Beberapa antarmuka jaringan
Halaman ini memberikan ringkasan tentang beberapa antarmuka jaringan dalam instance virtual machine (VM), termasuk cara kerja dan contoh konfigurasinya. Untuk mengetahui informasi tentang cara membuat konfigurasi yang menggunakan beberapa antarmuka, lihat Membuat VM dengan beberapa antarmuka jaringan.
VM dengan beberapa pengontrol antarmuka jaringan disebut sebagai VM multi-NIC.
Google Cloud Jaringan Virtual Private Cloud (VPC) secara default adalah domain jaringan pribadi yang terisolasi. Jaringan memiliki cakupan global dan berisi subnet regional. Instance VM dalam jaringan VPC dapat berkomunikasi menggunakan alamat IP internal selam aturan firewall mengizinkan. Namun, tidak ada komunikasi alamat IP internal yang diizinkan antar jaringan, kecuali jika Anda menyiapkan mekanisme seperti Peering Jaringan VPC atau Cloud VPN.
Setiap instance dalam jaringan VPC memiliki antarmuka jaringan default. Saat mengonfigurasi antarmuka jaringan, pilih jaringan VPC dan subnet dalam jaringan VPC untuk terhubung ke antarmuka. Anda dapat membuat antarmuka jaringan tambahan yang telah dipasang pada VM, tetapi setiap antarmuka harus diinstal ke jaringan VPC yang berbeda. Dengan beberapa antarmuka jaringan, Anda dapat membuat konfigurasi di mana sebuah instance terhubung langsung ke sejumlah jaringan VPC.
Biasanya, Anda mungkin memerlukan beberapa antarmuka jika ingin mengonfigurasi instance sebagai perangkat jaringan yang melakukan load balancing, Deteksi dan Pencegahan Penyusupan (IDS/IPS), Firewall Aplikasi Web (WAF), atau WAN pengoptimalan antar jaringan. Beberapa antarmuka jaringan juga berguna saat aplikasi yang berjalan di instance memerlukan pemisahan traffic, seperti pemisahan traffic bidang data dari traffic bidang pengelolaan.
Setiap antarmuka pada VM dipengaruhi oleh MTU dari jaringan yang terpasang. Untuk informasi selengkapnya tentang MTU antarmuka, lihat Unit transmisi maksimum.
Kasus penggunaan
Gunakan beberapa antarmuka jaringan saat instance individu memerlukan akses ke lebih dari satu jaringan VPC, tetapi sebaiknya jangan menghubungkan kedua jaringan secara langsung.
Fungsi jaringan dan keamanan: Beberapa antarmuka jaringan memungkinkan fungsi peralatan jaringan tervisualisasi seperti load balancer, server penafsiran alamat jaringan (NAT), dan server proxy yang dikonfigurasi dengan beberapa antarmuka jaringan. Untuk detail selengkapnya, lihat Contoh 1: Peralatan virtual jaringan dan keamanan.
isolasi perimeter (dikenal juga sebagai isolasi DMZ): Praktik terbaik yang penting dalam arsitektur jejaring bertingkat adalah mengisolasi layanan yang ditampilkan kepada publik dari jaringan internal dan layanannya. Gunakan beberapa antarmuka jaringan untuk membuat konfigurasi yang memiliki antarmuka jaringan terpisah pada instance, salah satunya menerima traffic yang ditampilkan kepada publik dan yang lain menangani traffic pribadi backend yang memiliki kontrol akses yang lebih ketat.
Setiap resource yang dapat dijangkau dari internet harus dipisahkan dari jaringan internal Anda dan layanannya. Hal ini secara drastis membatasi cakupan dan kerusakan yang dapat disebabkan oleh pelanggaran keamanan. Misalnya, Anda dapat menempatkan antarmuka jaringan kedua pada setiap server web yang terhubung ke jaringan tingkat menengah tempat server aplikasi berada. Server aplikasi juga dapat melakukan dual-home ke jaringan backend tempat server database berada. Setiap instance dual-home menerima dan memproses permintaan di frontend, memulai koneksi ke backend, lalu mengirimkan permintaan ke servers di jaringan backend.
Dengan mengonfigurasi antarmuka yang terpisah, satu untuk ditampilkan kepada publik dan satu lagi untuk pribadi. Anda dapat menerapkan aturan firewall dan kontrol akses terpisah untuk setiap antarmuka secara terpisah dan menerapkan fungsi keamanan dalam komunikasi dari domain publik ke domain pribadi. Untuk informasi selengkapnya, lihat Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama.
Spesifikasi
- Anda hanya dapat mengonfigurasi antarmuka jaringan saat membuat instance.
Jika Anda membuat instance dengan beberapa antarmuka jaringan, setiap antarmuka harus terhubung ke jaringan VPC yang berbeda. Jaringan dapat berupa jaringan VPC mandiri atau jaringan VPC Bersama.
Namun, jaringan VPC yang dibuat dengan profil jaringan RDMA memungkinkan Anda memasang NIC RDMA ke jaringan yang sama, dengan setiap NIC dipasang ke subnet yang berbeda.
Antarmuka jaringan harus terhubung ke subnet yang rentang alamat IP-nya tidak tumpang tindih dengan rentang alamat IP antarmuka lain pada instance yang sama.
Jika Anda ingin membuat VM yang terpasang ke subnet di beberapa jaringan VPC, semua jaringan dan subnet harus ada sebelum Anda membuat instance. Untuk informasi lebih lanjut tentang cara membuat jaringan dan subnet, baca Membuat dan mengelola jaringan VPC.
Anda tidak dapat menghapus antarmuka jaringan tanpa menghapus instance tempatnya dipasang.
Setiap instance harus memiliki minimal satu antarmuka jaringan:
nic0
. Jumlah maksimum antarmuka bervariasi bergantung pada jenis mesin instance.Anda dapat mengonfigurasi antarmuka VM dengan alamat IPv4 saja, alamat IPv4 dan IPv6 (stack ganda), atau alamat IPv6 saja (Pratinjau). Jenis stack antarmuka menentukan alamat IP yang dapat dimilikinya dan jenis subnet yang dapat dihubungkan. Untuk mengetahui informasi selengkapnya, lihat Jenis stack.
Server DHCPGoogle Cloudmengirimkan rute default (RFC 3442, "classless static route") hanya ke antarmuka jaringan default,
nic0
. Jika rute default diperlukan di antarmuka jaringan lain, Anda harus mengonfigurasi perutean kebijakan pada instance. Untuk contoh cara melakukannya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.Semua antarmuka jaringan VM harus terhubung ke subnet di jaringan yang ada dalam project yang sama dengan VM, atau ke jaringan VPC Bersama yang digunakan bersama project tersebut.
Jenis stack
Saat membuat antarmuka jaringan, Anda menentukan jenis stack. Jenis stack antarmuka menentukan alamat IP yang dapat dimilikinya dan jenis subnet yang dapat dihubungkan. Untuk informasi selengkapnya, lihat tabel berikut:
Jenis stack antarmuka | Alamat IP | Jenis subnet yang kompatibel |
---|---|---|
Khusus IPv4 (stack tunggal) |
|
Subnet khusus IPv4 dan dual-stack |
IPv4 and IPv6 (dual-stack) |
|
Subnet stack ganda |
Khusus IPv6 (stack tunggal) (Pratinjau) |
|
Subnet khusus IPv6 (Pratinjau) dan dual-stack |
Alokasi alamat IP antarmuka jaringan
Untuk antarmuka dengan alamat IPv4:
- Anda harus mengonfigurasi setiap antarmuka jaringan dengan alamat IPv4 internal utama yang dialokasikan dari rentang alamat IPv4 utama subnet. Alamat internal utama yang dialokasikan ke setiap antarmuka dalam satu instance harus berbeda.
- Opsional: Anda dapat mengonfigurasi setiap antarmuka jaringan dengan alamat IPv4 eksternal yang unik. Alamat eksternal dapat bersifat sementara atau dicadangkan.
Untuk antarmuka dengan alamat IPv6:
- Anda harus menetapkan rentang alamat IPv6
/96
dari rentang alamat IPv6 subnet; alamat IPv6 pertama dalam rentang (/128
) dikonfigurasi di antarmuka. Untuk mengetahui informasi selengkapnya, lihat Penetapan alamat IPv6. - Rentang alamat IPv6
/96
dapat bersifat internal atau eksternal, bergantung pada jenis akses IPv6 subnet.
Jumlah antarmuka jaringan maksimum
Untuk sebagian besar jenis mesin, jumlah antarmuka jaringan virtual disesuaikan dengan jumlah vCPU dengan minimal 2 dan maksimal 10.
Gunakan tabel berikut untuk menentukan jumlah antarmuka jaringan yang dapat dipasang ke instance:
Jumlah vCPU | Jumlah vNIC |
---|---|
2 atau kurang | 2 |
4 | Maksimum 4 |
6 | Maksimum 6 |
8 | Maksimum 8 |
10 atau lebih | maksimum 10 |
Batasan
Anda tidak dapat menambahkan atau menghapus antarmuka jaringan dari VM yang ada.
Anda tidak dapat menggunakan konsol Google Cloud untuk membuat konfigurasi multi-NIC untuk template instance atau grup instance. Sebagai gantinya, gunakan gcloud CLI atau API.
Untuk memahami apakah Anda dapat mengubah jenis stack antarmuka VM, lihat hal berikut:
Anda dapat mengubah jenis stack antarmuka yang ada dari khusus IPv4 menjadi stack ganda, atau dari stack ganda menjadi khusus IPv4.
Antarmuka khusus IPv6 (Pratinjau) hanya didukung saat membuat VM baru. Anda tidak dapat mengubah jenis stack antarmuka khusus IPv4 atau stack ganda yang ada menjadi khusus IPv6.
Selain itu, Anda tidak dapat mengubah jenis stack antarmuka khusus IPv6 menjadi stack ganda atau khusus IPv4.
Antarmuka khusus IPv6 (Pratinjau) hanya dapat memiliki satu rentang alamat internal atau eksternal berdasarkan jenis akses subnet yang terhubung. Untuk membuat instance khusus IPv6 dengan alamat IP internal dan eksternal, Anda harus mengonfigurasinya dengan dua antarmuka.
Penerusan IP diaktifkan di level VM dan tidak dapat diterapkan ke antarmuka individual.
Anda tidak dapat mengonfigurasi beberapa antarmuka jaringan untuk instance Compute Engine bare metal, yang memiliki maksimum satu vNIC.
Jumlah maksimum vNIC untuk seri mesin A3 berbeda dengan maksimum untuk sebagian besar jenis mesin. Untuk mengetahui informasi selengkapnya, lihat Seri mesin A3.
Contoh konfigurasi
Bagian ini membahas beberapa contoh umum tentang cara menggunakan beberapa antarmuka jaringan.
Contoh 1: Peralatan virtual jaringan dan keamanan
Peralatan virtual jaringan dan keamanan, seperti firewall aplikasi web (WAF), firewall tingkat aplikasi keamanan, dan akselerator WAN, biasanya dikonfigurasi dengan beberapa antarmuka virtual. Masing-masing dari beberapa antarmuka dikonfigurasi dengan alamat IP internalnya sendiri dan, secara opsional, dengan alamat IP eksternalnya sendiri.
Gambar 1 menjelaskan contoh konfigurasi firewall tingkat aplikasi yang mengontrol traffic dari internet ke jaringan VPC. Firewall tingkat aplikasi diterapkan di VM Compute Engine.
Dalam contoh ini, rute default VM appliance telah dikonfigurasi untuk
menggunakan nic1
.
Gambar 1. Instance dengan peralatan VM memiliki tiga antarmuka jaringan. Setiap antarmuka terhubung ke subnet yang berada di jaringan VPC yang berbeda (klik untuk memperbesar).
Menyediakan dan mengonfigurasi instance untuk contoh 1
Contoh berikut ini mengasumsikan bahwa subnet0
, subnet1
, dan subnet2
sudah ada,
dengan rentang yang tidaktumpang tindih.
Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:
gcloud compute instances create vm-appliance \ --network-interface subnet=subnet0,no-address \ --network-interface subnet=subnet1 \ --network-interface subnet=subnet2,no-address \ --machine-type n1-standard-4
Perintah ini membuat instance dengan tiga antarmuka jaringan:
nic0
dipasang kesubnet0
dan tidak memiliki alamat IP eksternal.nic1
dipasang kesubnet1
dan memiliki alamat IP eksternal sementara.nic2
dipasang kesubnet2
dan tidak memiliki alamat IP eksternal.
Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama
Penyiapan ini berguna saat Anda ingin berbagi satu set peralatan pihak ketiga
terpusat untuk workload atau aplikasi yang dihosting di
project yang berbeda. Pada gambar 2, ada empat aplikasi
berbeda—App1
, App2
, App3
, dan App4
—yang dihosting di project
layanan yang berbeda. Anda harus melindunginya dari semua traffic masuk internet, dan traffic
keluar harus diperiksa dan difilter di perangkat pihak ketiga yang
berlokasi di pusat project host VPC Bersama.
Gambar 2. Instance dalam project host VPC Bersama menghosting peralatan VM. Instance ini memiliki antarmuka jaringan untuk masing-masing dari empat project layanan dan antarmuka lain untuk jaringan VPC perimeter jaringan (klik untuk memperbesar).
Menyediakan sekaligus mengonfigurasi VM dan antarmuka jaringan untuk contoh 2
Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:
gcloud compute instances create VM-appliance \ --network-interface subnet=subnet-perimeter,address='reserved-address' \ --network-interface subnet=subnet-1,no-address \ --network-interface subnet=subnet-2,no-address \ --network-interface subnet=subnet-3,no-address \ --network-interface subnet=subnet-4,no-address \ --machine-type=n1-standard-4
Perintah ini akan membuat instance dengan lima antarmuka jaringan:
nic0
dipasang kesubnet-perimeter
, yang merupakan bagian darinetwork-perimeter
, dengan alamat statisreserved-address
.nic1
dipasang kesubnet-1
, yang merupakan bagian darinetwork-1
, tanpa alamat IP eksternal.nic2
dipasang kesubnet-2
, yang merupakan bagian darinetwork-2
, tanpa alamat IP eksternal.nic3
dipasang kesubnet-3
, yang merupakan bagian darinetwork-3
, tanpa alamat IP eksternal.nic4
dipasang kesubnet-4
, yang merupakan bagian darinetwork-4
, tanpa alamat IP eksternal.
Detail operasional tambahan
Beberapa antarmuka jaringan di lingkungan VPC Bersama
VPC Bersama memungkinkan Anda berbagi jaringan VPC di seluruh project di Google Cloud organisasi Anda.
VPC Bersama memungkinkan Anda membuat instance yang terkait dengan jaringan VPC Bersama yang dihosting dalam project host VPC Bersama terpusat. Untuk mengetahui informasi tentang cara mengonfigurasi jaringan VPC, lihat Menyediakan VPC Bersama.
Untuk membuat instances dengan satu atau beberapa antarmuka yang terkait dengan jaringan VPC
Bersama, Anda harus memiliki peran Pengguna Jaringan Compute (roles/compute.networkUser
) di project host
VPC Bersama.
Resolusi DNS dengan beberapa antarmuka jaringan
Ketika kueri DNS dibuat dengan nama host instance, kueri tersebut akan menghasilkan
antarmuka utama (nic0
) dari instance. Jika antarmuka nic0
instance
terpasang ke subnet di jaringan VPC yang
berbeda dengan jaringan VPC dari instance yang mengeluarkan
kueri DNS internal, kueri tersebut akan gagal.
Data DNS Compute Engine pribadi tidak dihasilkan per antarmuka.
Perilaku DHCP dengan beberapa antarmuka jaringan
Dalam beberapa konfigurasi antarmuka default, OS dikonfigurasi untuk menggunakan DHCP. Perilaku DHCP dan ARP dari setiap antarmuka sama dengan DHCP dan ARP dalam instance dengan satu antarmuka.
Dalam beberapa instance antarmuka yang menggunakan DHCP, setiap antarmuka mendapatkan rute
untuk subnet di tempatnya berada. Selain itu, instance akan mendapatkan satu
rute default yang terkait dengan antarmuka utama eth0
. Kecuali jika
dikonfigurasikan secara manual, traffic yang keluar dari instance untuk
tujuan apa pun selain subnet yang terhubung langsung akan keluar dari instance melalui
rute default pada eth0
.
Perilaku ini sama untuk antarmuka dengan alamat IPv6. Antarmuka mendapatkan rute untuk rentang subnet IPv6 yang berada di tempatnya, serta satu rute default IPv6.
Dalam contoh ini, antarmuka utama eth0
mendapatkan rute default
(default via 10.138.0.1 dev eth0
), dan antarmuka baik eth0
serta eth1
mendapatkan
rute untuk subnetnya masing-masing.
instance-1:~$ ip route default via 10.138.0.1 dev eth0 10.137.0.0/20 via 10.137.0.1 dev eth1 10.137.0.1 dev eth1 scope link 10.138.0.0/20 via 10.138.0.1 dev eth0 10.138.0.1 dev eth0 scope link
Untuk informasi selengkapnya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.
Rute statis khusus dan beberapa antarmuka jaringan
Jika instance VM memiliki beberapa antarmuka dan satu tag jaringan , tag network mungkin tidak akan memengaruhi semua antarmuka VM. Tag jaringan VM memengaruhi antarmuka jika antarmuka berada di jaringan VPC yang berisi rute statis dengan tag yang cocok.
Contoh:
- VM memiliki dua antarmuka:
nic0
dannic1
. Antarmukanic0
berada divpc-net-a
. Antarmukanic1
berada divpc-net-b
. VM memiliki tag jaringan yang disebutvpn-ok
. Tag adalah atribut pada instance, bukan pada antarmuka tertentu. - Jaringan
vpc-net-a
memiliki rute statis khusus dengan tag yang disebutvpn-ok
. - Jaringan
vpc-net-b
memiliki rute statis khusus dengan tag yang disebutvpn-123
.
Langkah bernomor ini sesuai dengan gambar 3:
Gambar 3.
Rute statis kustom di vpc-net-a
memengaruhi
nic0
karena memiliki
tag yang sama, sedangkan rute statis kustom di
vpc-net-b
tidak
memengaruhi nic1
(klik untuk memperbesar).
Dalam kasus jaringan vpc-net-a
, karena memiliki rute dengan tag
yang sama dengan VM, tag vpn-ok
VM berlaku pada antarmuka nic0
VM
di vpc-net-a
. Sebaliknya karena jaringan vpc-net-b
tidak memiliki rute statis
dengan tag vpn-ok
, tag jaringan vpn-ok
VM diabaikan pada antarmuka
nic1
VM.
Tag pada rute dalam instance dengan beberapa antarmuka jaringan
JIka Anda memilih menggunakan tag dengan rute, perhatikan bahwa tag diterapkan pada tingkat instance level dan, dengan demikian tag berlaku untuk seluruh antarmuka instance virtual machine. Jika hal ini tidak diinginkan, pastikan tag yang berlaku pada rute bersifat unik untuk setiap jaringan VPC.
Load balancer dan beberapa antarmuka jaringan
Kecuali untuk Load Balancing TCP/UDP Internal,
semua load balancer Google Cloud hanya mendistribusikan traffic ke antarmuka
pertama (nic0
) dari instance backend.
Aturan firewall dan beberapa antarmuka jaringan
Setiap jaringan VPC memiliki kumpulan aturan firewallnya sendiri. Jika antarmuka instance berada dalam jaringan VPC tertentu, aturan firewall jaringan itu berlaku untuk antarmuka tersebut.
Misalnya, sebuah instance VM memiliki dua antarmuka:
nic0
berada di jaringan VPCnetwork-1
nic1
berada di jaringan VPCnetwork-2
Aturan firewall yang Anda buat untuk jaringan network-1
berlaku pada nic0
.
Aturan firewall yang Anda buat untuk jaringan network-2
berlaku pada nic1
.
Untuk informasi selengkapnya, lihat Aturan firewall VPC.
Firewall dalam instance dengan beberapa antarmuka jaringan
Aturan firewall masuk dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi sumber, target (tujuan), atau keduanya.
Aturan firewall keluar dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi target (sumber).
Untuk informasi selengkapnya, lihat pemfilteran sumber dan target berdasarkan akun layanan.
Tag jaringan dan akun layanan mengidentifikasi instance, bukan antarmuka tertentu. Perlu diingat bahwa aturan firewall dikaitkan dengan jaringan VPC tunggal, dan setiap antarmuka instance multi-NIC harus berada dalam subnetyang ada di jaringan VPC yang unik.
Contoh berikut menunjukkan cara menggunakan tag sumber secara efektif untuk
aturan firewall allow
masuk. Instance vm1
memiliki dua antarmuka jaringan:
nic0
dinetwork-1
nic1
dinetwork-2
Misalkan Anda perlu mengizinkan traffic berikut dari vm1
:
- Traffic SSH dari
vm1
ke instance apa pun dinetwork-1
- Traffic HTTP dan HTTPS dari
vm1
ke instance apa pun dinetwork-2
Untuk melengkapinya, Anda dapat melakukan hal berikut:
Tetapkan dua tag jaringan ke
vm1
:vm1-network1
danvm1-network2
Buat aturan firewall
allow
masuk dinetwork-1
dengan komponen berikut untuk mengizinkan traffic SSH darivm1
ke seluruh VMnetwork-1
:- Tindakan:
allow
- Rute:
ingress
- Sumber: VM dengan tag
vm1-network1
- Target: Seluruh instance dalam jaringan VPC
- Protokol dan port:
tcp:22
- Tindakan:
Buat aturan firewall izinkan masuk di
network-2
dengan komponen berikut untuk mengizinkan traffic HTTP dan HTTPS darivm1
ke seluruh VM dinetwork-2
:- Tindakan:
allow
- Rute:
ingress
- Sumber: VM dengan tag
vm1-network2
- Target: Seluruh instance dalam jaringan VPC
- Protokol dan port:
tcp:80,443
- Tindakan:
Gambar 4 menunjukkan contoh konfigurasi firewall ini:
Gambar 4.
Aturan firewall 1 dan aturan firewall 2 masing-masing memiliki tag sumber yang
terkait dengan VM1. Aturan firewall 1, yang ada di network-1
,
hanya memengaruhi nic0
VM1 karena keduanya berada di
network-1
. Aturan firewall 2 hanya memengaruhi
nic1
VM1 karena aturan tersebut juga berbagi jaringan (klik untuk memperbesar).