Intervalos de IP de alias

Google Cloud Os intervalos de IP de alias permitem-lhe atribuir intervalos de endereços IP internos como aliases às interfaces de rede de uma máquina virtual (VM). Isto é útil se tiver vários serviços em execução numa VM e quiser atribuir a cada serviço um endereço IP diferente. Os intervalos de IP de alias também funcionam com pods do GKE.

Se tiver apenas um serviço em execução numa VM, pode fazer referência ao mesmo através do endereço IP principal da interface. Se tiver vários serviços em execução numa VM, é aconselhável atribuir a cada um um endereço IP interno diferente. Pode fazê-lo com intervalos de IP de alias.

Intervalos CIDR principal e secundário da sub-rede

Todas as sub-redes têm um intervalo CIDR principal, que é o intervalo de endereços IP internos que definem a sub-rede. Cada instância de VM recebe o respetivo endereço IP interno principal deste intervalo. Também pode atribuir intervalos de IPs de alias a partir desse intervalo principal ou adicionar um intervalo secundário à sub-rede e atribuir intervalos de IPs de alias a partir do intervalo secundário. A utilização de intervalos de IP de alias não requer intervalos de sub-redes secundários. Estes intervalos de sub-redes secundários são apenas uma ferramenta de organização.

Intervalos de IP de alias definidos numa interface de rede de VM

Com o alias de IP, pode configurar vários endereços IP internos que representam contentores ou aplicações alojadas numa VM, sem ter de definir uma interface de rede separada. Pode atribuir intervalos de IPs de alias de VMs a partir dos intervalos principais ou secundários da sub-rede.

O artigo Configure intervalos de IP de alias descreve comandos para configurar uma sub-rede com intervalos secundários e para atribuir endereços IP de alias a VMs.

O diagrama seguinte fornece uma ilustração básica dos intervalos CIDR primários e secundários, e dos intervalos de IP de alias da VM na interface principal da VM:

Intervalos CIDR principal e secundário, e intervalos de IP de alias de VMs.
Intervalos CIDR primários e secundários e intervalos de IP de alias de VMs (clique para aumentar).
  • Um intervalo CIDR principal 10.1.0.0/16 está configurado como parte de uma sub-rede.
  • Um intervalo CIDR secundário 10.2.0.0/20 está configurado como parte de uma sub-rede.
  • O IP principal da VM 10.1.0.2 é atribuído a partir do intervalo CIDR principal, 10.1.0.0/16, enquanto um intervalo de IPs de alias, 10.2.1.0/24, é atribuído na VM a partir do intervalo CIDR secundário, 10.2.0.0/20.
  • Os endereços no intervalo de IPs de alias são usados como os endereços IP dos contentores alojados na VM.

Principais vantagens dos intervalos de IP de alias

Quando os intervalos de IP de alias estão configurados, Google Cloud instala automaticamente rotas de rede da nuvem privada virtual (VPC) para intervalos de IP primários e de alias para a sub-rede da interface de rede primária. O orquestrador de contentores não precisa de especificar a conetividade da rede VPC para estas rotas. Isto simplifica o encaminhamento do tráfego e a gestão dos seus contentores. Tem de fazer a configuração no convidado, conforme descrito em Propriedades principais de intervalos de IP de alias.

Quando os endereços IP dos contentores são atribuídos pelo Google Cloud, os processos de validação no Google Cloud garantem que os endereços IP dos pods de contentores não entram em conflito com os endereços IP das VMs.

Quando os endereços IP de alias estão configurados, são realizadas verificações anti-roubo de identidade no tráfego, o que garante que o tráfego que sai das VMs usa os endereços IP das VMs e os endereços IP dos pods como endereços de origem. As verificações antispam confirmam que as VMs não enviam tráfego com endereços IP de origem arbitrários. A utilização de rotas estáticas para a rede de contentores seria uma abordagem menos segura em comparação com a atribuição de vários IPs, uma vez que exigiria que as verificações anti-roubo de identidade fossem desativadas nas VMs de anfitrião de contentores (as verificações anti-roubo de identidade são desativadas quando o encaminhamento de IP está ativado).

