Visão geral da rede de VMs

Neste documento, apresentamos uma visão geral da funcionalidade de rede das suas instâncias de máquina virtual (VM). Ele oferece uma compreensão básica de como as instâncias de máquina virtual (VM) interagem com redes de nuvem privada virtual (VPC, na sigla em inglês). Para mais informações sobre redes VPC e recursos relacionados, leia a visão geral das redes VPC.

Redes e sub-redes

Toda VM faz parte de uma rede VPC. As redes VPC permitem que sua instância de VM se conecte a outros produtos do Google Cloud e à internet. As redes VPC podem usar o modo automático ou personalizado.

As redes VPC de modo automático têm uma sub-rede em cada região. Todas as sub-redes estão neste intervalo de endereços IP: 10.128.0.0/9. As redes VPC de modo automático são compatíveis apenas com intervalos de sub-rede IPv4.
As redes de modo personalizado não têm uma configuração de sub-rede especificada. Você decide quais sub-redes criar nas regiões escolhidas usando os intervalos IP especificados. Redes de modo personalizado também são compatíveis com intervalos de sub-rede IPv6.

A menos que você desative essa opção, cada projeto tem uma rede default, que é uma rede VPC de modo automático. É possível desativar a criação de redes padrão criando uma política da organização.

Cada sub-rede em uma rede VPC está associada a uma região e contém um ou mais intervalos de endereços IP. É possível criar mais de uma sub-rede por região. Cada uma das interfaces de rede da VM precisa estar conectada a uma sub-rede.

Ao criar uma VM, é possível especificar uma sub-rede e uma rede VPC. Se você omitir essa configuração, a rede e a sub-rede default serão usadas. OGoogle Cloud atribui um endereço IPv4 interno à nova VM do intervalo de endereços IPv4 principal da sub-rede selecionada. Se a sub-rede também tiver um intervalo de endereços IPv6 (chamado de pilha dupla) ou se você tiver criado uma sub-rede somente IPv6, será possível atribuir um endereço IPv6 à VM.

Para mais informações sobre redes VPC, leia a visão geral. Para ver um exemplo ilustrado de VMs que usam uma rede VPC com três sub-redes em duas regiões, consulte Exemplo de rede VPC.

Controladores de interface de rede (NICs)

Cada instância de computação em uma rede VPC tem uma interface de rede virtual (vNIC, na sigla em inglês) padrão. Ao configurar uma vNIC, você seleciona uma rede VPC e uma sub-rede dentro dela para conectá-la. É possível criar outras interfaces de rede para suas instâncias.

Com várias interfaces de rede, você pode criar configurações em que uma instância se conecta diretamente a várias redes VPC. Ter várias interfaces também é útil quando os aplicativos em execução em uma instância precisam fazer a separação do tráfego. Isso inclui separar o tráfego do plano de dados e do plano de gerenciamento. Para mais detalhes sobre o uso de várias interfaces de rede, consulte Várias interfaces de rede.

Não é possível usar várias vNICs com instâncias bare metal. Além disso, só é possível adicionar vNICs a uma instância durante a criação dela. Com as Interfaces de Rede Dinâmicas, é possível criar subinterfaces de rede baseadas em VLAN para cada vNIC exposta, o que permite escalonar o número de interfaces de rede e conexões de rede VPC. Você pode adicionar ou remover Interfaces de Rede Dinâmicas sem precisar reiniciar ou recriar a instância de computação. Para mais informações sobre a NIC dinâmica, consulte Criar VMs com várias interfaces de rede.

Ao configurar a vNIC para uma instância de computação, é possível especificar o tipo de driver de rede que será usado com a interface.

Para séries de máquinas de primeira e segunda geração, o padrão é a VirtIO (link em inglês).
As séries de máquinas da terceira geração e mais recentes são configuradas para usar a gVNIC por padrão e não aceitam a VirtIO como interface de rede.
As instâncias bare metal usam IDPF.
Com as séries de máquinas compatíveis, como H4D, as instâncias podem usar o Cloud RDMA (IRDMA). O driver de rede de acesso remoto à memória de dados (RDMA, na sigla em inglês) permite o uso de recursos de mensagens confiáveis e de baixa latência para instâncias do Compute Engine. A RDMA transfere dados entre máquinas remotas e memória local pela interface de rede sem usar a CPU do host nem buffers de host intermediários.

