Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Vista geral das redes para VMs

Este documento oferece uma vista geral da funcionalidade de rede das instâncias de máquinas virtuais (MV). Fornece uma compreensão básica fundamental de como as instâncias de máquinas virtuais (VMs) interagem com as redes da nuvem virtual privada (VPC). Para mais informações acerca das redes VPC e das funcionalidades relacionadas, leia a descrição geral da rede VPC.

Redes e sub-redes

Todas as VMs fazem parte de uma rede de VPC. As redes VPC fornecem conetividade à sua instância de VM a outros Trusted Cloud by S3NS produtos e à Internet. As redes VPC podem estar no modo automático ou no modo personalizado.

As redes VPC de modo automático têm uma sub-rede em cada região. Todas as sub-redes estão contidas neste intervalo de endereços IP: 10.128.0.0/9. As redes VPC no modo automático só suportam intervalos de sub-redes IPv4.
As redes do modo personalizado não têm uma configuração de sub-rede especificada. É o utilizador que decide que sub-redes criar nas regiões que escolher através de intervalos de IP que especificar. As redes no modo personalizado também suportam intervalos de sub-redes IPv6.

A menos que opte por desativá-la, cada projeto tem uma rede default, que é uma rede de VPC no modo automático. Pode desativar a criação de redes predefinidas criando uma política da organização.

Cada sub-rede numa rede da VPC está associada a uma região e contém um ou mais intervalos de endereços IP. Pode criar mais do que uma sub-rede por região. Cada uma das interfaces de rede da sua VM tem de estar ligada a uma sub-rede.

Quando cria uma VM, pode especificar uma rede de VPC e uma sub-rede. Se omitir esta configuração, são usadas a defaultrede e a sub-rede. Trusted Cloud atribui um endereço IPv4 interno à nova VM a partir do intervalo de endereços IPv4 principal da sub-rede selecionada. Se a sub-rede também tiver um intervalo de endereços IPv6 (denominado pilha dupla) ou se tiver criado uma sub-rede apenas IPv6, pode atribuir um endereço IPv6 à VM.

Para mais informações sobre as redes VPC, leia a vista geral da rede VPC. Para ver um exemplo ilustrado de VMs que usam uma rede de VPC com três sub-redes em duas regiões, consulte o exemplo de rede de VPC.

Controladores de interface de rede (NICs)

Todas as instâncias de computação numa rede de VPC têm uma interface de rede virtual (vNIC) predefinida. Quando configura uma vNIC, seleciona uma rede de VPC e uma sub-rede nessa rede de VPC para ligar a interface. Pode criar interfaces de rede adicionais para as suas instâncias.

As várias interfaces de rede permitem-lhe criar configurações nas quais uma instância se liga diretamente a várias redes VPC. As várias interfaces de rede são úteis quando as aplicações executadas numa instância requerem a separação do tráfego, como a separação do tráfego do plano de dados do tráfego do plano de gestão. Para mais informações sobre a utilização de várias interfaces de rede, consulte o artigo Várias interfaces de rede.

Não são suportadas várias vNICs com instâncias bare metal. Além disso, só pode adicionar vNICs a uma instância durante a criação da instância. Com as interfaces de rede dinâmicas (pré-visualização), pode criar subinterfaces de rede baseadas em VLANs para cada vNIC exposta, o que lhe permite dimensionar o número de interfaces de rede e ligações de rede VPC. Pode adicionar ou remover interfaces de rede dinâmicas sem ter de reiniciar nem recriar a instância de computação. Para mais informações sobre a NIC dinâmica, consulte o artigo Crie VMs com várias interfaces de rede.

Quando configura a vNIC para uma instância de computação, pode especificar o tipo de controlador de rede a usar com a interface.

Para a série de máquinas de primeira e segunda geração, a predefinição é VirtIO.
As séries de máquinas de terceira geração e mais recentes estão configuradas para usar o gVNIC por predefinição e não suportam o VirtIO para a interface de rede.
As instâncias bare metal usam o IDPF.
Com as séries de máquinas suportadas, como a H4D, as instâncias podem usar opcionalmente o RDMA na nuvem (IRDMA). O controlador de rede de acesso à memória de dados remotos (RDMA) permite capacidades de mensagens fiáveis e de baixa latência para instâncias do Compute Engine. O RDMA transfere dados entre máquinas remotas e memória local através da interface de rede sem usar a CPU do anfitrião nem buffers do anfitrião intermédios.

