Utilização de sub-redes

Sub-redes segmentam o espaço de IP da rede do Cloud em sub-redes. Prefixos de sub-rede podem ser alocados automaticamente, mas você também pode criar uma topologia personalizada.

Antes de começar

Sub-redes

Os principais benefícios de sub-redes são os seguintes:

  • Sub-redes permitem que você segmente regionalmente o espaço IP de rede em prefixos (sub-redes) e controle a partir de qual prefixo um endereço IP interno da instância está alocado.
  • Ao usar VPN, as sub-redes permitem direcionar túneis de VPN para uma determinada região. Isso permite um controle adicional sobre como configurar suas rotas VPN. Isso também resulta em menor latência nos casos em que a VPN antes teria de assumir a faixa de IP estendida por todas as regiões.
  • Nem todas as sub-redes em uma rede têm que vir do mesmo prefixo maior. Algumas sub-redes podem usar faixas de 10.0.0.0/8 enquanto outras usam faixas de 192.168.0.0/16. Isso proporciona a granularidade e a flexibilidade para você configurar faixas não utilizadas no espaço de IP privado sem ter de reorganizar faixas de IP alocados existentes.
  • O espaço global IP da rede não tem de ser determinado assim que você cria o projeto. Você pode adicionar novas sub-redes, conforme necessário.
  • Sub-redes fornecem um mecanismo para agregar endereços IP baseados em grupos funcionais ou departamentos organizacionais, enquanto permitem que eles se comuniquem internamente por meio de espaços RFC1918 privados. Agora que você tem um controle melhor sobre seu espaço de endereço de rede em nuvem, isso pode facilitar a gestão da rede local e da rede na nuvem.
  • Quando duas ou mais sub-redes são usadas como o destino de um gateway de VPN, roteadores do mesmo nível otimizarão o roteamento do tráfego para a sub-rede correta, em vez de roteá-lo por toda a rede como faz com a rede legada.

Este documento descreve como configurar e usar sub-redes, incluindo as alterações a outros recursos de rede, como VPN, grupos de instâncias e balanceamento de carga, além de descrever como eles interagem com sub-redes.

Este documento descreve o comportamento do sistema nos seguintes modos:

  • Modo de legado (não sub-rede) é a abordagem original para redes, onde a atribuição de endereços IP ocorre no nível da rede global. Isso significa que o espaço de endereço de rede abrange todas as regiões. Você ainda pode criar uma rede legada, mas sub-redes são o comportamento preferido e a abordagem padrão daqui para frente.
  • Modo de sub-rede é a nova forma de redes em que sua rede é subdividida em sub-redes regionais. Cada sub-rede controla a faixa de endereços IP usado para instâncias que são atribuídas a essa sub-rede. As faixas de IP das várias sub-redes de uma rede podem não ser contíguas. Há duas opções para o uso de sub-redes:
    • Rede de sub-rede Auto atribui automaticamente um intervalo de prefixos IP de sub-rede para cada região na sua rede. Um IP alocado a partir do intervalo de sub-rede regional é atribuído às instâncias criadas em uma zona de uma região específica de sua rede. A rede default de um novo projeto é uma rede de sub-rede automática.
    • Rede de sub-rede personalizada permite definir manualmente prefixos de sub-rede para cada região na sua rede. É possível criar nenhum, um ou vários prefixos de sub-rede por região para uma rede. A fim de criar uma instância de uma zona, você deve ter criado anteriormente pelo menos uma sub-rede na região. No momento da criação de instâncias, você precisará especificar a sub-rede na região na qual o IP instância deverá ser alocado.

Restrições

  • Você não pode alterar o tipo de uma rede depois de criá-lo. Por exemplo, você não pode mudar de uma rede de sub-rede automática para uma rede de sub-rede personalizada e vice-versa.
  • Você não pode criar uma rede legada (não sub-rede) no Cloud Platform Console. Use a ferramenta de linha de comando gcloud para criar uma rede legada, se necessário.
  • Você não pode mudar o prefixo IP de uma sub-rede após sua criação.
  • Para VPNs, o --local-traffic-selector campo não aceita intervalos de IP que não pertencem à gama IPv4 do gateway VPN.
  • Existem as seguintes restrições ao usar sub-redes com outros produtos:
  • Cotas
    • 100 sub-redes por projeto. Não há restrições sobre como essas sub-redes são alocadas por rede ou por região dentro de um projeto.
    • O número máximo de CIDR varia ao criar VPN Tunnel, especificado no --local-traffic-selector campo é de 128.

Rede (não sub-rede) legada

Em uma rede do Compute Engine tradicional, você define um único intervalo de prefixos IPv4 da rede para todas as instâncias anexadas àquela rede, e essa rede abrange todas as regiões do Google Cloud Platform.

Um endereço IPv4 de um intervalo IPv4 de rede global é atribuído a cada instância de uma rede. Endereços IP da instância não são agrupados por região ou zona. Um endereço IP pode aparecer em uma região, enquanto seu vizinho pode estar em uma região diferente. Qualquer intervalo de IPs pode ser distribuído por todas as regiões e os endereços IP de instâncias criados em uma região não são necessariamente contíguos. Este não é o ideal porque:

  • você não pode agrupar espaços de IP por região;
  • se quiser agrupar suas instâncias em espaços de IP separados, você tem que usar a rede como o mecanismo de agrupamento. Isso é problemático se quiser que as instâncias se comuniquem entre si, pois a comunicação entre redes só é possível por meio de espaço de IP público externo. Com redes legadas, a rede é o único mecanismo de agrupamento de IP disponível. Não há nenhum mecanismo para agrupar IPs dentro da rede.

A figura a seguir mostra uma rede tradicional, que agora é chamada de rede legada (sub-rede). O tráfego da Internet passa por uma função de comutação global na rede, mostrado no diagrama como uma chave virtual. Em seguida, vai para as instâncias individuais.

As instâncias de uma região podem ter endereços IP não agrupados. Como mostra o exemplo, as instâncias de 10.240.0.0/16 são aleatoriamente distribuídas nas regiões 1 e 2. Por exemplo, 10.240.1.4 está na região 2, 10.240.1.5 está na região 1 e 10.240.1.6 na região 2.

Diagrama de uma rede legada (clique para ampliar)
Diagrama de uma rede legada (clique para ampliar)

Rede de sub-rede

Uma rede de sub-rede não requer um intervalo IPv4 de rede global. Em vez disso, uma rede pode conter várias sub-redes, cada uma com seu próprio prefixo IPv4. As sub-redes pertencentes a uma única rede precisam ter intervalos RFC1918 que não se sobreponham. Sub-redes pertencentes a uma única rede podem prefixos de endereços IPv4 ter não contíguos (por exemplo, 10.240.0.0/16 e 192.168.0.0/16). Uma sub-rede pertence a apenas uma rede e cada instância pode pertencer a apenas uma sub-rede.

