividade à sua instância de VM a outros produtos do Google Cloud e à Internet. As redes VPC podem ser modo automático ou personalizado.

  • As redes de modo automático têm uma sub-rede (sub-rede) em cada região. Todas as sub-redes estão nesse intervalo de endereços IP: 10.128.0.0/9. As redes de modo automático são compatíveis apenas com intervalos de sub-rede IPv4.
  • As redes de modo personalizado não têm uma configuração de sub-rede especificada; você decide quais sub-redes criar nas regiões escolhidas usando os intervalos IPv4 especificados. Redes de modo personalizado também são compatíveis com intervalos de sub-rede IPv6.

A menos que você desative essa opção, cada projeto tem uma rede default, que é uma rede de modo automático.

Cada sub-rede em uma rede VPC está associada a uma região e contém um ou mais intervalos de endereços IP. É possível criar mais de uma sub-rede por região Cada uma das interfaces de rede da VM precisa estar conectada a uma sub-rede.

Ao criar uma VM, é possível especificar uma sub-rede e uma rede VPC. Se você omitir essa configuração, a rede e a sub-rede default serão usadas. O Google Cloud atribui um endereço IPv4 interno à nova VM do intervalo de endereços IPv4 principal da sub-rede selecionada. Se a sub-rede também tiver um intervalo de endereços IPv6, será possível atribuir um endereço IPv6.

Para mais informações sobre redes VPC, leia a Visão geral da rede VPC. Para ver um exemplo ilustrado de VMs que usam uma rede VPC com três sub-redes em duas regiões, consulte Exemplo de rede VPC.

Controladores de interface de rede (NICs)

Todas as VMs em uma rede VPC têm uma interface de rede padrão. É possível criar outras interfaces de rede para VMs, mas cada interface precisa ser atrelada a uma rede VPC diferente. Ter várias interfaces de rede permite que criar configurações em que uma instância se conecta diretamente a várias redes VPC. Para mais informações sobre o uso de várias NICs, consulte a Visão geral de várias interfaces de rede.

Endereços IP

Cada interface de VM tem um endereço IPv4 interno, que é alocado da sub-rede. Também é possível configurar um endereço IPv4 externo. Se a interface se conectar a uma sub-rede com um intervalo IPv6, você poderá configurar um endereço IPv6 opcionalmente. As VMs usam esses endereços IP para se comunicarem com outros recursos e sistemas externos do Google Cloud. Os endereços IP externos são endereços IP roteáveis publicamente que podem se comunicar com a Internet. Endereços IP externos e internos podem ser efêmeros ou estáticos.

Os endereços IP internos são locais para uma das seguintes opções:

  • Uma rede VPC
  • Uma rede VPC conectada usando peering de rede VPC
  • Uma rede local conectada a uma rede VPC usando o Cloud VPN, o Cloud Interconnect ou um dispositivo roteador

Uma instância pode se comunicar com instâncias na mesma rede VPC ou com uma rede conectada, conforme especificado na lista anterior, usando o endereço IPv4 interno da VM. Se as VMs tiverem o IPv6 configurado, também será possível usar um dos endereços IPv6 internos ou externos da VM. Como prática recomendada, use endereços IPv6 internos para comunicação interna. Para mais informações sobre endereços IP, leia a visão geral de Endereços IP para o Compute Engine.

Para se comunicar com a Internet, use um endereço IPv4 ou IPv6 externo configurado na instância. Se a instância não tiver um endereço externo, o Cloud NAT poderá ser usado para o tráfego IPv4.

Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IP interno diferente usando intervalos de IPv4 de alias. A rede VPC encaminha os pacotes destinados a um determinado serviço para a VM correspondente. Para mais informações, consulte Intervalos de IP de alias.

Nomes do Sistema de Nomes de Domínio Interno (DNS)

Quando você cria uma instância de máquina virtual (VM), o Google Cloud gera um nome DNS interno a partir do nome da VM. A menos que você especifique um nome de host personalizado, o Google Cloud usará o nome de DNS interno criado automaticamente como o nome do host fornecido para a VM.

Para a comunicação entre VMs na mesma rede VPC, é possível especificar o nome DNS totalmente qualificado (FQDN) da instância de destino em vez de usar o endereço IP interno. O Google Cloud resolve automaticamente o FQDN para o endereço IP interno da instância.

Para mais informações sobre nomes de domínio totalmente qualificados (FQDN, na sigla em inglês), consulte Nomes DNS internos globais e zonais.

Rotas

As rotas do Google Cloud definem os caminhos percorridos pelo tráfego de rede de uma instância de máquina virtual (VM) para outros destinos. Esses destinos podem estar na sua rede VPC (por exemplo, em outra VM) ou fora dela. A tabela de roteamento de uma rede VPC é definida no nível da rede VPC. Cada instância de VM tem um controlador que conhece todas as rotas aplicáveis da tabela de roteamento da rede. Cada pacote que deixa uma VM é entregue no próximo salto apropriado de uma rota aplicável com base em uma ordem de roteamento.

