Visão geral da rede de nuvem privada virtual (VPC)

Uma rede VPC, às vezes chamada apenas de "rede", é uma versão virtual de uma rede física, como uma rede de data center. Ela fornece conectividade para as instâncias de máquina virtual (VM) do Compute Engine, os clusters do Kubernetes Engine, as instâncias do App Engine Flex e outros recursos do seu projeto.

Os projetos podem conter várias redes VPC. Novos projetos começam com uma rede default que tem uma sub-rede em cada região (uma rede de modo automático).

Especificações

As redes VPC têm as seguintes propriedades:

  • Redes VPC, inclusive as rotas associadas e regras de firewall, são recursos globais. Elas não estão associadas a nenhuma região ou zona específica.

  • Sub-redes são recursos regionais. Cada sub-rede define um intervalo de endereços IP. Para mais informações sobre redes e sub-redes, consulte Redes e sub-redes.

  • O tráfego de e para instâncias pode ser controlado com regras de firewall da rede.

  • Os recursos dentro de uma rede VPC podem se comunicar uns com os outros por meio de endereços IPv4 internos (privados), sujeitos às regras de firewall da rede aplicáveis. Para mais informações, consulte Comunicação dentro da rede.

  • As instâncias com apenas endereços IP particulares podem se comunicar com as APIs e os serviços do Google se você ativar o Acesso privado do Google nas sub-redes em que elas residem.

  • A administração da rede pode ser protegida usando papéis de gerenciamento de identidade e acesso (IAM).

  • Uma organização pode usar a VPC compartilhada para manter uma rede VPC em um projeto host comum. Os membros autorizados do IAM de outros projetos na mesma organização podem criar recursos que usam sub-redes da rede VPC compartilhada.

  • As redes VPC podem ser conectadas a outras redes VPC em diferentes projetos ou organizações usando o Peering de rede VPC.

  • As redes VPC podem ser conectadas com segurança em ambientes híbridos usando o Cloud VPN ou o Google Cloud Interconnect.

  • As redes VPC são compatíveis somente com tráfego unicast IPv4. Elas não são compatíveis com tráfego broadcast, multicast nem IPv6 dentro da rede. No entanto, IPv6 pode ser usado para alcançar os recursos na rede. Por exemplo, endereços IPv6 podem ser atribuídos a um balanceador de carga global, e o ambiente padrão do App Engine é compatível com IPv6.

Redes e sub-redes

Cada rede VPC consiste em uma ou mais partições de intervalo de IP úteis chamadas sub-redes. Cada sub-rede é associada a uma região. As redes podem conter uma ou mais sub-redes em qualquer região. Redes de modo automático criam sub-redes em cada região automaticamente. Redes de modo personalizado são iniciadas sem sub-redes, oferecendo a você controle total sobre a criação de sub-redes. Para mais informações sobre as diferenças entre redes de modo automático e personalizado, consulte Tipos de redes VPC.

Por si só, as redes VPC não têm intervalos de endereços IP associados a elas. Ao criar uma sub-rede, você precisa definir um intervalo de endereços IP principal. Você pode, opcionalmente, definir um ou mais intervalos secundários:

  • Intervalo principal: escolha qualquer bloco particular CIDR RFC 1918 como intervalo de endereços IP principal da sub-rede, sujeito a estas regras. Suas sub-redes não precisam formar um bloco CIDR contíguo predefinido, mas você pode fazer isso se quiser. Por exemplo, as redes de modo automático criam sub-redes que se encaixam em um intervalo de IP de modo automático predefinido.

  • Intervalos secundários: defina um ou mais intervalos de endereços IP secundários opcionais a serem usados para criação de aliases de IP.

Quando você cria um recurso no GCP, é preciso escolher uma rede e uma sub-rede para ele. Para recursos que não sejam modelos de instância, você também precisa selecionar uma zona ou região. Selecionar uma zona escolhe implicitamente a região pai. Como as sub-redes são objetos regionais, a região selecionada para um recurso determina as sub-redes que podem ser usadas:

  • O processo de criação de uma instância envolve a seleção de uma zona, uma rede e uma sub-rede. As sub-redes disponíveis para seleção são restritas àquelas na região selecionada. O GCP atribui à instância um endereço IP do intervalo de endereços disponíveis na sub-rede.

  • O processo de criação de um grupo de instâncias gerenciadas envolve a seleção de uma zona ou região, dependendo do tipo de grupo e de um modelo de instância. Os modelos de instância disponíveis para seleção são restritos àqueles cujas sub-redes definidas estão na mesma região selecionada para o grupo de instâncias gerenciadas.

