Beberapa antarmuka jaringan

Halaman ini memberikan ringkasan tentang beberapa antarmuka jaringan dalam instance virtual machine (VM), termasuk cara kerja dan contoh konfigurasinya. Untuk mengetahui informasi tentang cara membuat konfigurasi yang menggunakan beberapa antarmuka, lihat Membuat VM dengan beberapa antarmuka jaringan.

VM dengan beberapa pengontrol antarmuka jaringan disebut sebagai VM multi-NIC.

Google Cloud Jaringan Virtual Private Cloud (VPC) secara default adalah domain jaringan pribadi yang terisolasi. Jaringan memiliki cakupan global dan berisi subnet regional. Instance VM dalam jaringan VPC dapat berkomunikasi menggunakan alamat IP internal selam aturan firewall mengizinkan. Namun, tidak ada komunikasi alamat IP internal yang diizinkan antar jaringan, kecuali jika Anda menyiapkan mekanisme seperti Peering Jaringan VPC atau Cloud VPN.

Setiap instance dalam jaringan VPC memiliki antarmuka jaringan default. Saat mengonfigurasi antarmuka jaringan, pilih jaringan VPC dan subnet dalam jaringan VPC untuk terhubung ke antarmuka. Anda dapat membuat antarmuka jaringan tambahan yang telah dipasang pada VM, tetapi setiap antarmuka harus diinstal ke jaringan VPC yang berbeda. Dengan beberapa antarmuka jaringan, Anda dapat membuat konfigurasi di mana sebuah instance terhubung langsung ke sejumlah jaringan VPC.

Biasanya, Anda mungkin memerlukan beberapa antarmuka jika ingin mengonfigurasi instance sebagai perangkat jaringan yang melakukan load balancing, Deteksi dan Pencegahan Penyusupan (IDS/IPS), Firewall Aplikasi Web (WAF), atau WAN pengoptimalan antar jaringan. Beberapa antarmuka jaringan juga berguna saat aplikasi yang berjalan di instance memerlukan pemisahan traffic, seperti pemisahan traffic bidang data dari traffic bidang pengelolaan.

Setiap antarmuka pada VM dipengaruhi oleh MTU dari jaringan yang terpasang. Untuk informasi selengkapnya tentang MTU antarmuka, lihat Unit transmisi maksimum.

Kasus penggunaan

Gunakan beberapa antarmuka jaringan saat instance individu memerlukan akses ke lebih dari satu jaringan VPC, tetapi sebaiknya jangan menghubungkan kedua jaringan secara langsung.

  • Fungsi jaringan dan keamanan: Beberapa antarmuka jaringan memungkinkan fungsi peralatan jaringan tervisualisasi seperti load balancer, server penafsiran alamat jaringan (NAT), dan server proxy yang dikonfigurasi dengan beberapa antarmuka jaringan. Untuk detail selengkapnya, lihat Contoh 1: Peralatan virtual jaringan dan keamanan.

  • isolasi perimeter (dikenal juga sebagai isolasi DMZ): Praktik terbaik yang penting dalam arsitektur jejaring bertingkat adalah mengisolasi layanan yang ditampilkan kepada publik dari jaringan internal dan layanannya. Gunakan beberapa antarmuka jaringan untuk membuat konfigurasi yang memiliki antarmuka jaringan terpisah pada instance, salah satunya menerima traffic yang ditampilkan kepada publik dan yang lain menangani traffic pribadi backend yang memiliki kontrol akses yang lebih ketat.

    Setiap resource yang dapat dijangkau dari internet harus dipisahkan dari jaringan internal Anda dan layanannya. Hal ini secara drastis membatasi cakupan dan kerusakan yang dapat disebabkan oleh pelanggaran keamanan. Misalnya, Anda dapat menempatkan antarmuka jaringan kedua pada setiap server web yang terhubung ke jaringan tingkat menengah tempat server aplikasi berada. Server aplikasi juga dapat melakukan dual-home ke jaringan backend tempat server database berada. Setiap instance dual-home menerima dan memproses permintaan di frontend, memulai koneksi ke backend, lalu mengirimkan permintaan ke servers di jaringan backend.

    Dengan mengonfigurasi antarmuka yang terpisah, satu untuk ditampilkan kepada publik dan satu lagi untuk pribadi. Anda dapat menerapkan aturan firewall dan kontrol akses terpisah untuk setiap antarmuka secara terpisah dan menerapkan fungsi keamanan dalam komunikasi dari domain publik ke domain pribadi. Untuk informasi selengkapnya, lihat Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama.

Spesifikasi

  • Anda hanya dapat mengonfigurasi antarmuka jaringan saat membuat instance.
  • Jika Anda membuat instance dengan beberapa antarmuka jaringan, setiap antarmuka harus terhubung ke jaringan VPC yang berbeda. Jaringan dapat berupa jaringan VPC mandiri atau jaringan VPC Bersama.

    Namun, jaringan VPC yang dibuat dengan profil jaringan RDMA memungkinkan Anda memasang NIC RDMA ke jaringan yang sama, dengan setiap NIC dipasang ke subnet yang berbeda.

  • Antarmuka jaringan harus terhubung ke subnet yang rentang alamat IP-nya tidak tumpang tindih dengan rentang alamat IP antarmuka lain pada instance yang sama.

  • Jika Anda ingin membuat VM yang terpasang ke subnet di beberapa jaringan VPC, semua jaringan dan subnet harus ada sebelum Anda membuat instance. Untuk informasi lebih lanjut tentang cara membuat jaringan dan subnet, baca Membuat dan mengelola jaringan VPC.

  • Anda tidak dapat menghapus antarmuka jaringan tanpa menghapus instance tempatnya dipasang.

  • Setiap instance harus memiliki minimal satu antarmuka jaringan: nic0. Jumlah maksimum antarmuka bervariasi bergantung pada jenis mesin instance.

  • Anda dapat mengonfigurasi antarmuka VM dengan alamat IPv4 saja, alamat IPv4 dan IPv6 (stack ganda), atau alamat IPv6 saja (Pratinjau). Jenis stack antarmuka menentukan alamat IP yang dapat dimilikinya dan jenis subnet yang dapat dihubungkan. Untuk mengetahui informasi selengkapnya, lihat Jenis stack.

  • Server DHCPGoogle Cloudmengirimkan rute default (RFC 3442, "classless static route") hanya ke antarmuka jaringan default, nic0. Jika rute default diperlukan di antarmuka jaringan lain, Anda harus mengonfigurasi perutean kebijakan pada instance. Untuk contoh cara melakukannya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.

  • Semua antarmuka jaringan VM harus terhubung ke subnet di jaringan yang ada dalam project yang sama dengan VM, atau ke jaringan VPC Bersama yang digunakan bersama project tersebut.

Jenis stack

Saat membuat antarmuka jaringan, Anda menentukan jenis stack. Jenis stack antarmuka menentukan alamat IP yang dapat dimilikinya dan jenis subnet yang dapat dihubungkan. Untuk informasi selengkapnya, lihat tabel berikut:

Jenis stack antarmuka Alamat IP Jenis subnet yang kompatibel
Khusus IPv4 (stack tunggal)
  • Alamat IPv4 internal (wajib)
  • Alamat IPv4 eksternal (opsional)
Subnet khusus IPv4 dan dual-stack
IPv4 and IPv6 (dual-stack)
  • Alamat IPv4 internal (wajib)
  • Alamat IPv4 eksternal (opsional)
  • Rentang alamat IPv6 /96, baik internal maupun eksternal, tetapi tidak keduanya (wajib)
Subnet stack ganda
Khusus IPv6 (stack tunggal) (Pratinjau)
  • Rentang alamat IPv6 /96, baik internal maupun eksternal, tetapi tidak keduanya (wajib)
Subnet khusus IPv6 (Pratinjau) dan dual-stack

