多個網路介面
本頁面提供 Compute Engine VM 執行個體的多個網路介面總覽。具備多個網路介面的 VM 稱為多 NIC VM。
VM 執行個體一律至少會有一個虛擬網路介面 (vNIC)。視機器類型而定,您可以設定額外的網路介面。
用途
多 NIC VM 適用於下列情況:
連線至不同虛擬私有雲網路中的資源:多 NIC VM 可連線至位於不同虛擬私有雲網路中的資源,這些網路並未透過虛擬私有雲網路對等互連或 Network Connectivity Center 連線。
由於多 NIC VM 的每個介面都位於個別的 VPC 網路中,因此您可以將每個介面用於不同的用途。舉例來說,您可以使用部分介面,在負載實際工作環境流量的虛擬私有雲端網路與另一個用於管理或設定的介面之間轉送封包。
您必須在每個多 NIC VM 的來賓作業系統中設定路由政策和本機路由表。
在虛擬私有雲網路之間轉送封包:多 NIC VM 可用於路由的下一個躍點,用於連線兩個以上的虛擬私有雲網路。
在多 NIC VM 的訪客作業系統中執行的軟體可以執行封包檢查、網路位址轉譯 (NAT) 或其他網路安全功能。
使用多 NIC VM 連線至 VPC 網路時,最佳做法是設定兩個或更多多 NIC VM,並將這些 VM 用作每個 VPC 網路中內部轉送網路負載平衡器的後端。詳情請參閱「以內部直通式網路負載平衡器做為下一個躍點」說明文件中的用途。
規格
下列規格適用於具有多個網路介面的 VM:
執行個體和網路介面:每個執行個體都有
nic0介面。網路介面數量上限會因執行個體的機器類型而異。您只能在建立執行個體時新增或移除網路介面。
每個介面都有相關聯的堆疊類型,用於決定支援的子網路堆疊類型和 IP 位址版本。詳情請參閱「堆疊類型和 IP 位址」。
每個網路介面都使用不重複的網路:除了使用 RDMA 網路設定檔建立的虛擬私有雲網路,每個網路介面都必須使用不重複的 VPC 網路中的子網路。
如果是使用 RDMA 網路設定檔建立的 VPC 網路,只要每個 RDMA NIC 都使用專屬的子網路,多個 RDMA NIC 就能使用相同的 VPC 網路。
您必須先建立 VPC 網路和子網路,才能建立網路介面會使用該網路和子網路的執行個體。如要進一步瞭解如何建立網路和子網路,請參閱「建立及管理虛擬私有雲網路」。
執行個體和子網路的專案:對於獨立專案中的多 NIC VM,每個網路介面都必須使用與 VM 位於相同專案的子網路。
如要瞭解共用虛擬私有雲主專案或服務專案中的 VM,請參閱「共用虛擬私有雲 」。
Private Service Connect 介面可讓多 NIC VM 在不同專案的子網路中擁有網路介面。詳情請參閱「關於網路附件」。
IP 轉送、MTU 和路由考量事項:多 NIC VM 需要針對下列執行個體和介面專屬設定選項,進行仔細的規劃:
IP 轉送選項可依個別執行個體設定,並套用至所有網路介面。詳情請參閱「為執行個體啟用 IP 轉送」。
每個網路介面都可以使用不重複的最大傳輸單位 (MTU),與相關聯 VPC 網路的 MTU 相符。詳情請參閱「傳輸單位上限」。
每個 VM 都會使用 DHCP 選項 121 接收預設路徑,如 RFC 3442 所定義。預設路由與
nic0相關聯。除非您手動設定,否則流量從執行個體傳送至直接連線的子網路以外的任何目的地時,都會透過nic0上的預設路徑傳出執行個體。在 Linux 系統中,您可以使用
/etc/iproute2/rt_tables檔案和ip rule和ip route指令,在客體 OS 中設定自訂規則和路徑。詳情請參閱訪客作業系統說明文件。如需範例,請參閱以下教學課程:為額外介面設定路由。
堆疊類型和 IP 位址
建立網路介面時,您必須指定下列其中一種介面堆疊類型:
- 僅限 IPv4
- 僅限 IPv6 (預先發布版)
- 雙堆疊
下表說明各個介面堆疊類型支援的子網路堆疊類型和 IP 位址詳細資料:
| 介面 | 僅限 IPv4 的子網路 | 雙堆疊子網路 | 僅限 IPv6 的子網路 (預先發布版) | IP 位址詳細資料 |
|---|---|---|---|---|
| 僅限 IPv4 (單一堆疊) | 僅限 IPv4 位址。請參閱「IPv4 位址詳細資料」。 | |||
| IPv4 和 IPv6 (雙重堆疊) | 同時支援 IPv4 和 IPv6 位址。請參閱 IPv4 位址詳細資料和 IPv6 位址詳細資料 | |||
| 僅限 IPv6 (單一堆疊) (預先發布版) | 僅限 IPv6 位址。請參閱「IPv6 位址詳細資料」。 |
變更網路介面堆疊類型
您可以按照下列方式變更網路介面的堆疊類型:
如果介面的子網路是雙重堆疊子網路,或是您停止執行個體並將介面指派給雙重堆疊子網路,即可將僅限 IPv4 的介面轉換為雙重堆疊。
您可以將雙重堆疊介面轉換為僅限 IPv4。
您無法變更僅限 IPv6 介面的堆疊類型。僅支援在建立 VM 時使用 IPv6 專用介面 (預先發布版)。
IPv4 位址詳細資料
每個僅限 IPv4 或雙重堆疊網路介面都會收到主要內部 IPv4 位址。每個介面可選擇支援別名 IP 範圍和外部 IPv4 位址。以下是 IPv4 規格和規定:
主要內部 IPv4 位址:Compute Engine 會從介面子網路的主要 IPv4 位址範圍,指派主要內部 IPv4 位址給網路介面。主要內部 IPv4 位址是由 DHCP 分配。
您可以設定靜態內部 IPv4 位址,或指定自訂臨時內部 IPv4 位址,來控制要指派哪個主要內部 IPv4 位址。
您必須確保每個網路介面都有專屬的主要內部 IPv4 位址。也就是說,每個介面的子網路都必須使用不重疊的專屬主要 IPv4 位址範圍。
別名 IP 範圍:您可以選擇為介面指派一或多個別名 IP 範圍。每個別名 IP 範圍可以來自介面子網路的主要 IPv4 位址範圍,或次要 IPv4 位址範圍。
- 請務必確保每個介面的別名 IP 範圍皆不重複。也就是說,每個介面子網路的主要和次要 IPv4 位址範圍不得重複,且不得重疊。
外部 IPv4 位址:您可以選擇為介面指派暫時性或預留的外部 IPv4 位址。 Google Cloud 可確保每個外部 IPv4 位址的唯一性。
IPv6 位址詳細資料
Compute Engine 會為每個雙重堆疊或僅限 IPv6 網路介面 (預先發布) 指派 /96 IPv6 位址範圍,範圍來自介面子網路的 /64 IPv6 位址範圍:
/96IPv6 位址範圍是內部或外部,取決於介面子網路的 IPv6 存取類型。 Google Cloud 可確保每個內部和外部 IPv6 位址範圍的唯一性。詳情請參閱 IPv6 規範。- 如果執行個體需要內部 IPv6 位址範圍和外部 IPv6 位址範圍:您必須設定兩個雙重堆疊介面、兩個僅限 IPv6 的介面,或一個雙重堆疊介面和一個僅限 IPv6 的介面。一個介面使用的子網路必須有外部 IPv6 位址範圍,另一個介面使用的子網路則必須有內部 IPv6 位址範圍。
第一個 IPv6 位址 (
/128) 會透過 DHCP 在介面上設定。詳情請參閱「IPv6 位址指派」。您可以設定靜態 內部或 外部 IPv6 位址範圍,藉此控制要指派哪個
/96IPv6 位址範圍。針對內部 IPv6,您可以指定自訂臨時內部 IPv6 位址。
網路介面數量上限
對於多數機器類型,虛擬網路介面數量會隨著 vCPU 數量而調整,最少為 2 個,最多為 10 個。以下為例外狀況:
Compute Engine 裸機執行個體支援單一 vNIC。
部分加速器最佳化機器類型 (例如 A3、A4 和 A4X) 的 vNIC 上限不同。詳情請參閱「加速器最佳化機器系列」。
如需瞭解可連接至執行個體的網路介面數量,請參閱下表:
| vCPU 數量 | vNIC 數量 |
|---|---|
| 2 個以下 | 2 |
| 4 | 最多 4 個 |
| 6 | 最多 6 個 |
| 8 | 最多 8 個 |
| 10 個以上 | 最多 10 人 |
產品互動
本節說明 Google Cloud中多 NIC VM 與其他產品和功能之間的互動情形。
共用虛擬私有雲
共用虛擬私有雲主機或服務專案中,多 NIC VM 的子網路和專案關係如下:
位於共用虛擬私有雲主專案中的多 NIC VM 每個網路介面,都必須使用主專案中共用虛擬私有雲網路的子網路。
位於共用虛擬私有雲服務專案中的多 NIC VM 每個網路介面,可使用下列任一介面:
- 服務專案中 VPC 網路的子網路。
- 主專案中共用虛擬私有雲網路的子網路。
如要進一步瞭解共用虛擬私人雲端,請參閱:
Compute Engine 內部 DNS
Compute Engine 只會為執行個體 nic0 網路介面的內部 IPv4 主要 IP 位址建立內部 DNS 名稱 A 和 PTR 記錄。對於與 nic0 不同的網路介面相關聯的任何 IPv4 或 IPv6 位址,Compute Engine 不會建立內部 DNS 記錄。
詳情請參閱「Compute Engine 內部 DNS」。
靜態路徑
您可以使用網路標記,將靜態路徑的範圍限制在特定 VM 例項。網路標記與執行個體建立關聯後,該標記會套用至執行個體的所有網路介面。因此,在執行個體中新增或移除網路標記,可能會改變套用至任一 VM 網路介面的靜態路徑。
負載平衡器
執行個體群組後端和區域 NEG 後端各自都有一個相關聯的 VPC 網路,如下所示:
對於受管理的執行個體群組 (MIG),執行個體群組的 VPC 網路是指指派給執行個體範本中
nic0介面的 VPC 網路。對於非代管執行個體群組,執行個體群組的 VPC 網路是指您新增至非代管執行個體群組的第一個 VM 執行個體的
nic0網路介面所使用的 VPC 網路。
下表列出哪些後端支援將連線或要求分散至任何網路介面。
| 負載平衡器 | 執行個體群組 | GCE_VM_IP NEG |
GCE_VM_IP_PORT NEG |
|---|---|---|---|
| 後端服務型外部直通式網路負載平衡器 後端服務未與 VPC 網路建立關聯。詳情請參閱「 後端服務和虛擬私有雲網路」。 |
僅使用 nic0 |
任何 NIC | 不適用 |
| 內部直通式網路負載平衡器 後端服務與 VPC 網路相關聯。詳情請參閱「 後端服務網路規格」和「 後端服務網路規則」。 |
任何 NIC | 任何 NIC | 不適用 |
| 外部 Proxy 網路負載平衡器 如要進一步瞭解後端服務和網路需求,請參閱「後端和虛擬私有雲網路」。 |
僅使用 nic0 |
不適用 | 任何 NIC |
| 內部 Proxy 網路負載平衡器 如要進一步瞭解後端服務和網路需求,請參閱「 後端和虛擬私有雲網路」。 |
僅使用 nic0 |
不適用 | 任何 NIC |
| 外部應用程式負載平衡器 如要進一步瞭解後端服務和網路需求,請參閱「後端和虛擬私有雲網路」。 |
僅使用 nic0 |
不適用 | 任何 NIC |
| 內部應用程式負載平衡器 如要進一步瞭解後端服務和網路需求,請參閱「後端和虛擬私人雲端網路」。 |
僅使用 nic0 |
不適用 | 任何 NIC |
以目標集區為基礎的外部直通式網路負載平衡器不會使用執行個體群組或 NEG,且只支援將負載平衡作業導向 nic0 網路介面。
防火牆規則
防火牆規則組合 (包括階層式防火牆政策、全域網路防火牆政策、區域網路防火牆政策和虛擬私有雲防火牆規則) 皆為各個網路介面專屬。如要判斷哪些防火牆規則套用至網路介面,以及每個規則的來源,請參閱「取得 VM 介面的有效防火牆規則」。
您可以使用網路標記,將防火牆規則的範圍限定為特定 VM 執行個體。網路標記與執行個體建立關聯後,該標記會套用至執行個體的所有網路介面。因此,在執行個體中新增或移除網路標記,可能會變更套用至任何 VM 網路介面的防火牆規則。
全域網路防火牆政策或區域性網路防火牆政策中的防火牆規則支援安全標記,可套用至每個網路介面。詳情請參閱「安全標記和網路標記的比較」。