Redes VPC e firewalls

O Google Compute Engine oferece um sistema de rede de nuvem privada virtual (VPC, na sigla em inglês) configurável e flexível que permite a você autorizar conexões entre ambientes externos e suas instâncias de máquina virtual (VM, na sigla em inglês). Você pode gerenciar sua rede VPC definindo as configurações de rede, firewall e instância da VM.

Redes VPC

Seu projeto no Console do GCP pode conter várias redes VPC. Cada uma delas tem sub-redes com um intervalo IP definido. Todas podem conter diversas instâncias e outros recursos, que extraem os endereços IP internos das sub-redes. Isso faz com que as sub-redes sejam as partições de isolamento lógico da rede VPC.

Cada projeto tem uma rede VPC default com configurações predefinidas e regras de firewall. É possível personalizar a rede VPC default adicionando ou removendo regras. Você também pode criar novas redes nesse projeto. Geralmente, a maioria dos usuários só precisa de uma rede, mas, por padrão, você pode ter até cinco por projeto.

Cada instância tem uma interface principal que se conecta a uma rede. Se você quiser, a instância pode ter várias interfaces de rede. Cada interface adicional é conectada a uma rede diferente.

Todas as redes VPC usam o protocolo IPv4. No momento, as redes do Compute Engine não são compatíveis com o IPv6. O Google é um grande defensor do IPv6, e estamos trabalhando para disponibilizá-lo no futuro.

Firewalls

Cada rede VPC tem seu próprio firewall que controla o acesso às instâncias.

Todo o tráfego para as instâncias, até mesmo a partir de outras delas, é bloqueado pelo firewall a menos que você crie regras para permiti-lo. A exceção é a rede VPC default, que é criada automaticamente com cada projeto. Ela inclui determinadas regras padrão de firewall que também são geradas automaticamente.

Para todas as redes VPC, exceto a default gerada automaticamente, você precisa criar as regras de firewall necessárias. Para permitir o recebimento de conexões de rede em uma VPC criada manualmente, é necessário configurar as regras de firewall. Cada uma representa uma única regra, que determina quais conexões podem entrar nas instâncias ou sair delas. É possível ter muitas regras e ser tão geral ou específico quanto necessário. Por exemplo, você pode criar uma regra de firewall que permita todo o tráfego pela porta 80 para todas as instâncias ou uma regra que permita somente o tráfego de um IP ou intervalo específico para uma determinada instância.

As regras de firewall rastreiam a conexão e, portanto, regulam apenas a conexão inicial. Depois que for estabelecida uma conexão a uma instância, o tráfego é permitido em ambas as direções.

Tráfego bloqueado

O Compute Engine bloqueia ou restringe o tráfego por meio de portas e protocolos entre a Internet e as máquinas virtuais e entre duas máquinas virtuais quando o tráfego é direcionado para os endereços IP externos delas por meio dessas portas. Isso também inclui endereços de balanceamento de carga. Essas portas ficam permanentemente bloqueadas. Elas não podem ser abertas com o uso de regras de firewall.

  • Todo o tráfego de saída para a porta 25 (SMTP) é bloqueado.
  • A maior parte do tráfego de saída para a porta 465 ou 587 (SMTP sobre SSL) é bloqueada, exceto para endereços IP do Google conhecidos.
  • O tráfego GRE está bloqueado, mesmo entre VMs.
  • O tráfego que usa um protocolo diferente de TCP, UDP, ICMP e IPIP é bloqueado, a menos que seja explicitamente permitido por meio do encaminhamento de protocolo.

Para mais informações, consulte Regras de firewall.

Endereços IP

Se a instância tiver um endereço IP externo, ela também poderá enviar pacotes de saída para fora da rede VPC. Por padrão, o gcloud compute instances create atribui um endereço IP externo temporário a todas as novas instâncias, a menos que seja especificado de outra forma. Se você estiver usando a API para criar novas instâncias, poderá solicitar explicitamente um endereço IP externo. Todo o tráfego por um endereço IP externo, incluindo entre instâncias na mesma rede, será cobrado de acordo com a tabela de preços.

Cada instância também tem um endereço IP interno que é exclusivo na rede VPC. Dentro dela, as instâncias também podem ser processadas pelo nome. A rede separa um nome de instância de um endereço IP interno.

