Interfacce di rete multiple
Questa pagina fornisce una panoramica delle più interfacce di rete per le istanze VM di Compute Engine. Le istanze con più interfacce di rete sono chiamate istanze multi-NIC.
Un'istanza ha sempre almeno un'interfaccia di rete virtuale (vNIC). A seconda del tipo di macchina, puoi configurare interfacce di rete aggiuntive.
Casi d'uso
Le istanze con più NIC sono utili nei seguenti scenari:
Per connettersi alle risorse in reti VPC separate: le istanze con più NIC possono connettersi a risorse situate in reti VPC diverse che non sono connesse tra loro tramite il peering di rete VPC o Network Connectivity Center.
Poiché ogni interfaccia di un'istanza con più NIC si trova in una rete VPC separata, puoi utilizzare ogni interfaccia per uno scopo unico. Ad esempio, puoi utilizzare alcune interfacce per instradare i pacchetti tra le reti VPC che trasportano il traffico di produzione e un'altra interfaccia per scopi di gestione o configurazione.
All'interno del sistema operativo guest di ogni istanza con più NIC, devi configurare le norme di routing e le tabelle di routing locali.
Instradamento dei pacchetti tra reti VPC: le istanze con più NIC possono essere utilizzate come hop successivi per le route per connettere due o più reti VPC.
Il software in esecuzione nel sistema operativo guest di un'istanza multi-NIC può eseguire l'ispezione dei pacchetti, Network Address Translation (NAT) o un'altra funzione di sicurezza di rete.
Quando connetti reti VPC utilizzando istanze con più NIC, è una best practice configurare due o più istanze con più NIC, utilizzandole come backend per un bilanciatore del carico di rete passthrough interno in ogni rete VPC. Per ulteriori informazioni, consulta la sezione Casi d'uso nella documentazione relativa ai bilanciatori del carico di rete passthrough interni come hop successivi.
Puoi anche utilizzare istanze multi-NIC con interfacce Private Service Connect per connettere reti di producer e consumer di servizi in progetti diversi.
Tipi di interfacce di rete
Trusted Cloud supporta i seguenti tipi di interfacce di rete:
vNICs: le interfacce di rete virtuali delle istanze di Compute Engine. Ogni istanza deve avere almeno una vNIC. Le vNIC nelle reti VPC regolari possono essere
GVNIC,VIRTIO_NEToIDPF. Puoi configurare le vNIC solo quando crei un'istanza.NIC dinamiche (anteprima): un'interfaccia secondaria di una vNIC principale. Puoi configurare le NIC dinamiche quando crei un'istanza o aggiungerle in un secondo momento. Per ulteriori informazioni, vedi NIC dinamiche.
Puoi anche configurare istanze con più NIC utilizzando tipi di macchine che
includono interfacce di rete RDMA (MRDMA), che devono essere
collegate a una rete VPC con un
profilo di rete RDMA. Altri tipi di interfaccia di rete, incluse le NIC dinamiche, non sono supportati nelle reti VPC con un profilo di rete RDMA.
Specifiche
Le seguenti specifiche si applicano alle istanze con più interfacce di rete:
Istanze e interfacce di rete: ogni istanza ha un'interfaccia
nic0. Il numero massimo di interfacce di rete varia a seconda del tipo di macchina dell'istanza.- Ogni interfaccia ha un tipo di stack associato, che determina i tipi di stack di subnet e le versioni dell'indirizzo IP supportati. Per saperne di più, consulta Tipo di stack e indirizzi IP.
Rete unica per ogni interfaccia di rete: ad eccezione delle reti VPC create con un profilo di rete RDMA, ogni interfaccia di rete deve utilizzare una subnet in una rete VPC unica.
Per le reti VPC create con un profilo di rete RDMA, più NIC RDMA possono utilizzare la stessa rete VPC, a condizione che ogni NIC RDMA utilizzi una subnet univoca.
Prima di poter creare un'istanza la cui interfaccia di rete utilizzi la rete e la subnet, devono esistere una rete VPC e una subnet. Per ulteriori informazioni sulla creazione di reti e subnet, consulta Crea e gestisci reti VPC.
Progetto di istanza e subnet: per le istanze con più NIC in progetti autonomi, ogni interfaccia di rete deve utilizzare una subnet che si trova nello stesso progetto dell'istanza.
Per le istanze nei progetti host o di servizio VPC condiviso, consulta VPC condiviso .
Le interfacce Private Service Connect forniscono un modo per un'istanza con più NIC di avere interfacce di rete in subnet in progetti diversi. Per ulteriori informazioni, consulta Informazioni sugli allegati di rete.
Considerazioni su inoltro IP, MTU e routing: le istanze con più NIC richiedono un'attenta pianificazione per le seguenti opzioni di configurazione specifiche per istanza e interfaccia:
L'opzione di inoltro IP è configurabile per ogni istanza e si applica a tutte le interfacce di rete. Per saperne di più, vedi Attivare l'inoltro IP per le istanze.
Ogni interfaccia di rete può utilizzare un'unità massima di trasmissione (MTU) univoca, corrispondente all'MTU della rete VPC associata. Per ulteriori informazioni, vedi Unità massima di trasmissione.
Ogni istanza riceve una route predefinita utilizzando l'opzione DHCP 121, come definito dalla RFC 3442. La route predefinita è associata a
nic0. Se non manualmente configurato in modo diverso, il traffico che lascia un'istanza per qualsiasi destinazione diversa da una subnet con collegamento diretto lascerà l'istanza utilizzando la route predefinita sunic0.Sui sistemi Linux, puoi configurare regole e route personalizzate all'interno del sistema operativo guest utilizzando il file
/etc/iproute2/rt_tablese i comandiip ruleeip route. Per saperne di più, consulta la documentazione del sistema operativo guest. Per un esempio, consulta il seguente tutorial: Configurare il routing per un'interfaccia aggiuntiva.
NIC dinamiche
Le NIC dinamiche sono utili nei seguenti scenari:
Devi aggiungere o rimuovere interfacce di rete da istanze esistenti. L'aggiunta o la rimozione di NIC dinamiche non richiede il riavvio o la ricreazione dell'istanza.
Ti servono più interfacce di rete. Il numero massimo di vNIC per la maggior parte dei tipi di macchine in Trusted Cloud è 10; tuttavia, puoi configurare fino a 16 interfacce totali utilizzando le NIC dinamiche. Per ulteriori informazioni, consulta Numero massimo di interfacce di rete.
Devi configurare istanze bare metal Compute Engine con più NIC, che hanno una sola vNIC.
Proprietà delle NIC dinamiche
Consulta le seguenti informazioni sulle proprietà delle NIC dinamiche:
Le NIC dinamiche sono interfacce VLAN che utilizzano il formato di pacchetto standard IEEE 802.1Q. Consulta le seguenti considerazioni:
- L'ID VLAN di una NIC dinamica deve essere un numero intero compreso tra 2 e 255.
- L'ID VLAN di una NIC dinamica deve essere univoco all'interno di una vNIC padre. Tuttavia, le NIC dinamiche che appartengono a vNIC padre diverse possono utilizzare lo stesso ID VLAN.
Trusted Cloud utilizza il seguente formato per il nome di una NIC dinamica:
nicNUMBER.VLAN_ID, dovenicNUMBERè il nome della vNIC principale, ad esempionic0.VLAN_IDè l'ID VLAN che hai impostato, ad esempio4.
Un esempio di nome NIC dinamico è
nic0.4.La creazione di un'istanza con NIC dinamiche o l'aggiunta di NIC dinamiche a un'istanza esistente richiede passaggi aggiuntivi per installare e gestire le interfacce VLAN corrispondenti nel sistema operativo guest. Puoi utilizzare uno dei seguenti metodi:
- Configura la gestione automatica delle NIC dinamiche utilizzando l'agente guest Google.
- Configura manualmente il sistema operativo guest.
Per maggiori informazioni, vedi Configura il sistema operativo guest per le NIC dinamiche.
Le NIC dinamiche condividono la larghezza di banda della vNIC padre e non esiste isolamento del traffico all'interno di una vNIC padre. Per impedire a una delle interfacce di rete di consumare tutta la larghezza di banda, devi creare un criterio di traffico specifico per l'applicazione nel sistema operativo guest per dare la priorità o distribuire il traffico, ad esempio utilizzando Linux Traffic Control (TC).
