Sub-redes

As redes de nuvem privada virtual (VPC, na sigla em inglês) são recursos globais. Cada rede VPC consiste em um ou mais intervalos de endereços IP chamados sub-redes. As sub-redes são recursos regionais e têm intervalos de endereços IP associados a elas.

No Google Cloud, os termos rede e sub-rede são sinônimos. Eles são usados alternadamente no Console do Google Cloud, nos comandos da Google Cloud CLI e na documentação da API.

Redes e sub-redes

Uma rede precisa ter pelo menos uma sub-rede para que você possa usá-la. As redes VPC de modo automático criam sub-redes em cada região automaticamente. As redes VPC do modo personalizado começam sem sub-redes, o que proporciona controle total sobre a criação de sub-redes. É possível criar mais de uma sub-rede por região. Para informações sobre as diferenças entre as redes VPC de modo automático e modo personalizado, consulte Tipos de redes VPC.

Ao criar um recurso no Google Cloud, você escolhe uma rede e uma sub-rede. Para recursos que não sejam modelos de instância, você também precisa selecionar uma zona ou região. Selecionar uma zona escolhe implicitamente a região pai. Como as sub-redes são objetos regionais, a região selecionada para um recurso determina as sub-redes que ele pode usar:

  • Ao criar uma instância, você seleciona uma zona para ela. Se você não selecionar uma rede para a VM, será usada a rede VPC padrão, que tem uma sub-rede em cada região. Se você selecionar uma rede para a VM, é necessário selecionar uma rede que tenha uma sub-rede na região pai da zona selecionada.

  • Ao criar um grupo gerenciado de instâncias, você seleciona uma zona ou região, dependendo do tipo de grupo e de um modelo de instância. O modelo de instância define qual rede VPC usar. Portanto, ao criar um grupo gerenciado de instâncias, você precisa selecionar um modelo de instância com a configuração adequada. O modelo precisa especificar uma rede VPC que tenha sub-redes na zona ou região selecionada. As redes VPC de modo automático sempre têm uma sub-rede em cada região.

  • O processo de criação de um cluster de contêineres do Kubernetes envolve a seleção de uma zona ou região (dependendo do tipo de cluster), uma rede e uma sub-rede. Selecione uma sub-rede disponível na zona ou região selecionada.

Tipos de sub-redes

As redes VPC são compatíveis com os seguintes tipos de sub-redes:

  • Sub-redes somente IPv4 (pilha única), com apenas intervalos de sub-rede IPv4

  • Sub-redes IPv4 e IPv6 (pilha dupla), com intervalos de sub-rede IPv4 e IPv6

Uma única rede VPC pode conter qualquer combinação desses tipos de sub-rede.

Ao criar uma sub-rede, você especifica qual tipo de pilha usar. Também é possível atualizar uma sub-rede somente IPv4 existente para configurá-la como uma sub-rede de pilha dupla.

As sub-redes de pilha dupla são compatíveis apenas com redes VPC de modo personalizado. Sub-redes de pilha dupla não são compatíveis com redes VPC de modo automático ou redes legadas.

Ao criar um intervalo de sub-rede IPv4, você fornece as seguintes informações:

Configuração de sub-rede Valores válidos Detalhes
Intervalo IPv4 Um intervalo válido escolhido Obrigatório
Intervalo de IPv4 secundário Um intervalo válido escolhido Opcional

Ao criar um intervalo de sub-rede IPv6, você fornece as seguintes informações:

Configuração de sub-rede Valores válidos Detalhes
Tipo de acesso IPv6

  • Interno
  • Externo

Um intervalo de endereços IPv6 /64 é atribuído automaticamente à sub-rede.

Objetivos das sub-redes

As sub-redes podem ser usadas para diversas finalidades:

  • Sub-redes normais: este é o tipo de sub-rede padrão. As sub-redes normais são criadas pelos usuários ou automaticamente em redes VPC de modo automático para serem usadas com instâncias de VM. As sub-redes normais têm a finalidade PRIVATE na CLI ou API da gcloud. O propósito é Nenhum no console do Google Cloud.
  • Sub-redes do Private Service Connect: uma sub-rede a ser usada para publicar um serviço gerenciado usando o Private Service Connect.
  • Sub-redes somente proxy: uma sub-rede somente proxy para usar com balanceadores de carga regionais baseados no Envoy.
  • Sub-redes NAT particulares: uma sub-rede reservada para uso como o intervalo de origem de NAT particular. Essa sub-rede é definida como --purpose=PRIVATE_NAT.

Na maioria dos casos, não é possível alterar a finalidade de uma sub-rede depois que ela é criada. Para mais informações, consulte a referência do comando gcloud compute networks subnets update.

Limitações para nomear sub-redes

Os nomes de sub-rede têm as seguintes limitações:

  • Em um projeto do Google Cloud, uma sub-rede não pode ter o mesmo nome de uma rede VPC, a menos que seja um membro dessa rede. Em um projeto, as sub-redes na mesma região precisam ter nomes exclusivos. Por exemplo, uma rede denominada production pode ter várias sub-redes também denominadas production, desde que cada uma dessas sub-redes esteja em uma região exclusiva.

  • Não é possível alterar o nome ou a região de uma sub-rede depois de criá-la. No entanto, é possível excluir uma sub-rede e substituí-la, desde que nenhum recurso esteja usando essa sub-rede.

Intervalos de sub-rede IPv4

As sub-redes precisam ter um intervalo de endereços IPv4 principal. Quando uma sub-rede purpose for PRIVATE ou NONE, será possível usar o intervalo IPv4 principal pelo seguinte:

As sub-redes podem ter um ou mais intervalos de endereços IPv4 secundários, que só podem ser usados por intervalos de IP de alias. Um intervalo de IP do alias pode vir do intervalo IPv4 principal ou de um intervalo IPv4 secundário de uma sub-rede.

Suas sub-redes IPv4 não precisam formar um bloco CIDR contíguo predefinido, mas é possível fazer isso se quiser. Por exemplo, as redes VPC de modo automático criam sub-redes que se encaixam em um intervalo de IP de modo automático predefinido. Porém o intervalo principal de uma sub-rede pode ser 10.0.0.0/24, enquanto o intervalo principal de outra sub-rede da mesma rede pode ser 192.168.0.0/16.

Limitações para intervalos de sub-rede IPv4

Os intervalos de sub-rede IPv4 têm as seguintes limitações:

  • Cada intervalo de IPv4 primário ou secundário de todas as sub-redes de uma rede VPC precisa ser um bloco CIDR válido exclusivo.

  • O número de intervalos de endereços IP secundários que você pode definir é descrito em por limites de rede.

  • Depois de criar uma sub-rede, o intervalo IPv4 principal da sub-rede pode ser expandido, mas não substituído ou reduzido.

  • É possível remover e substituir o intervalo secundário de endereços IPv4 de uma sub-rede somente se nenhuma instância estiver usando esse intervalo.

  • O tamanho mínimo do intervalo primário ou secundário é de oito endereços IPv4. Em outras palavras, a máscara de sub-rede mais longa que pode ser usada é /29.

  • A máscara de sub-rede mais curta que pode ser usada é /4. No entanto, para a maioria dos intervalos de endereços IP /4, outras validações impedem que você crie uma sub-rede desse tamanho. Por exemplo, um intervalo de sub-rede não pode se sobrepor a um intervalo IPv4 particular ou outro intervalo reservado. Para minimizar a chance de escolher um intervalo de sub-rede inválido, recomendamos que você limite o tamanho máximo de sub-rede para /8.

  • Não é possível criar intervalos primários e secundários para sub-redes que se sobrepõem a intervalo alocado, qualquer valor ao intervalo secundário de outra sub-rede na mesma rede ou a qualquer intervalo IPv4 de sub-redes em redes com peering. O Google Cloud impede a criação de intervalos de sub-redes sobrepostos nesses cenários.

  • O Google Cloud cria as rotas de sub-rede correspondentes para os intervalos de IP primário e secundário. Rotas de sub-rede e, portanto, intervalos de IP de sub-rede, precisam ter os intervalos de IP mais específicos por definição.

  • Os intervalos de sub-rede não podem corresponder, ser mais estreitos ou mais amplos que um intervalo restrito. Por exemplo, 169.0.0.0/8 não é um intervalo de sub-rede válido porque se sobrepõe ao intervalo de link local 169.254.0.0/16 (RFC 3927), que é um intervalo restrito.

  • Os intervalos de sub-rede não podem abranger um intervalo RFC (descrito na tabela anterior) e um intervalo de endereços IP públicos usado de maneira privada. Por exemplo, 172.0.0.0/10 não é um intervalo de sub-rede válido porque inclui o intervalo de endereços IP privados 172.16.0.0/12 e os endereços IP públicos.

  • Os intervalos de sub-rede não podem abranger vários intervalos de RFC. Por exemplo, 192.0.0.0/8 não é um intervalo de sub-rede válido porque inclui 192.168.0.0/16 (de RFC 1918) e 192.0.0.0/24 (de RFC 6890). No entanto, é possível criar duas sub-redes com intervalos primários diferentes, uma com 192.168.0.0/16 e outra com 192.0.0.0/24. Ou você pode usar esses dois intervalos na mesma sub-rede se transformar um deles em um intervalo secundário.

Intervalos IPv4 válidos

Os intervalos de endereços IPv4 primários e secundários de uma sub-rede são endereços IPv4 internos regionais. A tabela a seguir descreve intervalos válidos.

Intervalo Descrição
Intervalos de endereços IPv4 privados
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Endereços IP privados RFC 1918

Para saber mais sobre o uso de 172.17.0.0/16, consulte Outras considerações.

100.64.0.0/10 Espaço de endereços compartilhado RFC 6598
192.0.0.0/24 Atribuições do protocolo IETF RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Documentação RFC 5737
192.88.99.0/24 Retransmissão IPv6 para IPv4 (descontinuado) RFC 7526
198.18.0.0/15 Teste de comparativo de mercado RFC 2544
240.0.0.0/4

Reservado para uso futuro (classe E) como indicado em RFC 5735 e RFC 1112.

Alguns sistemas operacionais não aceitam o uso desse intervalo. Portanto, antes de criar sub-redes com ele, verifique se o SO que você usa é compatível.

Intervalos de endereços IP públicos usados de maneira privada
Endereços IPv4 públicos usados de modo privado Endereços IPv4 públicos usados de maneira privada:
  • são endereços IPv4 que normalmente são roteáveis na Internet, mas são usados de modo privado em uma rede VPC.
  • Não podem pertencer a um intervalo de sub-rede proibido

Quando você usa esses endereços como intervalos de sub-rede, o Google Cloud não divulga essas rotas para a Internet e não encaminha o tráfego da Internet para elas.

Se você importou endereços IP públicos para o Google usando Traga seu próprio IP (BYOIP), os intervalos de BYOIP e os intervalos de endereços IP públicos usados de maneira particular na mesma rede VPC não podem se sobrepor.

Para peering de rede VPC, as rotas de sub-rede para endereços IP públicos não são trocadas automaticamente. As rotas de sub-rede são exportadas automaticamente por padrão, mas as redes com peering precisam ser explicitamente configuradas para importá-las e usá-las.

Intervalos de sub-rede IPv4 proibidos

Os intervalos de sub-redes proibidos incluem endereços IP públicos do Google e intervalos RFC comumente reservados, conforme descrito na tabela a seguir. Esses intervalos não podem ser usados para intervalos de sub-rede.

Intervalo Descrição
Endereços IP públicos para APIs e serviços do Google, inclusive netblocks do Google Cloud. Encontre esses endereços IP em https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30
e
199.36.153.8/30
Endereços IP virtuais específicos do Acesso privado do Google
0.0.0.0/8 Rede (local) atual RFC 1122
127.0.0.0/8 Host local RFC 1122
169.254.0.0/16 Link local RFC 3927
224.0.0.0/4 Multicast (Classe D) RFC 5771
255.255.255.255/32 Endereço de destino da transmissão limitada RFC 8190 e RFC 919

Endereços inutilizáveis em intervalos de sub-rede IPv4

O Google Cloud usa os dois primeiros e os dois últimos endereços IPv4 em cada intervalo de endereços IPv4 principal da sub-rede para hospedar a sub-rede. O Google Cloud permite usar todos os endereços em intervalos IPv4 secundários.

Endereço IPv4 inutilizável Descrição Exemplo
endereço de rede Primeiro endereço no intervalo IPv4 principal 10.1.2.0 no intervalo 10.1.2.0/24
Endereço de gateway padrão Segundo endereço no intervalo IPv4 principal 10.1.2.1 no intervalo 10.1.2.0/24
Penúltimo endereço Penúltimo endereço no intervalo IPv4 principal

Esse intervalo é reservado pelo Google Cloud para um possível uso futuro.

10.1.2.254 no intervalo 10.1.2.0/24
endereço de transmissão Último endereço no intervalo IPv4 principal 10.1.2.255 no intervalo 10.1.2.0/24

Intervalos IPv4 do modo automático

Esta tabela lista os intervalos de IPv4 para as sub-redes criadas automaticamente em uma rede VPC de modo automático. Os intervalos de IP dessas sub-redes cabem no bloco CIDR 10.128.0.0/9. As redes VPC de modo automático são criadas com uma sub-rede por região e recebem automaticamente novas sub-redes em novas regiões. Partes não utilizadas de 10.128.0.0/9 são reservadas para uso futuro no Google Cloud.

Região Intervalo de IP (CIDR) Gateway padrão Endereços utilizáveis (inclusivos)
africa-south1 10.218.0.0/20 10.218.0.1 10.218.0.2 a 10.218.15.253
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 a 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 para 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-south2 10.190.0.0/20 10.190.0.1 10.190.0.2 a 10.190.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
asia-southeast2 10.184.0.0/20 10.184.0.1 10.184.0.2 a 10.184.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
australia-southeast2 10.192.0.0/20 10.192.0.1 10.192.0.2 to 10.192.15.253
europe-central2 10.186.0.0/20 10.186.0.1 10.186.0.2 a 10.186.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 a 10.172.15.253
europe-west8 10.198.0.0/20 10.198.0.1 10.198.0.2 a 10.198.15.253
europe-west9 10.200.0.0/20 10.200.0.1 10.200.0.2 a 10.200.15.253
europe-west10 10.214.0.0/20 10.214.0.1 De 10.214.0.2 a 10.214.15.253
europe-west12 10.210.0.0/20 10.210.0.1 10.210.0.2 a 10.210.15.253
europe-southwest1 10.204.0.0/20 10.204.0.1 10.204.0.2 a 10.204.15.253
me-central1 10.212.0.0/20 10.212.0.1 10.212.0.2 to 10.212.15.253
me-central2 10.216.0.0/20 10.216.0.1 10.216.0.2 a 10.216.15.253
me-west1 10.208.0.0/20 10.208.0.1 10.208.0.2 a 10.208.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
northamerica-northeast2 10.188.0.0/20 10.188.0.1 10.188.0.2 to 10.188.15.253
northamerica-south1 10.224.0.0/20 10.224.0.1 10.224.0.2 a 10.224.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
southamerica-west1 10.194.0.0/20 10.194.0.1 10.194.0.2 to 10.194.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 ao 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-east5 10.202.0.0/20 10.202.0.1 10.202.0.2 até 10.202.15.253
us-south1 10.206.0.0/20 10.206.0.1 10.206.0.2 a 10.206.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 para 10.180.15.253
us-west4 10.182.0.0/20 10.182.0.1 10.182.0.2 a 10.182.15.253

Outras considerações

Verifique se todos os intervalos de endereços IPv4 principais e secundários da sub-rede não estão em conflito com os intervalos de endereços IPv4 que o software em execução nas VMs precisa usar. Alguns produtos do Google e de terceiros usam 172.17.0.0/16 para o roteamento no sistema operacional convidado. Por exemplo, a rede de ponte padrão do Docker usa esse intervalo. Se você depende de um produto que usa 172.17.0.0/16, não o utilize como intervalo de endereços IPv4 primário e secundário da sub-rede.

Intervalos de sub-rede IPv6

Ao ativar o IPv6 em uma sub-rede em uma rede VPC, você escolhe um tipo de acesso IPv6 para a sub-rede. O tipo de acesso IPv6 determina se a sub-rede está configurada com endereços IPv6 internos ou endereços IPv6 externos. A sub-rede se torna uma sub-rede de pilha dupla.

  • Os endereços IPv6 internos são usados para a comunicação entre VMs dentro das redes VPC. Elas podem ser roteadas apenas no escopo de redes VPC e não podem ser roteadas para a Internet.

  • Os endereços IPv6 externos podem ser usados para a comunicação entre VMs dentro de redes VPC e também são roteáveis na Internet.

Se uma interface de VM estiver conectada a uma sub-rede que tenha um intervalo de sub-rede IPv6, é possível configurar endereços IPv6 na VM. O tipo de acesso IPv6 da sub-rede determina se a VM recebeu um endereço IPv6 interno ou um IPv6 externo.

Especificações do IPv6

As sub-redes de pilha dupla estão disponíveis em todas as regiões, oferecendo suporte a intervalos de sub-rede IPv6 externos:

  • Os intervalos de sub-rede IPv6 são sempre atribuídos automaticamente pelo Google Cloud.
  • Os intervalos de sub-rede IPv6 são sempre intervalos /64.

As sub-redes de pilha dupla têm as seguintes limitações:

  • Não é possível alterar o tipo de acesso IPv6 (interno ou externo) de uma sub-rede.
  • Não é possível alterar uma sub-rede de pilha dupla para uma sub-rede de pilha única se o tipo de acesso IPv6 é interno.

Especificações do IPv6 interno

Os intervalos IPv6 internos são endereços locais exclusivos (ULAs, na sigla em inglês). Os ULAs para IPv6 são análogos aos endereços RFC 1918 para IPv4. Os ULAs não podem ser acessados pela Internet e não são roteáveis publicamente.

Antes de criar sub-redes com intervalos IPv6 internos, atribua um intervalo ULA IPv6 /48 para a rede VPC. Considere o seguinte ao atribuir um intervalo IPv6 ULA /48 a uma rede VPC:

  • O intervalo IPv6 ULA /48 de cada rede VPC precisa ser exclusivo com o Google Cloud. Isso elimina a possibilidade de sobrepor intervalos de sub-redes IPv6 ao usar o peering de rede VPC.

  • É possível permitir que o Google Cloud atribua o intervalo IPv6 ULA /48 da rede VPC automaticamente ou fornecer um intervalo IPv6 ULA /48 para uso. Se o intervalo IPv6 ULA /48 fornecido já estiver sendo usado por outra rede VPC do Google Cloud, você vai receber um erro.

  • A opção de fornecer um intervalo ULA IPv6 /48 é útil para evitar conflitos entre a rede VPC e as redes conectadas no local ou em outros provedores de nuvem.

  • Depois que uma rede VPC receber um intervalo ULA IPv6 /48, não é possível remover ou mudar o intervalo IPv6 ULA /48.

Quando você cria uma sub-rede com um intervalo IPv6 interno, o Google Cloud seleciona automaticamente um intervalo IPv6 /64 não utilizado do intervalo IPv6 ULA /48 da rede VPC. Os intervalos IPv6 internos /64 da sub-rede podem ser usados pelo seguinte:

Também é possível reservar um intervalo de endereços IPv6 /96 interno regional estático.

Especificações do IPv6 externo

Os intervalos de endereços IPv6 externos são endereços unicast globais (GUAs, na sigla em inglês). Os endereços IPv6 externos estão disponíveis apenas no nível Premium.

Quando você cria uma sub-rede com um intervalo de endereços IPv6 externo, o Google Cloud seleciona automaticamente um intervalo IPv6 /64 não usado. Os intervalos de endereços IPv6 /64 externos da sub-rede podem ser usados por:

Também é possível reservar um intervalo de endereços IPv6 /96 externo regional estático.

Atribuição de intervalo IPv6

Intervalos de endereços IPv6 são atribuídos a redes, sub-redes, instâncias de máquina virtual (VMs) e regras de encaminhamento.

Tipo de recurso Tamanho do intervalo Detalhes
Rede VPC /48

Para ativar o IPv6 interno em uma sub-rede, é preciso primeiro atribuir um intervalo IPv6 interno na rede VPC.

Um intervalo de ULA de /48 oriundo de fd20::/20 é atribuído à rede. Todos os intervalos de sub-rede IPv6 internos na rede são atribuídos a partir desse intervalo /48.

O intervalo /48 pode ser atribuído automaticamente ou é possível selecionar um intervalo específico de fd20::/20.

Sub-rede /64

A configuração do tipo de acesso IPv6 controla se os endereços IPv6 são internos ou externos.

Uma sub-rede pode ter endereços IPv6 internos ou externos, mas não ambos.

Quando você ativa o IPv6, ocorre o seguinte:

  • Se você ativar o IPv6 interno em uma sub-rede, um intervalo /64 de ULAs internos será atribuído do intervalo /48 da rede VPC.
  • Se você ativar o IPv6 externo em uma sub-rede, um intervalo /64 de GUAs externas será atribuído.
Instância de máquina virtual (VM) ou regra de encaminhamento /96

Quando você ativa o IPv6 em uma VM, ela recebe um intervalo /96 da sub-rede em que está conectada. O primeiro endereço IP nesse intervalo é atribuído à interface principal usando o DHCPv6.

Você não configura se uma VM recebe endereços IPv6 internos ou externos. A VM herda o tipo de acesso IPv6 da sub-rede a que está conectada.

A seguir

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud NAT em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Faça uma avaliação gratuita do Cloud NAT