Os balanceadores de carga externos também exigem um endereço IP externo para se comunicarem com fontes de fora. Dependendo do tipo de balanceador, você poderá precisar de um endereço IP externo regional ou global.

Para saber mais sobre endereços IP, leia a documentação Endereços IP.

Rotas

Toda rede VPC tem um conjunto de rotas que contém todas as rotas dessa rede. Uma rota especifica como os pacotes que têm um determinado destino precisam ser direcionados. Por exemplo, uma rota pode especificar que os pacotes destinados a um determinado intervalo de IP precisam ser gerenciados por uma instância de máquina virtual de gateway que você configura e opera.

Quando você adiciona uma rota ao conjunto, também é possível especificar as instâncias às quais ela será aplicada. Por padrão, todas as rotas se aplicam a todas as instâncias da rede. No entanto, você pode incluir limites usando tags de instância. As instâncias de máquina virtual aplicáveis do seu projeto extraem esse conjunto centralizado para criar uma tabela de rotas individuais de somente leitura. O Compute Engine usa essa tabela para direcionar pacotes de saída a essas instâncias.

Uma única rota é composta por um nome, um intervalo de destino, uma especificação de próximo salto (hop), qualquer tag de instância e um valor de prioridade. Por padrão, cada rede tem rotas que direcionam o tráfego para a Internet e para outras instâncias dentro da rede VPC.

Com as rotas, você pode implementar funções de rede mais avançadas nas máquinas virtuais, como a configuração de uma NAT do tipo "um para muitos" e proxies transparentes. Caso não precise de soluções de roteamento avançadas, as rotas padrão serão suficientes para você lidar com a maioria do tráfego.

Para saber mais, consulte Rotas.

Limites de capacidade de entrada e saída

Limites de capacidade de entrada

No GCP, o tráfego de entrada da instância da VM não é limitado artificialmente. As VMs podem receber tanto tráfego quanto os recursos e as condições de rede permitirem. Para fins de planejamento de capacidade, pense que cada instância de VM não pode manipular mais de 10 Gbps de tráfego de Internet externo. Esse valor é uma aproximação, não é coberto por um SLA e está sujeito a alterações. Adicionar endereços IP de alias ou várias interfaces de rede a uma VM não aumenta a capacidade de entrada dela.

Limites de capacidade de saída

O tráfego de saída de uma instância de VM está sujeito a limites máximos de capacidade de saída de rede e é independente de outras condições da rede. O tráfego de saída inclui qualquer tráfego de rede de saída para os seguintes locais:

  • pelo endereço IP externo de uma instância para redes externas, mesmo que essas redes estejam na mesma zona
  • pela rede VPC interna para outras instâncias de VM na mesma zona
  • dados gravados em recursos de disco permanente conectado à instância de VM
  • dados enviados para outros serviços do Cloud Platform por meio da rede VPC interna

A capacidade de transferência de saída depende do número de vCPUs que uma instância da máquina virtual tem. Cada vCPU tem um limite de saída de 2 Gbps para desempenho máximo. Cada vCPU aumenta o limite de rede até um máximo teórico de 16 Gbps para cada máquina virtual. Por exemplo, uma instância de máquina virtual com 4 vCPUs tem um limite de capacidade de rede intrazona de 2 Gbps * 4 = 8 Gbps. Uma instância de máquina virtual com 8 vCPUs tem um limite de capacidade de rede intrazona de 2 Gbps * 8 = 16 Gbps.

As cargas de trabalho e benchmarks específicas são avaliadas regularmente:

  • Um teste de desempenho de stream único pode atingir 8,5 Gbps em média.
  • Um teste de desempenho de multistream pode atingir 15 Gbps em média.

As instâncias que têm 0,5 vCPU ou menos, como os tipos de máquina com núcleo compartilhado, são tratadas como se tivessem 0,5 vCPU. Além disso, elas têm um limite de capacidade de rede de 1 Gbit/segundo.

O tráfego de rede e a E/S de gravação de disco permanente contam no limite de rede da instância. Dependendo das suas necessidades, verifique se sua instância é compatível com qualquer capacidade de disco permanente desejada para seus aplicativos. Para mais informações, consulte as especificações de disco permanente.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine