Visão geral de redes VPC

Uma rede de nuvem privada virtual (VPC) é a versão de uma rede física, como uma rede de data center. Ela fornece conectividade para as instâncias de máquina virtual (VM) do Compute Engine, clusters do Google Kubernetes Engine (GKE), instâncias de ambiente flexível do App Engine, além de outros recursos no projeto.

Os projetos podem conter várias redes VPC. A menos que você crie uma política organizacional que a proíba, novos projetos começarão com uma rede padrão que tenha uma sub-rede em cada região (uma rede VPC de modo automático).

Especificações

As redes VPC têm as seguintes propriedades:

Terminologia de rede e sub-rede

O termo subnet ("sub-rede", em português) é uma abreviação da palavra subnetwork. Eles são usados indistintamente no Console do Google Cloud, nos comandos gcloud e na documentação da API.

Uma sub-rede não é a mesma coisa que uma rede VPC. As redes e sub-redes são diferentes tipos de objetos no Google Cloud.

Redes e sub-redes

Cada rede VPC consiste em uma ou mais partições de intervalo IP úteis chamadas de sub-redes. Cada sub-rede é associada a uma região. As redes VPC não têm intervalos de endereços IP associados a elas. Os intervalos de IP são definidos para as sub-redes.

Uma rede precisa ter pelo menos uma sub-rede para que você possa usá-la. As redes VPC de modo automático criam sub-redes em cada região automaticamente. As redes VPC do modo personalizado começam sem sub-redes, o que proporciona controle total sobre a criação de sub-redes. É possível criar mais de uma sub-rede por região. Para mais informações sobre as diferenças entre as redes VPC de modo automático e personalizado, consulte Tipos de redes VPC.

Ao criar um recurso no Google Cloud, você escolhe uma rede e uma sub-rede. Para recursos que não sejam modelos de instância, também é preciso selecionar uma zona ou região. Selecionar uma zona escolhe implicitamente a região pai. Como as sub-redes são objetos regionais, a região selecionada para um recurso determina as sub-redes que ela pode usar:

  • O processo de criação de uma instância envolve a seleção de uma zona, uma rede e uma sub-rede. As sub-redes disponíveis para seleção são restritas àquelas na região selecionada. O Google Cloud atribui à instância um endereço IP do intervalo de endereços disponíveis na sub-rede.

  • O processo de criação de um grupo de instâncias gerenciadas envolve a seleção de uma zona ou região (dependendo do tipo de grupo) e de um modelo de instância. Os modelos de instância disponíveis para seleção são restritos àquelas sub-redes definidas que estão na mesma região selecionada para o grupo de instâncias gerenciadas.

    • Modelos de instância são recursos globais. O processo de criação de um modelo de instância envolve a seleção de uma rede e uma sub-rede. Se você selecionar uma rede VPC de modo automático, poderá usar sub-redes automáticas para adotar a seleção de sub-rede disponível na região selecionada de qualquer grupo de instâncias gerenciadas que usaria o modelo. As redes VPC de modo automático têm uma sub-rede em cada região por definição.
  • O processo de criação de um cluster de contêineres do Kubernetes envolve a seleção de uma zona ou região (dependendo do tipo de cluster), uma rede e uma sub-rede. As sub-redes disponíveis para seleção são restritas àquelas na região selecionada.

Modo de criação da sub-rede

O Google Cloud oferece dois tipos de redes VPC, determinadas pelo modo de criação de sub-rede:

  • Quando uma rede VPC de modo automático é criada, uma sub-rede de cada região é criada automaticamente nela. Essas sub-redes criadas automaticamente usam um conjunto de intervalos de IP predefinidos que se encaixam no bloco CIDR 10.128.0.0/9. À medida que novas regiões do Google Cloud forem disponibilizadas, novas sub-redes nessas regiões serão automaticamente adicionadas às redes VPC de modo automático usando um intervalo de IP desse bloco. Além das sub-redes criadas de maneira automática, é possível adicionar mais sub-redes manualmente às redes VPC de modo automático nas regiões escolhidas usando intervalos de IP fora de 10.128.0.0/9.

  • Quando uma rede VPC de modo personalizado é criada, nenhuma sub-rede é criada automaticamente. Esse tipo de rede oferece controle total sobre as sub-redes e os intervalos de IP. Você decide quais sub-redes criar nas regiões escolhidas usando os intervalos de IP especificados.

É possível mudar uma rede VPC do modo automático para o personalizado. Essa é uma conversão de mão única, redes VPC de modo personalizado não podem ser alteradas para redes VPC de modo automático. Para ajudar você a decidir que tipo de rede atende a suas necessidades, consulte as considerações para redes VPC de modo automático.

Rede padrão

A menos que você desative essa opção, cada novo projeto começa com uma rede padrão. A rede padrão é uma rede VPC de modo automático com regras de firewall já preenchidas.

É possível desativar a criação de redes padrão criando uma política da organização com a restrição compute.skipDefaultNetworkCreation. Projetos que herdam essa política não terão uma rede padrão.

Considerações sobre redes VPC de modo automático

As redes VPC de modo automático são fáceis de configurar e usar, além de serem adequadas para casos de uso com estes atributos:

  • É útil ter sub-redes criadas automaticamente em cada região.

  • Os intervalos de IP predefinidos das sub-redes não se sobrepõem àqueles que você usaria para propósitos diferentes (por exemplo, conexões do Cloud VPN a recursos locais).

No entanto, as redes VPC de modo personalizado são mais flexíveis e mais adequadas à produção. Os seguintes atributos destacam casos de uso em que redes VPC de modo personalizado são recomendadas ou obrigatórias:

  • Não é necessário ter uma sub-rede criada automaticamente em cada região.

  • Ter novas sub-redes criadas automaticamente à medida que as novas regiões ficam disponíveis pode sobrepor os endereços IP usados por sub-redes criadas manualmente ou por rotas estáticas, ou podem interferir no planejamento geral da rede.

  • É preciso ter controle total sobre as sub-redes criadas na rede VPC, incluindo regiões e intervalos de endereços IP usados.

  • Você planeja conectar redes VPC usando o peering de rede VPC ou o Cloud VPN. Como as sub-redes de cada rede VPC de modo automático usam o mesmo intervalo predefinido de endereços IP, não é possível conectá-las entre si.

Sub-redes e intervalos de IP

Ao criar uma sub-rede, você precisa definir um intervalo de endereços IP primário. Se quiser, defina intervalos de endereços IP secundários:

  • Intervalo de endereços IP primário: escolha qualquer bloco particular CIDR RFC 1918 (em inglês) como o intervalo de endereços IP primário da sub-rede. Esses endereços IP podem ser usados para endereços IP internos primários da VM, endereços IP do alias da VM e os endereços IP de balanceadores de carga internos.

  • Intervalos de endereços IP secundários: é possível definir um ou mais intervalos de endereços IP secundários, que são blocos CIDR RFC 1918 separados. Esses intervalos de endereços IP são usados apenas para endereços IP do alias. Os limites por rede descrevem o número máximo de intervalos secundários que podem ser definidos para cada sub-rede.

As sub-redes não precisam formar um bloco CIDR contíguo predefinido, mas, se quiser, é possível fazê-lo. Por exemplo, as redes VPC de modo automático criam sub-redes que se encaixam em um intervalo de IP de modo automático predefinido.

Para mais informações, consulte Como trabalhar com sub-redes.

IPs reservados

Cada sub-rede tem quatro endereços IP reservados no intervalo de IP principal. Não há endereços IP reservados nos intervalos de IP secundários.

Endereço IP reservado Descrição Exemplo
Rede Primeiro endereço no intervalo de IP primário da sub-rede 10.1.2.0 em 10.1.2.0/24
Gateway padrão Segundo endereço no intervalo de IP primário da sub-rede 10.1.2.1 em 10.1.2.0/24
Penúltimo endereço Penúltimo endereço no intervalo de IP primário da sub-rede que é reservado pelo Google Cloud para um possível uso futuro 10.1.2.254 em 10.1.2.0/24
Transmissão Último endereço no intervalo de IP primário da sub-rede 10.1.2.255 em 10.1.2.0/24

Intervalos de IP do modo automático

Esta tabela lista os intervalos de IP para as sub-redes criadas automaticamente em uma rede VPC de modo automático. Os intervalos de IP dessas sub-redes cabem no bloco CIDR 10.128.0.0/9. As redes VPC de modo automático são criadas com uma sub-rede por região e recebem automaticamente novas sub-redes em novas regiões. Porções não utilizadas de 10.128.0.0/9 são reservadas para uso futuro do Google Cloud.

Região Intervalo de IP (CIDR) Gateway padrão Endereços utilizáveis (inclusivos)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 a 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 10.174.0.2 a 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 10.178.0.2 para 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 a 10.172.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 ao 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 10.180.0.2 para 10.180.15.253

Rotas e regras de firewall

Rotas

Rotas definem caminhos para os pacotes que saem das instâncias (tráfego de saída). As rotas no Google Cloud são divididas em duas categorias: geradas pelo sistema e personalizadas.

Cada nova rede começa com dois tipos de rotas geradas pelo sistema:

  • A rota padrão define um caminho para o tráfego deixar a rede VPC. Ela fornece acesso geral à Internet para as VMs que atendem aos requisitos de acesso à Internet. Ela também fornece o caminho típico para o Acesso privado do Google.

  • É criada uma rota de sub-rede para cada um dos intervalos de IP associados a uma sub-rede. Cada sub-rede tem, pelo menos, uma rota de sub-rede para o intervalo de IP primário dela. Outras rotas de sub-redes serão criadas para uma sub-rede se você adicionar intervalos de IP secundários a ela. As rotas de sub-rede definem os caminhos para que o tráfego alcance as VMs que usam as sub-redes. Não é possível remover manualmente as rotas das sub-redes.

Rotas personalizadas são aquelas estáticas criadas manualmente ou as dinâmicas mantidas automaticamente por um ou mais roteadores do Cloud Router. Para mais informações, consulte Rotas personalizadas.

Para detalhes completos sobre o roteamento no Google Cloud, consulte a visão geral das rotas.

Modo de roteamento dinâmico

Cada rede VPC tem um modo de roteamento dinâmico associado que controla o comportamento de todos os roteadores do Cloud Router. Os roteadores do Cloud Router compartilham rotas com a rede VPC e aprendem rotas dinâmicas personalizadas de redes conectadas quando você conecta sua rede VPC a outra rede usando um túnel do Cloud VPN que utiliza roteamento dinâmico ou usando Interconexão dedicada ou Interconexão por parceiro.

  • O roteamento dinâmico regional é o padrão. Neste modo, as rotas para os recursos locais aprendidas por um determinado Cloud Router na rede VPC aplicam-se apenas às sub-redes na mesma região do Cloud Router. A menos que tenha sido modificado por divulgações personalizadas, cada Cloud Router só compartilha as rotas para sub-redes na região dela com a contraparte local.

  • O roteamento dinâmico global altera o comportamento de todos os roteadores do Cloud Router na rede de modo que as rotas para recursos locais que eles aprendem estejam disponíveis em todas as sub-redes na rede VPC, independentemente da região. A menos que tenha sido modificado por divulgações personalizadas, cada Cloud Router compartilha rotas para todas as sub-redes da rede VPC com a contraparte local.

Para mais informações sobre como personalizar o conjunto de rotas compartilhadas por um Cloud Router, consulte Divulgações personalizadas.

O modo de roteamento dinâmico pode ser definido na criação ou modificação de uma rede VPC. É possível alterar o modo de roteamento dinâmico de regional para global, e vice-versa, sem restrições. Para mais instruções, consulte Como alterar o modo de roteamento dinâmico.

Regras de firewall

As regras de firewall aplicam-se ao tráfego de saída e de entrada na rede. As regras de firewall controlam o tráfego mesmo que ele esteja totalmente dentro da rede, incluindo a comunicação entre instâncias de VM.

Toda rede VPC tem duas regras de firewall implícitas. Uma regra implícita permite todo o tráfego de saída e a outra nega todo o tráfego de entrada. Não é possível excluir as regras implícitas, mas é possível modificá-las com suas próprias regras. O Google Cloud sempre bloqueia o tráfego, independentemente das regras de firewall. Para mais informações, consulte Tráfego bloqueado.

Para monitorar qual regra de firewall permitiu ou negou uma conexão específica, consulte Geração de registros de regras de firewall.

Comunicações e acesso

Comunicação dentro da rede

As rotas de sub-rede geradas pelo sistema definem os caminhos para enviar tráfego entre instâncias dentro da rede usando endereços IP internos (privados). Para que uma instância possa se comunicar com outra, as regras de firewall adequadas também precisam ser configuradas, porque cada rede tem uma regra de firewall de negação implícita para o tráfego de entrada.

