Compreenda os tipos de redes

As secções seguintes descrevem como a firewall de próxima geração do Google Cloud classifica o tráfego através de tipos de rede. Para mais informações sobre os tipos de redes, consulte Tipos de redes.

Critérios para o tipo de rede de Internet

Esta secção descreve os critérios que a firewall de nova geração na nuvem usa para determinar se um pacote pertence ao tipo de rede de Internet.

Tipo de rede de Internet para pacotes de entrada

Os pacotes de entrada encaminhados para uma interface de rede de máquina virtual (VM) por um Maglev da Google pertencem ao tipo de rede de Internet. Os pacotes são encaminhados por um Maglev para uma interface de rede de VM quando o destino do pacote corresponde a um dos seguintes:

• Um endereço IPv4 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externo ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Um endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga de rede de passagem externo ou uma regra de encaminhamento para encaminhamento de protocolo externo e o pacote não foi encaminhado através de uma rota de sub-rede local ou de uma rota de sub-rede importada pelo peering de redes VPC ou de um raio de VPC num hub do Network Connectivity Center.

Para mais informações sobre os pacotes encaminhados pelo Maglev para VMs de back-end para um balanceador de carga de rede de encaminhamento direto externo ou um encaminhamento de protocolos externo, consulte Caminhos para balanceadores de carga de rede de encaminhamento direto externos e encaminhamento de protocolos externo.

Tipo de rede de Internet para pacotes de saída

A maioria dos pacotes de saída enviados a partir de interfaces de rede de VMs, encaminhados por uma rota estática cujo próximo salto é o gateway de Internet predefinido, pertence ao tipo de rede de Internet. No entanto, se os endereços IP de destino destes pacotes de saída forem para APIs e serviços globais da Google, estes pacotes pertencem ao tipo de rede não pertencente à Internet. Para mais informações acerca da conetividade às APIs e aos serviços globais da Google, consulte o tipo de rede sem Internet.

Quando os pacotes são encaminhados através de uma rota estática cujo próximo salto é o gateway de Internet predefinido, todos os pacotes enviados pelas interfaces de rede da VM para os seguintes destinos pertencem ao tipo de rede de Internet:

• Um destino de endereço IP externo fora da rede da Google.
• Um destino de endereço IPv4 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Um destino de endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Um destino de endereço IPv4 e IPv6 externo global de uma regra de encaminhamento de um balanceador de carga externo global.

Os pacotes enviados pelas interfaces de rede da VM para gateways da VPN do Google Cloud e do Cloud NAT pertencem ao tipo de rede de Internet:

• Os pacotes de saída enviados a partir de uma interface de rede de uma VM que executa software de VPN do Google Cloud para um endereço IPv4 externo regional de um gateway de VPN do Google Cloud pertencem ao tipo de rede de Internet.
• Os pacotes de saída enviados de um gateway de VPN do Google Cloud para outro não pertencem a nenhum tipo de rede porque as regras de firewall não se aplicam a gateways de VPN do Google Cloud.
• Para a NAT pública, os pacotes de resposta enviados de uma interface de rede de VM para o endereço IPv4 externo regional de um gateway de NAT da nuvem pertencem ao tipo de rede da Internet.

Se as redes VPC estiverem ligadas através do peering de redes VPC ou se as redes VPC participarem como raios VPC no mesmo hub do Network Connectivity Center, as rotas de sub-rede IPv6 podem fornecer conetividade a destinos de endereços IPv6 externos regionais de interfaces de rede de VMs, regras de encaminhamento de balanceadores de carga externos regionais e regras de encaminhamento de protocolos externos. Quando a conetividade a esses destinos de endereços IPv6 externos regionais é fornecida através de uma rota de sub-rede, os destinos estão no tipo de rede não pertencente à Internet e não no tipo de rede pertencente à Internet.

Critérios para o tipo de rede sem Internet

Esta secção descreve os critérios que o NGFW da nuvem usa para determinar se um pacote pertence ao tipo de rede não Internet.

Tipo de rede não pertencente à Internet para pacotes de entrada

Os pacotes de entrada pertencem ao tipo de rede não Internet se forem encaminhados para a interface de rede de uma instância de VM ou para uma regra de encaminhamento de um equilibrador de carga interno de uma das seguintes formas:

