Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Indirizzi IP

Molte risorse Trusted Cloud by S3NS possono avere indirizzi IP interni ed esterni. Ad esempio, puoi assegnare un indirizzo IP interno ed esterno alle istanze Compute Engine. Le istanze utilizzano questi indirizzi per comunicare con altre risorse Trusted Cloud by S3NS e sistemi esterni.

Ogni interfaccia di rete utilizzata da un'istanza deve avere un indirizzo IPv4 interno principale. Ogni interfaccia di rete può avere anche uno o più intervalli IPv4 di alias e un indirizzo IPv4 esterno. Se l'istanza è collegata a una subnet che supporta IPv6, a ogni interfaccia di rete possono essere assegnati anche indirizzi IPv6 interni o esterni.

Un'istanza può comunicare con le istanze della stessa rete VPC (Virtual Private Cloud) utilizzando l'indirizzo IPv4 interno dell'istanza. Se nelle istanze sono configurati indirizzi IPv6, puoi anche utilizzare uno degli indirizzi IPv6 interni o esterni dell'istanza. Come best practice, utilizza indirizzi IPv6 interni per le comunicazioni interne.

Per comunicare con internet, puoi utilizzare un indirizzo IPv4 o IPv6 esterno configurato nell'istanza. Se al suo interno non è configurato nessun indirizzo esterno, è possibile utilizzare Cloud NAT per il traffico IPv4.

Analogamente, devi utilizzare l'indirizzo IPv4 o IPv6 esterno dell'istanza per connetterti alle istanze esterne alla stessa rete VPC. Tuttavia, se le reti sono connesse in qualche modo, ad esempio tramite il peering di rete VPC, puoi utilizzare l'indirizzo IP interno dell'istanza.

Per informazioni su come identificare l'indirizzo IP interno ed esterno per le istanze, consulta Visualizza la configurazione di rete di un'istanza.

Indirizzi IP interni

Alle interfacce di rete di un'istanza vengono assegnati gli indirizzi IP della subnet a cui sono collegate. Ogni interfaccia di rete ha un indirizzo IPv4 interno principale, assegnato dall'intervallo IPv4 principale della subnet. Se la subnet ha un intervallo IPv6 interno oltre all'indirizzo IPv4 interno principale, puoi configurare facoltativamente l'interfaccia di rete con un indirizzo IPv6 interno principale.

Gli indirizzi IPv4 interni possono essere assegnati nei seguenti modi:

Compute Engine assegna automaticamente un singolo indirizzo IPv4 dagli intervalli di subnet IPv4 principali.
Quando crei un'istanza di computing, devi assegnare un indirizzo IPv4 interno specifico utilizzando un indirizzo IPv4 interno statico riservato oppure specificando un indirizzo IPv4 interno temporaneo personalizzato.

Gli indirizzi IPv6 interni possono essere assegnati alle istanze collegate a una subnet con un intervallo IPv6 interno nei seguenti modi:

Quando configuri un indirizzo IPv6 interno sulla vNIC di un'istanza, Compute Engine assegna automaticamente un singolo intervallo /96 di indirizzi IPv6 dall'intervallo IPv6 interno della subnet.
Quando crei un'istanza, devi assegnare un indirizzo IPv6 interno specifico utilizzando un indirizzo IPv6 interno statico riservato o specificando un indirizzo IPv6 interno temporaneo personalizzato.

Puoi anche prenotare un indirizzo interno statico dall'intervallo IPv4 o IPv6 della subnet e assegnarlo a un'istanza.

Le istanze di computing possono anche avere intervalli e indirizzi IP alias. Se esiste più di un servizio in esecuzione su un'istanza, puoi assegnare a ogni servizio il proprio indirizzo IP univoco.

Nomi DNS interni

Trusted Cloud risolve automaticamente il nome DNS completo (FQDN) di un'istanza negli indirizzi IP interni dell'istanza. I nomi DNS interni funzionano solo all'interno della rete VPC dell'istanza.

Per saperne di più sui nomi di dominio completi (FQDN), consulta DNS interno.

