Memahami jenis jaringan

Bagian berikut menjelaskan cara Cloud Next Generation Firewall mengklasifikasikan traffic menggunakan jenis jaringan. Untuk mengetahui informasi selengkapnya tentang jenis jaringan, lihat Jenis jaringan.

Kriteria untuk jenis jaringan internet

Bagian ini menjelaskan kriteria yang digunakan Cloud Next Generation Firewall untuk menentukan apakah paket termasuk dalam jenis jaringan internet.

Jenis jaringan internet untuk paket masuk

Paket ingress yang dirutekan ke antarmuka jaringan virtual machine (VM) oleh Maglev Google termasuk dalam jenis jaringan internet. Paket dirutekan oleh Maglev ke antarmuka jaringan VM jika tujuan paket cocok dengan salah satu dari berikut ini:

• Alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal.
• Alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan Load Balancer Jaringan passthrough eksternal, atau aturan penerusan untuk penerusan protokol eksternal, dan paket tidak dirutekan menggunakan rute subnet lokal atau rute subnet yang diimpor oleh Peering Jaringan VPC atau dari spoke VPC di hub Network Connectivity Center.

Untuk mengetahui informasi selengkapnya tentang paket yang dirutekan oleh Maglev ke VM backend untuk Load Balancer Jaringan passthrough eksternal atau penerusan protokol eksternal, lihat Jalur untuk Load Balancer Jaringan passthrough eksternal dan penerusan protokol eksternal.

Jenis jaringan internet untuk paket keluar

Sebagian besar paket keluar yang dikirim dari antarmuka jaringan VM, yang dirutekan oleh rute statis yang next hop-nya adalah gateway internet default, termasuk dalam jenis jaringan internet. Namun, jika alamat IP tujuan paket keluar ini adalah untuk Google API dan layanan Google global, paket ini termasuk dalam jenis jaringan non-internet. Untuk mengetahui informasi selengkapnya tentang konektivitas ke Google API dan layanan global, lihat Jenis jaringan non-internet.

Saat paket dirutekan menggunakan rute statis yang next hop-nya adalah gateway internet default, setiap paket yang dikirim oleh antarmuka jaringan VM ke tujuan berikut termasuk dalam jenis jaringan internet:

• Tujuan alamat IP eksternal di luar jaringan Google.
• Tujuan alamat IPv4 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Tujuan alamat IPv4 dan IPv6 eksternal global dari aturan penerusan load balancer eksternal global.

Paket yang dikirim oleh antarmuka jaringan VM ke gateway Cloud VPN dan Cloud NAT termasuk dalam jenis jaringan internet:

• Paket keluar yang dikirim dari antarmuka jaringan VM yang menjalankan software Cloud VPN ke alamat IPv4 eksternal regional gateway Cloud VPN termasuk dalam jenis jaringan internet.
• Paket keluar yang dikirim dari satu gateway Cloud VPN ke gateway Cloud VPN lainnya tidak termasuk dalam jenis jaringan apa pun karena aturan firewall tidak berlaku untuk gateway Cloud VPN.
• Untuk NAT Publik, paket respons yang dikirim dari antarmuka jaringan VM ke alamat IPv4 eksternal regional gateway Cloud NAT termasuk dalam jenis jaringan internet.

Jika jaringan VPC terhubung menggunakan Peering Jaringan VPC atau jika jaringan VPC berpartisipasi sebagai spoke VPC di hub Network Connectivity Center yang sama, rute subnet IPv6 dapat menyediakan konektivitas ke tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, dan aturan penerusan protokol eksternal. Jika konektivitas ke tujuan alamat IPv6 eksternal regional tersebut disediakan menggunakan rute subnet, tujuan tersebut berada di jenis jaringan non-internet.

Kriteria untuk jenis jaringan non-internet

Bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan non-internet.

