Interfaces réseau multiples
Cette page présente les multiples interfaces réseau pour les instances de VM Compute Engine. Les instances avec plusieurs interfaces réseau sont appelées instances à cartes d'interface réseau multiples.
Une instance possède toujours au moins une interface réseau virtuelle (vNIC). En fonction du type de machine, vous pouvez configurer des interfaces réseau supplémentaires.
Cas d'utilisation
Les instances à cartes d'interface réseau multiples sont utiles dans les scénarios suivants :
Pour se connecter à des ressources dans des réseaux VPC distincts : les instances multi-NIC peuvent se connecter à des ressources situées dans différents réseaux VPC qui ne sont pas connectés les uns aux autres via l'appairage de réseaux VPC ou Network Connectivity Center.
Étant donné que chaque interface d'une instance à plusieurs cartes d'interface réseau se trouve dans un réseau VPC distinct, vous pouvez utiliser chaque interface pour un objectif unique. Par exemple, vous pouvez utiliser certaines interfaces pour acheminer des paquets entre des réseaux VPC qui transportent du trafic de production et une autre interface à des fins de gestion ou de configuration.
Dans l'OS invité de chaque instance à plusieurs cartes d'interface réseau, vous devez configurer des règles de routage et des tables de routage locales.
Routage des paquets entre les réseaux VPC : les instances à plusieurs cartes réseau peuvent être utilisées comme sauts suivants pour les routes permettant de connecter deux réseaux VPC ou plus.
Le logiciel exécuté dans l'OS invité d'une instance multi-NIC peut effectuer une inspection des paquets, une traduction d'adresse réseau (NAT) ou une autre fonction de sécurité réseau.
Lorsque vous connectez des réseaux VPC à l'aide d'instances à plusieurs cartes d'interface réseau, il est recommandé de configurer au moins deux instances à plusieurs cartes d'interface réseau et de les utiliser comme backends pour un équilibreur de charge réseau passthrough interne dans chaque réseau VPC. Pour en savoir plus, consultez la section Cas d'utilisation de la documentation sur les équilibreurs de charge réseau passthrough internes comme sauts suivants.
Vous pouvez également utiliser des instances multi-NIC avec des interfaces Private Service Connect pour connecter des réseaux de producteurs et de consommateurs de services dans différents projets.
Types d'interfaces réseau
Google Cloud est compatible avec les types d'interfaces réseau suivants :
vNICs : interfaces de réseau virtuel des instances Compute Engine. Chaque instance doit disposer d'au moins une carte d'interface réseau virtuelle (vNIC). Les vNIC des réseaux VPC standards peuvent être
GVNIC,VIRTIO_NETouIDPF. Vous ne pouvez configurer des cartes d'interface réseau virtuelles que lorsque vous créez une instance.Cartes d'interface réseau dynamiques (preview) : interface enfant d'une carte d'interface réseau virtuelle parente. Vous pouvez configurer des cartes d'interface réseau dynamiques lorsque vous créez une instance ou les ajouter ultérieurement. Pour en savoir plus, consultez Cartes d'interface réseau dynamiques.
Vous pouvez également configurer des instances multi-NIC à l'aide de types de machines qui incluent des interfaces réseau RDMA (MRDMA). Ces interfaces doivent être associées à un réseau VPC avec un profil réseau RDMA. Les autres types d'interfaces réseau, y compris les cartes d'interface réseau dynamiques, ne sont pas compatibles avec les réseaux VPC dotés d'un profil réseau RDMA.
Spécifications
Les spécifications suivantes s'appliquent aux instances avec plusieurs interfaces réseau :
Instances et interfaces réseau : chaque instance possède une interface
nic0. Le nombre maximal d'interfaces réseau varie en fonction du type de machine de l'instance.- Chaque interface est associée à un type de pile, qui détermine les types de pile de sous-réseau et les versions d'adresse IP compatibles. Pour en savoir plus, consultez Type de pile et adresses IP.
Réseau unique pour chaque interface réseau : à l'exception des réseaux VPC créés avec un profil de réseau RDMA, chaque interface réseau doit utiliser un sous-réseau dans un réseau VPC unique.
Pour les réseaux VPC créés avec un profil réseau RDMA, plusieurs cartes d'interface réseau RDMA peuvent utiliser le même réseau VPC, à condition que chaque carte d'interface réseau RDMA utilise un sous-réseau unique.
Un réseau et un sous-réseau VPC doivent exister avant que vous puissiez créer une instance dont l'interface réseau utilise le réseau et le sous-réseau. Pour en savoir plus sur la création de réseaux et de sous-réseaux, consultez Créer et gérer des réseaux VPC.
Projet de l'instance et des sous-réseaux : pour les instances à plusieurs cartes d'interface réseau dans des projets autonomes, chaque interface réseau doit utiliser un sous-réseau situé dans le même projet que l'instance.
Pour les instances dans les projets hôtes ou de service de VPC partagé, consultez VPC partagé .
Les interfaces Private Service Connect permettent à une instance multi-NIC d'avoir des interfaces réseau dans des sous-réseaux de différents projets. Pour en savoir plus, consultez À propos des rattachements de réseau.
Considérations concernant le transfert d'adresse IP, le MTU et le routage : les instances à plusieurs cartes d'interface réseau nécessitent une planification minutieuse des options de configuration spécifiques aux instances et aux interfaces suivantes :
L'option de transfert IP est configurable pour chaque instance et s'applique à toutes les interfaces réseau. Pour en savoir plus, consultez Activer le transfert IP pour les instances.
Chaque interface réseau peut utiliser une unité de transmission maximale (MTU) unique, correspondant à la MTU du réseau VPC associé. Pour en savoir plus, consultez Unité de transmission maximale.
Chaque instance reçoit une route par défaut à l'aide de l'option DHCP 121, telle que définie par la RFC 3442. La route par défaut est associée à
nic0. Sauf configuration manuelle différente, tout trafic quittant une instance pour une destination autre qu'un sous-réseau directement connecté quittera l'instance en utilisant la route par défaut surnic0.Sur les systèmes Linux, vous pouvez configurer des règles et des routes personnalisées dans l'OS invité à l'aide du fichier
/etc/iproute2/rt_tableset des commandesip ruleetip route. Pour en savoir plus, consultez la documentation de l'OS invité. Pour obtenir un exemple, consultez le tutoriel suivant : Configurer le routage pour une interface supplémentaire.
Cartes d'interface réseau dynamiques
Les cartes d'interface réseau dynamiques sont utiles dans les scénarios suivants :
Vous devez ajouter ou supprimer des interfaces réseau dans des instances existantes. L'ajout ou la suppression de cartes d'interface réseau dynamiques ne nécessite pas de redémarrer ni de recréer l'instance.
Vous avez besoin de plus d'interfaces réseau. Le nombre maximal de cartes d'interface réseau virtuelles pour la plupart des types de machines dans Google Cloud est de 10. Toutefois, vous pouvez configurer jusqu'à 16 interfaces au total à l'aide de cartes d'interface réseau dynamiques. Pour en savoir plus, consultez la section Nombre maximal d'interfaces réseau.
Vous devez configurer des instances Compute Engine bare metal à cartes d'interface réseau multiples, qui ne disposent que d'une seule carte d'interface réseau virtuelle.
Propriétés des cartes d'interface réseau dynamiques
Consultez les informations suivantes sur les propriétés des cartes d'interface réseau dynamiques :
Les cartes d'interface réseau dynamiques sont des interfaces VLAN qui utilisent le format de paquet standard IEEE 802.1Q. Voici quelques points à prendre en compte :
- L'ID de VLAN d'une carte d'interface réseau dynamique doit être un nombre entier compris entre 2 et 255.
- L'ID de VLAN d'une interface réseau dynamique doit être unique dans une carte d'interface réseau virtuelle parente. Toutefois, les cartes d'interface réseau dynamiques appartenant à différentes cartes d'interface réseau virtuelles parentes peuvent utiliser le même ID de VLAN.
Google Cloud utilise le format suivant pour le nom d'une carte d'interface réseau dynamique :
nicNUMBER.VLAN_ID, oùnicNUMBERest le nom de la carte d'interface réseau virtuelle parente, par exemplenic0.VLAN_IDcorrespond à l'ID de VLAN que vous avez défini, par exemple4.
Un exemple de nom de carte d'interface réseau dynamique est
nic0.4.La création d'une instance avec des cartes d'interface réseau dynamiques ou l'ajout de cartes d'interface réseau dynamiques à une instance existante nécessitent des étapes supplémentaires pour installer et gérer les interfaces VLAN correspondantes dans l'OS invité. Vous pouvez utiliser l'une des méthodes suivantes :
- Configurez la gestion automatique des cartes d'interface réseau dynamiques à l'aide de l'agent invité Google.
- Configurez l'OS invité manuellement.
Pour en savoir plus, consultez Configurer l'OS invité pour les cartes d'interface réseau dynamiques.
Les cartes d'interface réseau dynamiques partagent la bande passante de leur carte d'interface réseau virtuelle parente. Il n'y a pas d'isolation du trafic au sein d'une carte d'interface réseau virtuelle parente. Pour éviter que l'une des interfaces réseau ne consomme toute la bande passante, vous devez créer une règle de trafic spécifique à l'application dans l'OS invité afin de hiérarchiser ou de distribuer le trafic, par exemple en utilisant Linux Traffic Control (TC).
Les cartes d'interface réseau dynamiques partagent les mêmes queues de réception et de transmission que leur carte d'interface réseau virtuelle parente.
Limites des cartes d'interface réseau dynamiques
Voici les limites des cartes d'interface réseau dynamiques :
Vous ne pouvez pas modifier les propriétés suivantes d'une carte d'interface réseau dynamique après sa création :
- Carte d'interface réseau virtuelle parente à laquelle appartient la carte d'interface réseau dynamique.
- ID de VLAN de l'interface réseau dynamique.
Les cartes d'interface réseau dynamiques ne sont pas compatibles avec les éléments suivants :
- Protection DDoS avancée du réseau et stratégies de sécurité en périphérie du réseau pour Google Cloud Armor
- Configurer des adresses IP à l'aide de configurations par instance pour les MIG.
- Interfaces IPv6 uniquement (bêta)
- Fonctionnalités qui s'appuient sur l'interception de paquets, comme les points de terminaison de pare-feu
- Systèmes d'exploitation Windows
Une carte d'interface réseau dynamique avec une carte d'interface réseau virtuelle parente dont le type est
GVNICpeut entraîner une perte de paquets avec certaines tailles de MTU personnalisées. Pour éviter la perte de paquets, n'utilisez pas les tailles de MTU suivantes : 1 986 octets, 3 986 octets, 5 986 octets et 7 986 octets.Pour les VM de troisième génération, une carte d'interface réseau dynamique avec un ID de VLAN de
255ne peut pas accéder à l'adresse IP du serveur de métadonnées. Si vous devez accéder au serveur de métadonnées, assurez-vous d'utiliser un autre ID de VLAN.Pour les VM de troisième génération, la suppression et l'ajout d'une carte d'interface réseau dynamique ayant le même ID de VLAN peuvent permettre un accès non autorisé à différents réseaux VPC. Pour en savoir plus, consultez la section Problèmes connus.
Types de piles et adresses IP
Lorsque vous créez une carte réseau virtuelle, vous spécifiez l'un des types de pile d'interface suivants :
- IPv4 uniquement
- Double pile
IPv6 uniquement (bêta)
Le tableau suivant décrit les types de piles de sous-réseaux et les détails des adresses IP compatibles pour chaque type de pile d'interface :
| Interface | Sous-réseau IPv4 uniquement | Sous-réseau à double pile | Sous-réseau IPv6 uniquement (bêta) | Détails de l'adresse IP |
|---|---|---|---|---|
| IPv4 uniquement (pile unique) | Adresses IPv4 uniquement Consultez Détails de l'adresse IPv4. | |||
| IPv4 et IPv6 (double pile) | Adresses IPv4 et IPv6. Consultez Détails de l'adresse IPv4 et Détails de l'adresse IPv6. | |||
| IPv6 uniquement (pile unique) (preview) | Adresses IPv6 uniquement Consultez Détails de l'adresse IPv6. |
Modifier le type de pile de l'interface réseau
Vous pouvez modifier le type de pile d'une interface réseau comme suit :
Vous pouvez convertir une interface IPv4 uniquement en interface à double pile si le sous-réseau de l'interface est un sous-réseau à double pile ou si vous arrêtez l'instance et attribuez l'interface à un sous-réseau à double pile.
Vous pouvez convertir une interface à double pile en interface IPv4 uniquement.
Vous ne pouvez pas modifier le type de pile d'une interface IPv6 uniquement. Les interfaces IPv6 uniquement (Preview) ne sont compatibles que lors de la création d'instances.
Détails de l'adresse IPv4
Chaque interface réseau IPv4 uniquement ou à double pile reçoit une adresse IPv4 interne principale. Chaque interface est compatible avec les plages d'adresses IP alias et une adresse IPv4 externe (facultatif). Voici les spécifications et les exigences concernant IPv4 :
Adresse IPv4 interne principale : Compute Engine attribue à l'interface réseau une adresse IPv4 interne principale à partir de la plage d'adresses IPv4 principales du sous-réseau de l'interface. L'adresse IPv4 interne principale est allouée par DHCP.
Vous pouvez contrôler l'adresse IPv4 interne principale attribuée en configurant une adresse IPv4 interne statique ou en spécifiant une adresse IPv4 interne éphémère personnalisée.
Dans un réseau VPC, l'adresse IPv4 interne principale de chaque interface réseau de VM est unique.
Plages d'adresses IP d'alias : vous pouvez éventuellement attribuer une ou plusieurs plages d'adresses IP d'alias à l'interface. Chaque plage d'adresses IP d'alias peut provenir de la plage d'adresses IPv4 principale ou d'une plage d'adresses IPv4 secondaire du sous-réseau de l'interface.
- Dans un réseau VPC, la plage d'adresses IP d'alias de chaque interface doit être unique.
Adresse IPv4 externe : vous pouvez éventuellement attribuer à l'interface une adresse IPv4 externe éphémère ou réservée. Google Cloud garantit l'unicité de chaque adresse IPv4 externe.
Détails de l'adresse IPv6
Compute Engine attribue à chaque interface réseau à double pile ou IPv6 uniquement (Preview) une plage d'adresses IPv6 /96 à partir de la plage d'adresses IPv6 /64 du sous-réseau de l'interface :
Le fait que la plage d'adresses IPv6
/96soit interne ou externe dépend du type d'accès IPv6 du sous-réseau de l'interface. Google Cloud garantit l'unicité de chaque plage d'adresses IPv6 interne et externe. Pour en savoir plus, consultez les spécifications IPv6.- Si une instance a besoin à la fois d'une plage d'adresses IPv6 internes et d'une plage d'adresses IPv6 externes, vous devez configurer deux interfaces à double pile, deux interfaces IPv6 uniquement, ou une interface à double pile et une interface IPv6 uniquement. Le sous-réseau utilisé par une interface doit avoir une plage d'adresses IPv6 externe, et celui utilisé par l'autre interface doit avoir une plage d'adresses IPv6 interne.
La première adresse IPv6 (
/128) est configurée sur l'interface par DHCP. Pour en savoir plus, consultez Attribuer des adresses IPv6.Vous pouvez contrôler la plage d'adresses IPv6
/96attribuée en configurant une plage d'adresses IPv6 interne ou externe statique. Pour les adresses IPv6 internes, vous pouvez spécifier une adresse IPv6 interne éphémère personnalisée.
Si vous connectez une instance à plusieurs réseaux à l'aide d'adresses IPv6, installez google-guest-agent version 20220603.00 ou une version ultérieure. Pour en savoir plus, consultez Je ne parviens pas à me connecter à l'adresse IPv6 d'une interface secondaire.
Nombre maximal d'interfaces réseau
Pour la plupart des types de machines, le nombre maximal d'interfaces réseau que vous pouvez associer à une instance évolue en fonction du nombre de processeurs virtuels, comme décrit dans les tableaux suivants.
Voici quelques exceptions spécifiques aux machines :
Les instances Bare Metal Compute Engine sont compatibles avec une seule carte réseau virtuelle.
Le nombre maximal de cartes d'interface réseau virtuelles est différent pour certains types de machines optimisés pour les accélérateurs, tels que A3, A4 et A4X. Pour en savoir plus, consultez la section Famille de machines optimisées pour les accélérateurs.
Nombre maximal d'interfaces
Le tableau suivant vous permet de déterminer le nombre d'interfaces réseau pouvant être associées à une instance.
| Nombre de processeurs virtuels | Nombre maximal de cartes d'interface réseau virtuelles | Nombre maximal de cartes réseau dynamiques | Nombre maximal d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
| 2 ou moins | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 ou plus | 10 | 15 | 16 |
Formules de référence
Le tableau suivant fournit les formules utilisées pour calculer le nombre maximal d'interfaces réseau pour une instance. La formule dépend du nombre de processeurs virtuels.
| Nombre de vCPU (X) | Nombre maximal de cartes d'interface réseau virtuelles | Nombre maximal de cartes réseau dynamiques | Nombre maximal d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Exemples de distributions de cartes d'interface réseau dynamiques
Vous n'avez pas besoin de répartir les cartes d'interface réseau dynamiques de manière égale entre les cartes d'interface réseau virtuelles. Toutefois, vous pouvez souhaiter une répartition uniforme, car les cartes d'interface réseau dynamiques partagent la bande passante de leur carte d'interface réseau virtuelle parente.
Une instance doit disposer d'au moins une carte d'interface réseau virtuelle. Par exemple, une instance dotée de deux processeurs virtuels peut avoir l'une des configurations suivantes :
- 1 vNIC
- 2 vNIC
- 1 carte réseau virtuelle et 1 carte réseau dynamique
Les tableaux suivants fournissent des exemples de configurations qui répartissent uniformément les cartes d'interface réseau dynamiques sur les cartes d'interface réseau virtuelles tout en utilisant le nombre maximal d'interfaces réseau pour un nombre donné de vCPU.
2 processeurs virtuels, 2 cartes d'interface réseau
Le tableau suivant fournit des exemples pour une instance à deux processeurs virtuels. Il indique le nombre de cartes d'interface réseau dynamiques dont vous pouvez disposer pour un nombre donné de cartes d'interface réseau virtuelles.
| Nombre de processeurs virtuels | Nombre de cartes d'interface réseau virtuelles | Nombre de cartes d'interface réseau dynamiques par carte d'interface réseau virtuelle | Nombre total d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
4 processeurs virtuels, 4 cartes réseau
Le tableau suivant fournit des exemples pour une instance avec quatre processeurs virtuels. Il indique le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de cartes d'interface réseau virtuelles.
| Nombre de processeurs virtuels | Nombre de cartes d'interface réseau virtuelles | Nombre d'interfaces réseau dynamiques par carte d'interface réseau virtuelle | Nombre total d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
8 vCPU, 8 cartes d'interface réseau
Le tableau suivant fournit des exemples pour une instance avec huit processeurs virtuels. Il indique le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de cartes d'interface réseau virtuelles.
| Nombre de processeurs virtuels | Nombre de cartes d'interface réseau virtuelles | Nombre de cartes d'interface réseau dynamiques par carte d'interface réseau virtuelle | Nombre total d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
14 vCPU, 12 cartes réseau
Le tableau suivant fournit des exemples pour une instance avec 12 processeurs virtuels. Il indique le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de cartes d'interface réseau virtuelles.
| Nombre de processeurs virtuels | Nombre de cartes d'interface réseau virtuelles | Nombre de cartes d'interface réseau dynamiques par carte d'interface réseau virtuelle | Nombre total d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
22 vCPU, 16 cartes réseau
Le tableau suivant fournit des exemples pour une instance avec 22 processeurs virtuels. Il indique le nombre de cartes d'interface réseau dynamiques que vous pouvez avoir pour un nombre donné de cartes d'interface réseau virtuelles.
| Nombre de processeurs virtuels | Nombre de cartes d'interface réseau virtuelles | Nombre de cartes d'interface réseau dynamiques par carte d'interface réseau virtuelle | Nombre total d'interfaces réseau (cartes d'interface réseau virtuelles + cartes d'interface réseau dynamiques) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
Interaction avec les produits
Cette section décrit les interactions entre les instances à plusieurs cartes d'interface réseau et d'autres produits et fonctionnalités dans Google Cloud.
VPC partagé
À l'exception des interfaces Private Service Connect, la relation entre le sous-réseau et le projet d'une instance à plusieurs cartes d'interface réseau dans un projet hôte ou de service de VPC partagé est la suivante :
Chaque interface réseau d'une instance à plusieurs cartes d'interface réseau située dans un projet hôte de VPC partagé doit utiliser un sous-réseau d'un réseau VPC partagé dans le projet hôte.
Chaque interface réseau d'une instance à plusieurs cartes d'interface réseau située dans un projet de service VPC partagé peut utiliser l'un des éléments suivants :
- Sous-réseau d'un réseau VPC dans le projet de service.
- Sous-réseau d'un réseau VPC partagé dans le projet hôte.
Pour en savoir plus sur le VPC partagé, consultez les ressources suivantes :
DNS interne de Compute Engine
Compute Engine ne crée des enregistrements A et PTR de nom DNS interne que pour l'adresse IPv4 interne principale de l'interface réseau nic0 d'une instance. Compute Engine ne crée pas d'enregistrements DNS internes pour les adresses IPv4 ou IPv6 associées à une interface réseau autre que nic0.
Pour en savoir plus, consultez la section DNS interne de Compute Engine.
Routes statiques
Les routes statiques peuvent être limitées à des instances spécifiques à l'aide de tags réseau. Lorsqu'un tag réseau est associé à une instance, il s'applique à toutes les interfaces réseau de l'instance. Par conséquent, l'ajout ou la suppression d'un tag réseau sur une instance peut modifier les routes statiques qui s'appliquent à l'une ou l'autre des interfaces réseau de l'instance.
Équilibreurs de charge
Les backends de groupes d'instances et les backends de NEG zonaux sont chacun associés à un réseau VPC, comme suit :
Pour les groupes d'instances gérés (MIG), le réseau VPC du groupe d'instances est le réseau VPC attribué à l'interface
nic0dans le modèle d'instance.Pour les groupes d'instances non gérés, le réseau VPC du groupe d'instances est le réseau VPC utilisé par l'interface réseau
nic0de la première instance que vous ajoutez au groupe d'instances non géré.
Le tableau suivant indique les backends qui permettent de distribuer des connexions ou des requêtes à n'importe quelle interface réseau.
| Équilibreur de charge | Groupes d'instances | NEG GCE_VM_IP |
NEG GCE_VM_IP_PORT |
|---|---|---|---|
| Équilibreur de charge réseau passthrough externe basé sur un service de backend Le service de backend n'est pas associé à un réseau VPC. Pour en savoir plus, consultez Services de backend et réseaux VPC. |
nic0 uniquement |
N'importe quelle carte réseau | N/A |
| Équilibreur de charge réseau passthrough interne Le service de backend est associé à un réseau VPC. Pour en savoir plus, consultez les sections Spécifications du réseau du service de backend et Règles de réseau du service de backend. |
N'importe quelle carte réseau | N'importe quelle carte réseau | N/A |
| Équilibreur de charge réseau proxy externe Pour en savoir plus sur les exigences concernant les service de backend et le réseau, consultez Backends et réseaux VPC. |
nic0 uniquement |
N/A | N'importe quelle carte réseau |
| Équilibreur de charge réseau proxy interne Pour en savoir plus sur les exigences concernant les service de backend et le réseau, consultez Backends et réseaux VPC. |
nic0 uniquement |
N/A | N'importe quelle carte réseau |
| Équilibreur de charge d'application externe Pour en savoir plus sur les exigences concernant les service de backend et le réseau, consultez Backends et réseaux VPC. |
nic0 uniquement |
N/A | N'importe quelle carte réseau |
| Équilibreur de charge d'application interne Pour en savoir plus sur les exigences concernant les service de backend et les réseaux, consultez Backends et réseaux VPC. |
nic0 uniquement |
N/A | N'importe quelle carte réseau |
Les équilibreurs de charge réseau passthrough externes basés sur un pool cible n'utilisent pas de groupes d'instances ni de NEG, et n'acceptent que l'équilibrage de charge vers les interfaces réseau nic0.
Règles de pare-feu
L'ensemble des règles de pare-feu (stratégies de pare-feu hiérarchiques, stratégies de pare-feu réseau mondiales, stratégies de pare-feu réseau régionales et règles de pare-feu VPC) est propre à chaque interface réseau. Assurez-vous que chaque réseau dispose de règles de pare-feu appropriées pour autoriser le trafic souhaité depuis et vers une instance à plusieurs cartes d'interface réseau. Pour déterminer les règles de pare-feu qui s'appliquent à une interface réseau et la source de chaque règle, consultez Obtenir des règles de pare-feu efficaces pour une interface de VM.
Les règles de pare-feu peuvent être limitées à des instances de VM spécifiques à l'aide de tags réseau ou de tags sécurisés. Ces deux types de tags s'appliquent à toutes les interfaces réseau d'une instance. Pour en savoir plus, consultez Comparaison des tags sécurisés et des tags réseau.
Problèmes connus
Cette section décrit les problèmes connus liés à l'utilisation de plusieurs interfaces réseau dans Google Cloud.
Interactions du pare-feu lors de la réutilisation d'un ID de VLAN avec des cartes d'interface réseau dynamiques
Pour les VM de troisième génération, la suppression et l'ajout d'une carte d'interface réseau dynamique ayant le même ID de VLAN peuvent permettre un accès non autorisé à différents réseaux VPC.
Prenons l'exemple suivant, qui inclut deux réseaux (network-1 et network-2) et un ID de VLAN A :
- Vous supprimez une carte d'interface réseau dynamique avec l'ID de VLAN
Adenetwork-1. - Au cours de la période de suivi des connexions Cloud NGFW de 10 minutes, vous créez une interface réseau dynamique avec le même ID de VLAN
Adansnetwork-2. - Le trafic provenant de la nouvelle carte d'interface réseau dynamique dans
network-2peut correspondre à une entrée de suivi de connexion existante qui a été créée précédemment par la carte d'interface réseau dynamique supprimée dansnetwork-1.
Dans ce cas, le trafic envoyé ou reçu par la nouvelle carte d'interface réseau dynamique dans network-2 peut être autorisé s'il correspond à une entrée dans la table de suivi des connexions Cloud NGFW, où l'entrée a été créée pour une connexion utilisée par la carte d'interface réseau dynamique supprimée dans network-1. Pour éviter ce problème, consultez la solution de contournement suivante.
Solution :
Pour éviter ce problème, effectuez l'une des opérations suivantes :
- Après avoir supprimé une carte d'interface réseau dynamique, ne réutilisez pas son ID de VLAN lorsque vous en créez une autre.
- Après avoir supprimé une carte d'interface réseau dynamique, attendez au moins 10 minutes avant de créer une carte d'interface réseau dynamique qui utilise le même ID de VLAN.
Pour en savoir plus sur le suivi des connexions et les règles de pare-feu, consultez la section Spécifications de la documentation sur le pare-feu Cloud nouvelle génération.