Sub-redes
As redes de nuvem privada virtual (VPC, na sigla em inglês) são recursos globais. Cada rede VPC consiste em um ou mais intervalos de endereços IP chamados sub-redes. As sub-redes são recursos regionais e têm intervalos de endereços IP associados a elas.
No Google Cloud, os termos rede e sub-rede são sinônimos. Eles são usados alternadamente no Console do Google Cloud, nos comandos da Google Cloud CLI e na documentação da API.
Redes e sub-redes
Uma rede precisa ter pelo menos uma sub-rede para que você possa usá-la. As redes VPC de modo automático criam sub-redes em cada região automaticamente. As redes VPC do modo personalizado começam sem sub-redes, o que proporciona controle total sobre a criação de sub-redes. É possível criar mais de uma sub-rede por região. Para informações sobre as diferenças entre as redes VPC de modo automático e modo personalizado, consulte Tipos de redes VPC.
Ao criar um recurso no Google Cloud, você escolhe uma rede e uma sub-rede. Para recursos que não sejam modelos de instância, você também precisa selecionar uma zona ou região. Selecionar uma zona escolhe implicitamente a região pai. Como as sub-redes são objetos regionais, a região selecionada para um recurso determina as sub-redes que ele pode usar:
Ao criar uma instância, você seleciona uma zona para ela. Se você não selecionar uma rede para a VM, será usada a rede VPC padrão, que tem uma sub-rede em cada região. Se você selecionar uma rede para a VM, é necessário selecionar uma rede que tenha uma sub-rede na região pai da zona selecionada.
Ao criar um grupo gerenciado de instâncias, você seleciona uma zona ou região, dependendo do tipo de grupo e de um modelo de instância. O modelo de instância define qual rede VPC usar. Portanto, ao criar um grupo gerenciado de instâncias, você precisa selecionar um modelo de instância com a configuração adequada. O modelo precisa especificar uma rede VPC que tenha sub-redes na zona ou região selecionada. As redes VPC de modo automático sempre têm uma sub-rede em cada região.
O processo de criação de um cluster de contêineres do Kubernetes envolve a seleção de uma zona ou região (dependendo do tipo de cluster), uma rede e uma sub-rede. Selecione uma sub-rede disponível na zona ou região selecionada.
Tipos de sub-redes
As redes VPC são compatíveis com os seguintes tipos de sub-redes:
Sub-redes somente IPv4 (pilha única), com apenas intervalos de sub-rede IPv4
Sub-redes IPv4 e IPv6 (pilha dupla), com intervalos de sub-rede IPv4 e IPv6
Uma única rede VPC pode conter qualquer combinação desses tipos de sub-rede.
Ao criar uma sub-rede, você especifica qual tipo de pilha usar. Também é possível atualizar uma sub-rede somente IPv4 existente para configurá-la como uma sub-rede de pilha dupla.
As sub-redes de pilha dupla são compatíveis apenas com redes VPC de modo personalizado. Sub-redes de pilha dupla não são compatíveis com redes VPC de modo automático ou redes legadas.
Ao criar um intervalo de sub-rede IPv4, você fornece as seguintes informações:
| Configuração de sub-rede | Valores válidos | Detalhes |
|---|---|---|
| Intervalo IPv4 | Um intervalo válido escolhido | Obrigatório |
| Intervalo de IPv4 secundário | Um intervalo válido escolhido | Opcional |
Ao criar um intervalo de sub-rede IPv6, você fornece as seguintes informações:
| Configuração de sub-rede | Valores válidos | Detalhes |
|---|---|---|
| Tipo de acesso IPv6 |
|
Um intervalo de endereços IPv6
|
Objetivos das sub-redes
As sub-redes podem ser usadas para diversas finalidades:
- Sub-redes normais: este é o tipo de sub-rede padrão. As sub-redes normais são criadas pelos usuários ou automaticamente em redes VPC de modo automático para serem usadas com instâncias de VM. As sub-redes normais têm a finalidade
PRIVATEna CLI ou API da gcloud. O propósito é Nenhum no console do Google Cloud. - Sub-redes do Private Service Connect: uma sub-rede a ser usada para publicar um serviço gerenciado usando o Private Service Connect.
- Sub-redes somente proxy: uma sub-rede somente proxy para usar com balanceadores de carga regionais baseados no Envoy.
- Sub-redes NAT particulares: uma sub-rede reservada para uso como o intervalo de origem de NAT particular. Essa sub-rede é definida como
--purpose=PRIVATE_NAT.
Na maioria dos casos, não é possível alterar a finalidade de uma sub-rede depois que ela é
criada. Para mais informações, consulte a
referência do comando
gcloud compute networks subnets update.
Limitações para nomear sub-redes
Os nomes de sub-rede têm as seguintes limitações:
Em um projeto do Google Cloud, uma sub-rede não pode ter o mesmo nome de uma rede VPC, a menos que seja um membro dessa rede. Em um projeto, as sub-redes na mesma região precisam ter nomes exclusivos. Por exemplo, uma rede denominada
productionpode ter várias sub-redes também denominadasproduction, desde que cada uma dessas sub-redes esteja em uma região exclusiva.Não é possível alterar o nome ou a região de uma sub-rede depois de criá-la. No entanto, é possível excluir uma sub-rede e substituí-la, desde que nenhum recurso esteja usando essa sub-rede.
Intervalos de sub-rede IPv4
Cada sub-rede tem um intervalo de endereços IPv4 principal. Os endereços internos primários dos seguintes recursos vêm do intervalo principal da sub-rede: instâncias de VM, balanceadores de carga internos e encaminhamento de protocolo interno. Se quiser, é possível adicionar intervalos de endereços IP secundários a uma sub-rede, que são usados apenas por intervalos de IP de alias. No entanto, é possível configurar intervalos de IP de alias para instâncias do intervalo primário ou secundário de uma sub-rede.
Suas sub-redes IPv4 não precisam formar um bloco CIDR contíguo predefinido, mas é
possível fazer isso se quiser. Por exemplo, as redes VPC de modo automático
criam sub-redes que se encaixam em um intervalo de IP de modo automático predefinido. Porém o intervalo principal de uma sub-rede pode ser 10.0.0.0/24, enquanto o intervalo principal de outra sub-rede da mesma rede pode ser 192.168.0.0/16.
Limitações para intervalos de sub-rede IPv4
Os intervalos de sub-rede IPv4 têm as seguintes limitações:
Cada intervalo de IPv4 primário ou secundário de todas as sub-redes de uma rede VPC precisa ser um bloco CIDR válido exclusivo.
O número de intervalos de endereços IP secundários que você pode definir é descrito em por limites de rede.
Depois de criar uma sub-rede, o intervalo IPv4 principal da sub-rede pode ser expandido, mas não substituído ou reduzido.
É possível remover e substituir o intervalo secundário de endereços IPv4 de uma sub-rede somente se nenhuma instância estiver usando esse intervalo.
O tamanho mínimo do intervalo primário ou secundário é de oito endereços IPv4. Em outras palavras, a máscara de sub-rede mais longa que pode ser usada é
/29.A máscara de sub-rede mais curta que pode ser usada é
/4. No entanto, para a maioria dos intervalos de endereços IP/4, outras validações impedem que você crie uma sub-rede desse tamanho. Por exemplo, um intervalo de sub-rede não pode se sobrepor a um intervalo IPv4 particular ou outro intervalo reservado. Para minimizar a chance de escolher um intervalo de sub-rede inválido, recomendamos que você limite o tamanho máximo de sub-rede para/8.Não é possível criar intervalos primários e secundários para sub-redes que se sobrepõem a intervalo alocado, qualquer valor ao intervalo secundário de outra sub-rede na mesma rede ou a qualquer intervalo IPv4 de sub-redes em redes com peering. O Google Cloud impede a criação de intervalos de sub-redes sobrepostos nesses cenários.
O Google Cloud cria as rotas de sub-rede correspondentes para os intervalos de IP primário e secundário. Rotas de sub-rede e, portanto, intervalos de IP de sub-rede, precisam ter os intervalos de IP mais específicos por definição.
Verifique se os intervalos primários e secundários não entram em conflito com intervalos de IP locais se você conectou sua rede VPC a outra rede com o Cloud VPN, Interconexão dedicada ou Interconexão por parceiro. Para mais informações, consulte Verifique os intervalos de sub-redes sobrepostos.
Os intervalos IPv4 de sub-rede não podem entrar em conflito com destinos para rotas estáticas.
Evite usar endereços IPv4 do bloco
10.128.0.0/9para os intervalos IPv4 primários ou secundários de uma sub-rede. As sub-redes criadas automaticamente nas redes VPC de modo automático usam endereços IPv4 desse bloco. Se você usar endereços IP no bloco10.128.0.0/9, não será possível conectar sua rede a uma rede VPC de modo automático. usando peering de rede VPC ou com túneis do Cloud VPN.
Os intervalos de sub-rede não podem corresponder, ser mais estreitos ou mais amplos que um intervalo restrito. Por exemplo,
169.0.0.0/8não é um intervalo de sub-rede válido porque se sobrepõe ao intervalo de link local169.254.0.0/16(RFC 3927), que é um intervalo restrito.Os intervalos de sub-rede não podem abranger um intervalo RFC (descrito na tabela anterior) e um intervalo de endereços IP públicos usado de maneira privada. Por exemplo,
172.0.0.0/10não é um intervalo de sub-rede válido porque inclui o intervalo de endereços IP privados172.16.0.0/12e os endereços IP públicos.Os intervalos de sub-rede não podem abranger vários intervalos de RFC. Por exemplo,
192.0.0.0/8não é um intervalo de sub-rede válido porque inclui192.168.0.0/16(de RFC 1918) e192.0.0.0/24(de RFC 6890). No entanto, é possível criar duas sub-redes com intervalos primários diferentes, uma com192.168.0.0/16e outra com192.0.0.0/24. Ou você pode usar esses dois intervalos na mesma sub-rede se transformar um deles em um intervalo secundário.
Intervalos IPv4 válidos
Os intervalos de endereços IPv4 primários e secundários de uma sub-rede são endereços IPv4 internos regionais. A tabela a seguir descreve intervalos válidos.
| Range | Descrição |
|---|---|
| Intervalos de endereços IPv4 privados | |
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Endereços IP privados RFC 1918 Para saber mais sobre o uso de |
100.64.0.0/10 |
Espaço de endereços compartilhado RFC 6598 |
192.0.0.0/24 |
Atribuições do protocolo IETF RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentação RFC 5737 |
192.88.99.0/24 |
Retransmissão IPv6 para IPv4 (obsoleta) RFC 7526 |
198.18.0.0/15 |
Teste de comparativo de mercado RFC 2544 |
240.0.0.0/4 |
Reservado para uso futuro (classe E) como indicado em RFC 5735 e RFC 1112. Alguns sistemas operacionais não aceitam o uso desse intervalo. Portanto, antes de criar sub-redes com ele, verifique se o SO que você usa é compatível. |
| Intervalos de endereços IP públicos usados de maneira privada | |
| Endereços IPv4 públicos usados de modo privado |
Endereços IPv4 públicos usados de maneira privada:
Quando você usa esses endereços como intervalos de sub-rede, o Google Cloud não divulga essas rotas para a Internet e não encaminha o tráfego da Internet para elas. Se você importou endereços IP públicos para o Google usando Traga seu próprio IP (BYOIP), os intervalos de BYOIP e os intervalos de endereços IP públicos usados de maneira particular na mesma rede VPC não podem se sobrepor. Para peering de rede VPC, as rotas de sub-rede para endereços IP públicos não são trocadas automaticamente. As rotas de sub-rede são exportadas automaticamente por padrão, mas as redes com peering precisam ser explicitamente configuradas para importá-las e usá-las. |
Intervalos de sub-rede IPv4 proibidos
Os intervalos de sub-redes proibidos incluem endereços IP públicos do Google e intervalos RFC comumente reservados, conforme descrito na tabela a seguir. Esses intervalos não podem ser usados para intervalos de sub-rede.
| Intervalo | Descrição |
|---|---|
| Endereços IP públicos para APIs e serviços do Google, inclusive netblocks do Google Cloud. | Encontre esses endereços IP em https://gstatic.com/ipranges/goog.txt. |
199.36.153.4/30
e 199.36.153.8/30 |
Endereços IP virtuais específicos do Acesso privado do Google |
0.0.0.0/8 |
Rede (local) atual RFC 1122 |
127.0.0.0/8 |
Host local RFC 1122 |
169.254.0.0/16 |
Link local RFC 3927 |
224.0.0.0/4 |
Multicast (Classe D) RFC 5771 |
255.255.255.255/32 |
Endereço de destino da transmissão limitada RFC 8190 e RFC 919 |
Endereços inutilizáveis em intervalos de sub-rede IPv4
O Google Cloud usa os dois primeiros e os dois últimos endereços IPv4 em cada intervalo de endereços IPv4 principal da sub-rede para hospedar a sub-rede. O Google Cloud permite usar todos os endereços em intervalos IPv4 secundários.
| Endereço IPv4 inutilizável | Descrição | Exemplo |
|---|---|---|
| endereço de rede | Primeiro endereço no intervalo IPv4 principal | 10.1.2.0 no intervalo 10.1.2.0/24
|
| Endereço de gateway padrão | Segundo endereço no intervalo IPv4 principal | 10.1.2.1 no intervalo 10.1.2.0/24
|
| Penúltimo endereço | Penúltimo endereço no intervalo IPv4 principal
Esse intervalo é reservado pelo Google Cloud para um possível uso futuro. |
10.1.2.254 no intervalo 10.1.2.0/24
|
| endereço de transmissão | Último endereço no intervalo IPv4 principal | 10.1.2.255 no intervalo 10.1.2.0/24
|
Intervalos IPv4 do modo automático
Esta tabela lista os intervalos de IPv4 para as sub-redes criadas automaticamente em uma rede VPC de modo automático. Os intervalos de IP dessas sub-redes cabem no bloco CIDR 10.128.0.0/9. As redes VPC de modo automático são criadas com uma sub-rede por região e recebem automaticamente novas sub-redes em novas regiões. Partes não utilizadas de 10.128.0.0/9 são reservadas para uso futuro no Google Cloud.
| Region | Intervalo de IP (CIDR) | Gateway padrão | Endereços utilizáveis (inclusivos) |
|---|---|---|---|
| africa-south1 | 10.218.0.0/20 | 10.218.0.1 | 10.218.0.2 a 10.218.15.253 |
| asia-east1 | 10.140.0.0/20 | 10.140.0.1 | 10.140.0.2 a 10.140.15.253 |
| asia-east2 | 10.170.0.0/20 | 10.170.0.1 | 10.170.0.2 a 10.170.15.253 |
| asia-northeast1 | 10.146.0.0/20 | 10.146.0.1 | 10.146.0.2 a 10.146.15.253 |
| asia-northeast2 | 10.174.0.0/20 | 10.174.0.1 | 10.174.0.2 a 10.174.15.253 |
| asia-northeast3 | 10.178.0.0/20 | 10.178.0.1 | 10.178.0.2 para 10.178.15.253 |
| asia-south1 | 10.160.0.0/20 | 10.160.0.1 | 10.160.0.2 a 10.160.15.253 |
| asia-south2 | 10.190.0.0/20 | 10.190.0.1 | 10.190.0.2 a 10.190.15.253 |
| asia-southeast1 | 10.148.0.0/20 | 10.148.0.1 | 10.148.0.2 a 10.148.15.253 |
| asia-southeast2 | 10.184.0.0/20 | 10.184.0.1 | 10.184.0.2 a 10.184.15.253 |
| australia-southeast1 | 10.152.0.0/20 | 10.152.0.1 | 10.152.0.2 a 10.152.15.253 |
| australia-southeast2 | 10.192.0.0/20 | 10.192.0.1 | 10.192.0.2 to 10.192.15.253 |
