Muitos recursos do Google Cloud podem ter endereços IP internos e externos. Por exemplo, é possível atribuir um endereço IP interno e externo a instâncias do Compute Engine. As instâncias usam esses endereços para se comunicar com outros recursos do Google Cloud e sistemas externos.
Cada interface de rede usada por uma instância precisa ter um endereço IPv4 interno principal. Cada interface de rede também pode ter um ou mais intervalos IPv4 de alias e um endereço IPv4 externo. Se a instância estiver conectada a uma sub-rede compatível com IPv6, cada interface de rede também poderá ter endereços IPv6 internos ou externos atribuídos.
Uma instância pode se comunicar com instâncias na mesma rede de nuvem privada virtual (VPC, na sigla em inglês), usando o endereço IPv4 interno da instância. Se as instâncias tiverem o IPv6 configurado, também será possível usar um dos endereços IPv6 internos ou externos da instância. Como prática recomendada, use endereços IPv6 internos para comunicação interna.
Para se comunicar com a internet, use um endereço IPv4 ou IPv6 externo configurado na instância. Se nenhum endereço externo estiver configurado na instância, o Cloud NAT poderá ser usado para o tráfego IPv4.
Da mesma forma, é preciso usar o IPv4 externo ou o IPv6 externo da instância para se conectar a instâncias fora da mesma rede VPC. No entanto, se as redes estiverem conectadas de alguma forma (por exemplo, usando o peering de rede VPC), será possível usar o endereço IP interno da instância.
Para informações sobre como identificar o endereço IP interno e externo das instâncias, consulte Ver a configuração de rede de uma instância.
Endereços IP internos
As interfaces de rede de uma instância recebem endereços IP da sub-rede a que estão conectadas. Cada interface de rede tem um endereço IPv4 interno principal, que é atribuído a partir do intervalo IPv4 principal da sub-rede. Se a sub-rede tiver um intervalo IPv6 interno, além do endereço IPv4 interno principal, será possível configurar a interface da rede com um endereço IPv6 interno principal.
Os endereços IPv4 internos podem ser atribuídos das seguintes maneiras:
- O Compute Engine atribui automaticamente um único endereço IPv4 dos intervalos de sub-redes IPv4 principais.
- Você atribui um endereço IPv4 interno específico ao criar uma instância de computação, seja usando um endereço IPv4 interno estático reservado ou especificando um endereço IPv4 interno efêmero personalizado.
Endereços IPv6 internos podem ser atribuídos a instâncias conectadas a uma sub-rede que tem um intervalo IPv6 interno das seguintes maneiras:
- Quando você configura um endereço IPv6 interno na vNIC de uma instância, o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 interno da sub-rede. - Você atribui um endereço IPv6 interno específico ao criar uma instância, seja usando um endereço IPv6 interno estático reservado ou especificando um endereço IPv6 interno efêmero personalizado.
Também é possível reservar um endereço interno estático no intervalo IPv4 ou IPv6 da sub-rede e atribuí-lo a uma instância mais tarde.
As instâncias de computação também podem ter endereços IP de alias e intervalos. Se você tem mais de um serviço sendo executado em uma instância, é possível atribuir a cada um deles o próprio endereço IP exclusivo.
Nomes DNS internos
OGoogle Cloud resolve automaticamente o nome DNS totalmente qualificado (FQDN, na sigla em inglês) de uma instância para os endereços IP internos dela. Os nomes DNS internos funcionam apenas na rede VPC da instância.
Para ver mais informações sobre FQDNs, leia DNS interno.
Endereços IP externos
Se você precisa se comunicar com a internet ou com os recursos em outra rede VPC, é possível atribuir um endereço IPv4 ou IPv6 externo a uma instância. Se as regras de firewall ou as políticas hierárquicas de firewall permitirem a conexão, as origens externas a uma rede VPC poderão acessar um recurso específico usando o endereço IP externo dele. Somente recursos com um endereço IP externo podem se comunicar diretamente com recursos fora da rede VPC. A comunicação com um recurso usando um endereço IP externo pode gerar cobranças extras.
Os endereços IPv4 externos podem ser atribuídos das seguintes maneiras:
- O Compute Engine atribui automaticamente um endereço IPv4 dos intervalos de endereços IPv4 externos do Google.
Você atribui um endereço IPv4 externo específico ao criar uma instância usando um endereço IPv4 externo estático reservado.
Para mais informações, consulte Onde posso encontrar intervalos de IP do Compute Engine.
Endereços IPv6 externos podem ser atribuídos a instâncias conectadas a uma sub-rede que tem um intervalo IPv6 externo das seguintes maneiras:
- Quando você configura um endereço IPv6 externo na vNIC de uma instância, o Compute Engine atribui automaticamente um único intervalo
/96de endereços IPv6 do intervalo IPv6 externo da sub-rede. - Você atribui um endereço IPv6 externo específico ao criar uma instância, seja usando um endereço IPv6 externo estático reservado ou especificando um endereço IPv6 externo efêmero personalizado.