Além disso, é possível usar o desempenho de rede por VM de Tier_1 com uma instância de computação que utiliza gVNIC ou IPDF. A rede Tier_1 tem limites de capacidade de processamento de rede mais altos para transferências de dados de entrada e saída.

Largura de banda da rede

OGoogle Cloud é responsável pela largura de banda por instância de VM, e não por interface de rede (NIC) ou endereço IP. A largura de banda é medida usando duas dimensões: direção do tráfego (entrada e saída) e tipo de endereço IP de destino. A taxa máxima de saída possível é determinada pelo tipo de máquina usado para criar a instância. No entanto, só é possível atingir essa taxa máxima de saída em situações específicas. Para mais informações, consulte Largura de banda de rede.

Para aceitar larguras de banda de rede mais altas, como 200 Gbps para séries de máquinas de 3ª geração e mais recentes, é necessário usar a placa de rede virtual do Google (gVNIC).

Os limites máximos padrão de largura de banda de saída variam de 1 Gbps a 100 Gbps.
O desempenho de rede por VM de Tier_1 aumenta o limite máximo de largura de banda de saída para 200 Gbps, dependendo do tamanho e do tipo de máquina da instância de computação.

Algumas séries de máquinas têm limites diferentes, conforme documentado na tabela de resumo de largura de banda.

Se você usar as interfaces de rede gVNIC e RDMA em uma instância, o limite de largura de banda da rede será compartilhado entre os dois métodos de comunicação. O tráfego de RDMA tem prioridade sobre o tráfego da gVNIC.

Endereços IP

Cada VM recebe um endereço IP da sub-rede associada à interface de rede. A lista a seguir dá mais informações sobre os requisitos para configurar endereços IP.

Para sub-redes somente IPv4, o endereço IP é um endereço IPv4 interno. Também é possível configurar um endereço IPv4 externo para a VM.
Se a interface de rede se conectar a uma sub-rede de pilha dupla com um intervalo IPv6, use uma rede VPC de modo personalizado. A VM tem os seguintes endereços IP:
- Um endereço IPv4 interno. Também é possível configurar um endereço IPv4 externo para a VM.
- Um endereço IPv6 interno ou externo, dependendo do tipo de acesso da sub-rede.
Para sub-redes somente IPv6, use uma rede VPC de modo personalizado. A VM tem um endereço IPv6 interno ou externo, dependendo do tipo de acesso da sub-rede.
Para criar uma instância somente IPv6 com um endereço IPv6 interno e externo, especifique duas interfaces de rede ao criar a VM. Não é possível adicionar interfaces de rede a uma instância atual.

Endereços IP externos e internos podem ser efêmeros ou estáticos.

Os endereços IP internos são locais para uma das seguintes opções:

Uma rede VPC
Uma rede VPC conectada usando peering de rede VPC
Uma rede local conectada a uma rede VPC usando o Cloud VPN, o Cloud Interconnect ou um dispositivo roteador

Uma instância pode se comunicar com instâncias na mesma rede VPC ou com uma rede conectada, conforme especificado na lista anterior, usando o endereço IPv4 interno da VM. Se a interface de rede da VM se conectar a uma sub-rede de pilha dupla ou somente IPv6, você poderá usar os endereços IPv6 internos ou externos da VM para se comunicar com outras instâncias na mesma rede. Como prática recomendada, use endereços IPv6 internos para comunicação interna. Para mais informações sobre endereços IP, leia a visão geral de endereços IP para o Compute Engine.

Para se comunicar com a internet ou sistemas externos, use um endereço IPv4 ou IPv6 externo configurado na instância de VM. Os endereços IP externos são endereços IP publicamente roteáveis. Se uma instância não tiver um endereço IP externo, o Cloud NAT poderá ser usado para o tráfego IPv4.

Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IPv4 interno diferente usando intervalos de IP de alias. A rede VPC encaminha os pacotes destinados a um determinado serviço para a VM correspondente. Para mais informações, consulte Intervalos de IP de alias.

Níveis de Serviço de Rede

Os Níveis de Serviço de Rede permitem otimizar a conectividade entre sistemas na internet e nas instâncias do Compute Engine. O nível Premium oferece tráfego no backbone premium do Google, enquanto o nível Standard usa redes ISP comuns. Use o nível Premium para otimizar o desempenho e o nível Standard para otimizar o custo.

Como você escolhe um nível de rede para o recurso, como o endereço IP externo de uma VM, é possível usar o nível Standard para alguns recursos e o Premium para outros. Se você não especificar um nível, o Premium será usado.

As instâncias de computação que usam endereços IP internos para se comunicar em redes VPC sempre usam a infraestrutura de rede do nível Premium.

Ao usar o nível Premium ou Standard, não há cobrança pela transferência de dados de entrada. O preço da transferência de dados de saída é por GiB enviado e varia de acordo com o Nível de Serviço de Rede. Para informações sobre preços, consulte Preços dos Níveis de Serviço de Rede.

Os Níveis de Serviço de Rede não são iguais ao desempenho de rede de Tier_1 por VM, que é uma opção de configuração que você pode usar com suas instâncias de computação. Há um custo extra associado ao uso da rede Tier_1, conforme descrito em Preços de rede de largura de banda mais alta de Tier_1. Para mais informações sobre a rede Tier_1, consulte Configurar o desempenho de rede por VM de Tier_1.

Nível Premium

O nível Premium oferece tráfego de sistemas externos para recursos do Google Cloudusando a rede global de baixa latência e altamente confiável do Google. Essa rede tolera várias falhas e interrupções, sem perder o tráfego. O nível Premium é ideal para clientes com usuários em vários locais no mundo que precisam do melhor desempenho e confiabilidade de rede.

A rede de nível Premium consiste em uma extensa rede privada de fibras, com mais de 100 pontos de presença (PoPs, na sigla em inglês) no mundo todo. Na rede do Google, o tráfego é roteado desse PoP para a instância de computação na sua rede VPC. O tráfego de saída é enviado pela rede do Google, saindo no PoP mais próximo do destino. Esse método de roteamento minimiza o congestionamento e maximiza o desempenho, reduzindo o número de saltos entre os usuários finais e os PoPs mais próximos deles.

Nível Standard

A rede do nível Standard oferece tráfego de sistemas externos para recursos doGoogle Cloud usando roteamento pela internet. Os pacotes que saem da rede do Google são entregues usando a internet pública e estão sujeitos à confiabilidade dos provedores de transferência interventores e dos ISPs. O nível Standard oferece mais confiabilidade e qualidade de rede do que outros provedores de nuvem.

O nível Standard é mais barato que o Premium, porque o tráfego de sistemas na internet é roteado por redes de trânsito (ISP) antes de ser enviado para instâncias de computação na rede VPC. O tráfego de saída do nível Standard normalmente vem da rede do Google da mesma região usada pela instância de computação de envio, independente do destino.

O nível Standard inclui 200 GB/mês de uso sem custo financeiro em cada região usada nos seus projetos (para cada recurso).

Nomes do Sistema de Nomes de Domínio (DNS) Interno

Quando você cria uma instância de máquina virtual (VM), o Google Cloudgera um nome de DNS interno com base no nome da VM. A menos que você especifique um nome de host personalizado, oGoogle Cloud usará o nome de DNS interno criado automaticamente como o nome do host que ele fornece para a VM.

Para a comunicação entre VMs na mesma rede VPC, é possível especificar o nome DNS totalmente qualificado (FQDN, na sigla em inglês) da instância de destino em vez de usar o endereço IP interno. O Google Cloud resolve automaticamente o FQDN para o endereço IP interno da instância.

Se quiser mais detalhes sobre FQDNs, consulte Nomes DNS internos globais e zonais.

Rotas

As rotas doGoogle Cloud definem o percurso do tráfego de rede de uma instância de VM para outros destinos. Esses destinos podem estar na sua rede VPC (por exemplo, em outra VM) ou fora dela. A tabela de roteamento de uma rede VPC é definida no nível dessa rede. Cada instância de VM tem um controlador que conhece todas as rotas aplicáveis da tabela de roteamento da rede. Cada pacote que deixa uma VM é entregue no próximo salto apropriado de uma rota aplicável com base em uma ordem de roteamento.

As rotas de sub-rede definem os caminhos para recursos como VMs e balanceadores de carga internos em uma rede VPC. Cada sub-rede tem pelo menos uma rota de sub-rede com um destino que corresponde ao intervalo de IP primário da sub-rede. Rotas de sub-rede sempre têm os destinos mais específicos. Elas não podem ser substituídas por outras rotas, mesmo que outra tenha uma prioridade mais alta. Isso ocorre porque o Google Cloudconsidera a especificidade do destino antes da prioridade ao selecionar uma rota. Para mais informações sobre intervalos de IP de sub-rede, consulte a visão geral de sub-redes.

Regras de encaminhamento

Enquanto as rotas controlam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um recurso do Google Cloud em uma rede VPC com base em endereços IP, protocolos e portas. Algumas regras de encaminhamento direcionam o tráfego de fora do Google Cloud para um destino na rede, enquanto outras direcionam o tráfego de dentro da rede.

É possível configurar regras de encaminhamento para que as instâncias implementem a hospedagem virtual por IPs, Cloud VPN, IPs virtuais particulares (VIPs, na sigla em inglês) e balanceamento de carga. Para mais informações sobre regras de encaminhamento, consulte Como usar o encaminhamento de protocolo.

Regras de firewall

Com as regras de firewall da VPC, é possível permitir ou recusar conexões que entram ou saem da VM em uma configuração especificada por você. O Google Cloud sempre aplica regras de firewall da VPC ativadas, protegendo as VMs independentemente da configuração e do sistema operacional delas, mesmo que a VM não tenha sido iniciada.

Por padrão, cada rede VPC tem regras de firewall de entrada e de saída que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída. A rede default tem mais regras de firewall, incluindo a default-allow-internal, que permite a comunicação entre instâncias na rede. Se você não estiver usando a rede default, será necessário criar explicitamente regras de firewall de entrada de prioridade mais alta para permitir que as instâncias se comuniquem entre si.

Toda rede VPC funciona como um firewall distribuído. As regras de firewall são definidas no nível da VPC e podem ser aplicadas a todas as instâncias na rede. Outra opção é usar tags de destino ou contas de serviço de destino para aplicar regras a instâncias específicas. Pense nas regras de firewall da VPC como válidas não apenas entre suas instâncias e outras redes, mas também entre instâncias individuais dentro da mesma rede VPC.

Com as políticas hierárquicas de firewall, você pode criar e aplicar uma política de firewall consistente em toda a organização. É possível atribuir políticas hierárquicas de firewall à organização inteira ou a pastas específicas. Essas políticas contêm regras que podem negar ou permitir conexões explicitamente, da mesma forma que as regras de firewall da VPC. Além disso, as regras de política de firewall hierárquica podem delegar a avaliação a políticas de nível inferior ou regras de firewall de VPC com uma ação goto_next. As regras de nível inferior não podem substituir uma regra de um lugar mais alto na hierarquia de recursos. Dessa forma, os admins de toda a organização gerenciam regras de firewall importantes em um só lugar.

Grupos gerenciados de instâncias e configurações de rede

Se você usa grupos gerenciados de instâncias (MIGs, na sigla em inglês), a configuração de rede especificada no modelo de instância será aplicada a todas as VMs criadas com o modelo. Se você criar um modelo de instância em uma rede VPC de modo automático, o Google Cloud vai selecionar automaticamente a sub-rede para a região em que o grupo gerenciado de instâncias foi criado.

Para mais informações, consulte Redes e sub-redes e Criar modelos de instância.

A seguir

Aprenda a criar e gerenciar redes VPC.
Saiba como criar e gerenciar rotas para redes VPC.
Veja como criar e iniciar uma instância do Compute Engine.
Aprenda a criar um grupo gerenciado de instâncias (MIG).
Descubra como escalonar suas VMs e otimizar a latência do aplicativo com o balanceamento de carga.

Visão geral da rede de VMs Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.