Le NIC dinamiche condividono le stesse code di ricezione e trasmissione della vNIC padre.
Limitazioni delle NIC dinamiche
Consulta le seguenti limitazioni delle NIC dinamiche:
Non puoi modificare le seguenti proprietà di una NIC dinamica dopo la creazione:
- La vNIC padre a cui appartiene la NIC dinamica.
- L'ID VLAN della NIC dinamica.
Le NIC dinamiche non supportano quanto segue:
- Protezione DDoS avanzata della rete e criteri di sicurezza perimetrale della rete per Google Cloud Armor
- Configurazione degli indirizzi IP utilizzando le configurazioni per istanza per i MIG.
- Interfacce solo IPv6 (anteprima)
- Funzionalità che si basano sull'intercettazione dei pacchetti, come gli endpoint firewall
- Sistemi operativi (OS) Windows
Una NIC dinamica con una vNIC padre di tipo
GVNICpotrebbe riscontrare una perdita di pacchetti con alcune dimensioni MTU personalizzate. Per evitare la perdita di pacchetti, non utilizzare le seguenti dimensioni MTU: 1986 byte, 3986 byte, 5986 byte e 7986 byte.Per le VM di terza generazione, una NIC dinamica con un ID VLAN di
255non può accedere all'indirizzo IP del server dei metadati. Se devi accedere al server dei metadati, assicurati di utilizzare un ID VLAN diverso.Per le VM di terza generazione, l'eliminazione e l'aggiunta di una NIC dinamica con lo stesso ID VLAN potrebbe consentire l'accesso non autorizzato a diverse reti VPC. Per ulteriori informazioni, vedi Problemi noti.
Tipi di stack e indirizzi IP
Quando crei una vNIC, specifichi uno dei seguenti tipi di stack di interfaccia:
- Solo IPv4
- Dual-stack
Solo IPv6 (anteprima)
La seguente tabella descrive i tipi di stack di subnet supportati e i dettagli dell'indirizzo IP per ogni tipo di stack di interfaccia:
| Interfaccia | Subnet solo IPv4 | Subnet a doppio stack | Subnet solo IPv6 (anteprima) | Dettagli dell'indirizzo IP |
|---|---|---|---|---|
| Solo IPv4 (stack singolo) | Solo indirizzi IPv4. Consulta i dettagli dell'indirizzo IPv4. | |||
| IPv4 e IPv6 (stack doppio) | Indirizzi IPv4 e IPv6. Consulta Dettagli dell'indirizzo IPv4 e Dettagli dell'indirizzo IPv6 | |||
| Solo IPv6 (stack singolo) (anteprima) | Solo indirizzi IPv6. Consulta Dettagli dell'indirizzo IPv6. |
Modifica del tipo di stack dell'interfaccia di rete
Puoi modificare il tipo di stackdi un'interfaccia di rete nel seguente modo:
Puoi convertire un'interfaccia solo IPv4 in un'interfaccia a doppio stack se la subnet dell'interfaccia è una subnet a doppio stack o se arresti l'istanza e assegni l'interfaccia a una subnet a doppio stack.
Puoi convertire un'interfaccia a doppio stack in solo IPv4.
Non puoi modificare il tipo di stack di un'interfaccia solo IPv6. Le interfacce solo IPv6 (anteprima) sono supportate solo durante la creazione delle istanze.
Dettagli indirizzo IPv4
Ogni interfaccia di rete solo IPv4 o a doppio stack riceve un indirizzo IPv4 interno principale. Ogni interfaccia supporta facoltativamente intervalli IP alias e un indirizzo IPv4 esterno. Di seguito sono riportate le specifiche e i requisiti IPv4:
Indirizzo IPv4 interno principale: Compute Engine assegna all'interfaccia di rete un indirizzo IPv4 interno principale dall'intervallo di indirizzi IPv4 principale della subnet dell'interfaccia. L'indirizzo IPv4 interno principale viene allocato da DHCP.
Puoi controllare quale indirizzo IPv4 interno principale viene assegnato configurando un indirizzo IPv4 interno statico o specificando un indirizzo IPv4 interno temporaneo personalizzato.
All'interno di una rete VPC, l'indirizzo IPv4 interno principale di ogni interfaccia di rete VM è univoco.