Os intervalos de IPs de alias são encaminháveis na Google Cloud rede virtual sem necessitar de rotas adicionais. Não tem de adicionar uma rota para cada alias de IP e não tem de ter em conta as quotas de rotas.

Os endereços IP de alias podem ser anunciados pelo Cloud Router a uma rede local ligada através de VPN ou Interconnect.

Existem vantagens em atribuir intervalos de IP de alias a partir de um intervalo CIDR secundário. Ao fazer a atribuição a partir de um intervalo separado do intervalo usado para endereços IP principais, pode separar a infraestrutura (MV) dos serviços (contentores). Quando configura espaços de endereços separados para a infraestrutura e os serviços, pode configurar os controlos de firewall para endereços IP de alias de VMs separadamente dos controlos de firewall para os endereços IP principais de uma VM. Por exemplo, pode permitir determinado tráfego para pods de contentores e negar tráfego semelhante para o endereço IP principal da VM.

Arquitetura de contentores em Google Cloud

Considere um cenário em que quer configurar serviços contentorizados na parte superior do Google Cloud. Tem de criar as VMs que vão alojar os serviços e, além disso, os contentores.

Neste cenário, quer encaminhar o tráfego de e para os contentores de e para localizações no local que estão ligadas através de uma VPN. No entanto, não quer que os endereços IP da VM principal sejam acessíveis através da VPN. Para criar esta configuração, o intervalo de IPs do contentor tem de ser encaminhável através da VPN, mas não o intervalo de IPs principal da VM. No momento da criação da VM, também quer atribuir automaticamente um conjunto de endereços IP que são usados para o contentor.

Para criar esta configuração, faça o seguinte:

  • Quando cria a sub-rede, configura o
    • Um intervalo CIDR principal, por exemplo, 10.128.0.0/16
    • Um intervalo CIDR secundário, por exemplo, 172.16.0.0/16
  • Use um modelo de instância para criar VMs e atribuir automaticamente a cada uma o seguinte:
    • Um IP principal do intervalo 10.128.0.0/16
    • Um intervalo de alias /24 do espaço CIDR secundário172.16.0.0/16, para que possa atribuir a cada contentor numa VM um IP do intervalo CIDR /24secundário
  • Crie duas regras de firewall.
    • Uma regra que nega o tráfego que viaja através da VPN a partir de local de alcançar o intervalo CIDR principal da sub-rede.
    • Uma regra que permite que o tráfego que viaja através da VPN a partir de localizações no local alcance o intervalo CIDR secundário da sub-rede.

Exemplo: configure contentores com intervalos de IP de alias

Ao usar intervalos de IPs de alias, os endereços IP do contentor podem ser atribuídos a partir de um intervalo CIDR secundário e configurados como endereços IP de alias na VM que está a alojar o contentor.

Configurar contentores com endereços IP de alias.
Configurar contentores com endereços IP de alias (clique para aumentar).

Para criar a configuração ilustrada acima:

  1. Crie uma sub-rede com um intervalo CIDR 10.128.0.0/16, a partir do qual são alocados endereços IP de VMs, e um intervalo CIDR secundário 172.16.0.0/20 para uso exclusivo dos contentores, que será configurado como intervalos de IP de alias na VM que os está a alojar:

    gcloud compute networks subnets create subnet-a \
    --network network-a \
    --range 10.128.0.0/16 \
    --secondary-range container-range=172.16.0.0/20

  2. Crie VMs com um IP principal do intervalo 10.128.0.0/16 e um intervalo de IP de alias 172.16.0.0/24 do intervalo CIDR secundário 172.16.0.0/20 para os contentores nessa VM usarem:

    gcloud compute instances create vm1 [...] \
    --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
gcloud compute instances create vm2 [...] \
    --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24

  3. Os endereços IP do contentor são configurados Google Cloud como endereços IP de alias. Nesta configuração, os IPs principais e de alias vão estar acessíveis através do túnel VPN. Se o Cloud Router estiver configurado, anuncia automaticamente o intervalo de sub-rede secundário 172.16.0.0/20. Para mais informações sobre a utilização da VPN com o Cloud Router, consulte o artigo Criar um túnel de VPN com encaminhamento dinâmico.

