Beberapa antarmuka jaringan

Halaman ini memberikan ringkasan tentang beberapa antarmuka jaringan dalam instance virtual machine (VM), termasuk cara kerja dan contoh konfigurasinya. Untuk mengetahui informasi tentang cara membuat konfigurasi yang menggunakan beberapa antarmuka, lihat Membuat VM dengan beberapa antarmuka jaringan.

VM dengan beberapa pengontrol antarmuka jaringan disebut sebagai VM multi-NIC.

Jaringan Virtual Private Cloud (VPC) Google Cloud secara default adalah domain jejaring pribadi yang terisolasi. Jaringan memiliki cakupan global dan berisi subnet regional. Instance VM dalam jaringan VPC dapat berkomunikasi menggunakan alamat IP internal selam aturan firewall mengizinkan. Namun, tidak ada komunikasi alamat IP internal yang diperbolehkan antar jaringan, kecuali jika Anda mengatur mekanisme seperti Network Jaringan VPC atau Cloud VPN.

Setiap instance dalam jaringan VPC memiliki antarmuka jaringan default. Saat mengonfigurasi antarmuka jaringan, pilih jaringan VPC dan subnet dalam jaringan VPC untuk terhubung ke antarmuka. Anda dapat membuat antarmuka jaringan tambahan yang telah dipasang pada VM, tetapi setiap antarmuka harus diinstal ke jaringan VPC yang berbeda. Dengan beberapa antarmuka jaringan, Anda dapat membuat konfigurasi di mana sebuah instance terhubung langsung ke sejumlah jaringan VPC.

Setiap instance dapat memiliki hingga delapan antarmuka, bergantung pada tipe instancenya. Untuk informasi selengkapnya, lihat Jumlah maksimum antarmuka jaringan.

Setiap antarmuka dapat memiliki alamat IP yang telah dikonfigurasi berikut:

  • Alamat IPv4 internal (wajib)
  • Alamat IPv4 eksternal
  • Alamat IPv6, baik internal maupun eksternal, tetapi tidak keduanya

    Untuk mengonfigurasi alamat IPv6, Anda harus menghubungkan antarmuka ke subnet yang memiliki rentang IPv6 yang telah dikonfigurasi.

Biasanya, Anda mungkin memerlukan beberapa antarmuka jika ingin mengonfigurasi instance sebagai perangkat jaringan yang melakukan load balancing, Deteksi dan Pencegahan Penyusupan (IDS/IPS), Firewall Aplikasi Web (WAF), atau WAN pengoptimalan antar jaringan. Beberapa antarmuka jaringan juga berguna saat aplikasi yang berjalan di instance memerlukan pemisahan traffic, seperti pemisahan traffic bidang data dari traffic bidang pengelolaan.

Setiap antarmuka pada VM dipengaruhi oleh MTU dari jaringan yang terpasang. Untuk informasi selengkapnya tentang MTU antarmuka, lihat Unit transmisi maksimum.

Kasus penggunaan

Gunakan beberapa antarmuka jaringan saat instance individu memerlukan akses ke lebih dari satu jaringan VPC, tetapi sebaiknya jangan menghubungkan kedua jaringan secara langsung.

  • Fungsi jaringan dan keamanan: Beberapa antarmuka jaringan memungkinkan fungsi peralatan jaringan tervisualisasi seperti load balancer, server penafsiran alamat jaringan (NAT), dan server proxy yang dikonfigurasi dengan beberapa antarmuka jaringan. Untuk detail selengkapnya, lihat Contoh 1: Peralatan virtual jaringan dan keamanan.

  • isolasi perimeter (dikenal juga sebagai isolasi DMZ): Praktik terbaik yang penting dalam arsitektur jejaring bertingkat adalah mengisolasi layanan yang ditampilkan kepada publik dari jaringan internal dan layanannya. Gunakan beberapa antarmuka jaringan untuk membuat konfigurasi yang memiliki antarmuka jaringan terpisah pada instance, salah satunya menerima traffic yang ditampilkan kepada publik dan yang lain menangani traffic pribadi backend yang memiliki kontrol akses yang lebih ketat.