Além disso, pode optar por usar o desempenho de rede de nível 1 por VM com uma instância de computação que use gVNIC ou IPDF. As redes de nível 1 permitem limites de débito de rede mais elevados para transferências de dados de entrada e saída.

Largura de banda da rede

Trusted Cloud contas para largura de banda por instância de VM, não por interface de rede (NIC) ou endereço IP. A largura de banda é medida através de duas dimensões: direção do tráfego (entrada e saída) e tipo de endereço IP de destino. A taxa de saída máxima possível é determinada pelo tipo de máquina que foi usado para criar a instância. No entanto, só pode alcançar essa taxa de saída máxima possível em situações específicas. Para mais informações, consulte o artigo Largura de banda da rede.

Para suportar larguras de banda de rede mais elevadas, como 200 Gbps para a terceira geração e séries de máquinas posteriores, é necessária a NIC virtual da Google (gVNIC).

Os limites de largura de banda de saída máximos padrão variam entre 1 Gbps e 100 Gbps.
O desempenho de rede de nível 1 por VM aumenta o limite máximo de largura de banda de saída para 200 Gbps, consoante o tamanho e o tipo de máquina da sua instância de computação.

Algumas séries de máquinas têm limites diferentes, conforme documentado na tabela de resumo da largura de banda.

Se usar interfaces de rede gVNIC e RDMA para uma instância, o limite de largura de banda da rede para a instância é partilhado entre os dois métodos de comunicação de rede. O tráfego RDMA tem prioridade sobre o tráfego gVNIC.

Endereços IP

A cada VM é atribuído um endereço IP da sub-rede associada à interface de rede. A lista seguinte fornece informações adicionais sobre os requisitos para configurar endereços IP.

Para sub-redes apenas IPv4, o endereço IP é um endereço IPv4 interno. Opcionalmente, pode configurar um endereço IPv4 externo para a VM.
Se a interface de rede se ligar a uma sub-rede de pilha dupla que tenha um intervalo IPv6, tem de usar uma rede VPC no modo personalizado. A VM tem os seguintes endereços IP:
- Um endereço IPv4 interno. Opcionalmente, pode configurar um endereço IPv4 externo para a VM.
- Um endereço IPv6 interno ou externo, consoante o tipo de acesso da sub-rede.
Para sub-redes apenas IPv6, tem de usar uma rede VPC no modo personalizado. A VM tem um endereço IPv6 interno ou externo, consoante o tipo de acesso da sub-rede.
Para criar uma instância apenas IPv6 com um endereço IPv6 interno e externo, tem de especificar duas interfaces de rede quando criar a VM. Não pode adicionar interfaces de rede a uma instância existente.

Os endereços IP externos e internos podem ser efémeros ou estáticos.

Os endereços IP internos são locais para uma das seguintes opções:

Uma rede da VPC
Uma rede VPC ligada através do intercâmbio das redes da VPC
Uma rede no local ligada a uma rede VPC através do Cloud VPN, do Cloud Interconnect ou de um dispositivo Router

Uma instância pode comunicar com instâncias na mesma rede VPC ou numa rede ligada, conforme especificado na lista anterior, através do endereço IPv4 interno da VM. Se a interface de rede da VM se ligar a uma sub-rede de pilha dupla ou a uma sub-rede apenas IPv6, pode usar os endereços IPv6 internos ou externos da VM para comunicar com outras instâncias na mesma rede. Como prática recomendada, use endereços IPv6 internos para comunicação interna. Para mais informações sobre endereços IP, leia a vista geral Endereços IP do Compute Engine.

Para comunicar com a Internet ou sistemas externos, use um endereço IPv4 externo ou um endereço IPv6 externo configurado na instância de VM. Os endereços IP externos são endereços IP encaminháveis publicamente. Se uma instância não tiver um endereço IP externo, pode usar o Cloud NAT para o tráfego IPv4.

Se tiver vários serviços em execução numa única instância de VM, pode atribuir a cada serviço um endereço IPv4 interno diferente através de intervalos de IP de alias. A rede VPC encaminha pacotes destinados a um serviço específico para a VM correspondente. Para mais informações, consulte os intervalos de IPs de alias.

Níveis de serviço de rede

Os níveis de serviço de rede permitem-lhe otimizar a conetividade entre sistemas na Internet e as suas instâncias do Compute Engine. O nível Premium envia tráfego através da infraestrutura premium da Google, enquanto o nível Standard usa redes de ISP normais. Use o nível Premium para otimizar o desempenho e o nível padrão para otimizar os custos.

Uma vez que escolhe um nível de rede ao nível do recurso, como o endereço IP externo de uma VM, pode usar o nível padrão para alguns recursos e o nível premium para outros. Se não especificar um nível, é usado o nível Premium.

As instâncias de computação que usam endereços IP internos para comunicar nas redes VPC usam sempre a infraestrutura de rede de nível Premium.

Quando usa o nível Premium ou o nível Standard, não é cobrada a transferência de dados de entrada. O preço da transferência de dados de saída é por GiB fornecido e é diferente para cada um dos níveis de serviço de rede. Para ver informações sobre os preços, consulte os preços dos níveis de serviço de rede.

Os níveis de serviço de rede não são iguais ao desempenho de rede de nível 1 por VM, que é uma opção de configuração que pode optar por usar com as suas instâncias de computação. Existe um custo adicional associado à utilização da rede de nível 1, conforme descrito em Preços de rede de largura de banda mais elevada de nível 1. Para mais informações sobre a rede de nível 1, consulte o artigo Configure o desempenho da rede de nível 1 por VM.

Nível premium

O nível Premium fornece tráfego de sistemas externos para recursos através da rede global de baixa latência e altamente fiável da Google. Trusted CloudEsta rede foi concebida para tolerar várias falhas e interrupções, ao mesmo tempo que continua a fornecer tráfego. O nível Premium é ideal para clientes com utilizadores em várias localizações em todo o mundo que precisam do melhor desempenho e fiabilidade da rede.

A rede de nível Premium consiste numa extensa rede de fibra privada com mais de 100 pontos de presença (PoPs) em todo o mundo. Na rede da Google, o tráfego é encaminhado desse PoP para a instância de computação na sua rede VPC. O tráfego de saída é enviado através da rede da Google, saindo no PoP mais próximo do respetivo destino. Este método de encaminhamento minimiza o congestionamento e maximiza o desempenho reduzindo o número de saltos entre os utilizadores finais e os PoPs mais próximos.

Nível Standard

A rede de nível padrão envia tráfego de sistemas externos para Trusted Cloud recursos encaminhando-o através da Internet. Os pacotes que saem da rede da Google são entregues através da Internet pública e estão sujeitos à fiabilidade dos fornecedores de trânsito e dos ISPs intervenientes. O nível padrão oferece uma qualidade e uma fiabilidade da rede comparáveis às de outros fornecedores de nuvem.

O nível Standard tem um preço inferior ao nível Premium porque o tráfego de sistemas na Internet é encaminhado através de redes de trânsito (ISP) antes de ser enviado para instâncias de computação na sua rede VPC. O tráfego de saída de nível padrão sai normalmente da rede da Google a partir da mesma região usada pela instância de computação de envio, independentemente do respetivo destino.

O Nível padrão inclui 200 GB de utilização gratuita por mês em cada região que usa em todos os seus projetos, com base em cada recurso.

Nomes internos do Sistema de Nomes de Domínio (DNS)

Quando cria uma instância de máquina virtual (VM), Trusted Cloud cria um nome DNS interno a partir do nome da VM. A menos que especifique um nome do anfitrião personalizado, oTrusted Cloud usa o nome DNS interno criado automaticamente como o nome do anfitrião que fornece à VM.

Para a comunicação entre VMs na mesma rede VPC, pode especificar o nome DNS totalmente qualificado (FQDN) da instância de destino em vez de usar o respetivo endereço IP interno. Trusted Cloud resolve automaticamente o FQDN para o endereço IP interno da instância.

Para mais informações sobre nomes de domínio totalmente qualificados (FQDN), consulte o artigo Nomes DNS internos globais e zonais.

Trajetos

AsTrusted Cloud rotas definem os caminhos que o tráfego de rede percorre a partir de uma instância de máquina virtual (VM) para outros destinos. Estes destinos podem estar dentro da sua rede VPC (por exemplo, noutra VM) ou fora dela. A tabela de encaminhamento de uma rede de VPC é definida ao nível da rede de VPC. Cada instância de VM tem um controlador que é mantido informado de todas as rotas aplicáveis da tabela de encaminhamento da rede. Cada pacote que sai de uma VM é entregue ao próximo salto adequado de um trajeto aplicável com base numa ordem de encaminhamento.

Os trajetos de sub-rede definem caminhos para recursos como VMs e balanceadores de carga internos numa rede VPC. Cada sub-rede tem, pelo menos, uma rota de sub-rede cujo destino corresponde ao intervalo de IP principal da sub-rede. As rotas de sub-rede têm sempre os destinos mais específicos. Não podem ser substituídas por outras rotas, mesmo que outra rota tenha uma prioridade mais elevada. Isto deve-se ao facto de o Trusted Cloud considerar a especificidade do destino antes da prioridade ao selecionar um trajeto. Para mais informações sobre os intervalos de IP de sub-redes, consulte a vista geral das sub-redes.

Regras de encaminhamento

Embora os trajetos regam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um Trusted Cloud recurso numa rede VPC com base no endereço IP, no protocolo e na porta. Algumas regras de encaminhamento direcionam o tráfego de fora de Trusted Cloud para um destino na rede; outras regras direcionam o tráfego de dentro da rede.

Pode configurar regras de encaminhamento para as suas instâncias de modo a implementar o alojamento virtual por IPs, a VPN do Google Cloud, os IPs virtuais (VIPs) privados e o equilíbrio de carga. Para mais informações sobre as regras de encaminhamento, consulte o artigo Usar o encaminhamento de protocolos.

Regras de firewall

As regras de firewall da VPC permitem-lhe autorizar ou negar ligações de ou para a sua VM com base numa configuração que especificar.O Google Cloud aplica sempre as regras de firewall da VPC ativadas, protegendo as suas VMs independentemente da respetiva configuração e sistema operativo, mesmo que a VM não tenha sido iniciada. Trusted Cloud

Por predefinição, todas as redes VPC têm regras de firewall de entrada (ingress) e saída (egress) que bloqueiam todas as ligações de entrada e permitem todas as ligações de saída. A rede default tem regras de firewall adicionais, incluindo a regra default-allow-internal, que permite a comunicação entre instâncias na rede. Se não estiver a usar a rede default, tem de criar explicitamente regras de firewall de entrada de prioridade mais elevada para permitir que as instâncias comuniquem entre si.

Todas as redes VPC funcionam como uma firewall distribuída. As regras de firewall são definidas ao nível da VPC e podem aplicar-se a todas as instâncias na rede. Em alternativa, pode usar etiquetas de destino ou contas de serviço de destino para aplicar regras a instâncias específicas. Pode considerar que as regras de firewall da VPC existem não só entre as suas instâncias e outras redes, mas também entre instâncias individuais na mesma rede de VPC.

As políticas de firewall hierárquicas permitem-lhe criar e aplicar uma política de firewall consistente em toda a sua organização. Pode atribuir políticas de firewall hierárquicas à organização como um todo ou a pastas individuais. Estas políticas contêm regras que podem negar ou permitir explicitamente ligações, tal como as regras de firewall da VPC. Além disso, as regras de políticas de firewall hierárquicas podem delegar a avaliação em políticas de nível inferior ou regras de firewall da VPC com uma ação goto_next. As regras de nível inferior não podem substituir uma regra de um local superior na hierarquia de recursos. Isto permite que os administradores de toda a organização geram regras de firewall críticas num único local.

Grupos de instâncias geridas e configurações de rede

Se usar grupos de instâncias geridas (GIGs), a configuração de rede que especificar no modelo de instância aplica-se a todas as VMs criadas com o modelo. Se criar um modelo de instância numa rede VPC no modo automático,o Google Cloud seleciona automaticamente a sub-rede para a região onde criou o grupo de instâncias gerido. Trusted Cloud

Para mais informações, consulte os artigos Redes e sub-redes e Crie modelos de instâncias.

O que se segue?

Saiba como criar e gerir redes VPC.
Saiba como criar e gerir rotas para redes de VPC.
Saiba como criar e iniciar uma instância do Compute Engine.
Saiba como criar um grupo de instâncias gerido (MIG) .
Saiba como dimensionar as suas VMs e otimizar a latência das aplicações com o equilíbrio de carga.