    • Modelos de instância são recursos globais. O processo de criação de um modelo de instância envolve a seleção de uma rede e uma sub-rede. Se você selecionar uma rede de modo automático, poderá escolher "sub-rede automática" para adiar a seleção da sub-rede a uma disponível na região selecionada de qualquer grupo de instâncias gerenciadas que usaria o modelo, porque as redes de modo automático têm uma sub-rede em cada região por definição.
  • O processo de criação de um cluster de contêineres do Kubernetes envolve a seleção de uma zona ou região (dependendo do tipo de cluster), uma rede e uma sub-rede. As sub-redes disponíveis para seleção são restritas àquelas na região selecionada.

Terminologia de rede e sub-rede

O termo "subnet" ("sub-rede", em português) é uma abreviação da palavra "subnetwork". Esses termos são usados de modo alternado no Console do GCP, nos comandos do gcloud e na documentação da API.

Tipos de redes VPC

Há dois tipos de redes VPC:

  • Quando uma rede de modo automático é criada, uma sub-rede de cada região é criada automaticamente nela. Essas sub-redes criadas automaticamente usam um conjunto de intervalos de IP predefinidos que se encaixam no bloco CIDR 10.128.0.0/9. À medida que novas regiões do GCP se tornam disponíveis, novas sub-redes nessas regiões são automaticamente adicionadas às redes do modo automático usando um intervalo de IPs desse bloco. Além disso, é possível adicionar manualmente outras sub-redes às redes de modo automático nas regiões escolhidas. Para isso, basta usar intervalos de IP que não sejam 10.128.0.0/9.

  • Quando uma rede de modo personalizado é criada, nenhuma sub-rede é criada automaticamente. Esse tipo de rede oferece controle total sobre as sub-redes e os intervalos de IP. Você decide quais sub-redes criar, em regiões à sua escolha e usando os intervalos de IP que você especificar.

Cada projeto começa com uma rede de modo automático default.

Você pode mudar uma rede do modo automático para o modo personalizado. Essa conversão é unidirecional: as redes de modo personalizado não podem ser mudadas para redes de modo automático. Analise cuidadosamente as considerações sobre redes de modo automático como ajuda para decidir que tipo de rede atende às suas necessidades.

Considerações sobre redes de modo automático

As redes de modo automático são fáceis de configurar e usar e são adequadas para casos de uso com estes atributos:

  • É útil ter sub-redes criadas automaticamente em cada região.

  • Os intervalos de IP predefinidos das sub-redes não se sobrepõem àqueles que você usaria para propósitos diferentes (por exemplo, conexões do Cloud VPN para recursos locais).

No entanto, as redes de modo personalizado são mais flexíveis e mais adequadas para produção. Os seguintes atributos destacam casos de uso em que redes de modo personalizado são recomendadas ou obrigatórias:

  • Não é necessário ter uma sub-rede criada automaticamente em cada região.

  • Ter novas sub-redes criadas automaticamente à medida que as novas regiões se tornam disponíveis pode sobrepor os endereços IP usados por sub-redes criadas manualmente ou rotas estáticas, ou podem interferir no planejamento geral da rede.

  • Você precisa de controle total sobre as sub-redes criadas na rede VPC, incluindo regiões e intervalos de endereços IP usados.

  • Você planeja conectar redes VPC usando o peering de rede VPC ou o Cloud VPN. Como as sub-redes de cada rede de modo automático usam o mesmo intervalo predefinido de endereços IP, não é possível conectar essas redes entre si.

Sub-redes e intervalos de IP

Os intervalos de IP podem ser atribuídos a sub-redes que você cria de acordo com estas regras:

  • Cada sub-rede precisa ter um intervalo de endereços principal, que é um bloco CIDR RFC 1918 válido.

  • As sub-redes na mesma rede precisam usar intervalos de IP exclusivos. As sub-redes em redes diferentes, inclusive no mesmo projeto, podem reutilizar intervalos iguais de endereços IP.

