Beberapa antarmuka jaringan
Halaman ini memberikan ringkasan tentang beberapa antarmuka jaringan dalam instance virtual machine (VM), termasuk cara kerja dan contoh konfigurasinya. Untuk mengetahui informasi tentang cara membuat konfigurasi yang menggunakan beberapa antarmuka, lihat Membuat VM dengan beberapa antarmuka jaringan.
VM dengan beberapa pengontrol antarmuka jaringan disebut sebagai VM multi-NIC.
Jaringan Virtual Private Cloud (VPC) Google Cloud secara default adalah domain jejaring pribadi yang terisolasi. Jaringan memiliki cakupan global dan berisi subnet regional. Instance VM dalam jaringan VPC dapat berkomunikasi menggunakan alamat IP internal selam aturan firewall mengizinkan. Namun, tidak ada komunikasi alamat IP internal yang diperbolehkan antar jaringan, kecuali jika Anda mengatur mekanisme seperti Network Jaringan VPC atau Cloud VPN.
Setiap instance dalam jaringan VPC memiliki antarmuka jaringan default. Saat mengonfigurasi antarmuka jaringan, pilih jaringan VPC dan subnet dalam jaringan VPC untuk terhubung ke antarmuka. Anda dapat membuat antarmuka jaringan tambahan yang telah dipasang pada VM, tetapi setiap antarmuka harus diinstal ke jaringan VPC yang berbeda. Dengan beberapa antarmuka jaringan, Anda dapat membuat konfigurasi di mana sebuah instance terhubung langsung ke sejumlah jaringan VPC.
Setiap instance dapat memiliki hingga delapan antarmuka, bergantung pada tipe instancenya. Untuk informasi selengkapnya, lihat Jumlah maksimum antarmuka jaringan.
Setiap antarmuka dapat memiliki alamat IP yang telah dikonfigurasi berikut:
- Alamat IPv4 internal (wajib)
- Alamat IPv4 eksternal
Alamat IPv6, baik internal maupun eksternal, tetapi tidak keduanya
Untuk mengonfigurasi alamat IPv6, Anda harus menghubungkan antarmuka ke subnet yang memiliki rentang IPv6 yang telah dikonfigurasi.
Biasanya, Anda mungkin memerlukan beberapa antarmuka jika ingin mengonfigurasi instance sebagai perangkat jaringan yang melakukan load balancing, Deteksi dan Pencegahan Penyusupan (IDS/IPS), Firewall Aplikasi Web (WAF), atau WAN pengoptimalan antar jaringan. Beberapa antarmuka jaringan juga berguna saat aplikasi yang berjalan di instance memerlukan pemisahan traffic, seperti pemisahan traffic bidang data dari traffic bidang pengelolaan.
Setiap antarmuka pada VM dipengaruhi oleh MTU dari jaringan yang terpasang. Untuk informasi selengkapnya tentang MTU antarmuka, lihat Unit transmisi maksimum.
Kasus penggunaan
Gunakan beberapa antarmuka jaringan saat instance individu memerlukan akses ke lebih dari satu jaringan VPC, tetapi sebaiknya jangan menghubungkan kedua jaringan secara langsung.
Fungsi jaringan dan keamanan: Beberapa antarmuka jaringan memungkinkan fungsi peralatan jaringan tervisualisasi seperti load balancer, server penafsiran alamat jaringan (NAT), dan server proxy yang dikonfigurasi dengan beberapa antarmuka jaringan. Untuk detail selengkapnya, lihat Contoh 1: Peralatan virtual jaringan dan keamanan.
isolasi perimeter (dikenal juga sebagai isolasi DMZ): Praktik terbaik yang penting dalam arsitektur jejaring bertingkat adalah mengisolasi layanan yang ditampilkan kepada publik dari jaringan internal dan layanannya. Gunakan beberapa antarmuka jaringan untuk membuat konfigurasi yang memiliki antarmuka jaringan terpisah pada instance, salah satunya menerima traffic yang ditampilkan kepada publik dan yang lain menangani traffic pribadi backend yang memiliki kontrol akses yang lebih ketat.
Setiap resource yang dapat dijangkau dari internet harus dipisahkan dari jaringan internal Anda dan layanannya. Hal ini secara drastis membatasi cakupan dan kerusakan yang dapat disebabkan oleh pelanggaran keamanan. Misalnya, Anda dapat menempatkan antarmuka jaringan kedua pada setiap server web yang terhubung ke jaringan tingkat menengah tempat server aplikasi berada. Server aplikasi juga dapat melakukan dual-home ke jaringan backend tempat server database berada. Setiap instance dual-home menerima dan memproses permintaan di frontend, memulai koneksi ke backend, lalu mengirimkan permintaan ke servers di jaringan backend.
Dengan mengonfigurasi antarmuka yang terpisah, satu untuk ditampilkan kepada publik dan satu lagi untuk pribadi. Anda dapat menerapkan aturan firewall dan kontrol akses terpisah untuk setiap antarmuka secara terpisah dan menerapkan fungsi keamanan dalam komunikasi dari domain publik ke domain pribadi. Untuk informasi selengkapnya, lihat Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama.
Contoh konfigurasi
Bagian ini membahas beberapa contoh umum tentang cara menggunakan beberapa antarmuka jaringan.
Contoh 1: Peralatan virtual jaringan dan keamanan
Peralatan virtual jaringan dan keamanan, seperti firewall aplikasi web (WAF), firewall tingkat aplikasi keamanan, dan akselerator WAN, biasanya dikonfigurasi dengan beberapa antarmuka virtual. Masing-masing dari beberapa antarmuka dikonfigurasi dengan alamat IP internalnya sendiri dan, secara opsional, dengan alamat IP eksternalnya sendiri.
Gambar 1 menjelaskan contoh konfigurasi firewall tingkat aplikasi yang mengontrol traffic dari internet ke jaringan VPC. Firewall tingkat aplikasi diterapkan di VM Compute Engine.
Dalam contoh ini, rute default VM appliance telah dikonfigurasi untuk
menggunakan nic1
.
Menyediakan dan mengonfigurasi instance untuk contoh 1
Contoh berikut ini mengasumsikan bahwa subnet0
, subnet1
, dan subnet2
sudah ada,
dengan rentang yang tidaktumpang tindih.
Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:
gcloud compute instances create vm-appliance \ --network-interface subnet=subnet0,no-address \ --network-interface subnet=subnet1 \ --network-interface subnet=subnet2,no-address \ --machine-type n1-standard-4
Perintah ini membuat instance dengan tiga antarmuka jaringan:
nic0
dipasang kesubnet0
dan tidak memiliki alamat IP eksternal.nic1
dipasang kesubnet1
dan memiliki alamat IP eksternal sementara.nic2
dipasang kesubnet2
dan tidak memiliki alamat IP eksternal.
Contoh 2: Menggunakan peralatan pihak ketiga dalam skenario jaringan VPC Bersama
Penyiapan ini berguna saat Anda ingin berbagi satu set peralatan pihak ketiga
terpusat untuk workload atau aplikasi yang dihosting di
project yang berbeda. Pada gambar 2, ada empat aplikasi
berbeda—App1
, App2
, App3
, dan App4
—yang dihosting di project
layanan yang berbeda. Anda harus melindunginya dari semua traffic masuk internet, dan traffic
keluar harus diperiksa dan difilter di perangkat pihak ketiga yang
berlokasi di pusat project host VPC Bersama.
Menyediakan sekaligus mengonfigurasi VM dan antarmuka jaringan untuk contoh 2
Untuk membuat antarmuka jaringan dan VM dalam contoh ini, gunakan perintah berikut:
gcloud compute instances create VM-appliance \ --network-interface subnet=subnet-perimeter,address='reserved-address' \ --network-interface subnet=subnet-1,no-address \ --network-interface subnet=subnet-2,no-address \ --network-interface subnet=subnet-3,no-address \ --network-interface subnet=subnet-4,no-address \ --machine-type=n1-standard-4
Perintah ini akan membuat instance dengan lima antarmuka jaringan:
nic0
dipasang kesubnet-perimeter
, yang merupakan bagian darinetwork-perimeter
, dengan alamat statisreserved-address
.nic1
dipasang kesubnet-1
, yang merupakan bagian darinetwork-1
, tanpa alamat IP eksternal.nic2
dipasang kesubnet-2
, yang merupakan bagian darinetwork-2
, tanpa alamat IP eksternal.nic3
dipasang kesubnet-3
, yang merupakan bagian darinetwork-3
, tanpa alamat IP eksternal.nic4
dipasang kesubnet-4
, yang merupakan bagian darinetwork-4
, tanpa alamat IP eksternal.