Intervalli IP alias: facoltativamente, puoi assegnare all'interfaccia uno o più intervalli IP alias. Ogni intervallo IP alias può provenire dall'intervallo di indirizzi IPv4 principale o da un intervallo di indirizzi IPv4 secondario della subnet dell'interfaccia.
- All'interno di una rete VPC, l'intervallo IP alias di ogni interfaccia deve essere univoco.
Indirizzo IPv4 esterno: facoltativamente, puoi assegnare all'interfaccia un indirizzo IPv4 esterno temporaneo o riservato. Trusted Cloud garantisce l'univocità di ogni indirizzo IPv4 esterno.
Dettagli dell'indirizzo IPv6
Compute Engine assegna a ogni interfaccia di rete a doppio stack o solo IPv6
(anteprima) un intervallo di indirizzi IPv6 /96 dall'intervallo di indirizzi IPv6 /64 della subnet dell'interfaccia:
Se l'intervallo di indirizzi IPv6
/96è interno o esterno dipende dal tipo di accesso IPv6 della subnet dell'interfaccia. Trusted Cloud garantisce l'unicità di ogni intervallo di indirizzi IPv6 interni ed esterni. Per ulteriori informazioni, consulta le specifiche IPv6.- Se un'istanza ha bisogno sia di un intervallo di indirizzi IPv6 interni sia di un intervallo di indirizzi IPv6 esterni, devi configurare due interfacce a doppio stack, due interfacce solo IPv6 o un'interfaccia a doppio stack e un'interfaccia solo IPv6. La subnet utilizzata da un'interfaccia deve avere un intervallo di indirizzi IPv6 esterni, mentre la subnet utilizzata dall'altra interfaccia deve avere un intervallo di indirizzi IPv6 interni.
Il primo indirizzo IPv6 (
/128) viene configurato sull'interfaccia tramite DHCP. Per saperne di più, vedi Assegnazione di indirizzi IPv6.Puoi controllare quale intervallo di indirizzi IPv6
/96viene assegnato configurando un intervallo di indirizzi IPv6 interno statico o esterno. Per gli indirizzi IPv6 interni, puoi specificare un indirizzo IPv6 interno temporaneo personalizzato.
Se connetti un'istanza a più reti utilizzando indirizzi IPv6, installa google-guest-agent versione 20220603.00 o successive. Per ulteriori informazioni, vedi Non riesco a connettermi all'indirizzo IPv6 di un'interfaccia secondaria.
Numero massimo di interfacce di rete
Per la maggior parte dei tipi di macchina, il numero massimo di interfacce di rete che puoi collegare a un'istanza viene scalato in base al numero di vCPU, come descritto nelle tabelle seguenti.
Di seguito sono riportate le eccezioni specifiche per le macchine:
Le istanze bare metal di Compute Engine supportano una sola vNIC.
Il numero massimo di vNIC è diverso per alcuni tipi di macchina ottimizzati per l'acceleratore, come A3, A4 e A4X. Per saperne di più, consulta la pagina Famiglia di macchine ottimizzate per l'acceleratore.
Numeri massimi di interfacce
Utilizza la seguente tabella per determinare quante interfacce di rete possono essere collegate a un'istanza.
| Numero di vCPU | Numero massimo di vNIC | Numero massimo di NIC dinamiche | Numero massimo di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 2 o meno | 2 | 1 | 2 |
| 4 | 4 | 3 | 4 |
| 6 | 6 | 5 | 6 |
| 8 | 8 | 7 | 8 |
| 10 | 10 | 9 | 10 |
| 12 | 10 | 10 | 11 |
| 14 | 10 | 11 | 12 |
| 16 | 10 | 12 | 13 |
| 18 | 10 | 13 | 14 |
| 20 | 10 | 14 | 15 |
| 22 o più | 10 | 15 | 16 |
Formule di riferimento
La seguente tabella fornisce le formule utilizzate per calcolare il numero massimo di interfacce di rete per un'istanza. La formula dipende dal numero di vCPU.
| Numero di vCPU (X) | Numero massimo di vNIC | Numero massimo di NIC dinamiche | Numero massimo di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
X=1 |
2 |
1 |
2 |
2 ≤ X ≤ 10 |
X |
(X-1) |
X |
X ≥ 12 |
10 |
min(15, (X-10)/2 + 9) |
min(16, (X-10)/2 + 10) |
Esempi di distribuzioni di NIC dinamiche
Non devi distribuire le NIC dinamiche in modo uniforme tra le vNIC. Tuttavia, potresti volere una distribuzione uniforme perché le NIC dinamiche condividono la larghezza di banda della vNIC padre.
Un'istanza deve avere almeno una vNIC. Ad esempio, un'istanza con 2 vCPU può avere una delle seguenti configurazioni:
- 1 vNIC
- 2 vNIC
- 1 vNIC e 1 NIC dinamica
Le tabelle seguenti forniscono configurazioni di esempio che distribuiscono uniformemente le NIC dinamiche tra le vNIC utilizzando il numero massimo di interfacce di rete per un determinato numero di vCPU.
2 vCPU, 2 NIC
La tabella seguente fornisce esempi per un'istanza con 2 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 2 | 1 | 1 | 2 |
| 2 | 0 |
4 vCPU, 4 NIC
La tabella seguente fornisce esempi per un'istanza con 4 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 4 | 1 | 3 | 4 |
| 2 | 1 | ||
| 4 | 0 |
8 vCPU, 8 NIC
La tabella seguente fornisce esempi per un'istanza con 8 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 8 | 1 | 7 | 8 |
| 2 | 3 | ||
| 4 | 1 | ||
| 8 | 0 |
14 vCPU, 12 NIC
La tabella seguente fornisce esempi per un'istanza con 12 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 14 | 1 | 11 | 12 |
| 2 | 5 | ||
| 4 | 2 | ||
| 6 | 1 |
22 vCPU, 16 NIC
La tabella seguente fornisce esempi per un'istanza con 22 vCPU che mostrano quante NIC dinamiche puoi avere per un determinato numero di vNIC.
| Numero di vCPU | Numero di vNIC | Numero di NIC dinamiche per vNIC | Numero totale di interfacce di rete (vNIC + NIC dinamiche) |
|---|---|---|---|
| 22 | 1 | 15 | 16 |
| 2 | 7 | ||
| 4 | 3 | ||
| 8 | 1 |
Interazioni con il prodotto
Questa sezione descrive le interazioni tra le istanze con più NIC e altri prodotti e funzionalità in Trusted Cloud.
VPC condiviso
Ad eccezione delle interfacce Private Service Connect, la relazione tra subnet e progetto di un'istanza con più NIC in un progetto host o di servizio VPC condiviso è la seguente:
Ogni interfaccia di rete di un'istanza con più NIC che si trova in un progetto host VPC condiviso deve utilizzare una subnet di una rete VPC condivisa nel progetto host.
Ogni interfaccia di rete di un'istanza con più NIC che si trova in un progetto di servizio VPC condiviso può utilizzare una delle seguenti opzioni:
- Una subnet di una rete VPC nel progetto di servizio.
- Una subnet di una rete VPC condiviso nel progetto host.
Per ulteriori informazioni sul VPC condiviso, consulta:
DNS interno di Compute Engine
Compute Engine crea record A e PTR del nome DNS interno solo per l'indirizzo IPv4 interno principale dell'interfaccia di rete nic0 di un'istanza. Compute Engine non crea record DNS interni per qualsiasi indirizzo IPv4 o IPv6 associato a un'interfaccia di rete diversa da nic0.
Per ulteriori informazioni, consulta la pagina DNS interno di Compute Engine.
Route statiche
Le route statiche possono essere limitate a istanze specifiche utilizzando i tag di rete. Quando un tag di rete è associato a un'istanza, il tag si applica a tutte le interfacce di rete dell'istanza. Di conseguenza, l'aggiunta o la rimozione di un tag di rete da un'istanza potrebbe modificare le route statiche applicate a qualsiasi interfaccia di rete dell'istanza.
Bilanciatori del carico
I backend di gruppi di istanze e i backend NEG a livello di zona hanno ciascuno una rete VPC associata, come segue:
Per i gruppi di istanze gestite (MIG), la rete VPC per il gruppo di istanze è la rete VPC assegnata all'interfaccia
nic0nel modello di istanza.Per i gruppi di istanze non gestite, la rete VPC per il gruppo di istanze è la rete VPC utilizzata dall'interfaccia di rete
nic0della prima istanza che aggiungi al gruppo di istanze non gestite.
La seguente tabella mostra quali backend supportano la distribuzione di connessioni o richieste a qualsiasi interfaccia di rete.
| Bilanciatore del carico | Gruppi di istanze | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| Bilanciatore del carico di rete passthrough esterno basato sui servizi di backend Il servizio di backend non è associato a una rete VPC. Per maggiori informazioni, consulta Servizi di backend e reti VPC. |
Solo nic0 |
Qualsiasi NIC | N/D |
| Bilanciatore del carico di rete passthrough interno Il servizio di backend è associato a una rete VPC. Per ulteriori informazioni, consulta Specifica di rete del servizio di backend e Regole di rete del servizio di backend. |
Qualsiasi NIC | Qualsiasi NIC | N/D |
| Bilanciatore del carico di rete proxy esterno Per ulteriori informazioni sui requisiti di servizio di backend e di rete, vedi Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico di rete proxy interno Per ulteriori informazioni sui requisiti di servizio di backend e di rete, vedi Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico delle applicazioni esterno Per ulteriori informazioni sui requisiti di rete e del servizio di backend, vedi Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
| Bilanciatore del carico delle applicazioni interno Per ulteriori informazioni sui requisiti di servizio di backend e di rete, vedi Backend e reti VPC. |
Solo nic0 |
N/D | Qualsiasi NIC |
I bilanciatori del carico di rete passthrough esterni basati su pool di destinazione non utilizzano gruppi di istanze o NEG e
supportano solo il bilanciamento del carico sulle interfacce di rete nic0.
Regole firewall
Il set di regole firewall, da criteri firewall gerarchici, criteri firewall di rete globali, criteri firewall di rete regionali e regole firewall VPC, sono univoci per ogni interfaccia di rete. Assicurati che ogni rete disponga di regole firewall appropriate per consentire il traffico che vuoi consentire da e verso un'istanza multi-NIC. Per determinare quali regole firewall si applicano a un'interfaccia di rete e l'origine di ogni regola, consulta Recuperare le regole firewall effettive per un'interfaccia VM.
Le regole firewall possono essere limitate a istanze VM specifiche utilizzando tag di rete o tag sicuri, entrambi applicabili a tutte le interfacce di rete di un'istanza. Per maggiori informazioni, vedi Confronto tra tag sicuri e tag di rete.
Problemi noti
Questa sezione descrive i problemi noti relativi all'utilizzo di più interfacce di rete in Trusted Cloud.
Interazioni firewall quando si riutilizza un ID VLAN con NIC dinamiche
Per le VM di terza generazione, l'eliminazione e l'aggiunta di una NIC dinamica con lo stesso ID VLAN potrebbe consentire l'accesso non autorizzato a diverse reti VPC.
Considera il seguente scenario che include due reti (network-1 e
network-2) e un ID VLAN A:
- Elimini una NIC dinamica con ID VLAN
Adanetwork-1. - Entro il periodo di monitoraggio della connessione Cloud NGFW di 10 minuti,
crei una nuova NIC dinamica con lo stesso ID VLAN
Ainnetwork-2. - Il traffico proveniente dalla nuova NIC dinamica in
network-2potrebbe corrispondere a una voce di monitoraggio della connessione esistente creata in precedenza dalla NIC dinamica eliminata innetwork-1.
In questo caso, il traffico inviato o ricevuto dalla nuova
NIC dinamica in network-2 potrebbe essere consentito se corrisponde a una
voce nella tabella di monitoraggio delle connessioni Cloud NGFW, in cui la voce
è stata creata per una connessione utilizzata dalla NIC dinamica eliminata in network-1. Per evitare questo problema, consulta la seguente soluzione alternativa.
Soluzione temporanea:
Per evitare questo problema, esegui una delle seguenti operazioni:
- Dopo aver eliminato una NIC dinamica, non riutilizzare il relativo ID VLAN quando crei una nuova NIC dinamica.
- Dopo aver eliminato una NIC dinamica, attendi almeno 10 minuti per creare una nuova NIC dinamica che utilizzi lo stesso ID VLAN.
Per ulteriori informazioni sul monitoraggio delle connessioni e sulle regole firewall, consulta Specifiche nella documentazione di Cloud Next Generation Firewall.