Para mais informações sobre os comandos usados para criar esta configuração, consulte o artigo Configure endereços IP e intervalos de alias.

Exemplo: vários intervalos de IP de alias configurados numa única instância de VM

Os intervalos de IPs de alias permitem-lhe gerir a atribuição de IPs para aplicações em execução em VMs, incluindo com contentores.

Pode ter uma implementação em que alguns contentores são migráveis entre VMs e outros não. Os contentores migráveis podem ser configurados através de intervalos /32, o que facilita a migração individual. Os contentores não migráveis podem ser configurados com um intervalo maior, uma vez que permanecem juntos.

Nestes tipos de implementações, pode precisar de mais do que um intervalo de IPs alias por instância de VM, por exemplo, um /27 para contentores não migráveis e vários /32s para contentores migráveis.

Configurar VMs com vários intervalos de IP de alias.
Configurar VMs com vários intervalos de IPs de alias (clique para aumentar).

Para configurar este exemplo, use os seguintes comandos gcloud:

gcloud compute networks create vpc1 --subnet-mode custom

gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20

gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"

gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"

Endereços IP de alias em sub-redes e redes VPC de modo automático

As sub-redes criadas automaticamente nas redes VPC de modo automático têm cada uma um intervalo CIDR principal, mas nenhum intervalo secundário. Para usar o IP de alias com uma rede VPC no modo automático, pode atribuir intervalos de IPs de alias a partir do intervalo CIDR principal da sub-rede criada automaticamente ou adicionar um intervalo secundário à sub-rede criada automaticamente e atribuir intervalos de IPs de alias a partir do novo intervalo secundário.

Em alternativa, pode criar uma nova sub-rede com intervalos secundários na rede VPC de modo automático, desde que nenhum dos respetivos intervalos se sobreponha a 10.128.0.0/9. Em seguida, pode criar instâncias de VM na nova sub-rede e atribuir intervalos de IP de alias a partir de qualquer intervalo nessa sub-rede.

Se quiser adicionar intervalos secundários à sua sub-rede, consulte o artigo Adicione intervalos CIDR secundários a uma sub-rede existente.

Endereços IP de alias em redes e sub-redes de modo personalizado

Em redes de modo personalizado:

  • Todas as sub-redes são criadas manualmente
  • É obrigatório um intervalo CIDR principal.
  • Opcionalmente, pode criar intervalos CIDR secundários.

Propriedades principais dos intervalos de IP de alias

As seguintes propriedades aplicam-se a intervalos de IP de alias configurados em VMs:

