כתובות IP

לרבים Cloud de Confiance by S3NS מהמשאבים יכולות להיות כתובות IP פנימיות וכתובות IP חיצוניות. לדוגמה, אפשר להקצות כתובת IP פנימית וכתובת IP חיצונית למכונות של Compute Engine. המופעים משתמשים בכתובות האלה כדי לתקשר עם משאבים אחרים של Cloud de Confiance by S3NS מערכות חיצוניות.

לכל ממשק רשת של מופע יכולות להיות כתובות ה-IP הבאות שהוקצו לו בהתאם לסוג המערך שלו:

סוג ערימת הממשק כתובות IP
IPv4 בלבד
Dual-stack ‏ (IPv4 ו-‎IPv6)
  • כתובת IPv4 פנימית (חובה)
  • טווח כתובות IPv4 לכינוי (אופציונלי)
  • כתובת IPv4 חיצונית (אופציונלי)
  • /96 טווח כתובות IPv6, פנימי או חיצוני, אבל לא שניהם (חובה)
IPv6 בלבד
  • /96 טווח כתובות IPv6, פנימי או חיצוני, אבל לא שניהם (חובה)

מכונה יכולה לתקשר עם מכונות באותה רשת וירטואלית פרטית (VPC) באמצעות כתובת ה-IPv4 הפנימית, כתובת ה-IPv6 הפנימית או כתובת ה-IPv6 החיצונית של המכונה. השיטה המומלצת היא להשתמש בכתובות IPv6 פנימיות לתקשורת פנימית.

כדי לתקשר עם האינטרנט, אפשר להשתמש בכתובת IP חיצונית שהוגדרה במכונה. אם לא מוגדרת כתובת IP חיצונית במכונה, אפשר להשתמש ב-Cloud NAT לתעבורת IPv4.

באופן דומה, צריך להשתמש בכתובת ה-IP החיצונית של המכונה כדי להתחבר למכונות שנמצאות מחוץ לאותה רשת VPC. עם זאת, אם הרשתות מחוברות בצורה כלשהי, למשל באמצעות קישור (peering) בין רשתות VPC שכנות, אפשר להשתמש בכתובת ה-IP הפנימית של המכונה.

מידע על זיהוי כתובת ה-IP הפנימית וכתובת ה-IP החיצונית של המכונות זמין במאמר צפייה בהגדרת הרשת של מכונה.

כתובות IP פנימיות

לממשקי הרשת של מכונה מוקצות כתובות IP מתת-הרשת שאליה הם מחוברים. לממשקי רשת עם כתובות IPv4 יש כתובת IPv4 פנימית ראשית אחת, שמוקצית מטווח ה-IPv4 הראשי של תת-הרשת. לממשקי רשת עם כתובות IPv6 פנימיות יש טווח כתובות IPv6 אחד /96, שמוקצה מתוך טווח ה-IPv6 הפנימי של רשת המשנה /64.

אפשר להקצות כתובות IPv4 פנימיות בדרכים הבאות:

  • מערכת Compute Engine מקצה באופן אוטומטי כתובת IPv4 אחת מתוך טווח כתובות ה-IPv4 של רשת המשנה.
  • אתם מקצים כתובת IPv4 פנימית ספציפית כשאתם יוצרים מכונת Compute, או באמצעות כתובת IPv4 פנימית סטטית שמורה, או באמצעות כתובת IPv4 פנימית ארעית מותאמת אישית.

אפשר להקצות כתובות IPv6 פנימיות למכונות שמחוברות לרשת משנה עם טווח IPv6 פנימי בדרכים הבאות:

אפשר גם לשמור כתובת פנימית סטטית מטווח ה-IPv4 או ה-IPv6 של רשת המשנה, ולהקצות אותה למכונה בשלב מאוחר יותר.

למופעי Compute יכולים להיות גם כתובות IP חלופיות וטווחי כתובות IP חלופיות. אם יש לכם יותר משירות אחד שפועל במופע, אתם יכולים להקצות לכל שירות כתובת IP ייחודית משלו.

שמות DNS פנימיים

‫Cloud de Confiance מפענח באופן אוטומטי את שם ה-DNS המוגדר במלואו (FQDN) של מכונה לכתובות ה-IP הפנימיות של המכונה. שמות DNS פנימיים פועלים רק בתוך רשת ה-VPC של המכונה.

מידע נוסף על שמות דומיין שמוגדרים במלואם (FQDN) זמין במאמר בנושא DNS פנימי.

כתובות IP חיצוניות

אם אתם צריכים לתקשר עם האינטרנט או עם משאבים ברשת VPC אחרת, אתם יכולים להקצות כתובת IPv4 או IPv6 חיצונית למכונה. אם כללי חומת האש או מדיניות חומת האש ההיררכית מאפשרים את החיבור, מקורות מחוץ לרשת VPC יכולים להגיע למשאב ספציפי באמצעות כתובת ה-IP החיצונית שלו. רק משאבים עם כתובת IP חיצונית יכולים לתקשר ישירות עם משאבים מחוץ לרשת ה-VPC. תקשורת עם משאב באמצעות כתובת IP חיצונית עלולה לגרום לחיובים נוספים.

אפשר להקצות כתובות IPv4 חיצוניות בדרכים הבאות:

  • מערכת Compute Engine מקצה באופן אוטומטי כתובת IPv4 מתוך טווחי כתובות ה-IPv4 החיצוניות של Google.

  • אתם מקצים כתובת IPv4 חיצונית ספציפית כשאתם יוצרים מכונה באמצעות כתובת IPv4 חיצונית סטטית שמורה.

    מידע נוסף מופיע במאמר בנושא איפה אפשר למצוא טווחי כתובות IP של Compute Engine.

אפשר להקצות כתובות IPv6 חיצוניות למכונות שמחוברות לרשת משנה עם טווח IPv6 חיצוני באופנים הבאים:

חלופות לשימוש בכתובת IP חיצונית

לכתובות IP פנימיות או פרטיות יש כמה יתרונות בהשוואה לכתובות IP חיצוניות או ציבוריות, כולל:

  • שטח פנים קטן יותר להתקפה. הסרת כתובות IP חיצוניות ממכונות וירטואליות ב-Compute מקשה על תוקפים להגיע למכונות ולנצל חולשות פוטנציאליות.
  • יותר גמישות. הוספת שכבת הפשטה, כמו מאזן עומסים או שירות NAT, מאפשרת לספק שירות בצורה אמינה וגמישה יותר בהשוואה לכתובות IP חיצוניות סטטיות.

בטבלה הבאה מפורטות הדרכים שבהן מכונות Compute יכולות לגשת לאינטרנט או שאפשר לגשת אליהן מהאינטרנט כשאין להן כתובת IP חיצונית.

שיטת ההנגשה פתרון מתי כדאי להשתמש
אינטראקטיבי הגדרת העברת TCP לשרת proxy לאימות זהויות (IAP) אתם רוצים להשתמש בשירותי ניהול כמו SSH ו-RDP כדי להתחבר למופעי ה-Backend, אבל הבקשות צריכות לעבור בדיקות אימות והרשאה לפני שהן מגיעות למשאב היעד.
אחזור שער Cloud NAT

אתם רוצים שהאינסטנסים של Compute Engine שלא מוקצות להם כתובות IP חיצוניות יוכלו להתחבר לאינטרנט (תעבורה יוצאת), אבל שמארחים מחוץ לרשת ה-VPC שלכם לא יוכלו ליזום חיבורים משלהם לאינסטנסים שלכם (תעבורה נכנסת). אפשר להשתמש בגישה הזו לעדכוני מערכת הפעלה או לממשקי API חיצוניים.

Secure Web Proxy אתם צריכים לבודד את המכונות של Compute Engine מהאינטרנט על ידי יצירת חיבורי TCP חדשים בשמן, תוך הקפדה על מדיניות האבטחה המנוהלת.
השרת ממלא את הבקשה יצירת מאזן עומסים חיצוני אתם רוצים שהלקוחות יתחברו למשאבים ללא כתובות IP חיצוניות בכל מקום ב- Cloud de Confiance by S3NS , תוך הגנה על מכונות וירטואליות מפני התקפות DDoS והתקפות ישירות.

כתובות IP אזוריות וגלובליות

כשמפרטים או מתארים כתובות IP בפרויקט, Cloud de Confiance הכתובות מסומנות בתוויות 'גלובלית' או 'אזורית', שמציינות את אופן השימוש בכתובת מסוימת. כשמשייכים כתובת למשאב אזורי, כמו מופע, Cloud de Confiance הכתובת מתויגת כאזורית. אזורים הם Cloud de Confiance regions, כמו us-east4 או europe-west2.

כתובות IP גלובליות משמשות בהגדרות הבאות:

הוראות ליצירת כתובת IP גלובלית מופיעות במאמר בנושא שמירת כתובת IP חיצונית סטטית חדשה.

המאמרים הבאים