כתובות IP

לרבים Google Cloud מהמשאבים יכולות להיות כתובות IP פנימיות וכתובות IP חיצוניות. לדוגמה, אפשר להקצות כתובת IP פנימית וכתובת IP חיצונית למכונות של Compute Engine. המופעים משתמשים בכתובות האלה כדי לתקשר עם משאבים אחרים של Google Cloud מערכות חיצוניות.

לכל ממשק רשת של מופע יכולות להיות כתובות ה-IP הבאות שהוקצו לו בהתאם לסוג המערך שלו:

סוג ערימת הממשק	כתובות IP
IPv4 בלבד	כתובת IPv4 פנימית (חובה) טווח כתובות IPv4 של כינוי (אופציונלי) כתובת IPv4 חיצונית (אופציונלי)
Dual-stack ‏ (IPv4 ו-‎IPv6)	כתובת IPv4 פנימית (חובה) טווח כתובות IPv4 לכינוי (אופציונלי) כתובת IPv4 חיצונית (אופציונלי) `/96` טווח כתובות IPv6, פנימי או חיצוני, אבל לא שניהם (חובה)
IPv6 בלבד	`/96` טווח כתובות IPv6, פנימי או חיצוני, אבל לא שניהם (חובה)

מכונה יכולה לתקשר עם מכונות באותה רשת וירטואלית פרטית (VPC) באמצעות כתובת ה-IPv4 הפנימית, כתובת ה-IPv6 הפנימית או כתובת ה-IPv6 החיצונית של המכונה. השיטה המומלצת היא להשתמש בכתובות IPv6 פנימיות לתקשורת פנימית.

כדי לתקשר עם האינטרנט, אפשר להשתמש בכתובת IP חיצונית שהוגדרה במכונה. אם לא מוגדרת כתובת IP חיצונית במכונה, אפשר להשתמש ב-Cloud NAT לתעבורת IPv4.

באופן דומה, צריך להשתמש בכתובת ה-IP החיצונית של המכונה כדי להתחבר למכונות שנמצאות מחוץ לאותה רשת VPC. עם זאת, אם הרשתות מחוברות בצורה כלשהי, למשל באמצעות קישור (peering) בין רשתות VPC שכנות, אפשר להשתמש בכתובת ה-IP הפנימית של המכונה.

מידע על זיהוי כתובת ה-IP הפנימית וכתובת ה-IP החיצונית של המכונות זמין במאמר צפייה בהגדרת הרשת של מכונה.

כתובות IP פנימיות

לממשקי הרשת של מכונה מוקצות כתובות IP מתת-הרשת שאליה הם מחוברים. לממשקי רשת עם כתובות IPv4 יש כתובת IPv4 פנימית ראשית אחת, שמוקצית מטווח ה-IPv4 הראשי של תת-הרשת. לממשקי רשת עם כתובות IPv6 פנימיות יש טווח כתובות IPv6 אחד /96, שמוקצה מתוך טווח ה-IPv6 הפנימי של רשת המשנה /64.

אפשר להקצות כתובות IPv4 פנימיות בדרכים הבאות:

מערכת Compute Engine מקצה באופן אוטומטי כתובת IPv4 אחת מתוך טווח כתובות ה-IPv4 של רשת המשנה.
אתם מקצים כתובת IPv4 פנימית ספציפית כשאתם יוצרים מכונת Compute, או באמצעות כתובת IPv4 פנימית סטטית שמורה, או באמצעות כתובת IPv4 פנימית ארעית מותאמת אישית.

אפשר להקצות כתובות IPv6 פנימיות למכונות שמחוברות לרשת משנה עם טווח IPv6 פנימי בדרכים הבאות:

כשמגדירים כתובת IPv6 פנימית בממשק הרשת הווירטואלי של מכונה,‏ Compute Engine מקצה באופן אוטומטי טווח יחיד של כתובות IPv6‏ /96 מטווח כתובות ה-IPv6 הפנימי של תת-הרשת.
כשיוצרים מכונה, מקצים לה כתובת IPv6 פנימית ספציפית. אפשר לעשות זאת באמצעות כתובת IPv6 פנימית סטטית שמורה או באמצעות כתובת IPv6 פנימית ארעית מותאמת אישית.

אפשר גם לשמור כתובת פנימית סטטית מטווח ה-IPv4 או ה-IPv6 של רשת המשנה, ולהקצות אותה למכונה בשלב מאוחר יותר.

למופעי Compute יכולים להיות גם כתובות IP חלופיות וטווחי כתובות IP חלופיות. אם יש לכם יותר משירות אחד שפועל במופע, אתם יכולים להקצות לכל שירות כתובת IP ייחודית משלו.