  • Ao criar uma sub-rede manualmente, você pode usar qualquer intervalo CIDR RFC 1918 sujeito a estas restrições:

    • As sub-redes na mesma rede do GCP precisam ter intervalos de IP exclusivos.
    • Os intervalos de IP de todas as sub-redes precisam ser exclusivos entre as redes VPC que estão conectadas umas às outras pelo peering de rede VPC ou pelo Cloud VPN.
    • Os intervalos de IP para redes locais conectadas por meio do Cloud VPN ou do Cloud Interconnect não podem entrar em conflito com os intervalos de IP de qualquer sub-rede. As rotas de sub-rede precisam ter o destino mais específico.
    • Os intervalos de IP usados pelas sub-redes não podem entrar em conflito com os referenciados por uma rota estática.
    • Quando você cria mais sub-redes em uma rede de modo automático, as sub-redes criadas manualmente precisam usar um intervalo de IP fora do bloco CIDR 10.128.0.0/9. Esse bloco é reservado para os intervalos de IP principais de sub-redes criadas automaticamente.
  • Você pode atribuir um ou mais intervalos de IP secundários a uma sub-rede. Esses intervalos secundários são reservados para instâncias de VM na sub-rede configuradas com aliases de IP. Os intervalos secundários podem ser qualquer bloco CIDR RFC 1918 sujeito às mesmas restrições discutidas no ponto anterior.

  • Os intervalos de IP não precisam ser contíguos de sub-rede para sub-rede na mesma rede.

  • Intervalos de IP para sub-redes na mesma rede não precisam ser membros de um bloco CIDR contíguo maior. Por exemplo, uma sub-rede pode usar 10.0.0.0/8 enquanto outra, na mesma rede, usa 192.168.0.0/16.

  • O tamanho mínimo do CIDR para uma sub-rede é /29.

IPs reservados

Cada sub-rede tem quatro endereços IP reservados no intervalo de IP principal:

Endereço reservado Descrição Exemplo
Rede Primeiro endereço no intervalo de IP principal da sub-rede 10.1.2.0 em 10.1.2.0/24
Gateway padrão Segundo endereço no intervalo de IP principal da sub-rede 10.1.2.1 em 10.1.2.0/24
Penúltima reserva Penúltimo endereço no intervalo de IP principal da sub-rede 10.1.2.254 em 10.1.2.0/24
Transmissão Último endereço no intervalo de IP principal da sub-rede 10.1.2.255 em 10.1.2.0/24

Intervalos de IP do modo automático

Esta tabela lista os intervalos de IP para as sub-redes criadas automaticamente em uma rede de modo automático. Os intervalos de IP dessas sub-redes cabem dentro do bloco CIDR 10.128.0.0/9. As redes de modo automático são criadas com uma sub-rede por região no momento da criação e receberão automaticamente novas sub-redes em novas regiões. Portanto, as partes não utilizadas de 10.128.0.0/9 são reservadas para uso futuro do GCP.

Região Intervalo de IP (CIDR) Gateway padrão Endereços utilizáveis (inclusivos)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 a 10.140.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 a 10.146.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 a 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 a 10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 a 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 a 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 a 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 a 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 a 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 a 10.164.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 a 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 a 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 a 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 ao 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 a 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 a 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 a 10.168.15.253

Rotas e regras de firewall

Rotas

Rotas definem caminhos para os pacotes que saem das instâncias (tráfego de saída). As rotas no GCP são divididas em duas categorias: as geradas pelo sistema e as personalizadas. Esta seção descreve de forma breve os dois tipos de rotas geradas pelo sistema. Também é possível criar rotas personalizadas na sua rede. Consulte a visão geral das rotas para todas as informações sobre o roteamento no GCP.

Cada nova rede começa com dois tipos de rotas geradas pelo sistema:

  • A rota padrão define um caminho para o tráfego deixar a rede VPC. Ela fornece acesso geral à Internet para as VMs que atendem aos requisitos de acesso à Internet. Ela também fornece o caminho típico para o acesso privado do Google.

  • É criada uma rota de sub-rede para cada um dos intervalos de IP associados a uma sub-rede. Cada sub-rede tem pelo menos uma rota de sub-rede para seu intervalo de IP principal e são criadas outras rotas para uma sub-rede se forem adicionados a ela intervalos de IP secundários. Rotas de sub-rede definem caminhos para que o tráfego alcance as VMs que usam as sub-redes.

Modo de roteamento dinâmico

Cada rede VPC tem um modo de roteamento dinâmico associado que controla o comportamento de tudo se for Cloud Routers. Os Cloud Routers compartilham rotas com sua rede VPC e aprendem rotas dinâmicas personalizadas de redes conectadas quando você conecta sua rede VPC a outra rede com um túnel Cloud VPN usando roteamento dinâmico, Interconexão dedicada ou interconexão do parceiro.