Indirizzi IP esterni

Se devi comunicare con internet o con risorse di un'altra rete VPC, puoi assegnare un indirizzo IPv4 o IPv6 esterno a un'istanza. Se le regole firewall o le policy del firewall gerarchiche consentono la connessione, le origini esterne a una rete VPC possono raggiungere una risorsa specifica utilizzando il relativo indirizzo IP esterno. Solo le risorse con un indirizzo IP esterno possono comunicare direttamente con le risorse esterne alla rete VPC. Le comunicazioni con una risorsa tramite un indirizzo IP esterno possono comportare addebiti aggiuntivi.

Gli indirizzi IPv4 esterni sono disponibili per tutte le istanze di calcolo. Quando configuri un indirizzo IPv4 esterno sulla vNIC di un'istanza, verrà assegnato un singolo indirizzo IPv4 dagli intervalli di indirizzi IPv4 esterni di Google. Per maggiori informazioni, consulta Dove posso trovare gli intervalli IP di Compute Engine.
Gli indirizzi IPv6 esterni sono disponibili per le istanze Compute Engine collegate a una subnet con un intervallo IPv6 esterno. Quando configuri un indirizzo IPv6 esterno sull'interfaccia di rete dell'istanza, viene assegnato un singolo intervallo /96 di indirizzi IPv6 dall'intervallo IPv6 esterno della subnet.

Puoi anche prenotare un indirizzo IPv6 esterno statico dall'intervallo IPv6 della subnet e assegnarlo a un'istanza di computing.

Alternative all'utilizzo di un indirizzo IP esterno

Gli indirizzi IP interni o privati offrono una serie di vantaggi rispetto agli indirizzi IP esterni o pubblici, tra cui:

Superficie di attacco ridotta. La rimozione degli indirizzi IP esterni dalle istanze di computing rende più difficile per gli utenti malintenzionati raggiungere le istanze e sfruttare potenziali vulnerabilità.
Maggiore flessibilità. L'introduzione di un livello di astrazione, come un bilanciatore del carico o un servizio NAT, consente di fornire servizi più affidabili e flessibili rispetto all'uso di indirizzi IP esterni statici.

La tabella seguente riassume i modi in cui le istanze di computing possono accedere o essere accessibili da internet quando non hanno un indirizzo IP esterno.

Metodo di accesso	Soluzione	Ideale se
Interattivo	Configura il forwarding TCP per Identity-Aware Proxy (IAP)	Vuoi utilizzare servizi amministrativi come SSH e RDP per connetterti alle istanze di backend, ma le richieste devono superare i controlli di autenticazione e autorizzazione prima di raggiungere la risorsa di destinazione.
Recupero	Gateway Cloud NAT	Vuoi che le istanze Compute Engine che non dispongono di indirizzi IP esterni si connettano a internet (in uscita), senza che gli host esterni alla tua rete VPC possano avviare le proprie connessioni alle tue istanze di computing (in entrata). Potresti utilizzare questo approccio per gli aggiornamenti del sistema operativo o per le API esterne.
Recupero	Secure Web Proxy	Devi isolare le istanze Compute Engine da internet creando nuove connessioni TCP per loro conto, rispettando al contempo la policy di sicurezza gestita.
Gestione	Crea un bilanciatore del carico esterno	Vuoi che i client si connettano alle risorse senza indirizzi IP esterni in qualsiasi parte di Trusted Cloud by S3NS , proteggendo al contempo le istanze di computing da attacchi DDoS e attacchi diretti.

Indirizzi IP regionali e globali

Quando elenchi o descrivi gli indirizzi IP in un progetto, Trusted Cloudli etichetta come globali o regionali, a indicare come viene utilizzato un determinato indirizzo. Quando associ un indirizzo a una risorsa di regione, ad esempio un'istanza, Trusted Cloud etichetta l'indirizzo come regionale. Sono regioni Trusted Cloud, ad esempio us-east4 o europe-west2.

Gli indirizzi IP globali vengono utilizzati nelle seguenti configurazioni:

Indirizzi IP interni globali: accedi alle API di Google tramite endpoint o accesso privato ai servizi
Indirizzi IP esterni globali: bilanciatori del carico di rete con proxy esterno e bilanciatori del carico delle applicazioni esterni che utilizzano una rete di livello Premium

Per istruzioni su come creare un indirizzo IP globale, consulta Prenota un nuovo indirizzo IP esterno statico.