Jenis jaringan non-internet untuk paket masuk

Paket masuk termasuk dalam jenis jaringan non-internet jika paket dirutekan ke antarmuka jaringan instance VM atau ke aturan penerusan load balancer internal dengan salah satu cara berikut:

• Paket dirutekan menggunakan rute subnet, dan tujuan paket cocok dengan salah satu hal berikut:
  • Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
  • Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Paket dirutekan menggunakan rute statis ke instance VM next hop atau Load Balancer Jaringan passthrough internal next hop.
• Paket dirutekan menggunakan rute berbasis kebijakan ke Load Balancer Jaringan passthrough internal next hop.
• Paket dirutekan menggunakan salah satu jalur perutean khusus berikut:
  • Dari Google Front End lapisan kedua yang digunakan oleh Load Balancer Aplikasi eksternal global, Load Balancer Aplikasi klasik, Load Balancer Jaringan proxy eksternal global, atau Load Balancer Jaringan proxy klasik. Untuk mengetahui informasi selengkapnya, lihat Jalur antara backend dan Frontend Google.
  • Dari pemeriksa health check. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk health check.
  • Dari penerusan TCP Identity-Aware Proxy. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Identity-Aware Proxy (IAP).
  • Dari Cloud DNS atau Direktori Layanan. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Cloud DNS dan Service Directory.
  • Dari Akses VPC Serverless. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk Akses VPC Serverless.
  • Dari endpoint Private Service Connect untuk Google API global. Untuk mengetahui informasi selengkapnya, lihat Jalur untuk endpoint Private Service Connect untuk Google API global.

Paket respons masuk dari Google API dan layanan Google global juga termasuk dalam jenis jaringan non-internet. Paket respons dari API dan layanan Google global dapat memiliki salah satu sumber berikut:

• Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
• Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
• Endpoint Private Service Connect untuk Google API global.

Jenis jaringan non-internet untuk paket keluar

Paket keluar yang dikirim dari antarmuka jaringan VM termasuk dalam jenis jaringan non-internet jika paket dirutekan dengan salah satu cara berikut:

• Paket dirutekan menggunakan rute subnet, dan tujuan paket cocok dengan salah satu hal berikut:
  • Tujuan alamat IPv4 atau IPv6 internal regional dari antarmuka jaringan VM, aturan penerusan load balancer internal, atau aturan penerusan untuk penerusan protokol internal.
  • Tujuan alamat IPv6 eksternal regional dari antarmuka jaringan VM, aturan penerusan load balancer eksternal regional, atau aturan penerusan untuk penerusan protokol eksternal.
• Paket dirutekan menggunakan rute dinamis.
• Paket dirutekan menggunakan rute statis yang menggunakan next hop yang bukan gateway internet default.
• Paket dirutekan menggunakan rute statis yang menggunakan next hop gateway internet default dan tujuan paket cocok dengan salah satu dari berikut ini:
  • Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google global.
  • Alamat IP untuk private.googleapis.com atau restricted.googleapis.com.
• Paket dirutekan menggunakan rute berbasis kebijakan ke Load Balancer Jaringan passthrough internal next hop.
• Paket dirutekan menggunakan salah satu jalur perutean khusus berikut:
  • Jalur antara Google Front End lapisan kedua dan backend
  • Jalur untuk health check
  • Jalur untuk Identity-Aware Proxy (IAP)
  • Jalur untuk Cloud DNS dan Service Directory
  • Jalur untuk Akses VPC Serverless
  • Jalur untuk endpoint Private Service Connect untuk Google API global

Kriteria untuk jenis jaringan VPC

Bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan VPC.

Paket cocok dengan aturan ingress yang menggunakan jenis jaringan VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di salah satu jaringan VPC sumber.

• Jaringan VPC sumber dan jaringan VPC yang menerapkan kebijakan firewall yang berisi aturan masuk adalah jaringan VPC yang sama, atau terhubung menggunakan Peering Jaringan VPC atau sebagai spoke VPC di hub Network Connectivity Center.

Resource berikut terletak di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless

Kriteria untuk jenis jaringan intra-VPC

Bagian ini menjelaskan kriteria yang digunakan Cloud NGFW untuk menentukan apakah paket termasuk dalam jenis jaringan intra-VPC.

Paket cocok dengan aturan ingress yang menggunakan jenis intra-VPC dalam kombinasi sumbernya jika semua kondisi berikut terpenuhi:

• Paket cocok dengan setidaknya satu parameter sumber lainnya.

• Paket dikirim oleh resource yang berada di jaringan VPC yang kebijakan firewall yang berisi aturan ingress berlaku.

Resource berikut terletak di jaringan VPC:

• Antarmuka jaringan VM
• Tunnel Cloud VPN
• Lampiran VLAN Cloud Interconnect
• Peralatan router
• Proxy Envoy di subnet khusus proxy
• Endpoint Private Service Connect
• Konektor akses VPC Serverless