Aggiunta di tag di rete

Un tag è semplicemente una stringa di caratteri aggiunta a un campo tag in una risorsa, ad esempio le istanze di macchine virtuali (VM) Compute Engine o i modelli di istanza. Un tag non è una risorsa separata, quindi non puoi crearlo separatamente. Tutte le risorse con quella stringa sanno considerate quel tag. I tag consentono di rendere applicabili regole firewall e route a istanze VM specifiche.

Puoi assegnare tag di rete alle nuove VM al momento della creazione oppure modificare l'insieme di tag assegnati in qualsiasi momento. Puoi modificare i tag di rete senza arrestare una VM.

Specifiche

I tag di rete assegnati a un'istanza si applicano a tutte le interfacce di rete dell'istanza. Un tag di rete si applica solo alle reti VPC direttamente collegate alle interfacce di rete dell'istanza. Questo vale anche per il peering di rete VPC, perché le reti in peering rimangono reti distinte. Pertanto, i tag di rete continuano a essere significativi solo nella rete a cui è collegata l'interfaccia di rete dell'istanza.

I tag di rete devono iniziare con una lettera minuscola e possono contenere lettere minuscole, numeri e trattini. I tag devono terminare con una lettera minuscola o un numero.

Autorizzazioni

Per le attività descritte in questa pagina sono necessari i seguenti ruoli IAM. Per ulteriori dettagli, consulta Ruoli IAM di Compute Engine.

Attività Ruolo richiesto
Assegnare un tag di rete a una nuova istanza al momento della creazione Proprietario o editor del progetto o Amministratore istanza
Aggiungi o rimuovi tag di rete per le istanze esistenti
Aggiungi, rimuovi o modifica le regole firewall Proprietario o editor del progetto o Amministratore sicurezza

Limiti

Ai tag di rete si applicano i seguenti limiti:

Limite Valore Descrizione
Numero massimo di tag per VM 64 Tutti i tag di una VM devono essere univoci. Puoi assegnare fino a 64 tag diversi per VM.
Numero massimo di caratteri per ogni tag 63
Caratteri accettabili per un tag lettere minuscole, numeri, trattini Inoltre:
• I tag devono iniziare con una lettera minuscola.
• I tag devono terminare con un numero o una lettera minuscola.

Regole e route firewall

I tag di rete consentono di applicare route e regole firewall a un'istanza o a un insieme di istanze specifici:

  • Puoi applicare una regola firewall a istanze specifiche utilizzando i tag di destinazione e i tag di origine.

  • Puoi rendere una route applicabile a istanze specifiche utilizzando un tag.

Destinazioni per le regole firewall

Ogni regola firewall in Google Cloud deve avere un target che definisce le istanze a cui viene applicata. La destinazione predefinita è tutte le istanze nella rete, ma puoi specificare le istanze come destinazioni utilizzando i tag di destinazione o gli account di servizio di destinazione.

Il tag di destinazione definisce le VM Google Cloud a cui si applica la regola. La regola viene applicata a una rete VPC specifica. È reso applicabile all'indirizzo IP interno principale associato all'interfaccia di rete di qualsiasi istanza collegata a quella rete VPC con un tag di rete corrispondente.

Entrambe le regole firewall in entrata e in uscita hanno destinazioni:

  • Le regole in entrata si applicano al traffico che entra nella rete VPC. Per le regole in entrata, le destinazioni sono le VM di destinazione in Google Cloud.

  • Le regole in uscita si applicano al traffico che esce dalla rete VPC. Per le regole in uscita, le destinazioni sono VM di origine in Google Cloud.

Considera una regola firewall in entrata che consente il traffico sulla porta TCP 80 da qualsiasi origine. La regola ha un tag di destinazione http-server. Questa regola si applica solo alle istanze che hanno il tag di rete http-server, il che significa che il traffico in entrata sulla porta 80 sarà consentito a queste istanze.

Filtri di origine per le regole firewall in entrata

Quando crei regole firewall in entrata, devi specificare un' origine. Puoi definirla utilizzando intervalli di indirizzi IP interni o esterni o facendo riferimento a istanze specifiche. Puoi specificare le istanze utilizzando i tag di origine o gli account di servizio di origine.

Il tag di origine per una regola firewall in entrata applicata su una rete VPC definisce un'origine di traffico come proveniente dall'indirizzo IP interno principale associato all'interfaccia di rete collegata alla rete VPC per ogni istanza con un tag di rete corrispondente.

Puoi utilizzare una combinazione di intervalli IP e tag di origine o una combinazione di intervalli IP e account di servizio di origine. Non è possibile utilizzare sia tag di rete sia account di servizio nella stessa regola. Per ulteriori informazioni sui tag di origine e sugli account di servizio, consulta l'articolo sul filtro per account di servizio e tag di rete.

Considerazioni

Quando utilizzi una regola firewall in entrata con i tag di origine, potresti notare un ritardo di propagazione. In genere questo ritardo è di pochi secondi, ma in rari casi potrebbe essere di alcuni minuti. Quando apporti le seguenti modifiche, l'applicazione o la rimozione della regola firewall in entrata da un'istanza associata può richiedere del tempo:

  • L'avvio o l'arresto di un'istanza con un tag associato al tag di origine di una regola
  • L'avvio di un'istanza con un tag associato al tag di destinazione di una regola
  • Aggiunta o rimozione di tag da un'istanza se i tag vengono utilizzati nei campi di origine o di destinazione di una regola
  • Aggiungere o rimuovere tag di origine o di destinazione da una regola

Questo ritardo di propagazione si applica solo alle regole in entrata che utilizzano i tag di origine. Tutte le altre regole firewall hanno effetto immediato su un'istanza. Ad esempio, una regola in entrata che utilizza un intervallo di indirizzi IP di origine e tag di destinazione non ha ritardi di propagazione.

Interazione con route statiche

Quando crei una route statica, devi specificare una rete VPC. Puoi quindi specificare i tag in modo che la route venga applicata solo al traffico inviato dalle VM con tag di rete corrispondenti nella rete VPC specificata.

Aggiungere, visualizzare e rimuovere tag

Puoi specificare i tag di rete quando crei un'istanza VM. Puoi anche aggiungere e rimuovere tag da una VM esistente.

Aggiungere tag durante la creazione di una VM

Console

  1. Vai alla pagina Istanze VM.
    Vai alla pagina Istanze VM
  2. Fai clic su Crea istanza.
  3. Fai clic su Gestione, sicurezza, dischi, networking, single-tenancy per aprire quella sezione.
  4. Fai clic sulla scheda Networking.
  5. Nel campo Tag di rete, specifica uno o più tag separati da virgole.
  6. Compila altri campi per la VM.
  7. Fai clic su Crea.

gcloud

Per assegnare nuovi tag a un'istanza, utilizza il seguente comando gcloud.

gcloud compute instances create INSTANCE_NAME \
    --zone ZONE \
    --tags TAGS \
    ...other parameters as needed.

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome dell'istanza.
  • ZONE: la zona dell'istanza.
  • TAGS: un elenco di tag delimitati da virgole.

Per ulteriori informazioni, consulta la documentazione di gcloud.

Terraform

Puoi utilizzare la risorsa Terraform per creare un'istanza VM con tag di rete.

resource "google_compute_instance" "default" {
  project      = var.project_id # Replace this with your project ID in quotes
  zone         = "southamerica-east1-b"
  name         = "backend-instance"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network = "default"
  }
  tags = ["health-check", "ssh"]
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Aggiungi tag a una VM esistente

Console

  1. Vai alla pagina Istanze VM.
    Vai alla pagina Istanze VM
  2. Fai clic sul nome di un'istanza.
  3. Nella pagina Dettagli istanza VM, fai clic su Modifica.
  4. Nella sezione Tag di rete, specifica uno o più tag separati da virgole.
  5. Fai clic su Salva.

gcloud

Per assegnare nuovi tag a un'istanza, utilizza il seguente comando gcloud.

gcloud compute instances add-tags INSTANCE_NAME \
    --zone ZONE \
    --tags TAGS

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome dell'istanza.
  • ZONE: la zona dell'istanza.
  • TAGS: un elenco di tag delimitati da virgole.

Per ulteriori informazioni, consulta la documentazione di gcloud.

Visualizza tag

Console

  1. Vai alla pagina Istanze VM.
    Vai alla pagina Istanze VM

  2. Visualizza i tag nella colonna Tag di rete.

    Se necessario, fai clic su Opzioni di visualizzazione delle colonne per aggiungere la colonna Tag di rete.

  3. Per visualizzare le istanze codificate con un tag specifico, seleziona la proprietà Tag di rete nel filtro e inserisci i tag in base a cui applicare il filtro.

gcloud

Per elencare le istanze con i relativi tag, esegui questo comando:

gcloud compute instances list --format='table(name,status,tags.list())'

Per elencare le istanze contrassegnate con un tag specifico, esegui questo comando:

gcloud compute instances list --filter='tags:TAG_EXPRESSION'

Sostituisci quanto segue:

  • TAG_EXPRESSION: l'espressione da filtrare. Ad esempio, tag1, tag1 OR tag2, tag1 AND tag2. Vedi Filtri gcloud topic per ulteriori informazioni sull'applicazione di filtri all'output.

Rimuovi i tag

Console

  1. Vai alla pagina Istanze VM.
    Vai alla pagina Istanze VM
  2. Fai clic sul nome di un'istanza.
  3. Nella pagina Dettagli istanza VM, fai clic su Modifica.
  4. Nella sezione Tag di rete, rimuovi i tag facendo clic su Rimuovi (X).
  5. Fai clic su Salva.

gcloud

Per rimuovere i tag da un'istanza, utilizza il seguente comando gcloud.

gcloud compute instances remove-tags INSTANCE_NAME \
    --zone ZONE \
    --tags TAGS

Sostituisci quanto segue:

  • INSTANCE_NAME: il nome dell'istanza.
  • ZONE: la zona dell'istanza.
  • TAGS: un elenco di tag delimitati da virgole.

Per ulteriori informazioni, consulta la documentazione di gcloud.

Richieste API dirette

Puoi impostare i tag di rete associati a un'istanza tramite una richiesta API diretta. A differenza dell'utilizzo della console Google Cloud o dei comandi gcloud, l'aggiornamento dei tag tramite richiesta API diretta non conserva i tag esistenti. Assicurati di specificare l'insieme completo di tag da associare a un'istanza ogni volta che aggiorni i tag in questo modo.

Per aggiornare i tag utilizzando una richiesta API diretta:

  1. Determina l'ultima impronta associata ai tag. L'impronta viene utilizzata per evitare conflitti da richieste API simultanee. La procedura di aggiornamento dei tag di rete per un'istanza è simile all'aggiornamento dei metadati delle istanze.

    Esegui una richiesta GET all'istanza, ad esempio:

    GET https://compute.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/instances/example-instance

    Cerca la proprietà tags.fingerprint nella risposta:

    200 OK
{
...
"tags": {
 "items": [
 "http-server",
 "db-client"
 ],
 "fingerprint": "MW8EqhxILtc="
},
...
}

    Puoi anche utilizzare un comando gcloud per ottenere fingerprint, come mostrato nell'esempio seguente:

    gcloud compute instances describe INSTANCE_NAME \
   --zone ZONE \
   --format="get(tags.fingerprint)"

  2. Invia una richiesta POST al metodo instance().setTags. Il corpo della richiesta deve contenere tutti i tag che devono essere associati all'istanza, oltre al valore fingerprint.

    Esempio di richiesta:

    POST https://compute.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/instances/example-instance/setTags
{
 "items": [
  "http-server",
  "db-client",
  "allow-internet-access"
  ],
 "fingerprint": "MW8EqhxILtc="
}

    Esempio di risposta:

    200 OK
{
      "kind": "compute#operation",
      "id": "9251830049681941507",
      "name": "operation-1442414898862-51fde63aa57b1-422323e0-c439fb04",
      "zone": "https://www.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f",
      "operationType": "setTags",
      "targetLink": "https://www.googleapis.com/compute/v1/projects/myproject/zones/us-central1-f/instances/example-instance",
      "targetId": "4392196237934605253",
      "status": "PENDING",
      "user": "user@example.com",
      "progress": 0,
...
}

Passaggi successivi