Comunicação dentro da rede
As rotas de sub-rede geradas pelo sistema definem os caminhos para enviar tráfego entre instâncias dentro da rede usando endereços IP internos. Para que uma instância possa se comunicar com outra, as regras de firewall apropriadas também precisam ser configuradas, porque cada rede tem uma regra de firewall de negação implícita para o tráfego de entrada.
Exceto para a rede padrão, é necessário criar explicitamente regras de firewall de entrada com prioridade mais alta para permitir que as instâncias se comuniquem umas com as outras. A rede padrão inclui várias regras de firewall, além das regras implícitas, incluindo a regra default-allow-internal, que permite a comunicação de instância a instância na rede. A rede padrão também vem com regras de entrada que permitem protocolos como RDP e SSH.
As regras que vêm com a rede padrão também são apresentadas como opções para você aplicar a novas redes VPC de modo automático criadas com o console do Google Cloud.
Requisitos de acesso à Internet
Os seguintes critérios precisam ser atendidos para que uma instância tenha acesso de saída à Internet:
-
A rede precisa ter uma rota de gateway de Internet padrão válida ou uma rota personalizada com o intervalo de IP de destino mais comum (0.0.0.0/0). Essa rota define o caminho para a Internet. Para saber mais, consulte Rotas.
-
As regras de firewall precisam permitir o tráfego de saída da instância. A menos que seja modificada por uma regra de prioridade mais alta, a regra de permissão implícita para o tráfego de saída permite o tráfego de saída de todas as instâncias.
-
Um dos seguintes itens precisa ser verdadeiro:
Comunicações e acesso para o App Engine
As regras de firewall da VPC aplicam-se a recursos executados na rede VPC, como VMs do Compute Engine. Para instâncias do App Engine, as regras de firewall funcionam da seguinte maneira:
-
Ambiente padrão do App Engine: somente regras de firewall do Google App Engine se aplicam ao tráfego de entrada. Como as instâncias do ambiente padrão do App Engine não são executadas na rede VPC, as regras de firewall da VPC não se aplicam a elas.
-
Ambiente flexível do App Engine: as regras de firewall do Google App Engine e da VPC se aplicam ao tráfego de entrada. O tráfego de entrada precisa da permissão dos dois tipos de regras de firewall. Para o tráfego de saída, aplicam-se as regras de firewall da VPC.
Para mais informações sobre como controlar o acesso a instâncias do App Engine, consulte Segurança do aplicativo.
Traceroute para endereços IP externos
Por motivos internos, o Google Cloud aumenta o contador do TTL de pacotes transferidos para os próximos saltos na rede do Google. Ferramentas como traceroute e mtr podem fornecer resultados incompletos, porque o TTL não expira em alguns saltos. Os saltos que estão dentro da rede do Google podem estar ocultos quando você envia pacotes de instâncias do Compute Engine para destinos na Internet.
O número de saltos ocultos varia de acordo com os níveis de serviço da rede, a região e outros fatores da instância. Se houver apenas alguns saltos, é possível que todos eles fiquem ocultos. Os saltos ausentes de um resultado de traceroute ou mtr não significam que o tráfego de saída seja descartado.
Não há solução alternativa para esse comportamento. É preciso levar isso em consideração ao configurar o monitoramento terceirizado que se conecta a um endereço IP externo associado a uma VM.
Importante: estatísticas de perda de sondagem são um componente dos testes de traceroute, mas é preciso tomar cuidado ao analisar os resultados. traceroute e mtr por padrão usam sondagem baseada em ICMP. A geração de respostas de sondagem ICMP normalmente é limitada por taxa (ou desativada) nos roteadores que residem no caminho de rede da sua sondagem e podem resultar na ausência de respostas de sondagem. Quando esse comportamento ocorre, é possível ver a perda de sondagem em saltos de roteamento intermediários, mas isso não deve refletir o desempenho de ponta a ponta. Se estiver procurando por perda de pacote, o único salto que geralmente é importante é o de destino.
Limites da capacidade de saída
As informações de capacidade da rede estão disponíveis na página Largura de banda da rede na documentação do Compute Engine.
Tamanho do pacote
Saiba mais sobre o tamanho do pacote em Unidade de transmissão máxima.