• Os pacotes são encaminhados através de uma rota de sub-rede e os destinos dos pacotes correspondem a um dos seguintes:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga interno ou uma regra de encaminhamento para o encaminhamento de protocolos internos.
  • Um destino de endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Os pacotes são encaminhados através de uma rota estática para uma instância de VM de salto seguinte ou um balanceador de carga de rede de passagem interna de salto seguinte.
• Os pacotes são encaminhados através de uma rota baseada em políticas para um Network Load Balancer de passagem interno de salto seguinte.
• Os pacotes são encaminhados através de um dos seguintes caminhos de encaminhamento especiais:
  • A partir de um Google Front End de segunda camada usado por um Application Load Balancer externo global, um Application Load Balancer clássico, um Network Load Balancer de proxy externo global ou um Network Load Balancer de proxy clássico. Para mais informações, consulte o artigo Caminhos entre as interfaces da Google e os back-ends.
  • De um verificador de funcionamento. Para mais informações, consulte o artigo Caminhos para verificações de estado.
  • Do Identity-Aware Proxy para o encaminhamento de TCP. Para mais informações, consulte Caminhos para o Identity-Aware Proxy (IAP).
  • Do Cloud DNS ou do Service Directory. Para mais informações, consulte Caminhos para o Cloud DNS e o Service Directory.
  • Do Acesso a VPC sem servidor. Para mais informações, consulte Caminhos para o acesso a VPC sem servidor.
  • A partir de um ponto final do Private Service Connect para APIs Google globais. Para mais informações, consulte o artigo Caminhos para pontos finais do Private Service Connect para APIs Google globais.

Os pacotes de resposta de entrada das APIs e dos serviços Google globais também pertencem ao tipo de rede não pertencente à Internet. Os pacotes de respostas das APIs Google globais e dos serviços podem ter qualquer uma das seguintes origens:

• Um endereço IP para os domínios predefinidos usados por serviços e APIs Google globais.
• Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
• Um ponto final do Private Service Connect para APIs Google globais.

Tipo de rede não pertencente à Internet para pacotes de saída

Os pacotes de saída enviados a partir de interfaces de rede de VMs pertencem ao tipo de rede não pertencente à Internet se os pacotes forem encaminhados de uma das seguintes formas:

• Os pacotes são encaminhados através de uma rota de sub-rede e os destinos dos pacotes correspondem a um dos seguintes:
  • Um destino de endereço IPv4 ou IPv6 interno regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga interno ou uma regra de encaminhamento para o encaminhamento de protocolos internos.
  • Um destino de endereço IPv6 externo regional de uma interface de rede de VM, uma regra de encaminhamento de um balanceador de carga externo regional ou uma regra de encaminhamento para o encaminhamento de protocolos externos.
• Os pacotes são encaminhados através de rotas dinâmicas.
• Os pacotes são encaminhados através de rotas estáticas que usam um salto seguinte que não é o gateway de Internet predefinido.
• Os pacotes são encaminhados através de rotas estáticas que usam o próximo salto do gateway de Internet predefinido e os destinos dos pacotes correspondem a um dos seguintes:
  • Um endereço IP para os domínios predefinidos usados pelas APIs e serviços Google globais.
  • Um endereço IP para private.googleapis.com ou restricted.googleapis.com.
• Os pacotes são encaminhados através de uma rota baseada em políticas para um Network Load Balancer de passagem interno de salto seguinte.
• Os pacotes são encaminhados através de um dos seguintes caminhos de encaminhamento especiais:
  • Caminhos entre os front-ends da Google de segunda camada e os back-ends
  • Caminhos para verificações de saúde
  • Caminhos para o Identity-Aware Proxy (IAP)
  • Caminhos para o Cloud DNS e o Service Directory
  • Caminhos para o Acesso a VPC sem servidor
  • Caminhos para pontos finais do Private Service Connect para APIs Google globais

Critérios para o tipo de redes VPC

Esta secção descreve os critérios que o NGFW da nuvem usa para determinar se um pacote pertence ao tipo de redes VPC.

Um pacote corresponde a uma regra de entrada que usa o tipo de redes VPC na respetiva combinação de origem se todas as seguintes condições forem verdadeiras:

• O pacote corresponde a, pelo menos, um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado numa das redes VPC de origem.

• A rede VPC de origem e a rede VPC à qual a política de firewall que contém a regra de entrada se aplica são a mesma rede VPC ou estão ligadas através do intercâmbio da rede VPC ou como raios da VPC num hub do Network Connectivity Center.

Os seguintes recursos estão localizados numa rede VPC:

• Interfaces de rede de VMs
• Túneis do Cloud VPN
• Associações VLAN do Cloud Interconnect
• Routers
• Proxies Envoy numa sub-rede só de proxy
• Pontos finais do Private Service Connect
• Conetores do Acesso a VPC sem servidor

Critérios para o tipo de rede intra-VPC

Esta secção descreve os critérios que o Cloud NGFW usa para determinar se um pacote pertence ao tipo de rede intra-VPC.

Um pacote corresponde a uma regra de entrada que usa o tipo intra-VPC na respetiva combinação de origem se todas as seguintes condições forem verdadeiras:

• O pacote corresponde a, pelo menos, um dos outros parâmetros de origem.

• O pacote é enviado por um recurso localizado na rede VPC à qual a política de firewall que contém a regra de entrada se aplica.

Os seguintes recursos estão localizados numa rede VPC:

• Interfaces de rede de VMs
• Túneis do Cloud VPN
• Associações VLAN do Cloud Interconnect
• Routers
• Proxies Envoy numa sub-rede só de proxy
• Pontos finais do Private Service Connect
• Conetores do Acesso a VPC sem servidor