  • Do ponto de vista do SO da VM, o endereço IP principal e o gateway predefinido são normalmente atribuídos através do DHCP. Os endereços IP de alias podem ser configurados no SO da VM, que é normalmente Linux ou Windows, manual ou através de scripts.
  • O endereço IP principal e o intervalo de IPs de alias da interface têm de ser atribuídos a partir de intervalos CIDR configurados como parte da mesma sub-rede. Tenha em atenção os seguintes requisitos:
    • O endereço IP principal tem de ser atribuído a partir do intervalo principal CIDR.
    • O intervalo de IPs de alias pode ser atribuído a partir do intervalo CIDR principal ou de um intervalo CIDR secundário dessa mesma sub-rede.
    • Para uma interface de rede de VM, o IP do alias tem de ser do mesmo recurso de sub-rede que fornece o endereço IP para a interface de rede principal. Não pode selecionar um intervalo CIDR principal ou secundário de outro recurso de sub-rede.
    • O endereço IP principal pode ser um endereço IP interno estático ou efémero.
    • Os intervalos de IPs de alias são opcionais e não são adicionados automaticamente. Pode configurar um intervalo de IPs de alias durante a criação ou a modificação da instância.
    • Pode configurar um intervalo de IPs de alias como um intervalo CIDR explícito (por exemplo, 10.128.1.0/24), um único endereço IP (por exemplo, 10.128.7.29/32) ou uma máscara de rede (/24). Pode especificar totalmente um intervalo de IPs de alias ou atribuí-lo automaticamente especificando a máscara de rede.
    • Para usar um único endereço IP num intervalo de IPs de alias, use a /32máscara de rede.
    • Uma vez que todas as sub-redes numa rede VPC partilham um único gateway predefinido, todos os endereços IP alias numa interface partilham o mesmo gateway predefinido que o endereço IP principal.
    • Não pode usar endereços IP reservados em intervalos de IP de alias.
Os IPs de alias numa interface partilham o mesmo gateway predefinido que o endereço IP principal.
Os IPs alternativos numa interface partilham o mesmo gateway predefinido que o endereço IP principal (clique para aumentar).

DNS com endereços IP de alias

Google Cloud configura automaticamente o DNS interno para o IP principal da interface principal de cada instância de VM. Isto associa o nome de anfitrião da instância ao endereço IP principal da interface principal. No entanto, a pesquisa de DNS nesse nome de anfitrião só funciona na rede que contém a interface principal.

Google Cloud não associa automaticamente outros endereços IP ao nome do anfitrião. Google Cloud não associa endereços IP de alias na interface principal ao nome do anfitrião e não associa endereços IP de interfaces secundárias ao nome do anfitrião.

Pode configurar manualmente o DNS para associar outros endereços IP.

Firewalls

Todo o tráfego de entrada ou saída, incluindo o tráfego para intervalos de IP de alias, é avaliado por uma regra de firewall da VPC para uma etiqueta de destino ou uma conta de serviço de destino correspondente. Para ver detalhes sobre alvos e IPs alternativos, consulte o artigo Alvos e endereços IP.

Os intervalos de IPs de alias não são incluídos quando especifica origens para uma regra de firewall de entrada através de etiquetas de origem ou contas de serviço de origem.

Rotas estáticas

Quando cria uma rota estática que usa uma instância de próximo salto especificada por um endereço IPv4 interno, Google Cloud verifica se o endereço IP da VM de próximo salto se enquadra num intervalo IPv4 de sub-rede de uma sub-rede na rede VPC da rota. No entanto, Google Cloud programa a rota apenas se o endereço do próximo salto for um endereço IPv4 interno principal atribuído a uma interface de rede (NIC) de uma VM na rede da VPC da rota (não numa rede da VPC interligada).

Embora possa criar uma rota cujo endereço do próximo salto seja um endereço IPv4 interno que se enquadre num intervalo de IPs de alias, Google Cloud não programaGoogle Cloud essa rota. Considera que o próximo salto está inativo. Os pacotes enviados para o destino da rota podem ser ignorados, consoante existam outras rotas para o mesmo destino exato e se essas outras rotas tiverem saltos seguintes em execução.

Para mais informações, consulte:

Intercâmbio de redes da VPC

O intercâmbio da rede da VPC permite-lhe estabelecer o intercâmbio de duas redes da VPC para que as VMs nas duas redes possam comunicar através de endereços IP internos e privados.

Os intervalos de IP principal e secundário de uma sub-rede são acessíveis pelas instâncias de VM numa rede com peering.

As verificações de sobreposição de sub-redes nas redes com peering garantem que os intervalos primários e secundários não se sobrepõem a nenhum intervalo com peering.

Atribuição de alias de IP com intercâmbio de rede.
Aliasing de IP com interconexão de rede (clique para aumentar).

O que se segue?