A rede padrão de um novo projeto está em uma rede de sub-rede automática. Você pode criar até quatro redes adicionais em um projeto. As redes adicionais podem ser redes de sub-rede automáticas, redes de sub-rede personalizadas ou redes legadas.

Criar sub-redes para um projeto ajuda você a agrupar instâncias por funcionalidade ou departamento organizacional. Instâncias em sub-redes diferentes podem se comunicar entre si usando seus IPs internos, desde que pertencem à mesma rede. Instâncias pertencentes a duas redes diferentes só podem se comunicar usando IPs externos. Por exemplo, se quiser que as instâncias em seus sistemas de teste e de produção não se comuniquem, exceto por meio de IPs externos, você pode colocar as instâncias em diferentes redes. Instâncias em redes são totalmente isoladas e podem ter intervalos de endereços sobrepostos. Assim, a comunicação entre redes só é possível pelo espaço de IP público externo. A comunicação pelo espaço de IP externo garante mais segurança e pode incorrer em custos adicionais. No entanto, se quiser que todas as instâncias que executam um produto possam se comunicar com todas as instâncias que executam um segundo produto, mas você quer dividi-los por endereço IP, é possível usar duas sub-redes diferentes na mesma rede.

A cada instância criada na sub-rede é atribuído um endereço IPv4 do intervalo dessa sub-rede. As instâncias em uma sub-rede estão no mesmo intervalo de IPv4.

A figura abaixo mostra uma rede de sub-rede. Uma nova instância recebe seu endereço IP do prefixo de determinada sub-rede. A Sub-rede 1 está na região 1 e tem todos os IPs privados alocados de 10.240.0.0/24 (IPs de instância 10.240.0.1 e 10.240.0.2), e a Sub-rede 2 da região 2 tem todos os IPs privados alocados de 192.168.1.0/24 (IPs de instância 192.168.1.1 e 192.168.1.2). Veja também que a Sub-rede 3 cruza as zonas de uma região. Sub-redes não são restritas por zona. Sub-redes são restritas apenas por região, mas você pode optar por criar instâncias de uma sub-rede em uma zona e instâncias de outra sub-rede em uma zona separada, se desejar.

Diagrama de uma rede de sub-rede (clique para ampliar)
Diagrama de uma rede de sub-redes (clique para ampliar)

Características de sub-redes

As sub-redes particionam a rede em intervalos de endereço IP previsíveis. Veja a seguir as principais propriedades das sub-redes:

  • Cada sub-rede tem um intervalo CIDR conhecido. Todas as instâncias criadas nesse sub-rede têm endereços IP internos atribuídos a partir de um intervalo CIDR.
  • Intervalos de sub-redes podem ser alocados automaticamente (rede de sub-rede automática) ou escolhidos especificamente por você (rede de sub-rede personalizada).
  • Cada sub-rede é restrito a uma única região, mas você pode optar por limitar as instâncias a uma zona, se desejar.
  • No caso em que os intervalos de sub-rede são especificamente escolhidos por você (rede de sub-rede personalizado), a rede pode ter nenhum, um ou muitos intervalos CIDR de sub-rede em uma determinada região.

Intervalos de IP da sub-rede

Intervalos de sub-rede podem ser configurados manual ou automaticamente. Esta seção descreve os dois tipos de intervalo.

Cada sub-rede tem os seguintes endereços reservados:

  • endereço de rede
  • endereço de transmissão
  • endereço de IP do gateway (primeiro endereço no intervalo CIDR)
  • endereço reservado (penúltimo endereço no intervalo CIDR)

O tamanho mínimo de sub-rede que pode ser utilizado é /29.

Intervalos de IP de sub-rede automática

Ao usar uma rede de sub-rede automática, uma sub-rede é criada automaticamente para essa rede em todas as regiões. A tabela a seguir mostra os intervalos de IP mostrados automaticamente e o gateway padrão para cada região. Todas as redes de sub-redes automáticas usam esses intervalos.

Região Intervalo de IP Gateway padrão
us-west1 10.138.0.0/20 10.138.0.1
us-central1 10.128.0.0/20 10.128.0.1
us-east1 10.142.0.0/20 10.142.0.1
europe-west1 10.132.0.0/20 10.132.0.1
asia-east1 10.140.0.0/20 10.140.0.1
asia-northeast1 10.146.0.0/20 10.146.0.1

Intervalos de IP de sub-rede personalizados

Sub-redes criadas manualmente podem usar qualquer intervalo de IP RFC1918 válido. Os intervalos não precisam ser contíguos entre sub-redes. Por exemplo, algumas sub-redes podem usar intervalos de 10.0.0.0/8, enquanto outras usam intervalos do espaço 192.168.0.0/16. Os intervalos precisam ser únicos e não podem se sobrepor em uma rede.

Gerenciamento de recursos de sub-redes

Esta seção mostra como criar sub-redes.

O Guia da ferramenta gcloud tem mais informações sobre os comandos utilizados nestes procedimentos.

Redes e sub-redes

Quando você cria uma nova rede de sub-redes, é possível aceitar as alocações de sub-redes criadas automaticamente ou especificar sua própria com uma rede de sub-redes personalizada.

Não é possível criar uma rede cujo nome seja igual ao de qualquer sub-rede existente no mesmo projeto. Também não é possível criar uma sub-rede cujo nome seja igual ao de uma rede existente no mesmo projeto, exceto quando cada rede pode ter uma sub-rede por região com o mesmo nome da rede pai.

Criação de uma nova rede com intervalos de sub-redes criadas automaticamente

  1. Crie uma nova rede no projeto com sub-redes alocadas automaticamente. O --mode especifica auto, indicando que você gostaria que as sub-redes sejam criadas automaticamente com bloqueios de IP predefinidos. Como se trata de uma rede de sub-rede, não há nenhum intervalo IPv4 ou IP de gateway no nível de rede, por isso nada será exibido.

    gcloud compute networks create auto-network1 \
        --mode auto
    

    NAME          MODE IPV4_RANGE GATEWAY_IPV4
    auto-network1 auto

  2. Liste as sub-redes novas criadas automaticamente.

    gcloud compute networks subnets list
    

    NAME          REGION          NETWORK       RANGE
    auto-network1 asia-east1      auto-network1 10.140.0.0/20
    auto-network1 us-central1     auto-network1 10.128.0.0/20
    auto-network1 europe-west1    auto-network1 10.132.0.0/20

Criação de uma nova rede com intervalos de sub-redes personalizadas

Na atribuição manual de intervalos de sub-redes, crie primeiro uma rede de sub-rede personalizada e depois crie as sub-redes desejadas em uma região. Não é necessário especificar sub-redes para todas as regiões de imediato, ou nem mesmo especificar uma, mas você não pode criar instâncias em regiões que não tenham uma sub-rede definida.

Na criação de uma nova sub-rede, o nome precisa ser único nesse projeto para essa região, mesmo nas redes. O mesmo nome pode aparecer duas vezes em um projeto, desde que cada um esteja em regiões diferentes.

Como se trata de uma rede de sub-rede, não há nenhum intervalo IPv4 ou IP de gateway no nível de rede, por isso nada será exibido.

  1. Crie uma nova rede de sub-rede personalizada em seu projeto.

    gcloud compute networks create custom-network1 \
        --mode custom
    

    NAME            MODE   IPV4_RANGE GATEWAY_IPV4
    custom-network1 custom

  2. Especifique o prefixo de sub-rede da primeira região. Neste exemplo, atribuímos 192.168.1.0/24 à região us-central1.

    gcloud compute networks subnets create subnet-us-central-192 \
        --network custom-network1 \
        --region us-central1 \
        --range 192.168.1.0/24
    

    NAME                  REGION      NETWORK         RANGE
    subnet-us-central-192 us-central1 custom-network1 192.168.1.0/24

  3. Especifique o prefixo de sub-rede da segunda região. Neste exemplo, atribuímos 192.168.5.0/24 à região europe-west1.

    gcloud compute networks subnets create subnet-europe-west-192 \
        --network custom-network1 \
        --region europe-west1 \
        --range 192.168.5.0/24
    

    NAME                   REGION       NETWORK         RANGE
    subnet-europe-west-192 europe-west1 custom-network1 192.168.5.0/24

  4. Especifique o prefixo de sub-rede da terceira região. Neste exemplo, atribuímos 10.1.1.0/24 à região asia-east1.

    gcloud compute networks subnets create subnet-asia-east-192 \
       --network custom-network1 \
       --region asia-east1 \
       --range 10.1.1.0/24
    

    NAME                 REGION     NETWORK         RANGE
    subnet-asia-east-192 asia-east1 custom-network1 10.1.1.0/24

  5. Liste as redes. Se você também criou uma rede de sub-rede automática na seção anterior, essas sub-redes estarão na lista.

    gcloud compute networks subnets list
    

    NAME                           REGION          NETWORK         RANGE
    subnet-europe-west-192         europe-west     custom-network1 192.168.5.0/24
    subnet-us-central-192          us-central1     custom-network1 192.168.1.0/24
    subnet-asia-east-192           asia-east1      custom-network1 10.1.1.0/24

Criação de uma rede legada

Você ainda pode criar uma rede legada (não sub-rede). As redes legadas têm um único intervalo de IP global. Não é possível criar sub-redes em uma rede legada ou mudar de legada para redes de sub-rede automática ou personalizada.

Para criar uma nova rede legada em seu projeto:

gcloud compute networks create legacy-network1 \
    --mode legacy \
    --range 10.240.0.0/16
Created
[https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/networks/legacy-network1].
NAME            MODE   IPV4_RANGE    GATEWAY_IPV4
legacy-network1 legacy 10.240.0.0/16 10.240.0.1

Listagem de sub-redes existentes

Você pode listar todas as sub-redes de um projeto existente.

Liste os detalhes gerais sobre todas as sub-redes.

gcloud compute networks subnets list
NAME                      REGION          NETWORK         RANGE
auto-network1             europe-west1    auto-network1   10.132.0.0/20
subnet-europe-west-192    europe-west     custom-network1 192.168.5.0/24
auto-network1             us-central1     auto-network1   10.128.0.0/20
subnet-us-central-192     us-central1     custom-network1 192.168.1.0/24
subnet-asia-east-192      asia-east1      custom-network1 10.1.1.0/24
auto-network1             asia-east1      auto-network1   10.140.0.0/20

Se desejar, personalize a lista fornecendo parâmetros adicionais.

  • --regions REGION,[REGION,...] Restringir a lista a sub-redes em regiões específicas.
  • --network NETWORK Restringir a lista apenas a sub-redes da rede indicada.

Descrever uma sub-rede existente

O comando describe fornece detalhes sobre a sub-rede indicada.

gcloud compute networks subnets describe subnet-asia-east-192 \
  --region asia-east1
creationTimestamp: '2015-10-21T15:58:35.271-07:00'
gatewayAddress: 192.168.7.1
id: '2048026325272602228'
ipCidrRange: 192.168.7.0/24
kind: compute#subnetwork
name: subnet-asia-east-192
network: https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/networks/custom-network1
region: https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/regions/asia-east1
selfLink: https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/regions/asia-east1/subnetworks/subnet-asia-east-192

Mudar uma rede de automática para personalizada

Você pode alterar uma rede de sub-rede de modo automático para a de modo personalizado.

Após a alteração, a rede de sub-rede de modo personalizado terá os mesmos nomes de sub-rede e intervalos de IP da rede de sub-rede de modo automático original.

Após a mudança, você poderá adicionar novas sub-redes à rede de sub-rede de modo personalizado. Consulte a etapa 2 de Criação de uma nova rede com intervalos de sub-redes personalizadas. Também é possível excluir sub-redes da rede, inclusive as sub-redes automáticas originais.

gcloud compute networks switch-mode NETWORK_NAME --mode custom

Expandir uma sub-rede personalizada

Você pode expandir o intervalo de IP de uma sub-rede em uma rede de sub-rede de modo personalizado, mas não pode reduzi-lo.

Para definir o tamanho da nova sub-rede, especifique a nova máscara de rede. Por exemplo, se o intervalo de IP original for 10.128.131.0/24 e você especificar --prefix-length 20, o novo intervalo será definido como 10.128.128.0/20. O novo intervalo da rede precisa ser maior que o original, ou seja, o valor do comprimento do prefixo precisa ser um número menor. A nova sub-rede não pode sobrepor outras sub-redes na mesma rede em qualquer região. A nova sub-rede precisa estar dentro dos espaços de endereço RFC1918.

Como as sub-redes são identificadas exclusivamente por região e nome, especifique-os no comando.

Dependendo do tamanho e alocação de IP da rede existente, esse comando poderá levar vários segundos e até vários minutos para ser executado. Não será possível criar novas instâncias durante esse tempo, mas as instâncias atuais não serão afetadas. Durante a expansão, as instâncias existentes podem ser acessadas e podem passar tráfego.

gcloud compute networks subnets expand-ip-range [SUBNET_NAME]
  --network [NETWORK_NAME]
  --region [REGION]
  --prefix-length [PREFIX_LENGTH]
  • --prefix-length - o novo comprimento do prefixo numérico da sub-rede. Ele precisa ser menor que o comprimento do prefixo existente. Por exemplo, se a sub-rede atual é /24, o novo comprimento do prefixo precisa ser 23 ou menor.

Excluir uma sub-rede ou rede

Você pode excluir qualquer sub-rede do projeto. Pode também excluir uma rede inteira. Mas não pode excluir uma rede ou sub-rede que ainda tenha instâncias ou recursos.

Excluir uma sub-rede

Somente as sub-redes criadas manualmente podem ser excluídas. As sub-redes criadas automaticamente não podem ser excluídas de maneira individual. É necessário excluir a rede inteira.

Não é possível excluir sub-redes quando ainda há instâncias ou outros recursos criados manualmente que as utilizam.

gcloud compute networks subnets delete subnet-asia-east-192 \
    --region asia-east1
The following subnetworks will be deleted:
 - [subnet-asia-east-192] in [asia-east1]
Do you want to continue (Y/n)?  y
Deleted [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/regions/asia-east1/subnetworks/subnet-asia-east-192].

Excluir uma rede

No caso de rede legada, você poderá excluir explicitamente o recurso da rede somente se ele não for usado por outros recursos.

No caso de rede de sub-rede automática, você poderá excluir explicitamente o recurso da rede somente se:

  • não houver nenhuma de suas sub-redes filhas em uso por qualquer outro recurso; e
  • o recurso da rede não estiver sendo usado por outros recursos.

Os exemplos de recursos que restringem a exclusão acima mencionada incluem: firewalls, rotas personalizadas, instâncias, gateways de VPN de destino e roteadores.

No caso de rede de sub-rede personalizada, ela só poderá ser excluída se todas as sub-redes filhas forem excluídas.

Para excluir a rede:

gcloud compute networks delete auto-network1
The following networks will be deleted:
 - [auto-network1]
Do you want to continue (Y/n)?  y
Deleted [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/networks/auto-network1].

Sub-redes e outros recursos

Esta seção descreve como sub-redes referem-se a outros recursos do Google Cloud Platform que dependem de sub-redes.

Sub-redes e instâncias

Uma sub-rede abrange todas as zonas dentro da região na qual ela foi criada. No entanto, ao criar uma instância, você especifica a zona e a região nas quais ela se encontra. Assim, você pode criar um conjunto de casos em subnetwork1 e zone1 de region1 enquanto outro conjunto de instâncias está em subnetwork2 e zone2 de region1.

Criar uma instância em uma sub-rede

Este comando cria uma instância na sub-rede e zona especificadas. Observe que você não pode especificar os parâmetros --network e --subnet para esse comando. Para outros parâmetros de instância não relacionados a sub-redes, consulte criar instâncias de computação do gcloud na documentação do Cloud SDK.

gcloud compute instances create instance1 \
   --zone us-central1-a \
   --subnet subnet-us-central-192
Created [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/zones/us-central1-a/instances/instance1].
NAME      ZONE          MACHINE_TYPE  PREEMPTIBLE INTERNAL_IP EXTERNAL_IP   STATUS
instance1 us-central1-a n1-standard-1             192.168.1.4 70.32.154.181 RUNNING

Sub-redes e balanceamento de carga

Grupos de instâncias que são os alvos do balanceamento de carga têm que ser incluídos em uma única sub-rede.

Quando você associa um grupo de instâncias não gerenciadas com um serviço de back-end, o sistema verifica se todas as instâncias estão na mesma sub-rede. Se não estiverem todas na mesma sub-rede, a operação retorna um erro.

Ao criar um grupo de instâncias gerenciadas para o balanceamento de carga de HTTP(S), é possível especificar uma sub-rede no Modelo de instância usado por esse grupo. Se a rede estiver em modo de sub-rede automático, a sub-rede é opcional. Se a rede estiver no modo personalizado, a sub-rede é obrigatória.

Se criar um grupo de instâncias que abrange sub-redes, você não poderá usar esse grupo de instâncias em um serviço de back-end.

Além disso, grupos de instâncias gerenciadas não podem ser atualizados para usar um modelo de instância que tem uma rede ou sub-rede diferente daquele originariamente definido.

Criar um modelo de instância que especifica uma sub-rede

Agora os comandos do modelo de instância têm sinalizações --subnet e --region opcionais que você pode usar para que as novas instâncias criadas sejam colocadas na sub-rede de sua escolha. Lembre-se que a sub-rede não pode ser alterada no modelo de instância depois que o modelo for criado. A sinalização --subnet requer a sinalização --region. A sub-rede precisa já existir para você incluí-la em um modelo de instância.

Neste exemplo, foi criado um modelo chamado template-qa que só cria instâncias na sub-rede subnet-us-qa.

gcloud compute instance-templates create template-qa \
    --region us-central1 \
    --subnet subnet-us-qa
Created [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/instanceTemplates/template-qa].
NAME        MACHINE_TYPE  PREEMPTIBLE CREATION_TIMESTAMP
template-qa n1-standard-1             2015-10-23T20:34:00.791-07:00

Usar esse modelo para criar instâncias em um grupo de instâncias gerenciadas (com ou sem o escalonamento automático) cria automaticamente a instância na região e sub-redes especificadas. Com isso, você pode controlar a sub-rede das novas instâncias criadas para balanceamento de carga.

Sub-redes e regras de firewall

Firewalls são recursos globais anexados a uma única rede, mas não a recursos regionais. As regras de firewall são aplicáveis a todas as instâncias em uma rede. Isso significa que você pode adicionar uma regra de firewall que permite o tráfego entre instâncias de uma mesma rede, até mesmo entre sub-redes.

As regras de firewall padrão aplicadas à rede padrão permanecem as mesmas. Além disso, qualquer regra de firewall existente que você criou permanece inalterada. Qualquer rede que você criar posteriormente em um projeto não tem terá regras de firewall padrão. Na falta de regras de firewall, toda a comunicação de entrada será bloqueada por padrão. As regras de firewall têm de ser criadas conforme necessário para permitir o tráfego em instâncias em redes não padrão.

Redes criadas pelo usuário não contêm regras de firewall padrão. Você tem que criar regras de firewall específicas para permitir que o tráfego flua entre as sub-redes criadas.

Para duas sub-redes troquem tráfego, autorizações “permitir” têm que ser configuradas nas duas direções.

Consulte Gerenciamento de firewalls para documentação detalhada.

Isolamento de sub-redes

Na rede padrão, por causa das regras de firewall padrão descritas acima, todas as instâncias de máquinas virtuais de uma rede podem se comunicar entre si por padrão. Por outro lado, as redes definidas pelo usuário não têm regras de firewall padrão, portanto, instâncias não podem ser alcançadas, mesmo por outras instâncias, até você definir regras de firewall apropriadas.

Normalmente, todas as regras de firewall se aplicam a todas as instâncias na rede. No entanto, você pode adicionar tags a determinadas instâncias e usá-las em regras de firewall, criando, assim, regras aplicáveis apenas a determinadas instâncias. Tags podem ser aplicadas individualmente ou por meio de modelos de instância. Você pode usar essas tags para criar isolamento adicional entre sub-redes, permitindo seletivamente que apenas determinadas instâncias se comuniquem. Se você organizar para que todas as instâncias em uma sub-rede compartilhem a mesma tag, é possível especificar que essa tag em regras de firewall simulem um firewall por sub-rede. Por exemplo, você pode marcar todas as instâncias na sub-net-a com a tag tag-sub-net-a e usar essa tag nas tags de destino da regra de destino. Você também pode usar intervalos de origem em regras de firewall.

Vamos supor que você tem uma rede my-network com três sub-redes:

  • subnet-a com o prefixo IP 192.168.2.0/24
  • subnet-b com o prefixo IP 10.128.0.0/16
  • subnet-c com o prefixo IP 10.240.0.0/16
Diagrama demonstrando o isolamento de sub-redes
Diagrama demonstrando o isolamento de sub-redes

A comunicação é permitida entre a subnet-a e qualquer outra sub-rede, mas tem que ser bloqueada entre a subnet-b e a subnet-c:

Estas são as etapas de configuração necessárias:

  1. Marque as instâncias nas sub-redes. Configure todas as suas instâncias em uma sub-rede com uma tag em comum. Por exemplo, tag-subnet-a para a sub-rede subnet-a:

    gcloud compute instances add-tags example-instance-subnet-a \
        --tags tag-subnet-a --zone us-central1-b
    

    Updated [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/zones/us-central1-b/instances/example-instance-subnet-a].

    Tag example-instance-subnet-b:

    gcloud compute instances add-tags example-instance-subnet-b \
       --tags tag-subnet-b
    

    Updated [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/zones/us-central1-b/instances/example-instance-subnet-b].

    Tag example-instance-subnet-c:

    gcloud compute instances add-tags example-instance-subnet-c \
       --tags tag-subnet-c
    

    Updated [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/zones/us-central1-b/instances/example-instance-subnet-c].

    Observe que você pode marcar suas instâncias no horário da criação usando o parâmetro --tags comando (gcloud compute instances create.

    Se todas as suas instâncias na sub-rede são do mesmo tipo, é possível agrupá-las em um grupo de instâncias gerenciadas e usar um modelo de instância para aplicar a mesma tag a elas automaticamente.

  2. Crie as regras de firewall para permitir a comunicação entre subnet-a e subnet-b e entre subnet-a e subnet-c.

    Permitir o tráfego originado no CIDR de subnet-a (192.168.2.0/24) a todas as instâncias pertencentes a subnet-b (marcada com tag-subnet-b) e a subnet-c (marcada com tag-subnet-c):

    gcloud compute firewall-rules create allow-subnet-a \
         --allow tcp,udp,icmp \
         --source-ranges 192.168.2.0/24 \
         --target-tags tag-subnet-b,tag-subnet-c
    

    Created [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/firewalls/allow-subnet-a].
    NAME           NETWORK    SRC_RANGES    RULES        SRC_TAGS TARGET_TAGS
    allow-subnet-a my-network 19.168.2.0/24 tcp,udp,icmp          tag-subnet-a,tag-subnet-c

  3. Permitir o tráfego originado no CIDR de subnet-b (10.128.0.0/16) a todas as instâncias pertencentes apenas a subnet-a (marcada com tag-subnet-a):

    gcloud compute firewall-rules create allow-subnet-b \
       --allow tcp,udp,icmp \
       --source-ranges 10.128.0.0/16 \
       --target-tags tag-subnet-a
    

    Created [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/firewalls/allow-subnet-b].
    NAME           NETWORK    SRC_RANGES    RULES        SRC_TAGS TARGET_TAGS
    allow-subnet-b my-network 10.128.0.0/16 tcp,udp,icmp          tag-subnet-a

  4. Permitir o tráfego originado no CIDR de subnet-c (10.240.0.0/16) a todas as instâncias pertencentes apenas a subnet-a (marcada com tag-subnet-a):

    gcloud compute firewall-rules create allow-subnet-c \
       --allow tcp,udp,icmp \
       --source-ranges 10.240.0.0/16 \
    

    Created [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/global/firewalls/allow-subnet-c].
    NAME           NETWORK    SRC_RANGES    RULES        SRC_TAGS TARGET_TAGS
    allow-subnet-c my-network 10.240.0.0/16 tcp,udp,icmp          tag-subnet-a

O isolamento das sub-redes B e C é conseguido não permitindo explicitamente a troca de tráfego entre B e C.

Sub-redes e rotas

Rotas são recursos globais anexados a uma única rede, mas não a recursos regionais. As rotas criadas pelo usuário se aplicam a todas as instâncias de uma rede. Isso significa que você pode adicionar uma rota que encaminhe o tráfego de uma instância para outra dentro da mesma rede e até mesmo entre sub-redes, sem precisar de endereços IP externos. Por padrão, existem rotas entre sub-redes.

Rotas padrão

Algumas rotas são criadas quando você cria uma rede ou se você criar uma rede legada.

Para redes de sub-rede

São criadas as seguintes rotas:

  • Uma rota padrão para tráfego da Internet (0/0) é criada quando a rede é criada.
  • É criada uma rota para cada sub-rede que é criada. Essas rotas são para o tráfego local da rede. As instâncias de VM de qualquer sub-rede podem enviar tráfego para instâncias da mesma sub-rede ou de qualquer outra dessa rede. Essa rota é deduzida da cota geral de rotas. Atualmente, a cota geral de rotas para um projeto é de 100, e cada sub-rede criada usa uma rota da cota. Observe que as redes que você cria não têm regras de firewall ainda, por isso, embora existam rotas apontando para instâncias, o firewall impedirá o tráfego para instâncias até essas regras serem adicionadas.
Para redes legadas

Duas rotas são criadas no momento em que a rede é criada.

  • Uma rota padrão para tráfego da Internet (0/0) é criada quando a rede é criada.
  • Uma rota de rede virtual é definida para o intervalo de IP de destino dentro do intervalo IPv4 da rede. Na rede legada padrão, para permitir o tráfego entre instâncias desde o início, regras de firewall padrão também são criadas automaticamente. Para redes legadas criadas manualmente, é preciso criar regras de firewall que permitam tráfego de entrada para instâncias.

Veja no comando gcloud compute routes create as instruções para criar rotas adicionais.

Rotas e túneis VPN

Se quiser aplicar rotas a uma sub-rede apenas, você tem que aplicar rotas especificamente às instâncias que integram a sub-rede.

Considere um cenário em que você tem uma rede com duas redes de sub-rede personalizadas: subnet-a e subnet-b . Você deseja rotear o tráfego de subnet-a para o túnel VPN a fim de alcançar a rede de mesmo nível, mas não é necessário que subnet-b seja capaz de rotear o tráfego pelo tunnel-a VPN.

Diagrama de roteamento de tráfego de uma única sub-rede a um túnel VPN
class=Diagrama de roteamento de tráfego de uma única sub-rede a um túnel VPN" class="l10n-absolute-url-src">

A seguir, as etapas para aplicar rotas apenas a subnet-a no cenário acima:

  1. Configure todas as suas instâncias em uma sub-rede-a com uma tag comum (por exemplo, tag-subnet-a):

    gcloud compute instances add-tags example-instance-subnet-a \
        --tags tag-subnet-a
    

    Updated [https://www.googleapis.com/compute/latest/projects/[PROJECT_ID]/zones/us-central1-b/instances/example-instance-subnet-a].

    Observe que você pode marcar suas instâncias no horário da criação usando o parâmetro --tags do comando (gcloud compute instances.

  2. Adicione uma rota estática a todas as instância em subnet-a. Essa rota tem o prefixo de mesmo nível de destino 192.168.1.0/24 e o próximo salto de tunnel-a.

    gcloud compute routes create route-via-tunnel \
        --destination-range 192.168.1.0/24 \
        --network my-network \
        --tags tag-subnet-a \
        --next-hop-vpn-tunnel tunnel-a
    

Sub-redes e VPN

Sub-redes permitem que instâncias sejam agrupadas por um prefixo de IP comum. Esse agrupamento é útil para configurar uma VPN baseada em política (rotas estáticas). Sub-redes aprimoram a funcionalidade da VPN do Cloud fornecendo controle sobre o que prefixos IP precisam para serem anunciados em VPNs baseadas em política ao permitir que o dispositivo VPN no local configure a política de roteamento baseada em prefixos de sub-rede, o que provavelmente reduz a latência entre redes locais e na nuvem.

Considere a seguinte configuração. Para executar instâncias em duas regiões sem sub-redes, você vai precisar desta topologia:

Diagrama de uma VPN sem sub-redes (clique para ampliar)
class=Diagrama de uma VPN sem sub-redes (clique para ampliar)" class="l10n-absolute-url-src">

Com uma rede legada não há nenhum controle sobre as alocações de IP, o prefixo IP é fragmentado entre as regiões da costa leste dos EUA e da Europa. Quando seu gateway de VPN local precisa tomar uma decisão de roteamento ele não tem outra opção a não ser recorrer ao ECMP de pacotes entre os dois links.

Quando um host em redes locais enviam a instâncias na Europa, cerca de 50% destes pacotes viajam pela região da costa leste dos EUA, ampliando potencialmente a latência da VPN.

Com sub-redes, se você define duas sub-redes, como 10.240.1.0/24 para o leste dos EUA e 10.240.2.0/24 para a Europa, elas terão a topologia ilustrada no diagrama a seguir.

Diagrama de uma VPN com sub-redes (clique para ampliar)
class=Diagrama de uma VPN com sub-redes (clique para ampliar)" class="l10n-absolute-url-src">

Com esta abordagem, o seu gateway de VPN de mesmo nível tem uma tabela de roteamento que permite direcionar pacotes à região correta a partir da localização da instância, reduzindo assim a latência média.

Sub-redes permitem agrupar as instâncias regionalmente com um prefixo IP comum. Esse prefixo IP agrupado regionalmente agrupados pode anunciado estaticamente durante a criação do túnel VPN. Os usuários têm a flexibilidade de escolher quais prefixos de sub-rede precisam ser anunciados para o ponto de extremidade da VPN de mesmo nível no momento da criação do túnel VPN.

Criação de um gateway de VPN do Compute Engine

A criação do gateway da VPN do Compute Engine não muda com a sub-rede. Consulte a documentação do Cloud SDK gcloud compute target-vpn-gateways create.

Criação de um túnel VPN

Para criar um túnel VPN, especifique os intervalos de IP para o túnel e roteie o tráfego ao túnel.

O seletor de tráfego é um acordo entre pares IKE para permitir o tráfego através de um túnel se o tráfego corresponder aos endereços especificados. Com sub-redes, você tem que especificar quais intervalos de CIDR do Google Cloud Platform são válidos para um túnel VPN. Esses intervalos são especificados no campo Intervalos de IP local no Cloud Platform Console e o campo --local_traffic_selector na ferramenta da linha de comando gcloud. Esses intervalos são configurados quando o túnel é criado e não podem ser alterados posteriormente porque são usados durante o handshake de IKE na conexão.

O número máximo de intervalos CIDR especificados no seletor de tráfego é 128.

Em algumas configurações de VPN, gateways permitem a passagem de tráfego que não foi especificado no seletor de tráfego durante o handshake de IKE. Para ter um comportamento consistente e previsível da VPN, verifique se as rotas destinadas ao túnel correspondem aos prefixos especificados durante a criação do túnel.

Seletor de tráfego e redes de sub-redes automáticas

Se a rede do gateway da VPN for uma rede de sub-rede automática, o intervalo CIDR da sub-rede na mesma região que o gateway da VPN será anunciado automaticamente para a VPN de mesmo nível. Se você deseja apenas que a sub-rede use o túnel, não é preciso especificar manualmente o seletor de tráfego. Você tem que especificar uma rota como mostrado nas etapas abaixo.

Se você tem uma rede de sub-redes automática e quer que outras sub-redes usem o túnel além daquela que contém o gateway, você precisa especificar esses intervalos e criar rotas para eles. Se usar esse campo, você tem até que especificar o local da sub-rede ao gateway.

Se estiver usando uma rede de sub-rede automática e não especificar o seletor de tráfego, você receberá o comportamento padrão, que é quando o local da sub-rede ao gateway da VPN do Cloud será usada para criar o túnel.