Exceto para a rede padrão, é necessário criar explicitamente regras de firewall de entrada com prioridade mais alta para permitir que as instâncias se comuniquem umas com as outras. A rede padrão inclui várias regras de firewall, além das regras implícitas, incluindo a regra default-allow-internal, que permite a comunicação de instância a instância na rede. A rede padrão também vem com regras de entrada que permitem protocolos como RDP e SSH.

As regras que vêm com a rede padrão também são apresentadas como opções para você aplicar a novas redes VPC de modo automático criadas usando o Console do Cloud.

Requisitos de acesso à Internet

Os seguintes critérios precisam ser atendidos para que uma instância tenha acesso de saída à Internet:

  • A rede precisa ter uma rota de gateway de Internet padrão válida ou uma rota personalizada com o intervalo de IP de destino mais comum (0.0.0.0/0). Essa rota define o caminho para a Internet. Para saber mais, consulte "Rotas".

  • As regras de firewall precisam permitir o tráfego de saída da instância. A menos que seja modificada por uma regra de prioridade mais alta, a regra de permissão implícita para o tráfego de saída permite o tráfego de saída de todas as instâncias.

  • Um dos seguintes itens precisa ser verdadeiro:

    • A instância precisa ter um endereço IP externo. É possível atribuir um endereço IP externo a uma instância durante a criação dela ou depois de ela ter sido criada.

    • É preciso que a instância possa usar o Cloud NAT ou um proxy baseado em instância que seja o destino de uma rota 0.0.0.0/0 estática.

Comunicações e acesso para o App Engine

As regras de firewall da VPC aplicam-se a recursos executados na rede VPC, como VMs do Compute Engine. Para instâncias do App Engine, as regras de firewall funcionam da seguinte maneira:

  • Ambiente padrão do App Engine: somente regras de firewall do Google App Engine se aplicam ao tráfego de entrada. Como as instâncias do ambiente padrão do App Engine não são executadas na rede VPC, as regras de firewall da VPC não se aplicam a elas.

  • Ambiente flexível do App Engine: as regras de firewall do Google App Engine e da VPC se aplicam ao tráfego de entrada. O tráfego de entrada precisa da permissão dos dois tipos de regras de firewall. Para o tráfego de saída, aplicam-se as regras de firewall da VPC.

Para mais informações sobre como controlar o acesso a instâncias do App Engine, consulte Segurança do app.

Traceroute para destinos vinculados à Internet

Por motivos internos, o Google Cloud aumenta o contador TTL de pacotes que saem de instâncias do Compute Engine para a Internet. Ferramentas como traceroute podem fornecer resultados incompletos porque o TTL não expira em alguns dos saltos. Os saltos dentro e fora da rede do Google podem estar ocultos.

O número de saltos ocultos varia de acordo com os níveis de serviço da rede, a região e outros fatores da instância. Se houver apenas alguns saltos, é possível que todos eles fiquem ocultos. Saltos ausentes de um resultado traceroute não significam que o tráfego de saída tenha sido descartado.

Não há solução alternativa para esse comportamento.

Exemplo de rede VPC

O exemplo a seguir ilustra uma rede VPC de modo personalizado com três sub-redes em duas regiões:

Exemplo de rede VPC (clique para ampliar)
Exemplo de rede VPC (clique para ampliar)
  • Subnet1 é definida como 10.240.0.0/24 na região us-west1.
    • Há duas instâncias de VM na zona us-west1-a nesta sub-rede. Os endereços IP vêm do intervalo disponível de endereços na subnet1.
  • Subnet2 é definida como 192.168.1.0/24 na região us-east1.
    • Há duas instâncias de VM na zona us-east1-a nesta sub-rede. Os endereços IP vêm do intervalo disponível de endereços na subnet2.
  • Subnet3 é definida como 10.2.0.0/16, também na região us-east1.
    • Uma instância de VM na zona us-east1-a e uma segunda instância na zona us-east1-b estão em subnet3, cada uma recebendo um endereço IP do intervalo disponível. Como as sub-redes são recursos regionais, as instâncias podem ter interfaces de rede associadas a qualquer sub-rede na mesma região que contém as zonas.

A seguir