Detail operasional tambahan
Beberapa antarmuka jaringan di lingkungan VPC Bersama
VPC Bersama memungkinkan Anda berbagi jaringan VPC di seluruh project di organisasi Google Cloud Anda.
VPC Bersama memungkinkan Anda membuat instance yang terkait dengan jaringan VPC Bersama yang dihosting dalam project host VPC Bersama terpusat. Untuk mengetahui informasi tentang cara mengonfigurasi jaringan VPC, lihat Menyediakan VPC Bersama.
Untuk membuat instances dengan satu atau beberapa antarmuka yang terkait dengan jaringan VPC
Bersama, Anda harus memiliki peran Pengguna Jaringan Compute (roles/compute.networkUser
) di project host
VPC Bersama.
Resolusi DNS dengan beberapa antarmuka jaringan
Ketika kueri DNS dibuat dengan nama host instance, kueri tersebut akan menghasilkan
antarmuka utama (nic0
) dari instance. Jika antarmuka nic0
instance
terpasang ke subnet di jaringan VPC yang
berbeda dengan jaringan VPC dari instance yang mengeluarkan
kueri DNS internal, kueri tersebut akan gagal.
Data DNS Compute Engine pribadi tidak dihasilkan per antarmuka.
Perilaku DHCP dengan beberapa antarmuka jaringan
Dalam beberapa konfigurasi antarmuka default, OS dikonfigurasi untuk menggunakan DHCP. Perilaku DHCP dan ARP dari setiap antarmuka sama dengan DHCP dan ARP dalam instance dengan satu antarmuka.
Dalam beberapa instance antarmuka yang menggunakan DHCP, setiap antarmuka mendapatkan rute
untuk subnet di tempatnya berada. Selain itu, instance akan mendapatkan satu
rute default yang terkait dengan antarmuka utama eth0
. Kecuali jika
dikonfigurasikan secara manual, traffic yang keluar dari instance untuk
tujuan apa pun selain subnet yang terhubung langsung akan keluar dari instance melalui
rute default pada eth0
.
Perilaku ini sama untuk antarmuka dengan alamat IPv6. Antarmuka mendapatkan rute untuk rentang subnet IPv6 yang berada di tempatnya, serta satu rute default IPv6.
Dalam contoh ini, antarmuka utama eth0
mendapatkan rute default
(default via 10.138.0.1 dev eth0
), dan antarmuka baik eth0
serta eth1
mendapatkan
rute untuk subnetnya masing-masing.
instance-1:~$ ip route default via 10.138.0.1 dev eth0 10.137.0.0/20 via 10.137.0.1 dev eth1 10.137.0.1 dev eth1 scope link 10.138.0.0/20 via 10.138.0.1 dev eth0 10.138.0.1 dev eth0 scope link
Untuk informasi selengkapnya, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.
Rute statis khusus dan beberapa antarmuka jaringan
Jika instance VM memiliki beberapa antarmuka dan satu tag jaringan , tag network mungkin tidak akan memengaruhi semua antarmuka VM. Tag jaringan VM memengaruhi antarmuka jika antarmuka berada di jaringan VPC yang berisi rute statis dengan tag yang cocok.
Contoh:
- VM memiliki dua antarmuka:
nic0
dannic1
. Antarmukanic0
berada divpc-net-a
. Antarmukanic1
berada divpc-net-b
. VM memiliki tag jaringan yang disebutvpn-ok
. Tag adalah atribut pada instance, bukan pada antarmuka tertentu. - Jaringan
vpc-net-a
memiliki rute statis khusus dengan tag yang disebutvpn-ok
. - Jaringan
vpc-net-b
memiliki rute statis khusus dengan tag yang disebutvpn-123
.
Langkah bernomor ini sesuai dengan gambar 3:
Dalam kasus jaringan vpc-net-a
, karena memiliki rute dengan tag
yang sama dengan VM, tag vpn-ok
VM berlaku pada antarmuka nic0
VM
di vpc-net-a
. Sebaliknya karena jaringan vpc-net-b
tidak memiliki rute statis
dengan tag vpn-ok
, tag jaringan vpn-ok
VM diabaikan pada antarmuka
nic1
VM.
Tag pada rute dalam instance dengan beberapa antarmuka jaringan
JIka Anda memilih menggunakan tag dengan rute, perhatikan bahwa tag diterapkan pada tingkat instance level dan, dengan demikian tag berlaku untuk seluruh antarmuka instance virtual machine. Jika hal ini tidak diinginkan, pastikan tag yang berlaku pada rute bersifat unik untuk setiap jaringan VPC.
Load balancer dan beberapa antarmuka jaringan
Kecuali untuk Load Balancing TCP/UDP Internal,
seluruh load balancer Google Cloud hanya mendistribusikan traffic ke antarmuka
pertama (nic0
) dari backend instance.
Aturan firewall dan beberapa antarmuka jaringan
Setiap jaringan VPC memiliki kumpulan aturan firewallnya sendiri. Jika antarmuka instance berada dalam jaringan VPC tertentu, aturan firewall jaringan itu berlaku untuk antarmuka tersebut.
Misalnya, sebuah instance VM memiliki dua antarmuka:
nic0
berada di jaringan VPCnetwork-1
nic1
berada di jaringan VPCnetwork-2
Aturan firewall yang Anda buat untuk jaringan network-1
berlaku pada nic0
.
Aturan firewall yang Anda buat untuk jaringan network-2
berlaku pada nic1
.
Untuk informasi selengkapnya, lihat Aturan firewall VPC.
Firewall dalam instance dengan beberapa antarmuka jaringan
Aturan firewall masuk dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi sumber, target (tujuan), atau keduanya.
Aturan firewall keluar dapat menggunakan tag jaringan atau akun layanan untuk mengidentifikasi target (sumber).
Untuk informasi selengkapnya, lihat pemfilteran sumber dan target berdasarkan akun layanan.
Tag jaringan dan akun layanan mengidentifikasi instance, bukan antarmuka tertentu. Perlu diingat bahwa aturan firewall dikaitkan dengan jaringan VPC tunggal, dan setiap antarmuka instance multi-NIC harus berada dalam subnetyang ada di jaringan VPC yang unik.
Contoh berikut menunjukkan cara menggunakan tag sumber secara efektif untuk
aturan firewall allow
masuk. Instance vm1
memiliki dua antarmuka jaringan:
nic0
dinetwork-1
nic1
dinetwork-2
Misalkan Anda perlu mengizinkan traffic berikut dari vm1
:
- Traffic SSH dari
vm1
ke instance apa pun dinetwork-1
- Traffic HTTP dan HTTPS dari
vm1
ke instance apa pun dinetwork-2
Untuk melengkapinya, Anda dapat melakukan hal berikut:
Tetapkan dua tag jaringan ke
vm1
:vm1-network1
danvm1-network2
Buat aturan firewall
allow
masuk dinetwork-1
dengan komponen berikut untuk mengizinkan traffic SSH darivm1
ke seluruh VMnetwork-1
:- Tindakan:
allow
- Rute:
ingress
- Sumber: VM dengan tag
vm1-network1
- Target: Seluruh instance dalam jaringan VPC
- Protokol dan port:
tcp:22
- Tindakan:
Buat aturan firewall izinkan masuk di
network-2
dengan komponen berikut untuk mengizinkan traffic HTTP dan HTTPS darivm1
ke seluruh VM dinetwork-2
:- Tindakan:
allow
- Rute:
ingress
- Sumber: VM dengan tag
vm1-network2
- Target: Seluruh instance dalam jaringan VPC
- Protokol dan port:
tcp:80,443
- Tindakan:
Gambar 4 menunjukkan contoh konfigurasi firewall ini: