Muitos Google Cloud recursos podem ter endereços IP internos e endereços IP externos. Por exemplo, pode atribuir um endereço IP interno e externo a instâncias do Compute Engine. As instâncias usam estes endereços para comunicar com outros recursos Google Cloud e sistemas externos.
Cada interface de rede usada por uma instância tem de ter um endereço IPv4 interno principal. Cada interface de rede também pode ter um ou mais intervalos IPv4 de alias e um endereço IPv4 externo. Se a instância estiver ligada a uma sub-rede que suporte IPv6, cada interface de rede também pode ter endereços IPv6 internos ou externos atribuídos.
Uma instância pode comunicar com instâncias na mesma rede de nuvem privada virtual (VPC), usando o endereço IPv4 interno da instância. Se as instâncias tiverem o IPv6 configurado, também pode usar um dos endereços IPv6 internos ou externos da instância. Como prática recomendada, use endereços IPv6 internos para comunicação interna.
Para comunicar com a Internet, pode usar um endereço IPv4 externo ou um endereço IPv6 externo configurado na instância. Se não estiver configurado nenhum endereço externo na instância, pode usar o Cloud NAT para o tráfego IPv4.
Da mesma forma, tem de usar o IPv4 externo ou o IPv6 externo da instância para estabelecer ligação a instâncias fora da mesma rede VPC. No entanto, se as redes estiverem ligadas de alguma forma, como através da interligação de redes VPC, pode usar o endereço IP interno da instância.
Para obter informações sobre como identificar o endereço IP interno e externo das suas instâncias, consulte o artigo Veja a configuração de rede de uma instância.
Endereços IP internos
As interfaces de rede de uma instância são atribuídas a endereços IP da sub-rede à qual estão ligadas. Cada interface de rede tem um endereço IPv4 interno principal, que é atribuído a partir do intervalo IPv4 principal da sub-rede. Se a sub-rede tiver um intervalo IPv6 interno, além do endereço IPv4 interno principal, pode configurar opcionalmente a interface de rede com um endereço IPv6 interno principal.
Os endereços IPv4 internos podem ser atribuídos das seguintes formas:
- O Compute Engine atribui automaticamente um único endereço IPv4 dos intervalos de sub-rede IPv4 primários.
- Atribui um endereço IPv4 interno específico quando cria uma instância de computação, quer usando um endereço IPv4 interno estático reservado, quer especificando um endereço IPv4 interno efémero personalizado.
Os endereços IPv6 internos podem ser atribuídos a instâncias ligadas a uma sub-rede que tenha um intervalo IPv6 interno das seguintes formas:
- Quando configura um endereço IPv6 interno na vNIC de uma instância, o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 interno da sub-rede. - Atribui um endereço IPv6 interno específico quando cria uma instância, quer usando um endereço IPv6 interno estático reservado, quer especificando um endereço IPv6 interno efémero personalizado.
Também pode reservar um endereço interno estático do intervalo IPv4 ou IPv6 da sub-rede e atribuí-lo posteriormente a uma instância.
As instâncias de computação também podem ter endereços e intervalos de IP de alias. Se tiver mais do que um serviço em execução numa instância, pode atribuir a cada serviço o seu próprio endereço IP exclusivo.
Nomes DNS internos
Google Cloud resolve automaticamente o nome DNS totalmente qualificado (FQDN) de uma instância para os endereços IP internos da instância. Os nomes DNS internos só funcionam na rede VPC da instância.
Para mais informações acerca dos nomes de domínio totalmente qualificados (FQDN), consulte o artigo DNS interno.
Endereços IP externos
Se precisar de comunicar com a Internet ou com recursos noutra rede VPC, pode atribuir um endereço IPv4 ou IPv6 externo a uma instância. Se as regras de firewall ou as políticas de firewall hierárquicas permitirem a ligação, as origens externas a uma rede VPC podem alcançar um recurso específico através do respetivo endereço IP externo. Apenas os recursos com um endereço IP externo podem comunicar diretamente com recursos fora da rede VPC. A comunicação com um recurso através de um endereço IP externo pode causar cobranças adicionais.
Os endereços IPv4 externos podem ser atribuídos das seguintes formas:
- O Compute Engine atribui automaticamente um endereço IPv4 dos intervalos de endereços IPv4 externos da Google.
Atribui um endereço IPv4 externo específico quando cria uma instância através de um endereço IPv4 externo estático reservado.
Para mais informações, consulte o artigo Onde posso encontrar intervalos de IP do Compute Engine.
Os endereços IPv6 externos podem ser atribuídos a instâncias ligadas a uma sub-rede que tenha um intervalo IPv6 externo das seguintes formas:
- Quando configura um endereço IPv6 externo na vNIC de uma instância, o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 externo da sub-rede. - Atribui um endereço IPv6 externo específico quando cria uma instância, quer usando um endereço IPv6 externo estático reservado ou especificando um endereço IPv6 externo efémero personalizado.
Alternativas à utilização de um endereço IP externo
Os endereços IP internos ou privados oferecem várias vantagens em relação aos endereços IP externos ou públicos, incluindo:
- Superfície de ataque reduzida. A remoção de endereços IP externos de instâncias de computação torna mais difícil para os atacantes alcançar as instâncias e explorar potenciais vulnerabilidades.
- Maior flexibilidade. A introdução de uma camada de abstração, como um balanceador de carga ou um serviço NAT, permite uma entrega de serviços mais fiável e flexível em comparação com endereços IP externos estáticos.
A tabela seguinte resume as formas como as instâncias de computação podem aceder ou ser acedidas a partir da Internet quando não têm um endereço IP externo.
| Método de acesso | Solução | Mais adequado quando |
|---|---|---|
| Interativo | Configure o encaminhamento TCP para o Identity-Aware Proxy (IAP) | Quer usar serviços administrativos, como SSH e RDP, para estabelecer ligação às suas instâncias de back-end, mas os pedidos têm de passar por verificações de autenticação e autorização antes de chegarem ao respetivo recurso de destino. |
| A obter | Gateway do Cloud NAT | Quer que as suas instâncias do Compute Engine que não têm endereços IP externos se liguem à Internet (saída), mas os anfitriões fora da sua rede VPC não podem iniciar as suas próprias ligações às suas instâncias de computação (entrada). Pode usar esta abordagem para atualizações do SO ou APIs externas. |
| Secure Web Proxy | Tem de isolar as suas instâncias do Compute Engine da Internet através da criação de novas ligações TCP em seu nome, ao mesmo tempo que cumpre a política de segurança administrada. | |
| a servir | Crie um balanceador de carga externo | Quer que os clientes se liguem a recursos sem endereços IP externos em qualquer lugar, Google Cloud ao mesmo tempo que protege as suas instâncias de computação contra ataques DDoS e ataques diretos. |
Endereços IP regionais e globais
Quando lista ou descreve endereços IP no seu projeto, Google Cloud
etiqueta os endereços como globais ou regionais, o que indica como um endereço específico
está a ser usado. Quando associa uma morada a um recurso regional, como uma instância,o Google Cloud Platform etiqueta a morada como regional. Google Cloud
As regiões são Google Cloud
regiões, como us-east4 ou europe-west2.
Os endereços IP globais são usados nas seguintes configurações:
- Endereços IP internos globais: aceda às APIs Google através de pontos finais ou acesso a serviços privados
- Endereços IP externos globais: balanceadores de carga de rede de proxy externos e balanceadores de carga de aplicações externos que usam uma rede de nível Premium
Para obter instruções sobre como criar um endereço IP global, consulte o artigo Reserve um novo endereço IP externo estático.
Vista geral do SLA para redes do Compute Engine
O Compute Engine tem um contrato de nível de serviço (SLA), que define os objetivos ao nível do serviço (SLOs) para a percentagem de tempo de atividade mensal dos níveis de serviço de rede.
Quando cria uma instância do Compute Engine, recebe por predefinição um endereço IP interno. Além disso, pode configurar um endereço IP externo com a rede de Nível Premium (predefinição) ou de Nível Standard. O nível de serviço de rede que escolher depende dos seus requisitos de custo e qualidade do serviço. Cada nível de serviço de rede tem um SLO diferente.
Quando cria a instância de computação, pode configurar várias NICs anexadas à instância, e cada NIC pode ter uma configuração de rede diferente, conforme mostrado no diagrama seguinte:
Figura 1. Uma instância com três NICs, cada uma das quais processa tráfego de rede diferente com diferentes níveis de serviço de rede.
No diagrama anterior, a instância de exemplo denominada VM appliance tem três NICs, que estão configuradas da seguinte forma:
nic0está configurado com uma sub-rede IP interna.- O atributo
nic1está configurado com uma sub-rede IP externa e usa o nível de rede Standard. nic2está configurado com uma sub-rede de IP externa e usa o nível de rede Premium.
Neste exemplo, a instância de VM não é uma VM com megamemória. Consoante a NIC que sofre uma perda de conetividade, aplicam-se diferentes SLOs. A lista seguinte descreve o SLA para as diferentes NICs neste exemplo.
nic0: Uma VM de instância única com endereços IP internos. A percentagem de tempo de atividade mensal é de 99,9%.nic1: Uma VM de instância única com um endereço IP externo que usa o nível de rede padrão. Esta VM não está protegida por nenhum SLA. Apenas várias instâncias em várias zonas estão protegidas a 99,9% com o nível de rede padrão.nic2: uma VM de instância única com um endereço IP externo que usa o nível de rede Premium. A percentagem de tempo de atividade mensal é de 99,9%. Para várias instâncias em várias zonas, a percentagem de tempo de atividade mensal é de 99,99% com o nível de rede Premium.
O que se segue?
- Veja a configuração de rede de uma instância.
- Reserve um novo endereço IP externo estático.
- Atribuir um IP externo estático a uma nova instância.
- Escolher um endereço IP interno na criação da instância.
- Promover um endereço IP externo efémero.
- Saiba como usar nomes DNS internos para aceder a instâncias através da rede VPC interna.
- Saiba mais acerca de endereços IP.
- Saiba mais sobre o IPv6.
- Saiba mais sobre endereços IP e equilíbrio de carga.
- Reveja os preços dos endereços IP externos.