As rotas de sub-rede definem os caminhos para recursos como VMs e balanceadores de carga internos em uma rede VPC. Cada sub-rede tem pelo menos uma rota de sub-rede com um destino que corresponde ao intervalo de IP primário da sub-rede. Rotas de sub-rede sempre têm os destinos mais específicos. Elas não podem ser substituídas por outras rotas, mesmo que outra tenha uma prioridade mais alta. Isso ocorre porque o Google Cloud considera a especificidade do destino antes da prioridade ao selecionar uma rota. Para mais informações sobre intervalos de IP de sub-rede, consulte a visão geral de sub-redes.

Regras de encaminhamento

Enquanto as rotas controlam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um recurso do Google Cloud em uma rede VPC com base em endereços IP, protocolos e portas. Algumas regras de encaminhamento direcionam o tráfego de fora do Google Cloud para um destino na rede, enquanto outras direcionam o tráfego de dentro da rede.

É possível configurar regras de encaminhamento para que as instâncias implementem a hospedagem virtual por IPs, Cloud VPN, IPs virtuais particulares (VIPs) e balanceamento de carga. Para mais informações sobre regras de encaminhamento, consulte Como usar o encaminhamento de protocolo.

Regras de firewall

Com as regras de firewall da VPC, você permite ou recusa conexões de ou para sua VM com base na configuração especificada. O Google Cloud sempre aplica regras de firewall da VPC ativadas, protegendo as VMs independentemente da configuração e do sistema operacional delas, mesmo que a VM não tenha sido iniciada.

Por padrão, cada rede VPC tem regras de firewall de entrada (entrada) e de saída (saída) que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída. A rede default tem mais regras de firewall, incluindo a default-allow-internal, que permite a comunicação entre instâncias na rede. Se você não estiver usando a rede default, será necessário criar explicitamente regras de firewall de entrada de prioridade mais alta para permitir que as instâncias se comuniquem entre si.

Toda rede VPC funciona como um firewall distribuído. As regras de firewall são definidas no nível da VPC e podem ser aplicadas a todas as instâncias na rede. Outra opção é usar tags de destino ou contas de serviço de destino para aplicar regras a instâncias específicas. Pense nas regras de firewall da VPC como existentes não apenas entre suas instâncias e outras redes, mas também entre instâncias individuais dentro da mesma rede VPC.

As políticas hierárquicas de firewall permitem criar e aplicar uma política de firewall consistente em toda a organização. É possível atribuir políticas hierárquicas de firewall à organização como um todo ou a pastas individuais. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, da mesma forma que as regras de firewall da VPC. Além disso, as regras das políticas hierárquicas de firewall delegam a avaliação a políticas de nível inferior ou de firewall de VPC com uma ação goto_next. As regras de nível inferior não podem substituir uma regra de um lugar mais alto na hierarquia de recursos. Isso permite que os administradores de toda a organização gerenciem regras de firewall importantes em um só lugar.

Largura de banda da rede

O Google Cloud é responsável pela largura de banda por instância de máquina virtual (VM), e não por interface de rede (NIC, na sigla em inglês) ou endereço IP. A largura de banda é medida usando duas dimensões: direção do tráfego (entrada e saída) e tipo de endereço IP de destino. O tipo de máquina de uma VM define a maior taxa de saída possível. No entanto, só é possível atingir essa taxa de saída máxima em circunstâncias específicas. Para mais informações, consulte Largura de banda de rede.

A NIC virtual do Google (gVNIC) é uma interface de rede virtual projetada especificamente para o Compute Engine. A gVNIC é uma alternativa ao driver Ethernet baseado em virtIO. A gVNIC é necessária para compatibilidade com larguras de banda de rede maiores, como as velocidades de 50 a 100 Gbps que podem ser usadas para cargas de trabalho distribuídas em VMs que anexaram GPUs. Além disso, a gVNIC é necessária para trabalhar com alguns tipos de máquinas destinados a um desempenho ideal. Para mais informações, consulte Como usar a NIC virtual do Google.

Grupos gerenciados de instâncias e configurações de rede

Se você usa grupos de instâncias gerenciadas (MIGs, na sigla em inglês), a configuração de rede especificada no modelo de instância será aplicada a todas as VMs criadas com o modelo. Se você criar um modelo de instância em uma rede VPC de modo automático, o Google Cloud selecionará automaticamente a sub-rede para a região em que criou o grupo gerenciado de instâncias.

Para mais informações, consulte Redes e sub-redes e Como criar modelos de instância.

A seguir