Alternativas ao uso de um endereço IP externo
Os endereços IP internos ou privados oferecem diversas vantagens sobre os endereços IP externos ou públicos, incluindo:
- Menor superfície de ataque. A remoção de endereços IP externos das instâncias de computação dificulta o acesso dos invasores às instâncias e a exploração de vulnerabilidades.
- Maior flexibilidade. A introdução de uma camada de abstração, como um balanceador de carga ou um serviço NAT, permite a entrega mais confiável e flexível de serviços em relação a endereços IP externos estáticos.
A tabela a seguir resume como as instâncias de computação podem acessar ou ser acessadas na internet quando não têm um endereço IP externo.
| Método de acesso | Solução | Ideal quando |
|---|---|---|
| Interativo | Configurar o encaminhamento de TCP para o Identity-Aware Proxy (IAP) | Você quer usar serviços administrativos, como SSH e RDP, para se conectar às instâncias de back-end, mas as solicitações precisam passar por verificações de autenticação e autorização antes de chegar ao recurso de destino. |
| Busca | Gateway do Cloud NAT | Você quer que as instâncias do Compute Engine sem endereços IP externos se conectem à internet (saída), mas os hosts fora da sua rede VPC não podem iniciar as próprias conexões com as instâncias de computação (entrada). Você pode usar essa abordagem para atualizações do SO ou APIs externas. |
| Secure Web Proxy | É necessário isolar as instâncias do Compute Engine da internet criando conexões TCP em nome delas, de acordo com a política de segurança administrada. | |
| Disponibilização | Criar um balanceador de carga externo | Você quer que os clientes se conectem a recursos sem endereços IP externos em qualquer lugar do Google Cloud , protegendo suas instâncias de computação contra ataques DDoS e diretos. |
Endereços IP regionais e globais
Ao listar ou descrever endereços IP no seu projeto, o Google Cloudrotula os endereços como globais ou regionais, o que indica como determinado endereço está sendo usado. Ao associar um endereço a um recurso regional, como uma instância, o Google Cloud o rotula como regional.
Entende-se por "regiões" as regiões do Google Cloud, como us-east4 ou europe-west2.
Os endereços IP globais são usados nas seguintes configurações:
- Endereços IP internos globais: acesso a APIs do Google por endpoints ou acesso a serviços particulares
- Endereços IP externos globais: balanceadores de carga de rede de proxy externos e balanceadores de carga de aplicativo externos usando uma rede de nível Premium
Para saber como criar um endereço IP global, consulte Reservar um novo endereço IP externo estático.
Visão geral do SLA para a rede do Compute Engine
O Compute Engine tem um contrato de nível de serviço (SLA, na sigla em inglês), que define objetivos de nível de serviço (SLOs, na sigla em inglês) para a porcentagem de tempo de atividade mensal dos níveis de serviço de rede.
Ao criar uma instância do Compute Engine, você recebe um endereço IP interno por padrão. Também é possível configurar um endereço IP externo com a rede do nível Premium (padrão) ou Standard. A escolha do nível de serviço de rede depende dos seus requisitos de custo e qualidade do serviço. Cada nível de serviço de rede tem um SLO diferente.
Ao criar a instância de computação, é possível configurar várias placas de rede conectadas a ela. Cada placa pode ter uma configuração de rede, como mostrado no diagrama a seguir:
Figura 1. Uma instância com três NICs, cada uma processando tráfego de rede diferente com diferentes níveis de serviço de rede.
No diagrama anterior, a instância de exemplo chamada VM appliance tem três NICs, que são configuradas da seguinte maneira:
nic0é configurado com uma sub-rede IP interna.nic1é configurado com uma sub-rede IP externa e usa o nível de rede Standard.nic2é configurado com uma sub-rede IP externa e usa o nível de rede Premium.
Neste exemplo, a instância de VM não é uma VM com otimização de memória. Dependendo de qual NIC sofre perda de conectividade, diferentes SLOs são aplicáveis. A lista a seguir descreve o SLA das diferentes NICs neste exemplo.
nic0: uma VM de instância única com endereços IP internos. A porcentagem de tempo de atividade mensal é de 99,9%.nic1: uma VM de instância única com um endereço IP externo que usa o nível de rede Standard. Essa VM não é protegida por nenhum SLA. Somente instâncias em várias zonas são protegidas em 99,9% com o nível de rede Standard.nic2: uma VM de instância única com um endereço IP externo que usa o nível de rede Premium. A porcentagem de tempo de atividade mensal é de 99,9%. No caso de instâncias em várias zonas, essa porcentagem é de 99,99% com o nível de rede Premium.
A seguir
- Veja a configuração de rede de uma instância.
- Reserve um novo endereço IP externo estático
- Atribua um endereço IP externo estático a uma nova instância.
- Especifique um endereço IP interno na criação da instância.
- Promova um endereço IP externo temporário.
- Saiba como usar nomes DNS internos para mencionar as instâncias na rede VPC interna.
- Saiba mais sobre endereços IP.
- Saiba mais sobre o IPv6.
- Saiba mais sobre endereços IP e balanceamento de carga.
- Revise os preços de endereços IP externos.