Alokasi alamat IP antarmuka jaringan

Untuk antarmuka dengan alamat IPv4:

  • Anda harus mengonfigurasi setiap antarmuka jaringan dengan alamat IPv4 internal utama yang dialokasikan dari rentang alamat IPv4 utama subnet. Alamat internal utama yang dialokasikan ke setiap antarmuka dalam satu instance harus berbeda.
  • Opsional: Anda dapat mengonfigurasi setiap antarmuka jaringan dengan alamat IPv4 eksternal yang unik. Alamat eksternal dapat bersifat sementara atau dicadangkan.

Untuk antarmuka dengan alamat IPv6:

  • Anda harus menetapkan rentang alamat IPv6 /96 dari rentang alamat IPv6 subnet; alamat IPv6 pertama dalam rentang (/128) dikonfigurasi di antarmuka. Untuk mengetahui informasi selengkapnya, lihat Penetapan alamat IPv6.
  • Rentang alamat IPv6 /96 dapat bersifat internal atau eksternal, bergantung pada jenis akses IPv6 subnet.

Jumlah antarmuka jaringan maksimum

Untuk sebagian besar jenis mesin, jumlah antarmuka jaringan virtual disesuaikan dengan jumlah vCPU dengan minimal 2 dan maksimal 10.

Gunakan tabel berikut untuk menentukan jumlah antarmuka jaringan yang dapat dipasang ke instance:

Jumlah vCPU Jumlah vNIC
2 atau kurang 2
4 Maksimum 4
6 Maksimum 6
8 Maksimum 8
10 atau lebih maksimum 10

Batasan

  • Anda tidak dapat menambahkan atau menghapus antarmuka jaringan dari VM yang ada.

  • Anda tidak dapat menggunakan konsol Google Cloud untuk membuat konfigurasi multi-NIC untuk template instance atau grup instance. Sebagai gantinya, gunakan gcloud CLI atau API.

  • Untuk memahami apakah Anda dapat mengubah jenis stack antarmuka VM, lihat hal berikut:

    • Anda dapat mengubah jenis stack antarmuka yang ada dari khusus IPv4 menjadi stack ganda, atau dari stack ganda menjadi khusus IPv4.

    • Antarmuka khusus IPv6 (Pratinjau) hanya didukung saat membuat VM baru. Anda tidak dapat mengubah jenis stack antarmuka khusus IPv4 atau stack ganda yang ada menjadi khusus IPv6.

    • Selain itu, Anda tidak dapat mengubah jenis stack antarmuka khusus IPv6 menjadi stack ganda atau khusus IPv4.

  • Antarmuka khusus IPv6 (Pratinjau) hanya dapat memiliki satu rentang alamat internal atau eksternal berdasarkan jenis akses subnet yang terhubung. Untuk membuat instance khusus IPv6 dengan alamat IP internal dan eksternal, Anda harus mengonfigurasinya dengan dua antarmuka.

  • Penerusan IP diaktifkan di level VM dan tidak dapat diterapkan ke antarmuka individual.

  • Anda tidak dapat mengonfigurasi beberapa antarmuka jaringan untuk instance Compute Engine bare metal, yang memiliki maksimum satu vNIC.

  • Jumlah maksimum vNIC untuk seri mesin A3 berbeda dengan maksimum untuk sebagian besar jenis mesin. Untuk mengetahui informasi selengkapnya, lihat Seri mesin A3.

Contoh konfigurasi

Bagian ini membahas beberapa contoh umum tentang cara menggunakan beberapa antarmuka jaringan.

Contoh 1: Peralatan virtual jaringan dan keamanan

Peralatan virtual jaringan dan keamanan, seperti firewall aplikasi web (WAF), firewall tingkat aplikasi keamanan, dan akselerator WAN, biasanya dikonfigurasi dengan beberapa antarmuka virtual. Masing-masing dari beberapa antarmuka dikonfigurasi dengan alamat IP internalnya sendiri dan, secara opsional, dengan alamat IP eksternalnya sendiri.