    Setiap resource yang dapat dijangkau dari internet harus dipisahkan dari jaringan internal Anda dan layanannya. Hal ini secara drastis membatasi cakupan dan kerusakan yang dapat disebabkan oleh pelanggaran keamanan. Misalnya, Anda dapat menempatkan antarmuka jaringan kedua pada setiap server web yang terhubung ke jaringan tingkat menengah tempat server aplikasi berada. Server aplikasi juga dapat melakukan dual-home ke jaringan backend tempat server database berada. Setiap instance dual-home menerima dan memproses permintaan di frontend, memulai koneksi ke backend, lalu mengirimkan permintaan ke servers di jaringan backend.

    Dengan mengonfigurasi antarmuka yang terpisah, satu untuk ditampilkan kepada publik dan satu lagi untuk pribadi. Anda dapat menerapkan aturan firewall dan kontrol akses terpisah untuk setiap antarmuka secara terpisah dan menerapkan fungsi keamanan dalam komunikasi dari domain publik ke domain pribadi. Untuk informasi selengkapnya, lihat Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama.

Contoh konfigurasi

Bagian ini membahas beberapa contoh umum tentang cara menggunakan beberapa antarmuka jaringan.

Contoh 1: Peralatan virtual jaringan dan keamanan

Peralatan virtual jaringan dan keamanan, seperti firewall aplikasi web (WAF), firewall tingkat aplikasi keamanan, dan akselerator WAN, biasanya dikonfigurasi dengan beberapa antarmuka virtual. Masing-masing dari beberapa antarmuka dikonfigurasi dengan alamat IP internalnya sendiri dan, secara opsional, dengan alamat IP eksternalnya sendiri.

Gambar 1 menjelaskan contoh konfigurasi firewall tingkat aplikasi yang mengontrol traffic dari internet ke jaringan VPC. Firewall tingkat aplikasi diterapkan di VM Compute Engine.

Dalam contoh ini, rute default VM appliance telah dikonfigurasi untuk menggunakan nic1.

Gambar 1. Instance dengan peralatan VM memiliki tiga antarmuka jaringan. Setiap antarmuka terhubung ke subnet yang berada di jaringan VPC yang berbeda (klik untuk memperbesar).

Menyediakan dan mengonfigurasi instance untuk contoh 1

Contoh berikut ini mengasumsikan bahwa subnet0, subnet1, dan subnet2 sudah ada, dengan rentang yang tidaktumpang tindih.

Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:

gcloud compute instances create vm-appliance \
    --network-interface subnet=subnet0,no-address \
    --network-interface subnet=subnet1 \
    --network-interface subnet=subnet2,no-address \
    --machine-type n1-standard-4

Perintah ini membuat instance dengan tiga antarmuka jaringan:

  • nic0 dipasang ke subnet0 dan tidak memiliki alamat IP eksternal.
  • nic1 dipasang ke subnet1 dan memiliki alamat IP eksternal sementara.
  • nic2 dipasang ke subnet2 dan tidak memiliki alamat IP eksternal.

Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama

Penyiapan ini berguna saat Anda ingin berbagi satu set peralatan pihak ketiga terpusat untuk workload atau aplikasi yang dihosting di project yang berbeda. Pada gambar 2, ada empat aplikasi berbeda—App1, App2, App3, dan App4—yang dihosting di project layanan yang berbeda. Anda harus melindunginya dari semua traffic masuk internet, dan traffic keluar harus diperiksa dan difilter di perangkat pihak ketiga yang berlokasi di pusat project host VPC Bersama.

Gambar 2. Instance dalam project host VPC Bersama menghosting peralatan VM. Instance ini memiliki antarmuka jaringan untuk masing-masing dari empat project layanan dan antarmuka lain untuk jaringan VPC perimeter jaringan (klik untuk memperbesar).

Menyediakan sekaligus mengonfigurasi VM dan antarmuka jaringan untuk contoh 2

Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:

gcloud compute instances create VM-appliance \
    --network-interface subnet=subnet-perimeter,address='reserved-address' \
    --network-interface subnet=subnet-1,no-address \
    --network-interface subnet=subnet-2,no-address \
    --network-interface subnet=subnet-3,no-address \
    --network-interface subnet=subnet-4,no-address \
    --machine-type=n1-standard-4

Perintah ini akan membuat instance dengan lima antarmuka jaringan:

  • nic0 dipasang ke subnet-perimeter, yang merupakan bagian dari network-perimeter, dengan alamat statis reserved-address.
  • nic1 dipasang ke subnet-1, yang merupakan bagian dari network-1, tanpa alamat IP eksternal.
  • nic2 dipasang ke subnet-2, yang merupakan bagian dari network-2, tanpa alamat IP eksternal.
  • nic3 dipasang ke subnet-3, yang merupakan bagian dari network-3, tanpa alamat IP eksternal.
  • nic4 dipasang ke subnet-4, yang merupakan bagian dari network-4, tanpa alamat IP eksternal.

Detail operasional tambahan

Beberapa antarmuka jaringan di lingkungan VPC Bersama

VPC Bersama memungkinkan Anda berbagi jaringan VPC di seluruh project di organisasi Google Cloud Anda.

VPC Bersama memungkinkan Anda membuat instance yang terkait dengan jaringan VPC Bersama yang dihosting dalam project host VPC Bersama terpusat. Untuk mengetahui informasi tentang cara mengonfigurasi jaringan VPC, lihat Menyediakan VPC Bersama.

Untuk membuat instances dengan satu atau beberapa antarmuka yang terkait dengan jaringan VPC Bersama, Anda harus memiliki peran Pengguna Jaringan Compute (roles/compute.networkUser) di project host VPC Bersama.

Resolusi DNS dengan beberapa antarmuka jaringan

Ketika kueri DNS dibuat dengan nama host instance, kueri tersebut akan menghasilkan antarmuka utama (nic0) dari instance. Jika antarmuka nic0 instance terpasang ke subnet di jaringan VPC yang berbeda dengan jaringan VPC dari instance yang mengeluarkan kueri DNS internal, kueri tersebut akan gagal.

Data DNS Compute Engine pribadi tidak dihasilkan per antarmuka.

Perilaku DHCP dengan beberapa antarmuka jaringan

Dalam beberapa konfigurasi antarmuka default, OS dikonfigurasi untuk menggunakan DHCP. Perilaku DHCP dan ARP dari setiap antarmuka sama dengan DHCP dan ARP dalam instance dengan satu antarmuka.

Dalam beberapa instance antarmuka yang menggunakan DHCP, setiap antarmuka mendapatkan rute untuk subnet di tempatnya berada. Selain itu, instance akan mendapatkan satu rute default yang terkait dengan antarmuka utama eth0. Kecuali jika dikonfigurasikan secara manual, traffic yang keluar dari instance untuk tujuan apa pun selain subnet yang terhubung langsung akan keluar dari instance melalui rute default pada eth0.

Perilaku ini sama untuk antarmuka dengan alamat IPv6. Antarmuka mendapatkan rute untuk rentang subnet IPv6 yang berada di tempatnya, serta satu rute default IPv6.

Dalam contoh ini, antarmuka utama eth0 mendapatkan rute default (default via 10.138.0.1 dev eth0), dan antarmuka baik eth0 serta eth1 mendapatkan rute untuk subnetnya masing-masing.

instance-1:~$ ip route
default via 10.138.0.1 dev eth0
10.137.0.0/20 via 10.137.0.1 dev eth1
10.137.0.1 dev eth1 scope link
10.138.0.0/20 via 10.138.0.1 dev eth0
10.138.0.1 dev eth0 scope link

Untuk informasi selengkapnya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.

Rute statis khusus dan beberapa antarmuka jaringan

Jika instance VM memiliki beberapa antarmuka dan satu tag jaringan , tag network mungkin tidak akan memengaruhi semua antarmuka VM. Tag jaringan VM memengaruhi antarmuka jika antarmuka berada di jaringan VPC yang berisi rute statis dengan tag yang cocok.

Contoh:

  1. VM memiliki dua antarmuka: nic0 dan nic1. Antarmuka nic0 berada di vpc-net-a. Antarmuka nic1 berada di vpc-net-b. VM memiliki tag jaringan yang disebut vpn-ok. Tag adalah atribut pada instance, bukan pada antarmuka tertentu.
  2. Jaringan vpc-net-a memiliki rute statis khusus dengan tag yang disebut vpn-ok.
  3. Jaringan vpc-net-b memiliki rute statis khusus dengan tag yang disebut vpn-123.

Langkah bernomor ini sesuai dengan gambar 3:

Gambar 3. Rute statis kustom di vpc-net-a memengaruhi nic0 karena memiliki tag yang sama, sedangkan rute statis kustom di vpc-net-b tidak memengaruhi nic1 (klik untuk memperbesar).

Dalam kasus jaringan vpc-net-a, karena memiliki rute dengan tag yang sama dengan VM, tag vpn-ok VM berlaku pada antarmuka nic0 VM di vpc-net-a. Sebaliknya karena jaringan vpc-net-b tidak memiliki rute statis dengan tag vpn-ok, tag jaringan vpn-ok VM diabaikan pada antarmuka nic1 VM.

Tag pada rute dalam instance dengan beberapa antarmuka jaringan

JIka Anda memilih menggunakan tag dengan rute, perhatikan bahwa tag diterapkan pada tingkat instance level dan, dengan demikian tag berlaku untuk seluruh antarmuka instance virtual machine. Jika hal ini tidak diinginkan, pastikan tag yang berlaku pada rute bersifat unik untuk setiap jaringan VPC.

Load balancer dan beberapa antarmuka jaringan

Kecuali untuk Load Balancing TCP/UDP Internal, seluruh load balancer Google Cloud hanya mendistribusikan traffic ke antarmuka pertama (nic0) dari backend instance.

Aturan firewall dan beberapa antarmuka jaringan

Setiap jaringan VPC memiliki kumpulan aturan firewallnya sendiri. Jika antarmuka instance berada dalam jaringan VPC tertentu, aturan firewall jaringan itu berlaku untuk antarmuka tersebut.

Misalnya, sebuah instance VM memiliki dua antarmuka:

  • nic0 berada di jaringan VPC network-1
  • nic1 berada di jaringan VPC network-2

Aturan firewall yang Anda buat untuk jaringan network-1 berlaku pada nic0. Aturan firewall yang Anda buat untuk jaringan network-2 berlaku pada nic1.

Untuk informasi selengkapnya, lihat Aturan firewall VPC.

Firewall dalam instance dengan beberapa antarmuka jaringan

  • Aturan firewall masuk dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi sumber, target (tujuan), atau keduanya.

  • Aturan firewall keluar dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi target (sumber).

Untuk informasi selengkapnya, lihat pemfilteran sumber dan target berdasarkan akun layanan.

Tag jaringan dan akun layanan mengidentifikasi instance, bukan antarmuka tertentu. Perlu diingat bahwa aturan firewall dikaitkan dengan jaringan VPC tunggal, dan setiap antarmuka instance multi-NIC harus berada dalam subnetyang ada di jaringan VPC yang unik.

Contoh berikut menunjukkan cara menggunakan tag sumber secara efektif untuk aturan firewall allow masuk. Instance vm1 memiliki dua antarmuka jaringan:

  • nic0 di network-1
  • nic1 di network-2

Misalkan Anda perlu mengizinkan traffic berikut dari vm1:

  • Traffic SSH dari vm1 ke instance apa pun di network-1
  • Traffic HTTP dan HTTPS dari vm1 ke instance apa pun di network-2

Untuk melengkapinya, Anda dapat melakukan hal berikut:

  1. Tetapkan dua tag jaringan ke vm1: vm1-network1 dan vm1-network2

  2. Buat aturan firewall allow masuk di network-1 dengan komponen berikut untuk mengizinkan traffic SSH dari vm1 ke seluruh VM network-1:

    • Tindakan: allow
    • Rute: ingress
    • Sumber: VM dengan tag vm1-network1
    • Target: Seluruh instance dalam jaringan VPC
    • Protokol dan port: tcp:22
  3. Buat aturan firewall izinkan masuk di network-2 dengan komponen berikut untuk mengizinkan traffic HTTP dan HTTPS dari vm1 ke seluruh VM di network-2:

    • Tindakan: allow
    • Rute: ingress
    • Sumber: VM dengan tag vm1-network2
    • Target: Seluruh instance dalam jaringan VPC
    • Protokol dan port: tcp:80,443

Gambar 4 menunjukkan contoh konfigurasi firewall ini:

Gambar 4. Aturan firewall 1 dan aturan firewall 2 masing-masing memiliki tag sumber yang terkait dengan VM1. Aturan firewall 1, yang ada di network-1, hanya memengaruhi nic0 VM1 karena keduanya berada di network-1. Aturan firewall 2 hanya memengaruhi nic1 VM1 karena aturan tersebut juga berbagi jaringan (klik untuk memperbesar).

Langkah selanjutnya