  • O roteamento dinâmico regional é o padrão. Neste modo, as rotas para os recursos no local aprendidas por um determinado Cloud Router na rede VPC aplicam-se apenas às sub-redes na mesma região do Cloud Router. A menos que tenha sido modificado por divulgações personalizadas, cada Cloud Router só compartilha as rotas para sub-redes em sua região com a contraparte local.

  • O roteamento dinâmico global altera o comportamento de todos os Cloud Routers na rede, de modo que as rotas para os recursos locais que eles aprendem estejam disponíveis em todas as sub-redes da rede VPC, independentemente da região. A menos que tenha sido modificado por divulgações personalizadas, cada Cloud Router compartilha rotas para todas as sub-redes da rede VPC com a contraparte local.

Consulte divulgações personalizadas para informações sobre como o conjunto de rotas compartilhadas por um Cloud Router pode ser personalizado.

O modo de roteamento dinâmico pode ser definido quando você cria uma rede VPC ou a modifica. Você pode alterar o modo de roteamento dinâmico de regional para global e vice-versa sem restrições. Consulte Como usar redes VPC para mais informações.

Regras de firewall

As regras de firewall aplicam-se ao tráfego de saída e de entrada na rede. As regras de firewall controlam o tráfego, mesmo que esteja totalmente dentro da rede, como no caso da comunicação entre instâncias.

Toda rede VPC tem duas regras de firewall implícitas. Uma regra implícita permite todo o tráfego de saída e a outra nega todo o tráfego de entrada. Não é possível excluir as regras implícitas, mas é possível substituí-las por suas próprias regras.

Consulte a visão geral das regras de firewall para mais informações.

Comunicação dentro da rede

As rotas de sub-rede geradas pelo sistema definem os caminhos para o envio de tráfego entre instâncias dentro da rede usando endereços IP internos (particulares). Para que uma instância possa se comunicar com outra, as regras de firewall apropriadas também precisam ser configuradas, porque cada rede tem uma regra de firewall de negação implícita para o tráfego de entrada.

Exceto para a rede default, é necessário criar explicitamente regras de firewall de entrada com prioridade mais alta para permitir que as instâncias se comuniquem umas com as outras. A rede default inclui várias regras de firewall além das implícitas, incluindo a regra default-allow-internal, que permite a comunicação entre instâncias na rede. A rede default também vem com regras de entrada, permitindo protocolos como RDP e SSH.

As regras fornecidas com a rede default também são apresentadas como opções para a serem aplicadas a novas redes de modo automático, que são criadas com o console do GCP.

Requisitos de acesso à Internet

Os seguintes critérios precisam ser atendidos para que uma instância tenha acesso de saída à Internet:

  • A rede precisa ter uma rota de gateway de Internet padrão válida ou uma rota personalizada com o intervalo de IP de destino mais comum (0.0.0.0/0). Essa rota simplesmente define o caminho para a Internet. Consulte Rotas para mais informações sobre as rotas.

  • As regras de firewall precisam permitir o tráfego de saída da instância. A menos que seja substituída por uma regra de prioridade mais alta, a regra de permissão implícita para o tráfego de saída permite o tráfego de saída de todas as instâncias.

  • Um dos seguintes itens precisa ser verdadeiro:

Exemplo de rede VPC

O exemplo a seguir ilustra uma rede do modo personalizado com três sub-redes em duas regiões:

Exemplo de rede VPC (clique para ampliar)
Exemplo de rede VPC (clique para ampliar)
  • Subnet1 é definida como 10.240.0.0/24 na região us-west1.
    • Há duas instâncias de VM na zona us-west1-a nesta sub-rede. Os endereços IP vêm do intervalo disponível de endereços na subnet1.
  • Subnet2 é definida como 192.168.1.0/24 na região us-east1.
    • Há duas instâncias de VM na zona us-east1-a nesta sub-rede. Os endereços IP vêm do intervalo disponível de endereços na subnet2.
  • Subnet3 é definida como 10.2.0.0/16, também na região us-east1.
    • Uma instância de VM na zona us-east1-a e uma segunda instância na zona us-east1-b estão na subnet3. Cada uma recebe um endereço IP do intervalo disponível. Como as sub-redes são recursos regionais, as instâncias podem ter interfaces de rede associadas a qualquer sub-rede na mesma região que contém as zonas.

Próximas etapas

  • Consulte Como usar a VPC para instruções sobre como criar e modificar redes VPC.
Esta página foi útil? Conte sua opinião sobre: