Beberapa antarmuka jaringan
Halaman ini memberikan ringkasan tentang beberapa antarmuka jaringan untuk instance VM Compute Engine. Instance dengan beberapa antarmuka jaringan disebut sebagai instance multi-NIC.
Instance selalu memiliki minimal satu antarmuka jaringan virtual (vNIC). Bergantung pada jenis mesin, Anda dapat mengonfigurasi antarmuka jaringan tambahan.
Kasus penggunaan
Instance multi-NIC berguna dalam skenario berikut:
Untuk terhubung ke resource di jaringan VPC terpisah: instance multi-NIC dapat terhubung ke resource yang berada di jaringan VPC berbeda yang tidak terhubung satu sama lain melalui Peering Jaringan VPC atau Network Connectivity Center.
Karena setiap antarmuka instance multi-NIC berada di jaringan VPC yang terpisah, Anda dapat menggunakan setiap antarmuka untuk tujuan yang unik. Misalnya, Anda dapat menggunakan beberapa antarmuka untuk merutekan paket antar-jaringan VPC yang membawa traffic produksi dan antarmuka lain untuk tujuan pengelolaan atau konfigurasi.
Dalam OS tamu setiap instance multi-NIC, Anda harus mengonfigurasi kebijakan rute dan tabel rute lokal.
Merutekan paket antar-jaringan VPC: instance multi-NIC dapat digunakan sebagai next hop untuk rute guna menghubungkan dua atau beberapa jaringan VPC.
Software yang berjalan dalam OS tamu instance multi-NIC dapat melakukan pemeriksaan paket, terjemahan alamat jaringan (NAT), atau fungsi keamanan jaringan lainnya.
Saat menghubungkan jaringan VPC menggunakan instance multi-NIC, sebaiknya konfigurasi dua instance multi-NIC atau lebih, dengan menggunakannya sebagai backend untuk Load Balancer Jaringan passthrough internal di setiap jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Kasus penggunaan dalam dokumentasi Load Balancer Jaringan passthrough internal sebagai next hop.
Anda juga dapat menggunakan instance multi-NIC dengan antarmuka Private Service Connect untuk menghubungkan jaringan produsen dan konsumen layanan di project yang berbeda.
Jenis antarmuka jaringan
Trusted Cloud mendukung jenis antarmuka jaringan berikut:
vNICs: antarmuka jaringan virtual instance Compute Engine. Setiap instance harus memiliki minimal satu vNIC. vNIC di jaringan VPC reguler dapat berupa
GVNIC,VIRTIO_NET, atauIDPF. Anda hanya dapat mengonfigurasi vNIC saat membuat instance.NIC Dinamis (Pratinjau): antarmuka turunan dari vNIC induk. Anda dapat mengonfigurasi NIC Dinamis saat membuat instance, atau menambahkannya nanti. Untuk mengetahui informasi selengkapnya, lihat NIC dinamis.
Anda juga dapat mengonfigurasi instance multi-NIC menggunakan jenis mesin yang
mencakup antarmuka jaringan RDMA (MRDMA), yang harus
dilampirkan ke jaringan VPC dengan
profil jaringan RDMA. Jenis antarmuka jaringan lainnya, termasuk NIC Dinamis, tidak didukung di jaringan VPC dengan profil jaringan RDMA.
Spesifikasi
Spesifikasi berikut berlaku untuk instance dengan beberapa antarmuka jaringan:
Instance dan antarmuka jaringan: setiap instance memiliki antarmuka
nic0. Jumlah maksimum antarmuka jaringan bervariasi, bergantung pada jenis mesin instance.- Setiap antarmuka memiliki jenis stack terkait, yang menentukan jenis stack subnet dan versi alamat IP yang didukung. Untuk mengetahui informasi selengkapnya, lihat Jenis stack dan alamat IP.
Jaringan unik untuk setiap antarmuka jaringan: kecuali untuk jaringan VPC yang dibuat dengan profil jaringan RDMA, setiap antarmuka jaringan harus menggunakan subnet di jaringan VPC unik.
Untuk jaringan VPC yang dibuat dengan profil jaringan RDMA, beberapa NIC RDMA dapat menggunakan jaringan VPC yang sama, selama setiap NIC RDMA menggunakan subnet yang unik.
Jaringan dan subnet VPC harus ada sebelum Anda dapat membuat instance yang antarmuka jaringannya menggunakan jaringan dan subnet tersebut. Untuk mengetahui informasi selengkapnya tentang cara membuat jaringan dan subnet, lihat Membuat dan mengelola jaringan VPC.
Project instance dan subnet: untuk instance multi-NIC dalam project mandiri, setiap antarmuka jaringan harus menggunakan subnet yang berada dalam project yang sama dengan instance.
Untuk instance di project host atau layanan VPC Bersama, lihat VPC Bersama .
Antarmuka Private Service Connect menyediakan cara bagi instance multi-NIC untuk memiliki antarmuka jaringan di subnet dalam project yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Tentang lampiran jaringan.
Pertimbangan penerusan IP, MTU, dan perutean: instance multi-NIC memerlukan perencanaan yang cermat untuk opsi konfigurasi khusus instance dan antarmuka berikut:
Opsi penerusan IP dapat dikonfigurasi per instance, dan diterapkan ke semua antarmuka jaringan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan penerusan IP untuk instance.
Setiap antarmuka jaringan dapat menggunakan unit transmisi maksimum (MTU) yang unik, yang cocok dengan MTU jaringan VPC terkait. Untuk mengetahui informasi selengkapnya, lihat Unit transmisi maksimum.
Setiap instance menerima rute default menggunakan Opsi DHCP 121, seperti yang ditentukan oleh RFC 3442. Rute default dikaitkan dengan
nic0. Kecuali jika dikonfigurasi lain secara manual, traffic yang keluar dari instance untuk tujuan apa pun selain subnet yang terhubung langsung akan keluar dari instance menggunakan rute default padanic0.Di sistem Linux, Anda dapat mengonfigurasi aturan dan rute kustom dalam OS tamu menggunakan file
/etc/iproute2/rt_tablesdan perintahip ruledanip route. Untuk mengetahui informasi selengkapnya, baca dokumentasi OS tamu. Sebagai contoh, lihat tutorial berikut: Mengonfigurasi perutean untuk antarmuka tambahan.
NIC Dinamis
NIC dinamis berguna dalam skenario berikut:
Anda perlu menambahkan atau menghapus antarmuka jaringan ke atau dari instance yang ada. Menambahkan atau menghapus NIC Dinamis tidak memerlukan instance untuk dimulai ulang atau dibuat ulang.
Anda memerlukan lebih banyak antarmuka jaringan. Jumlah maksimum vNIC untuk sebagian besar jenis mesin di Trusted Cloud adalah 10; namun, Anda dapat mengonfigurasi hingga 16 total antarmuka menggunakan NIC Dinamis. Untuk mengetahui informasi selengkapnya, lihat Jumlah maksimum antarmuka jaringan.
Anda perlu mengonfigurasi instance bare metal Compute Engine multi-NIC, yang hanya memiliki satu vNIC.
Properti NIC Dinamis
Lihat informasi berikut tentang properti NIC Dinamis:
NIC dinamis adalah antarmuka VLAN yang menggunakan format paket standar IEEE 802.1Q. Lihat pertimbangan berikut:
- ID VLAN NIC Dinamis harus berupa bilangan bulat dari 2 hingga 255.
- ID VLAN NIC Dinamis harus unik dalam vNIC induk. Namun, NIC Dinamis yang termasuk dalam vNIC induk yang berbeda dapat menggunakan ID VLAN yang sama.
Trusted Cloud menggunakan format berikut untuk nama NIC Dinamis:
nicNUMBER.VLAN_ID, dengannicNUMBERadalah nama vNIC induk, sepertinic0.VLAN_IDadalah ID VLAN yang Anda tetapkan, seperti4.
Contoh nama NIC Dinamis adalah
nic0.4.Membuat instance dengan NIC Dinamis atau menambahkan NIC Dinamis ke instance yang ada memerlukan langkah-langkah tambahan untuk menginstal dan mengelola antarmuka VLAN yang sesuai di OS tamu. Anda dapat menggunakan salah satu metode berikut:
- Konfigurasi pengelolaan otomatis NIC Dinamis menggunakan agen tamu Google.
- Konfigurasi OS tamu secara manual.
Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi OS tamu untuk NIC Dinamis.
NIC dinamis berbagi bandwidth vNIC induknya, dan tidak ada isolasi traffic dalam vNIC induk. Untuk mencegah salah satu antarmuka jaringan menggunakan semua bandwidth, Anda harus membuat kebijakan traffic khusus aplikasi di OS tamu untuk memprioritaskan atau mendistribusikan traffic, seperti dengan menggunakan Kontrol Traffic (TC) Linux.
NIC dinamis berbagi antrean penerimaan dan transmisi yang sama dengan vNIC induknya.
Batasan NIC Dinamis
Lihat batasan NIC Dinamis berikut:
Anda tidak dapat mengubah properti NIC Dinamis berikut setelah dibuat:
- vNIC induk tempat NIC Dinamis berada.
- ID VLAN NIC Dinamis.
NIC dinamis tidak mendukung hal berikut:
- Perlindungan DDoS jaringan tingkat lanjut dan kebijakan keamanan edge jaringan untuk Google Cloud Armor
- Mengonfigurasi alamat IP menggunakan konfigurasi per instance untuk MIG.
- Antarmuka khusus IPv6 (Pratinjau)
- Fitur yang mengandalkan penyadapan paket, seperti endpoint firewall
- Sistem operasi (OS) Windows
NIC Dinamis dengan vNIC induk yang jenisnya
GVNICmungkin mengalami kehilangan paket dengan beberapa ukuran MTU kustom. Untuk menghindari kehilangan paket, jangan menggunakan ukuran MTU berikut: 1986 byte, 3986 byte, 5986 byte, dan 7986 byte.Untuk VM generasi ketiga, NIC Dinamis dengan ID VLAN
255tidak dapat mengakses alamat IP Server metadata. Jika Anda perlu mengakses server metadata, pastikan Anda menggunakan ID VLAN yang berbeda.Untuk VM generasi ketiga, menghapus dan menambahkan NIC Dinamis yang memiliki ID VLAN yang sama dapat memungkinkan akses tidak sah di berbagai jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Masalah umum.
Jenis stack dan alamat IP
Saat membuat vNIC, Anda menentukan salah satu jenis stack antarmuka berikut:
- Khusus IPv4
- Stack ganda
Khusus IPv6 (Pratinjau)
Tabel berikut menjelaskan jenis stack subnet yang didukung dan detail alamat IP untuk setiap jenis stack antarmuka:
| Antarmuka | Subnet khusus IPv4 | Subnet stack ganda | Subnet khusus IPv6 (Pratinjau) | Detail alamat IP |
|---|---|---|---|---|
| Khusus IPv4 (stack tunggal) | Hanya alamat IPv4. Lihat Detail alamat IPv4. | |||
| IPv4 and IPv6 (dual-stack) | Alamat IPv4 dan IPv6. Lihat Detail alamat IPv4 dan Detail alamat IPv6 | |||
| Khusus IPv6 (stack tunggal) (Pratinjau) | Hanya alamat IPv6. Lihat detail alamat IPv6. |
Mengubah jenis stack antarmuka jaringan
Anda dapat mengubah jenis stack dari antarmuka jaringan sebagai berikut:
Anda dapat mengonversi antarmuka khusus IPv4 menjadi dual-stack jika subnet antarmuka adalah subnet dual-stack atau jika Anda menghentikan instance dan menetapkan antarmuka ke subnet dual-stack.
Anda dapat mengonversi antarmuka dual-stack menjadi hanya IPv4.
Anda tidak dapat mengubah jenis stack antarmuka khusus IPv6. Antarmuka khusus IPv6 (Pratinjau) hanya didukung saat membuat instance.
Detail alamat IPv4
Setiap antarmuka jaringan dual-stack atau khusus IPv4 menerima alamat IPv4 internal utama. Setiap antarmuka secara opsional mendukung rentang IP alias dan alamat IPv4 eksternal. Berikut adalah spesifikasi dan persyaratan IPv4:
Alamat IPv4 internal utama: Compute Engine menetapkan alamat IPv4 internal utama dari rentang alamat IPv4 utama subnet antarmuka ke antarmuka jaringan. Alamat IPv4 internal utama dialokasikan oleh DHCP.
Anda dapat mengontrol alamat IPv4 internal utama yang ditetapkan dengan mengonfigurasi alamat IPv4 internal statis atau dengan menentukan alamat IPv4 internal sementara kustom.
Dalam jaringan VPC, alamat IPv4 internal utama dari setiap antarmuka jaringan VM bersifat unik.
Rentang IP alias: secara opsional, Anda dapat menetapkan satu atau beberapa rentang IP alias ke antarmuka. Setiap rentang IP alias dapat berasal dari rentang alamat IPv4 utama atau rentang alamat IPv4 sekunder dari subnet antarmuka.
- Dalam jaringan VPC, rentang IP alias setiap antarmuka harus unik.
External IPv4 address: secara opsional, Anda dapat menetapkan alamat IPv4 eksternal sementara atau yang dicadangkan ke antarmuka. Trusted Cloud memastikan keunikan setiap alamat IPv4 eksternal.
Detail alamat IPv6
Compute Engine menetapkan setiap antarmuka jaringan stack ganda atau khusus IPv6 (Pratinjau) dengan rentang alamat IPv6 /96 dari rentang alamat IPv6 /64 subnet antarmuka:
Apakah rentang alamat IPv6
/96bersifat internal atau eksternal bergantung pada jenis akses IPv6 subnet antarmuka. Trusted Cloud memastikan keunikan setiap rentang alamat IPv6 internal dan eksternal. Untuk mengetahui informasi selengkapnya, lihat spesifikasi IPv6.- Jika instance memerlukan rentang alamat IPv6 internal dan rentang alamat IPv6 eksternal: Anda harus mengonfigurasi dua antarmuka stack ganda, dua antarmuka khusus IPv6, atau satu antarmuka stack ganda dan satu antarmuka khusus IPv6. Subnet yang digunakan oleh satu antarmuka harus memiliki rentang alamat IPv6 eksternal, dan subnet yang digunakan oleh antarmuka lainnya harus memiliki rentang alamat IPv6 internal.
Alamat IPv6 pertama (
/128) dikonfigurasi di antarmuka oleh DHCP. Untuk mengetahui informasi selengkapnya, lihat Penetapan alamat IPv6.Anda dapat mengontrol rentang alamat IPv6
/96mana yang ditetapkan dengan mengonfigurasi rentang alamat IPv6 internal atau eksternal statis. Untuk alamat IPv6 internal, Anda dapat menentukan alamat IPv6 internal sementara kustom.
Jika Anda menghubungkan instance ke beberapa jaringan dengan menggunakan alamat IPv6, instal google-guest-agent versi 20220603.00 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Saya tidak dapat terhubung ke alamat IPv6 antarmuka sekunder.
Jumlah antarmuka jaringan maksimum
Untuk sebagian besar jenis mesin, jumlah maksimum antarmuka jaringan yang dapat Anda lampirkan ke instance disesuaikan dengan jumlah vCPU seperti yang dijelaskan dalam tabel berikut.
Berikut adalah pengecualian khusus mesin:
Instance bare metal Compute Engine mendukung satu vNIC.
Jumlah maksimum vNIC berbeda untuk beberapa jenis mesin yang dioptimalkan akselerator, seperti A3, A4, dan A4X. Untuk mengetahui informasi selengkapnya, lihat Kelompok mesin yang dioptimalkan akselerator.
Jumlah antarmuka maksimum
Gunakan tabel berikut untuk menentukan jumlah antarmuka jaringan yang dapat dipasang ke instance.
| Jumlah vCPU | Jumlah maksimum vNIC | Jumlah maksimum NIC Dinamis | Jumlah maksimum antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 2 atau kurang | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 atau lebih | 10 | 15 | 16 |
Formula referensi
Tabel berikut memberikan formula yang digunakan untuk menghitung jumlah maksimum antarmuka jaringan untuk sebuah instance. Formula ini bergantung pada jumlah vCPU.
| Jumlah vCPU (X) | Jumlah maksimum vNIC | Jumlah maksimum NIC Dinamis | Jumlah maksimum antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Contoh distribusi NIC Dinamis
Anda tidak perlu mendistribusikan NIC Dinamis secara merata di seluruh vNIC. Namun, Anda mungkin menginginkan distribusi yang merata karena NIC Dinamis berbagi bandwidth vNIC induknya.
Instance harus memiliki minimal satu vNIC. Misalnya, instance yang memiliki 2 vCPU dapat memiliki salah satu konfigurasi berikut:
- 1 vNIC
- 2 vNIC
- 1 vNIC dan 1 NIC Dinamis
Tabel berikut memberikan contoh konfigurasi yang mendistribusikan NIC Dinamis secara merata di seluruh vNIC sambil menggunakan jumlah maksimum antarmuka jaringan untuk jumlah vCPU tertentu.
2 vCPU, 2 NIC
Tabel berikut memberikan contoh untuk instance dengan 2 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk sejumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah NIC Dinamis per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
4 vCPU, 4 NIC
Tabel berikut memberikan contoh untuk instance dengan 4 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk jumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah NIC Dinamis per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
8 vCPU, 8 NIC
Tabel berikut memberikan contoh untuk instance dengan 8 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk sejumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah NIC Dinamis per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
14 vCPU, 12 NIC
Tabel berikut memberikan contoh untuk instance dengan 12 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk sejumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah NIC Dinamis per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
22 vCPU, 16 NIC
Tabel berikut memberikan contoh untuk instance dengan 22 vCPU yang menunjukkan jumlah NIC Dinamis yang dapat Anda miliki untuk sejumlah vNIC tertentu.
| Jumlah vCPU | Jumlah vNIC | Jumlah NIC Dinamis per vNIC | Jumlah total antarmuka jaringan (vNIC + NIC Dinamis) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
Interaksi produk
Bagian ini menjelaskan interaksi antara instance multi-NIC dan produk serta fitur lainnya di Trusted Cloud.
VPC Bersama
Kecuali untuk antarmuka Private Service Connect, hubungan subnet dan project instance multi-NIC di project host atau project layanan VPC Bersama adalah sebagai berikut:
Setiap antarmuka jaringan instance multi-NIC yang berada di project host VPC Bersama harus menggunakan subnet jaringan VPC Bersama di project host.
Setiap antarmuka jaringan instance multi-NIC yang berada di project layanan VPC Bersama dapat menggunakan salah satu opsi berikut:
- Subnet jaringan VPC dalam project layanan.
- Subnet jaringan VPC Bersama dalam project host.
Untuk mengetahui informasi selengkapnya tentang VPC Bersama, lihat:
DNS internal Compute Engine
Compute Engine membuat data A dan PTR nama DNS internal hanya untuk alamat IPv4 internal utama antarmuka jaringan nic0 instance. Compute Engine tidak membuat data DNS internal untuk alamat IPv4 atau IPv6 yang terkait dengan antarmuka jaringan yang berbeda dari nic0.
Untuk mengetahui informasi selengkapnya, lihat DNS internal Compute Engine.
Rute statis
Rute statis dapat dicakup ke instance tertentu menggunakan tag jaringan. Jika tag jaringan dikaitkan dengan instance, tag tersebut berlaku untuk semua antarmuka jaringan instance. Oleh karena itu, menambahkan atau menghapus tag jaringan dari instance dapat mengubah rute statis yang berlaku untuk setiap antarmuka jaringan instance.
Load balancer
Backend grup instance dan backend NEG zonal masing-masing memiliki jaringan VPC terkait sebagai berikut:
Untuk grup instance terkelola (MIG), jaringan VPC untuk grup instance adalah jaringan VPC yang ditetapkan ke antarmuka
nic0dalam template instance.Untuk grup instance tidak terkelola, jaringan VPC untuk grup instance adalah jaringan VPC yang digunakan oleh antarmuka jaringan
nic0dari instance pertama yang Anda tambahkan ke grup instance tidak terkelola.
Tabel berikut menunjukkan backend yang mendukung pendistribusian koneksi atau permintaan ke antarmuka jaringan mana pun.
| Load balancer | Grup instance | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| Load Balancer Jaringan passthrough eksternal berbasis layanan backend Layanan backend tidak dikaitkan dengan jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Layanan backend dan jaringan VPC. |
Hanya nic0 |
NIC Apa Pun | T/A |
| Load Balancer Jaringan passthrough internal Layanan backend dikaitkan dengan jaringan VPC. Untuk mengetahui informasi selengkapnya, lihat Spesifikasi jaringan layanan backend dan Aturan jaringan layanan backend. |
NIC Apa Pun | NIC Apa Pun | T/A |
| Load Balancer Jaringan proxy eksternal Untuk mengetahui informasi selengkapnya tentang persyaratan jaringan dan layanan backend, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC Apa Pun |
| Load Balancer Jaringan proxy internal Untuk mengetahui informasi selengkapnya tentang persyaratan jaringan dan layanan backend, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC Apa Pun |
| Load Balancer Aplikasi Eksternal Untuk mengetahui informasi selengkapnya tentang persyaratan jaringan dan layanan backend, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC Apa Pun |
| Load Balancer Aplikasi Internal Untuk mengetahui informasi selengkapnya tentang persyaratan jaringan dan layanan backend, lihat Backend dan jaringan VPC. |
Hanya nic0 |
T/A | NIC Apa Pun |
Load Balancer Jaringan passthrough eksternal berbasis kumpulan target tidak menggunakan grup instance atau NEG dan hanya mendukung load balancing ke antarmuka jaringan nic0.
Aturan firewall
Kumpulan aturan firewall—dari kebijakan firewall hierarkis, kebijakan firewall jaringan global, kebijakan firewall jaringan regional, dan aturan firewall VPC—bersifat unik untuk setiap antarmuka jaringan. Pastikan setiap jaringan memiliki aturan firewall yang sesuai untuk mengizinkan traffic yang ingin Anda izinkan masuk dan keluar dari instance multi-NIC. Untuk menentukan aturan firewall mana yang berlaku untuk antarmuka jaringan, dan sumber untuk setiap aturan, lihat Mendapatkan aturan firewall efektif untuk antarmuka VM.
Aturan firewall dapat dicakup ke instance VM tertentu menggunakan tag jaringan atau tag aman, yang keduanya berlaku untuk semua antarmuka jaringan instance. Untuk informasi selengkapnya, lihat Perbandingan tag aman dan tag jaringan.
Masalah umum
Bagian ini menjelaskan masalah umum terkait penggunaan beberapa antarmuka jaringan di Trusted Cloud.
Interaksi firewall saat menggunakan kembali ID VLAN dengan NIC Dinamis
Untuk VM generasi ketiga, menghapus dan menambahkan NIC Dinamis yang memiliki ID VLAN yang sama dapat memungkinkan akses tidak sah di berbagai jaringan VPC.
Pertimbangkan skenario berikut yang mencakup dua jaringan (network-1 dan
network-2) serta ID VLAN A:
- Anda menghapus NIC Dinamis dengan ID VLAN
Adarinetwork-1. - Dalam periode pelacakan koneksi Cloud NGFW selama 10 menit,
Anda membuat NIC Dinamis baru dengan ID VLAN yang sama
Adinetwork-2. - Traffic yang berasal dari NIC Dinamis baru di
network-2mungkin cocok dengan entri pelacakan koneksi yang ada yang sebelumnya dibuat oleh NIC Dinamis yang dihapus dinetwork-1.
Jika hal ini terjadi, traffic yang dikirim dari atau diterima oleh NIC Dinamis baru di network-2 mungkin diizinkan jika cocok dengan entri dalam tabel pelacakan koneksi Cloud NGFW, yang entri tersebut dibuat untuk koneksi yang digunakan oleh NIC Dinamis yang dihapus di network-1. Untuk menghindari masalah ini, lihat solusi berikut.
Solusi:
Untuk menghindari masalah ini, lakukan salah satu tindakan berikut:
- Setelah menghapus NIC Dinamis, jangan gunakan kembali ID VLAN-nya saat membuat NIC Dinamis baru.
- Setelah menghapus NIC Dinamis, tunggu setidaknya 10 menit untuk membuat NIC Dinamis baru yang menggunakan ID VLAN yang sama.
Untuk mengetahui informasi selengkapnya tentang pelacakan koneksi dan aturan firewall, lihat Spesifikasi dalam dokumentasi Cloud Next Generation Firewall.