Informazioni sui tipi di rete

Le sezioni seguenti descrivono come Cloud Next Generation Firewall classifica il traffico utilizzando i tipi di rete. Per saperne di più sui tipi di rete, vedi Tipi di rete.

Criteri per il tipo di rete internet

Questa sezione descrive i criteri utilizzati da Cloud Next Generation Firewall per determinare se un pacchetto appartiene al tipo di rete internet.

Tipo di rete internet per i pacchetti in entrata

I pacchetti in entrata instradati a un'interfaccia di rete di una macchina virtuale (VM) da un Maglev di Google appartengono al tipo di rete internet. I pacchetti vengono instradati da Maglev a un'interfaccia di rete VM quando la destinazione del pacchetto corrisponde a una delle seguenti opzioni:

• Un indirizzo IPv4 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno regionale di un'interfaccia di rete VM, una regola di forwarding di un bilanciatore del carico di rete passthrough esterno o una regola di forwarding per il forwarding del protocollo esterno, e il pacchetto non è stato instradato utilizzando una route di subnet locale o una route di subnet importata dal peering di rete VPC o da uno spoke VPC in un hub Network Connectivity Center.

Per saperne di più sui pacchetti instradati da Maglev alle VM di backend per un bilanciatore del carico di rete passthrough esterno o per il forwarding del protocollo esterno, consulta Percorsi per i bilanciatori del carico di rete passthrough esterni e il forwarding del protocollo esterno.

Tipo di rete internet per i pacchetti in uscita

La maggior parte dei pacchetti in uscita inviati dalle interfacce di rete della VM, instradati da una route statica il cui hop successivo è il gateway internet predefinito, appartiene al tipo di rete internet. Tuttavia, se gli indirizzi IP di destinazione di questi pacchetti in uscita sono per API e servizi Google globali, questi pacchetti appartengono al tipo di rete non internet. Per ulteriori informazioni sulla connettività ai servizi e alle API di Google globali, vedi Tipo di rete non internet.

Quando i pacchetti vengono instradati utilizzando una route statica il cui hop successivo è il gateway internet predefinito, tutti i pacchetti inviati dalle interfacce di rete della VM alle seguenti destinazioni appartengono al tipo di rete internet:

• Una destinazione con indirizzo IP esterno al di fuori della rete di Google.
• Un indirizzo IPv4 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• Una destinazione di indirizzi IPv4 e IPv6 esterni globali di una regola di forwarding di un bilanciatore del carico esterno globale.

I pacchetti inviati dalle interfacce di rete VM ai gateway Cloud VPN e Cloud NAT appartengono al tipo di rete internet:

• I pacchetti in uscita inviati da un'interfaccia di rete di una VM che esegue il software Cloud VPN a un indirizzo IPv4 esterno regionale di un gateway Cloud VPN appartengono al tipo di rete internet.
• I pacchetti in uscita inviati da un gateway Cloud VPN a un altro gateway Cloud VPN non appartengono a nessun tipo di rete perché le regole firewall non si applicano ai gateway Cloud VPN.
• Per NAT pubblico, i pacchetti di risposta inviati da un'interfaccia di rete VM a un indirizzo IPv4 esterno regionale di un gateway Cloud NAT appartengono al tipo di rete internet.

Se le reti VPC sono connesse tramite il peering di rete VPC o se partecipano come spoke VPC nello stesso hub Network Connectivity Center, le route delle subnet IPv6 possono fornire connettività alle destinazioni degli indirizzi IPv6 esterni regionali delle interfacce di rete VM, alle regole di forwarding del bilanciatore del carico esterno regionale e alle regole di forwarding del protocollo esterno. Quando la connettività a queste destinazioni di indirizzi IPv6 esterni regionali viene fornita utilizzando una route di subnet, le destinazioni si trovano invece nel tipo di rete non internet.

Criteri per il tipo di rete non internet

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al tipo di rete non internet.