Seletor de tráfego e redes de sub-rede personalizadas

Se a rede do gateway da VPN é uma rede sub-rede personalizada, nenhum prefixo IP é anunciado para o VPN de mesmo nível por padrão. É preciso usar o seletor de tráfego para especificar os prefixos IP para as sub-redes que serão roteadas pelo túnel. Também é preciso especificar rotas para que o tráfego alcance o túnel.

Seletor de tráfego e redes legadas

Se sua rede for uma rede legada, toda a rede será anunciada por padrão para o túnel. Caso você queira restringir o anúncio a um intervalo menor de instâncias, poderá usar o campo do seletor de tráfego para fazer isso. No entanto, como os endereços IP de uma rede legada não são alocados de maneira previsível entre regiões, isto pode resultar em um desempenho ineficiente de sua VPN. Essa degradação de desempenho se deve ao impacto do roteamento de múltiplos caminhos de custo igual (ECMP, na sigla em inglês) durante o uso de várias regiões, como descrito no exemplo acima.

Configuração de VPN nos diferentes tipos de redes

Redes de sub-redes automáticas
Configuração de uso da VPN à sub-rede na região onde existe gateway de VPN

Em uma rede de sub-rede automática, uma sub-rede é criada automaticamente com um intervalo CIDR predefinido para cada região da rede. Para um túnel VPN associado a uma rede de sub-redes automática, se o parâmetro --local-traffic-selector for omitido, somente o prefixo IP da sub-rede na mesma região do gateway da VPN é anunciado para o par remoto.

Considere o seguinte cenário em uma rede de sub-redes automática, em que apenas subnetwork-b, localizada na mesma região que a VPN, pode usar o túnel e não outras sub-redes em outras regiões:

Diagrama para configurar uma VPN para usar uma sub-rede em uma região onde existe um gateway de VPN (clique para ampliar)
Diagrama para configurar uma VPN para usar uma sub-rede em uma região onde existe um gateway de VPN (clique para ampliar)

Para criar um túnel VPN com uma sub-rede criada automaticamente, use as instruções de VPN normais, mas altere as seguintes etapas, conforme mostrado:

Etapa 2: crie um gateway de VPN na rede my-autosubnet-network e na região region-b.

gcloud compute target-vpn-gateways create target-vpn-gateway-b \
    --network my-autosubnet-network \
    --region region-b

Etapa 7: crie o túnel VPN tunnel-b :

    gcloud compute vpn-tunnels create tunnel-b \
       --peer-address [PEER_IP_ADDRESS] \
       --region region-b \
       --shared-secret [SHARED_SECRET] \
       --target-vpn-gateway target-vpn-gateway-b

Como --local-traffic-selector foi omitido, apenas a subnetwork-b CIDR 10.130.0.0/16 é anunciada durante a criação do túnel. Em outras palavras, somente o tráfego de instâncias na subnetwork-b será permitido através de VPN tunnel-b .

Etapa 8: adicione uma rota estática a todas as instâncias na subnetwork-b. Essa rota tem o prefixo de mesmo nível de destino 192.168.0.0/16 e o próximo salto de tunnel-b.

gcloud compute routes create route-via-tunnel \
    --destination-range 192.168.0.0/16 \
    --network my-autosubnet-network \
    --next-hop-vpn-tunnel-region region-b \
    --next-hop-vpn-tunnel tunnel-b
Configuração de uso da VPN por sub-redes em outras regiões

Em uma rede de sub-redes automática, você pode especificar os prefixos IP que são anunciados durante o handshake. Isso permite incluir outros prefixos além do local, o que permite que as sub-redes que utilizam esses prefixos usem o túnel também.

Por exemplo, para permitir que a sub-rede na região-a para enviar e receber tráfego através do túnel na região-b, configurar que a gama 10.128.0.0/16 para ser utilizado na troca de IKE tunnel-b .

Considere o seguinte cenário no qual existe um túnel de VPN na região-b que pode ser usado pela sub-rede-a na região-a:

Diagrama para configurar uma VPN para uso em qualquer sub-rede em qualquer região (clique para ampliar)
Diagrama para configurar uma VPN para uso em qualquer sub-rede em qualquer região (clique para ampliar)

Para criar um túnel VPN com uma sub-rede criada automaticamente e especificando --local-traffic-selector, use as instruções de VPN normais, mas altere as seguintes etapas, conforme mostrado. Observe que por estar usando --local-traffic-selector parameter, todas as redes necessárias, incluindo o local da rede ao túnel, têm que ser especificadas.

Etapa 2: crie um gateway de VPN na rede my-autosubnet-network e na região region-b.

gcloud compute target-vpn-gateways create target-vpn-gateway-b \
     --network my-autosubnet-network \
     --region region-b

Etapa 7: crie um túnel VPN tunnel-b:

gcloud compute vpn-tunnels create tunnel-b \
     --peer-address PEER_IP_ADDRESS \
     --region region-b \
     --shared-secret SHARED_SECRET \
     --local-traffic-selector 10.128.0.0/16,10.130.0.0/16 \
     --target-vpn-gateway target-vpn-gateway-b

Ao adicionar --local-traffic-selector com CIDRs de subnetwork-a (10.128.0.0/16) e subnetwork-b (10.128.0.0/16), o tráfego de qualquer instância dessas sub-redes terá permissão de atravessar o túnel.

Etapa 8: adicione uma tag comum a todas suas instâncias em subnetwork-a e subnetwork-b:

gcloud compute instances add-tags example-instance-subnet-a \
    --tags tag-subnet-a
gcloud compute instances add-tags example-instance-subnet-b \
    --tags tag-subnet-b

Etapa 9: adicione uma rota estática a todas suas instâncias em subnetwork-a e subnetwork-b: Essa rota tem o prefixo de mesmo nível de destino 192.168.0.0/16 e o próximo salto de tunnel-b.

gcloud compute routes create route-via-tunnel \
    --destination-range 192.168.0.0/16 \
    --network my-autosubnet-network \
    --next-hop-vpn-tunnel-region region-b \
    --next-hop-vpn-tunnel tunnel-b \
    --tags tag-subnet-a,tag-subnet-b
Redes de sub-redes personalizadas
Configuração de uso da VPN por uma determinada sub-rede

Em redes de sub-rede personalizada, pode haver uma ou mais sub-redes para uma rede na região, e os intervalos de IP associados a essas sub-redes são configurados por você. Portanto, os prefixos IP a serem anunciados precisam sempre ser configurados no --local-traffic-selector . A falta de --local-traffic-selector configurado no túnel VPN em uma rede de sub-rede personalizada retornará um erro.