| europe-central2 | 10.186.0.0/20 | 10.186.0.1 | 10.186.0.2 a 10.186.15.253 |
| europe-north1 | 10.166.0.0/20 | 10.166.0.1 | 10.166.0.2 a 10.166.15.253 |
| europe-west1 | 10.132.0.0/20 | 10.132.0.1 | 10.132.0.2 a 10.132.15.253 |
| europe-west2 | 10.154.0.0/20 | 10.154.0.1 | 10.154.0.2 a 10.154.15.253 |
| europe-west3 | 10.156.0.0/20 | 10.156.0.1 | 10.156.0.2 a 10.156.15.253 |
| europe-west4 | 10.164.0.0/20 | 10.164.0.1 | 10.164.0.2 a 10.164.15.253 |
| europe-west6 | 10.172.0.0/20 | 10.172.0.1 | 10.172.0.2 a 10.172.15.253 |
| europe-west8 | 10.198.0.0/20 | 10.198.0.1 | 10.198.0.2 a 10.198.15.253 |
| europe-west9 | 10.200.0.0/20 | 10.200.0.1 | 10.200.0.2 a 10.200.15.253 |
| europe-west10 | 10.214.0.0/20 | 10.214.0.1 | De 10.214.0.2 a 10.214.15.253 |
| europe-west12 | 10.210.0.0/20 | 10.210.0.1 | 10.210.0.2 a 10.210.15.253 |
| europe-southwest1 | 10.204.0.0/20 | 10.204.0.1 | 10.204.0.2 a 10.204.15.253 |
| me-central1 | 10.212.0.0/20 | 10.212.0.1 | 10.212.0.2 to 10.212.15.253 |
| me-central2 | 10.216.0.0/20 | 10.216.0.1 | 10.216.0.2 a 10.216.15.253 |
| me-west1 | 10.208.0.0/20 | 10.208.0.1 | 10.208.0.2 a 10.208.15.253 |
| northamerica-northeast1 | 10.162.0.0/20 | 10.162.0.1 | 10.162.0.2 a 10.162.15.253 |
| northamerica-northeast2 | 10.188.0.0/20 | 10.188.0.1 | 10.188.0.2 to 10.188.15.253 |
| southamerica-east1 | 10.158.0.0/20 | 10.158.0.1 | 10.158.0.2 a 10.158.15.253 |
| southamerica-west1 | 10.194.0.0/20 | 10.194.0.1 | 10.194.0.2 to 10.194.15.253 |
| us-central1 | 10.128.0.0/20 | 10.128.0.1 | 10.128.0.2 a 10.128.15.253 |
| us-east1 | 10.142.0.0/20 | 10.142.0.1 | 10.142.0.2 ao 10.142.15.253 |
| us-east4 | 10.150.0.0/20 | 10.150.0.1 | 10.150.0.2 a 10.150.15.253 |
| us-east5 | 10.202.0.0/20 | 10.202.0.1 | 10.202.0.2 até 10.202.15.253 |
| us-south1 | 10.206.0.0/20 | 10.206.0.1 | 10.206.0.2 a 10.206.15.253 |
| us-west1 | 10.138.0.0/20 | 10.138.0.1 | 10.138.0.2 a 10.138.15.253 |
| us-west2 | 10.168.0.0/20 | 10.168.0.1 | 10.168.0.2 a 10.168.15.253 |
| us-west3 | 10.180.0.0/20 | 10.180.0.1 | 10.180.0.2 para 10.180.15.253 |
| us-west4 | 10.182.0.0/20 | 10.182.0.1 | 10.182.0.2 a 10.182.15.253 |
Outras considerações
Verifique se todos os intervalos de endereços IPv4 principais e secundários da sub-rede não
estão em conflito com os intervalos de endereços IPv4 que o software em execução nas
VMs precisa usar. Alguns produtos do Google e de terceiros usam 172.17.0.0/16 para o roteamento no sistema operacional convidado. Por exemplo, a rede de ponte padrão do Docker usa esse intervalo. Se você depende de um produto que
usa 172.17.0.0/16, não o utilize como intervalo de endereços IPv4 primário e secundário
da sub-rede.
Intervalos de sub-rede IPv6
Ao ativar o IPv6 em uma sub-rede em uma rede VPC, você escolhe um tipo de acesso IPv6 para a sub-rede. O tipo de acesso IPv6 determina se a sub-rede está configurada com endereços IPv6 internos ou endereços IPv6 externos.
Os endereços IPv6 internos são usados para a comunicação entre VMs dentro das redes VPC. Elas podem ser roteadas apenas no escopo de redes VPC e não podem ser roteadas para a Internet.
Os endereços IPv6 externos podem ser usados para a comunicação entre VMs dentro de redes VPC e também são roteáveis na Internet.
Se uma interface de VM estiver conectada a uma sub-rede que tenha um intervalo de sub-rede IPv6, é possível configurar endereços IPv6 na VM. O tipo de acesso IPv6 da sub-rede determina se a VM recebeu um endereço IPv6 interno ou um IPv6 externo.
Especificações do IPv6
Os intervalos de sub-rede IPv6 são recursos regionais.
Os intervalos de sub-rede IPv6 interna e externa estão disponíveis em todas as regiões.
Intervalos de sub-rede IPv6 são atribuídos automaticamente a intervalos
/64.Não é possível alterar o tipo de acesso IPv6 (interno ou externo) de uma sub-rede.
Não é possível alterar uma sub-rede de pilha dupla para pilha única se o tipo de acesso IPv6 for interno.
Especificações do IPv6 interno
Os intervalos IPv6 internos usam endereços locais exclusivos (ULAs, na sigla em inglês).
Os ULAs para IPv6 são análogos aos endereços RFC 1918 para IPv4. Os ULAs não podem ser acessados pela Internet e não são roteáveis publicamente.
Para criar sub-redes com intervalos IPv6 internos, primeiro atribua um intervalo IPv6 interno à rede VPC. Um intervalo IPv6
/48foi atribuído. Quando você cria uma sub-rede com um intervalo IPv6 interno, o intervalo de/64da sub-rede é atribuído pelo intervalo da rede VPC.O intervalo IPv6 interno de uma rede VPC é exclusivo no Google Cloud.
É possível permitir que o Google atribua o intervalo IPv6 interno da rede VPC ou selecione um intervalo específico. Se a rede VPC se conectar a redes fora do Google Cloud, é possível escolher um intervalo que não se sobreponha aos intervalos usados nesses ambientes.
A atribuição de um intervalo IPv6 interno
/48da rede VPC é permanente. Não é possível desativá-lo ou alterá-lo posteriormente.É possível reservar endereços IPv6 internos regionais estáticos.
Nenhuma outra rede VPC pode usar o mesmo intervalo, o que elimina a possibilidade de sobrepor intervalos de sub-redes IPv6 ao usar o peering de rede VPC.
Especificações do IPv6 externo
Os intervalos de endereços IPv6 externos usam endereços unicast globais (GUAs, na sigla em inglês).
Os endereços IPv6 externos podem ser usados para a comunicação entre VMs dentro de redes VPC e também são roteáveis na Internet. Para controlar a saída e a entrada da Internet, configure regras de firewall ou políticas hierárquicas de firewall. Para desativar o roteamento IPv6 para a Internet completamente, exclua a rota padrão IPv6 na rede VPC.
Os endereços IPv6 externos estão disponíveis apenas no nível Premium.
É possível reservar endereços IPv6 externos regionais estáticos.
Atribuição de intervalo IPv6
Os intervalos IPv6 podem ser atribuídos a redes, sub-redes e instâncias de máquina virtual (VMs, na sigla em inglês).
| Tipo de recurso | Tamanho do intervalo | Detalhes |
|---|---|---|
| Rede VPC | /48 |
Para ativar o IPv6 interno em uma sub-rede, é preciso primeiro atribuir um intervalo IPv6 interno na rede VPC. Um intervalo de ULA de O intervalo |
| Sub-rede | /64 |
A configuração do tipo de acesso IPv6 controla se os endereços IPv6 são internos ou externos. Uma sub-rede pode ter endereços IPv6 internos ou externos, mas não ambos.
Quando você ativa o IPv6, ocorre o seguinte:
|
| Instância de máquina virtual (VM) | /96 |
Quando você ativa o IPv6 em uma VM, ela recebe um intervalo Você não configura se uma VM recebe endereços IPv6 internos ou externos. A VM herda o tipo de acesso IPv6 da sub-rede em que está conectada. |
A seguir
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud NAT em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Faça uma avaliação gratuita do Cloud NAT