Gambar 1 menjelaskan contoh konfigurasi firewall tingkat aplikasi yang mengontrol traffic dari internet ke jaringan VPC. Firewall tingkat aplikasi diterapkan di VM Compute Engine.

Dalam contoh ini, rute default VM appliance telah dikonfigurasi untuk menggunakan nic1.

Gambar 1. Instance dengan peralatan VM memiliki tiga antarmuka jaringan. Setiap antarmuka terhubung ke subnet yang berada di jaringan VPC yang berbeda (klik untuk memperbesar).

Menyediakan dan mengonfigurasi instance untuk contoh 1

Contoh berikut ini mengasumsikan bahwa subnet0, subnet1, dan subnet2 sudah ada, dengan rentang yang tidaktumpang tindih.

Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:

gcloud compute instances create vm-appliance \
    --network-interface subnet=subnet0,no-address \
    --network-interface subnet=subnet1 \
    --network-interface subnet=subnet2,no-address \
    --machine-type n1-standard-4

Perintah ini membuat instance dengan tiga antarmuka jaringan:

  • nic0 dipasang ke subnet0 dan tidak memiliki alamat IP eksternal.
  • nic1 dipasang ke subnet1 dan memiliki alamat IP eksternal sementara.
  • nic2 dipasang ke subnet2 dan tidak memiliki alamat IP eksternal.

Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama

Penyiapan ini berguna saat Anda ingin berbagi satu set peralatan pihak ketiga terpusat untuk workload atau aplikasi yang dihosting di project yang berbeda. Pada gambar 2, ada empat aplikasi berbeda—App1, App2, App3, dan App4—yang dihosting di project layanan yang berbeda. Anda harus melindunginya dari semua traffic masuk internet, dan traffic keluar harus diperiksa dan difilter di perangkat pihak ketiga yang berlokasi di pusat project host VPC Bersama.

Gambar 2. Instance dalam project host VPC Bersama menghosting peralatan VM. Instance ini memiliki antarmuka jaringan untuk masing-masing dari empat project layanan dan antarmuka lain untuk jaringan VPC perimeter jaringan (klik untuk memperbesar).

Menyediakan sekaligus mengonfigurasi VM dan antarmuka jaringan untuk contoh 2

Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:

gcloud compute instances create VM-appliance \
    --network-interface subnet=subnet-perimeter,address='reserved-address' \
    --network-interface subnet=subnet-1,no-address \
    --network-interface subnet=subnet-2,no-address \
    --network-interface subnet=subnet-3,no-address \
    --network-interface subnet=subnet-4,no-address \
    --machine-type=n1-standard-4

Perintah ini akan membuat instance dengan lima antarmuka jaringan:

  • nic0 dipasang ke subnet-perimeter, yang merupakan bagian dari network-perimeter, dengan alamat statis reserved-address.
  • nic1 dipasang ke subnet-1, yang merupakan bagian dari network-1, tanpa alamat IP eksternal.
  • nic2 dipasang ke subnet-2, yang merupakan bagian dari network-2, tanpa alamat IP eksternal.
  • nic3 dipasang ke subnet-3, yang merupakan bagian dari network-3, tanpa alamat IP eksternal.
  • nic4 dipasang ke subnet-4, yang merupakan bagian dari network-4, tanpa alamat IP eksternal.

Detail operasional tambahan

Beberapa antarmuka jaringan di lingkungan VPC Bersama

VPC Bersama memungkinkan Anda berbagi jaringan VPC di seluruh project di Google Cloud organisasi Anda.

VPC Bersama memungkinkan Anda membuat instance yang terkait dengan jaringan VPC Bersama yang dihosting dalam project host VPC Bersama terpusat. Untuk mengetahui informasi tentang cara mengonfigurasi jaringan VPC, lihat Menyediakan VPC Bersama.

Untuk membuat instances dengan satu atau beberapa antarmuka yang terkait dengan jaringan VPC Bersama, Anda harus memiliki peran Pengguna Jaringan Compute (roles/compute.networkUser) di project host VPC Bersama.

Resolusi DNS dengan beberapa antarmuka jaringan

Ketika kueri DNS dibuat dengan nama host instance, kueri tersebut akan menghasilkan antarmuka utama (nic0) dari instance. Jika antarmuka nic0 instance terpasang ke subnet di jaringan VPC yang berbeda dengan jaringan VPC dari instance yang mengeluarkan kueri DNS internal, kueri tersebut akan gagal.

Data DNS Compute Engine pribadi tidak dihasilkan per antarmuka.

Perilaku DHCP dengan beberapa antarmuka jaringan

Dalam beberapa konfigurasi antarmuka default, OS dikonfigurasi untuk menggunakan DHCP. Perilaku DHCP dan ARP dari setiap antarmuka sama dengan DHCP dan ARP dalam instance dengan satu antarmuka.

Dalam beberapa instance antarmuka yang menggunakan DHCP, setiap antarmuka mendapatkan rute untuk subnet di tempatnya berada. Selain itu, instance akan mendapatkan satu rute default yang terkait dengan antarmuka utama eth0. Kecuali jika dikonfigurasikan secara manual, traffic yang keluar dari instance untuk tujuan apa pun selain subnet yang terhubung langsung akan keluar dari instance melalui rute default pada eth0.

Perilaku ini sama untuk antarmuka dengan alamat IPv6. Antarmuka mendapatkan rute untuk rentang subnet IPv6 yang berada di tempatnya, serta satu rute default IPv6.

Dalam contoh ini, antarmuka utama eth0 mendapatkan rute default (default via 10.138.0.1 dev eth0), dan antarmuka baik eth0 serta eth1 mendapatkan rute untuk subnetnya masing-masing.

instance-1:~$ ip route
default via 10.138.0.1 dev eth0
10.137.0.0/20 via 10.137.0.1 dev eth1
10.137.0.1 dev eth1 scope link
10.138.0.0/20 via 10.138.0.1 dev eth0
10.138.0.1 dev eth0 scope link

Untuk informasi selengkapnya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.

Rute statis khusus dan beberapa antarmuka jaringan

Jika instance VM memiliki beberapa antarmuka dan satu tag jaringan , tag network mungkin tidak akan memengaruhi semua antarmuka VM. Tag jaringan VM memengaruhi antarmuka jika antarmuka berada di jaringan VPC yang berisi rute statis dengan tag yang cocok.

Contoh:

  1. VM memiliki dua antarmuka: nic0 dan nic1. Antarmuka nic0 berada di vpc-net-a. Antarmuka nic1 berada di vpc-net-b. VM memiliki tag jaringan yang disebut vpn-ok. Tag adalah atribut pada instance, bukan pada antarmuka tertentu.
  2. Jaringan vpc-net-a memiliki rute statis khusus dengan tag yang disebut vpn-ok.
  3. Jaringan vpc-net-b memiliki rute statis khusus dengan tag yang disebut vpn-123.

Langkah bernomor ini sesuai dengan gambar 3:

Gambar 3. Rute statis kustom di vpc-net-a memengaruhi nic0 karena memiliki tag yang sama, sedangkan rute statis kustom di vpc-net-b tidak memengaruhi nic1 (klik untuk memperbesar).

Dalam kasus jaringan vpc-net-a, karena memiliki rute dengan tag yang sama dengan VM, tag vpn-ok VM berlaku pada antarmuka nic0 VM di vpc-net-a. Sebaliknya karena jaringan vpc-net-b tidak memiliki rute statis dengan tag vpn-ok, tag jaringan vpn-ok VM diabaikan pada antarmuka nic1 VM.

Tag pada rute dalam instance dengan beberapa antarmuka jaringan

JIka Anda memilih menggunakan tag dengan rute, perhatikan bahwa tag diterapkan pada tingkat instance level dan, dengan demikian tag berlaku untuk seluruh antarmuka instance virtual machine. Jika hal ini tidak diinginkan, pastikan tag yang berlaku pada rute bersifat unik untuk setiap jaringan VPC.

Load balancer dan beberapa antarmuka jaringan

Kecuali untuk Load Balancing TCP/UDP Internal, semua load balancer Google Cloud hanya mendistribusikan traffic ke antarmuka pertama (nic0) dari instance backend.

Aturan firewall dan beberapa antarmuka jaringan

Setiap jaringan VPC memiliki kumpulan aturan firewallnya sendiri. Jika antarmuka instance berada dalam jaringan VPC tertentu, aturan firewall jaringan itu berlaku untuk antarmuka tersebut.

Misalnya, sebuah instance VM memiliki dua antarmuka:

  • nic0 berada di jaringan VPC network-1
  • nic1 berada di jaringan VPC network-2

Aturan firewall yang Anda buat untuk jaringan network-1 berlaku pada nic0. Aturan firewall yang Anda buat untuk jaringan network-2 berlaku pada nic1.

Untuk informasi selengkapnya, lihat Aturan firewall VPC.

Firewall dalam instance dengan beberapa antarmuka jaringan

  • Aturan firewall masuk dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi sumber, target (tujuan), atau keduanya.

  • Aturan firewall keluar dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi target (sumber).

Untuk informasi selengkapnya, lihat pemfilteran sumber dan target berdasarkan akun layanan.

Tag jaringan dan akun layanan mengidentifikasi instance, bukan antarmuka tertentu. Perlu diingat bahwa aturan firewall dikaitkan dengan jaringan VPC tunggal, dan setiap antarmuka instance multi-NIC harus berada dalam subnetyang ada di jaringan VPC yang unik.

Contoh berikut menunjukkan cara menggunakan tag sumber secara efektif untuk aturan firewall allow masuk. Instance vm1 memiliki dua antarmuka jaringan:

  • nic0 di network-1
  • nic1 di network-2

Misalkan Anda perlu mengizinkan traffic berikut dari vm1:

  • Traffic SSH dari vm1 ke instance apa pun di network-1
  • Traffic HTTP dan HTTPS dari vm1 ke instance apa pun di network-2

Untuk melengkapinya, Anda dapat melakukan hal berikut:

  1. Tetapkan dua tag jaringan ke vm1: vm1-network1 dan vm1-network2

  2. Buat aturan firewall allow masuk di network-1 dengan komponen berikut untuk mengizinkan traffic SSH dari vm1 ke seluruh VM network-1:

    • Tindakan: allow
    • Rute: ingress
    • Sumber: VM dengan tag vm1-network1
    • Target: Seluruh instance dalam jaringan VPC
    • Protokol dan port: tcp:22
  3. Buat aturan firewall izinkan masuk di network-2 dengan komponen berikut untuk mengizinkan traffic HTTP dan HTTPS dari vm1 ke seluruh VM di network-2:

    • Tindakan: allow
    • Rute: ingress
    • Sumber: VM dengan tag vm1-network2
    • Target: Seluruh instance dalam jaringan VPC
    • Protokol dan port: tcp:80,443

Gambar 4 menunjukkan contoh konfigurasi firewall ini:

Gambar 4. Aturan firewall 1 dan aturan firewall 2 masing-masing memiliki tag sumber yang terkait dengan VM1. Aturan firewall 1, yang ada di network-1, hanya memengaruhi nic0 VM1 karena keduanya berada di network-1. Aturan firewall 2 hanya memengaruhi nic1 VM1 karena aturan tersebut juga berbagi jaringan (klik untuk memperbesar).

Langkah selanjutnya