Considere o seguinte cenário onde existe uma rede de sub-rede personalizada com uma sub-rede-a na região-a com o intervalo CIDR 172.16.0.0/16 e uma sub-rede-b na região-b com o intervalo CIDR 10.21.0.0/16 . Com a configuração a seguir, a VPN na region-b pode ser usada APENAS pela subnetwork-b:

Diagrama para configurar uma VPN a fim de usar uma sub-rede personalizada em qualquer região (clique para ampliar)
class= Diagrama para configurar uma VPN a fim de usar uma sub-rede personalizada em qualquer região (clique para ampliar)" class="l10n-absolute-url-src">

Para criar um túnel VPN com uma sub-rede personalizada, use as instruções de VPN normais, mas altere as seguintes etapas, conforme mostrado:

Etapa 2: crie um gateway de VPN na rede my-custom-network e na região region-b.

gcloud compute target-vpn-gateways create target-vpn-gateway-b \
    --network my-custom-network \
    --region region-b

Etapa 7: crie um túnel VPN tunnel-b:

    gcloud compute vpn-tunnels create tunnel-b \
       --peer-address [PEER_IP_ADDRESS] \
       --region region-b \
       --shared-secret [SHARED_SECRET] \
       --local-traffic-selector 10.21.0.0/16 \
       --target-vpn-gateway target-vpn-gateway-b

Você tem que adicionar --local-traffic-selector como o CIDR de subnetwork-b. Um erro será retornado se não houver nenhum --local-traffic-selector configurado no túnel VPN em uma rede de sub-rede personalizada.

Etapa 8: adicione uma tag comum a todas as suas instâncias na subnetwork-b:

gcloud compute instances add-tags example-instance-subnet-b \
    --tags tag-subnet-b

Etapa 9: adicione uma rota estática a todas as instâncias na subnetwork-b. Essa rota tem o prefixo de mesmo nível de destino 192.168.0.0/16 e o próximo salto de tunnel-b.

gcloud compute routes create route-via-tunnel \
    --destination-range 192.168.0.0/16 \
    --network my-custom-network \
    --tags tag-subnet-b \
    --next-hop-vpn-tunnel-region region-b \
    --next-hop-vpn-tunnel tunnel-b

Perguntas frequentes

Endereçamento

P: Posso transformar uma rede legada em uma rede de sub-rede?

R: Redes legadas não podem ser convertidas em redes de sub-redes.

P: Quais são os prefixos IP válidos para sub-redes?

R: O espaço de endereço particular como definido por RFC 1918 são os prefixos IP válidos para sub-redes.

P: As sub-redes têm prefixos IP sobrepostos?

R: Em uma rede, duas sub-redes não podem ter prefixos IP sobrepostos. Duas sub-redes em duas redes diferentes podem ter prefixos IP duplicados ou sobrepostos.

P: Prefixos IP de sub-redes em uma rede única devem ser contíguos?

R: As sub-redes em uma rede única não precisam ser contíguas e podem ter prefixos IP discretos. Exemplo: lab-subnetwork (10.240.1.0/24) e prod-subnetwork (192.168.1.0/24) é uma configuração de sub-rede válida.

P: Quero limitar todas as minhas instâncias a uma única zona e a uma única sub-rede. Como posso atingir o escopo por zonas?

R: Quando criar instâncias, selecione sempre a mesma zona e sub-rede.

P: Sub-redes criadas automaticamente têm sempre os mesmos intervalos de IP em cada região?

R: Sim, consulte Intervalos de IP configurados automaticamente.

Rotas e firewalls

P: Instâncias em sub-redes de uma mesma rede se comunicam entre si por padrão?

R: Sim. Todas as instâncias em uma mesma rede podem se comunicar entre si, até mesmo entre sub-redes usando endereços IP internos. No entanto, no caso de redes criadas por usuários, regras de firewall precisam ser criadas para permitir isso.

P: Eu posso impedir duas sub-redes em uma rede de se comunicar?

R: Sim, sub-redes de uma rede podem ser bloqueadas de trocarem tráfego entre si com a aplicação de regras de firewall. Consulte Isolamento de sub-redes.

VPN

P: Criei uma VPN para uma rede de sub-rede automática e só consigo usá-la da sub-rede que é co-localizada na mesma região por padrão. Posso usar a VPN globalmente para redes de sub-redes automáticas, como fiz com redes legadas?

R: Consulte Configuração da VPN na rede de sub-rede automática.

Cenários

P: Em quais cenários as redes de sub-redes automáticas são recomendadas?

R: Redes de sub-redes automáticas são uma configuração de início rápido para usuários que querem priorizar a implementação de aplicativos, em vez de definir topologias de rede e o endereçamento IP.

P: Como implementar um aplicativo de várias camadas (Web, API, DB) em uma única rede, mas com a capacidade de isolar cada camada da maneira desejada?

R: Durante a criação da rede, crie uma rede de sub-rede personalizada. Crie três sub-redes, uma para cada camada. Por exemplo, 10.240.10.0/24 (Web), 10.240.30.0/24 (API), 10.240.50.0/24 (DB). Consulte Isolamento de sub-redes para isolar as sub-redes Web e DB, e vice versa.

P: Como implementar um ambiente Dev, Test e Prod para o meu aplicativo em uma rede única, e ainda isolar cada ambiente entre si?

R: Durante a criação da rede, crie uma rede de sub-rede personalizada. Crie três sub-redes, uma para cada ambiente. Por exemplo, 10.240.10.0/24 (Dev), 192.168.10.0/24 (Test) e 172.16.10.0/24 (Prod). Consulte Isolamento de sub-redes para isolar os ambientes entre si.

P: Como implementar e isolar instâncias de aplicativos de várias camadas?

R: Antes de sub-redes, os usurário criaram uma rede por locatário do seu aplicativo multilocatário e uma rede para serviços/aplicativos compartilhados (por exemplo, Licença, Faturamento). Para se comunicar com o aplicativo de locatários de outra rede, o aplicativo de serviços compartilhados precisa ter IPs externos.

Sub-redes simplificam o modelo de implementação de aplicativos multilocatários. Agora os usuários podem criar uma sub-rede personalizada por locatário. Aplicativos de locatários em cada sub-rede podem ser isolados entre si. Serviços/aplicativos compartilhados podem estar em outra sub-rede, mas com a capacidade de atingir todas as sub-redes de locatários.

Monitore seus recursos de onde você estiver

Instale o app do Google Cloud Console para ajudar você a gerenciar seus projetos.

Enviar comentários sobre…

Compute Engine Documentation