שמות DNS פנימיים

‫Google Cloud מפענח באופן אוטומטי את שם ה-DNS המוגדר במלואו (FQDN) של מכונה לכתובות ה-IP הפנימיות של המכונה. שמות DNS פנימיים פועלים רק בתוך רשת ה-VPC של המכונה.

מידע נוסף על שמות דומיין שמוגדרים במלואם (FQDN) זמין במאמר בנושא DNS פנימי.

כתובות IP חיצוניות

אם אתם צריכים לתקשר עם האינטרנט או עם משאבים ברשת VPC אחרת, אתם יכולים להקצות כתובת IPv4 או IPv6 חיצונית למכונה. אם כללי חומת האש או מדיניות חומת האש ההיררכית מאפשרים את החיבור, מקורות מחוץ לרשת VPC יכולים להגיע למשאב ספציפי באמצעות כתובת ה-IP החיצונית שלו. רק משאבים עם כתובת IP חיצונית יכולים לתקשר ישירות עם משאבים מחוץ לרשת ה-VPC. תקשורת עם משאב באמצעות כתובת IP חיצונית עלולה לגרום לחיובים נוספים.

אפשר להקצות כתובות IPv4 חיצוניות בדרכים הבאות:

מערכת Compute Engine מקצה באופן אוטומטי כתובת IPv4 מתוך טווחי כתובות ה-IPv4 החיצוניות של Google.
אתם מקצים כתובת IPv4 חיצונית ספציפית כשאתם יוצרים מכונה באמצעות כתובת IPv4 חיצונית סטטית שמורה.

מידע נוסף מופיע במאמר בנושא איפה אפשר למצוא טווחי כתובות IP של Compute Engine.

אפשר להקצות כתובות IPv6 חיצוניות למכונות שמחוברות לרשת משנה עם טווח IPv6 חיצוני באופנים הבאים:

כשמגדירים כתובת IPv6 חיצונית בממשק הרשת הווירטואלי של מכונה,‏ Compute Engine מקצה באופן אוטומטי טווח יחיד של כתובות IPv6‏ (/96) מטווח כתובות ה-IPv6 החיצוניות של תת-הרשת.
כשיוצרים מכונה, מקצים לה כתובת IPv6 חיצונית ספציפית. אפשר לעשות זאת באמצעות כתובת IPv6 חיצונית סטטית שמורה או על ידי ציון כתובת IPv6 חיצונית ארעית בהתאמה אישית.

חלופות לשימוש בכתובת IP חיצונית

לכתובות IP פנימיות או פרטיות יש כמה יתרונות בהשוואה לכתובות IP חיצוניות או ציבוריות, כולל:

שטח פנים קטן יותר להתקפה. הסרת כתובות IP חיצוניות ממכונות וירטואליות ב-Compute מקשה על תוקפים להגיע למכונות ולנצל חולשות פוטנציאליות.
יותר גמישות. הוספת שכבת הפשטה, כמו מאזן עומסים או שירות NAT, מאפשרת לספק שירות בצורה אמינה וגמישה יותר בהשוואה לכתובות IP חיצוניות סטטיות.

בטבלה הבאה מפורטות הדרכים שבהן מכונות Compute יכולות לגשת לאינטרנט או שאפשר לגשת אליהן מהאינטרנט כשאין להן כתובת IP חיצונית.

שיטת ההנגשה	פתרון	מתי כדאי להשתמש
אינטראקטיבי	הגדרת העברת TCP לשרת proxy לאימות זהויות (IAP)	אתם רוצים להשתמש בשירותי ניהול כמו SSH ו-RDP כדי להתחבר למופעי ה-Backend, אבל הבקשות צריכות לעבור בדיקות אימות והרשאה לפני שהן מגיעות למשאב היעד.
אחזור	שער Cloud NAT	אתם רוצים שהאינסטנסים של Compute Engine שלא מוקצות להם כתובות IP חיצוניות יוכלו להתחבר לאינטרנט (תעבורה יוצאת), אבל שמארחים מחוץ לרשת ה-VPC שלכם לא יוכלו ליזום חיבורים משלהם לאינסטנסים שלכם (תעבורה נכנסת). אפשר להשתמש בגישה הזו לעדכוני מערכת הפעלה או לממשקי API חיצוניים.
אחזור	Secure Web Proxy	אתם צריכים לבודד את המכונות של Compute Engine מהאינטרנט על ידי יצירת חיבורי TCP חדשים בשמן, תוך הקפדה על מדיניות האבטחה המנוהלת.
השרת ממלא את הבקשה	יצירת מאזן עומסים חיצוני	אתם רוצים שהלקוחות יתחברו למשאבים ללא כתובות IP חיצוניות בכל מקום ב- Google Cloud , תוך הגנה על מכונות וירטואליות מפני התקפות DDoS והתקפות ישירות.

כתובות IP אזוריות וגלובליות

כשמפרטים או מתארים כתובות IP בפרויקט, Google Cloud הכתובות מסומנות בתוויות 'גלובלית' או 'אזורית', שמציינות את אופן השימוש בכתובת מסוימת. כשמשייכים כתובת למשאב אזורי, כמו מופע, Google Cloud הכתובת מתויגת כאזורית. אזורים הם Google Cloud regions, כמו us-east4 או europe-west2.

כתובות IP גלובליות משמשות בהגדרות הבאות:

כתובות IP פנימיות גלובליות: גישה ל-Google APIs דרך נקודות קצה (endpoints) או גישה לשירותים פרטיים
כתובות IP חיצוניות גלובליות: מאזני עומסי רשת חיצוניים לשרת proxy ומאזני עומסים חיצוניים של אפליקציות (ALB) שמשתמשים ברשת במסלול פרימיום

הוראות ליצירת כתובת IP גלובלית מופיעות במאמר בנושא שמירת כתובת IP חיצונית סטטית חדשה.

סקירה כללית על הסכם רמת השירות (SLA) לרשתות Compute Engine

ל-Compute Engine יש הסכם רמת שירות (SLA), שמוגדרים בו יעדים למדידת רמת השירות (SLOs) לאחוז זמן הפעולה התקינה החודשי של מסלולי שירות הרשת.

כשיוצרים מכונה של Compute Engine, מקבלים כברירת מחדל כתובת IP פנימית. בנוסף, אתם יכולים להגדיר כתובת IP חיצונית עם רישות במסלול פרימיום (ברירת מחדל) או במסלול רגיל. הבחירה של רמת שירות הרשת תלויה בדרישות שלכם לגבי עלות ואיכות השירות. לכל מסלול שירות רשת יש יעד SLO שונה.

כשיוצרים את מופע ה-Compute, אפשר להגדיר כמה כרטיסי רשת שמצורפים למופע, ולכל כרטיס רשת יכולה להיות הגדרת רשת שונה, כמו שמוצג בתרשים הבא:

מופע עם שלוש כרטיסי רשת, שכל אחד מהם מטפל בתנועת רשת שונה עם מסלולי שירות רשת שונים.

איור 1. מופע עם שלוש כרטיסי רשת, שכל אחד מהם מטפל בתנועת רשת שונה עם מסלולי שירות רשת שונים.

בתרשים שלמעלה, למכונה לדוגמה שנקראת VM appliance יש שלושה כרטיסי רשת (NIC), שהוגדרו באופן הבא:

‫nic0 מוגדר עם רשת משנה פנימית של כתובות IP.
‫nic1 מוגדר עם רשת משנה של כתובות IP חיצוניות ומשתמש במסלול הרגיל של הרשת.
‫nic2 מוגדר עם רשת משנה של כתובות IP חיצוניות ומשתמש במסלול פרימיום של רשתות.

בדוגמה הזו, המכונה הווירטואלית היא לא מכונה וירטואלית מותאמת לצריכת זיכרון גבוהה. בהתאם ל-NIC שבו יש אובדן קישוריות, חלים הסכמי רמת שירות שונים. ברשימה הבאה מתואר ה-SLA של כרטיסי ה-NIC השונים בדוגמה הזו.

‫nic0: מכונה וירטואלית עם מופע יחיד וכתובות IP פנימיות. אחוז הזמן שהשירות פעל במהלך החודש הוא 99.9%.
‫nic1: מכונה וירטואלית עם מופע יחיד וכתובת IP חיצונית שמשתמשת במסלול רגיל של רשת. המכונה הווירטואלית הזו לא מוגנת על ידי הסכם רמת שירות (SLA). רק כמה מופעים באזורים שונים מוגנים ב-99.9% עם רמת השירות Standard Networking.
‫nic2: מכונה וירטואלית עם מופע יחיד וכתובת IP חיצונית שמשתמשת ברמת פרימיום של רשת. אחוז הזמינות החודשי הוא 99.9%. במקרה של כמה מופעים באזורים שונים, אחוז הזמינות החודשי הוא 99.99% במסלול פרימיום של רשתות.

כתובות IP קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.