Tipo di rete non internet per i pacchetti in entrata

I pacchetti in entrata appartengono al tipo di rete non internet se vengono instradati all'interfaccia di rete di un'istanza VM o a una regola di forwarding di un bilanciatore del carico interno in uno dei seguenti modi:

• I pacchetti vengono instradati utilizzando una route di subnet e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IPv4 o IPv6 interno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico interno o di una regola di forwarding per il forwarding del protocollo interno.
  • Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando una route statica a un'istanza VM di hop successivo o a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando una route basata su policy a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando uno dei seguenti percorsi di routing speciali:
  • Da un Google Front End (GFE) di secondo livello utilizzato da un bilanciatore del carico delle applicazioni esterno globale, da un bilanciatore del carico delle applicazioni classico, da un bilanciatore del carico di rete proxy esterno globale o da un bilanciatore del carico di rete proxy classico. Per ulteriori informazioni, vedi Percorsi tra i front-end di Google e i backend.
  • Da un probe di controllo di integrità. Per saperne di più, consulta Percorsi per i controlli di integrità.
  • Da Identity-Aware Proxy per l'inoltro TCP. Per saperne di più, consulta Percorsi per Identity-Aware Proxy (IAP).
  • Da Cloud DNS o Service Directory. Per saperne di più, consulta Percorsi per Cloud DNS e Service Directory.
  • Da accesso VPC serverless. Per saperne di più, consulta Percorsi per l'accesso VPC serverless.
  • Da un endpoint Private Service Connect per le API di Google globali. Per ulteriori informazioni, consulta Percorsi per gli endpoint Private Service Connect per le API di Google globali.

Anche i pacchetti di risposta in entrata dalle API e dai servizi Google globali appartengono al tipo di rete non internet. I pacchetti di risposta delle API e dei servizi Google globali possono avere una delle seguenti origini:

• Un indirizzo IP per i domini predefiniti utilizzati dalle API e dai servizi Google globali.
• Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
• Un endpoint Private Service Connect per le API di Google globali.

Tipo di rete non internet per i pacchetti in uscita

I pacchetti in uscita inviati dalle interfacce di rete VM appartengono al tipo di rete non internet se vengono instradati in uno dei seguenti modi:

• I pacchetti vengono instradati utilizzando una route di subnet e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IPv4 o IPv6 interno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico interno o di una regola di forwarding per il forwarding del protocollo interno.
  • Un indirizzo IPv6 esterno regionale di destinazione di un'interfaccia di rete VM, di una regola di forwarding di un bilanciatore del carico esterno regionale o di una regola di forwarding per il forwarding del protocollo esterno.
• I pacchetti vengono instradati utilizzando route dinamiche.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano un hop successivo che non è il gateway internet predefinito.
• I pacchetti vengono instradati utilizzando route statiche che utilizzano l'hop successivo del gateway internet predefinito e le destinazioni dei pacchetti corrispondono a una delle seguenti:
  • Un indirizzo IP per i domini predefiniti utilizzati dalle API e dai servizi Google globali.
  • Un indirizzo IP per private.googleapis.com o restricted.googleapis.com.
• I pacchetti vengono instradati utilizzando una route basata su policy a un bilanciatore del carico di rete passthrough interno di hop successivo.
• I pacchetti vengono instradati utilizzando uno dei seguenti percorsi di routing speciali:
  • Percorsi tra i frontend Google di secondo livello e i backend
  • Percorsi per i controlli di integrità
  • Percorsi per Identity-Aware Proxy (IAP)
  • Percorsi per Cloud DNS e Service Directory
  • Percorsi per l'accesso VPC serverless
  • Percorsi per gli endpoint Private Service Connect per le API di Google globali

Criteri per il tipo di reti VPC

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al tipo di reti VPC.

Un pacchetto corrisponde a una regola di ingresso che utilizza il tipo di reti VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova in una delle reti VPC di origine.

• La rete VPC di origine e la rete VPC a cui si applica la policy del firewall contenente la regola di ingresso sono la stessa rete VPC o sono connesse tramite il peering di rete VPC o come spoke VPC in un hub Network Connectivity Center.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete VM
• Tunnel Cloud VPN
• Collegamenti VLAN Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless

Criteri per il tipo di rete VPC interna

Questa sezione descrive i criteri utilizzati da Cloud NGFW per determinare se un pacchetto appartiene al tipo di rete intra-VPC.

Un pacchetto corrisponde a una regola di ingresso che utilizza il tipo intra-VPC nella combinazione di origine se sono vere tutte le seguenti condizioni:

• Il pacchetto corrisponde ad almeno uno degli altri parametri di origine.

• Il pacchetto viene inviato da una risorsa che si trova nella rete VPC a cui si applica la policy firewall contenente la regola in entrata.

Le seguenti risorse si trovano in una rete VPC:

• Interfacce di rete VM
• Tunnel Cloud VPN
• Collegamenti VLAN Cloud Interconnect
• Appliance router
• Proxy Envoy in una subnet solo proxy
• Endpoint di Private Service Connect
• Connettori di accesso VPC serverless