Portal

IPs Públicos

Sobre IPs Públicos

Um endereço de IP público expõe instâncias diretamente à Internet. IPs públicos são IPs roteados globalmente (públicos). Eles não são alocados às instâncias por padrão, pois são necessários apenas para as instâncias que devem ter acesso direto a partir da internet.

Ao contrário de um IP fixo (privado) que você pode criar a qualquer momento para usar internamente, você como usuário não pode criar um IP público. Esses IPs pertencem ao seu provedor de serviços; portanto, para usá-lo, você precisa obtê-lo do pool de IPs públicos do provedor e atribuí-lo a uma instância.

Quando você faz isso, você se torna o proprietário desse endereço IP público. A qualquer momento, você pode desanexar um IP público de uma instância e mantê-lo como reservado ou anexá-lo a outra instância (ou a um dispositivo, como um Load Balancer ).

Observe que os IPs flutuantes são tipicamente um recurso faturável - o que significa que você receberá uma fatura pelo tempo que o mantiver reservada em seu projeto, independentemente de estar anexado a uma instância ou não (consulte cobrança para obter mais detalhes). Se você não precisar mais de um IP público, poderá liberá-lo de volta ao pool do provedor. No entanto, uma vez lançado, outro usuário pode obtê-lo - portanto, não há garantia de que você poderá obter o mesmo IP de volta.

Endereços IP públicos e endereços IP fixos (privados) são usados ao mesmo tempo em uma única interface de rede (ou porta). O endereço IP privado está sempre lá e é usado para acessar a instância por outros dispositivos na(s) rede(s) privada(s). Por outro lado, o endereço IP público é usado apenas para instâncias ou dispositivos que precisam ter acesso direto da internet.

IPs públicos não são atribuídos diretamente à interface da instância. Em outras palavras, se você executar um comando como ip a dentro de sua instância, não verá o IP público na interface de rede. Em vez disso, esse IP é exposto pelo serviço de rede da nuvem e todo o tráfego recebido para esse IP será encaminhado para a porta designada da instância. Embora a maioria dos aplicativos não veja nenhuma diferença, alguns aplicativos podem precisar ser especialmente configurados para funcionar adequadamente nessa configuração.

Ao atribuir um IP público, é especialmente importante garantir que a instância esteja protegida, pois ela provavelmente se tornará alvo de ataques da Internet. Portanto, é uma boa prática implantar regularmente atualizações de segurança e expor apenas as portas de rede necessárias com grupos de segurança

Redirecionamento de porta

Como IPs públicos são recursos faturáveis, existe um recurso que permite compartilhar um único IP público entre múltiplas instâncias. Este mecanismo é chamado redirecionamento de porta.

Ao configurar redirecionamento de portal em um IP público, você define uma porta TCP ou UDP de entrada (por exemplo, 1022), e então cria um redirecionamento para aquela porta para o IP de uma instância e uma porta TCP ou UDP (por exemplo, IP 192.168.3.15 porta 22). Desta forma, múltiplas portas daquele IP público único podem ser redirecionadas para instâncias diferentes, por exemplo:

  • IP público 1.2.3.4 porta 1022 -> IP privado 192.168.3.15 porta 22
  • IP público 1.2.3.4 porta 1023 -> IP privado 192.168.3.20 porta 22
  • IP público 1.2.3.4 porta 443 -> IP privado 10.1.25.84 porta 443
  • E assim por diante.

Como resultado, você pode compartilhar um único endereço de IP público para entregar tráfego da internet para várias instâncias.

Note que você não pode usar o mesmo IP público em dois cenários ao mesmo tempo (utilizar em redirecionamento de porta e atribuí-lo a uma instância diretamente) – é um ou outro. Desta forma, se você tem um IP púiblico com algumas regras de redirecionamento de porta definidas, você precisa remover todas essas regras antes de poder atribuí-lo a uma instância.

Grupos de segurança com redirecionamento de porta

Para entender como configurar grupos de segurança com redirecionamento de porta de forma adequada, considere o seguinte:

Segurança de porta redireciona apenas uma única porta TCP ou UDP por vez. Assim, tráfego de entrada em portas não configuradas será descartado, uma vez que não existe destino conhecido. Regras de grupos de segurança se aplicam no nível da porta de rede da instância, e não no nível do endereço de IP público.

Desta forma, redirecionamento de porta já apresenta algum comportamento de grupos de segurança – apenas entregando tráfego configurado e descartando qualquer outra coisa. Apesar disso, antes de alcançar a instância destino, o tráfego ainda será filtrado pelos grupos de segurança atribuídos à instância (neste ponto, o número da porta já está convertido para a porta interna). Por exemplo, se você quer entregar tráfego chegando no IP 1.2.3.4 porta 1022 à instância IP 192.168.3.15 porta 22 – aquela instância precisa ter grupos de segurança permitindo tráfego de entrada na porta TCP 22 (a menos que tenha segurança de porta desativada). No entanto, neste exemplo, você não precisa fazer nenhuma regra de grupo de segurança para a porta TCP 1022.

Gerenciamento de IP público

Anexando um IP público a uma instância

Para anexar um IP público a uma instância, faça o seguinte:

  1. No painel "Instância" à direita, clique na instância à qual deseja anexar um IP público (se você estiver na lista de instâncias, clique em "Gerenciar" no menu de ação para acessar a página. .
  2. Na seção Redes da página de detalhes da instância, clique na lista suspensa localizada ao lado do campo IP público.
  3. Escolha adicionar um IP público existente que esteja reservado (ele estará na lista) ou adicione um novo.

Observe que, para permitir a conexão de IP público, a rede de destino deve estar conectada a um roteador e o roteador deve ter um gateway externo. Sem ela, a plataforma não poderá fornecer tráfego da Internet para a porta e a atribuição de IP flutuante falhará.

Se você não precisar mais de um IP público em uma instância, siga um destes procedimentos:

  • Para remover o IP público da instância, mas mantenha-o como reservado, clique em "Desanexar"
  • Para liberar o IP público do seu projeto de volta ao pool do provedor, clique em "Release ". Observe que não há garantia de que você poderá recuperá-lo mais tarde - uma nova solicitação de IP público simplesmente retornará o próximo IP flutuante disponível no pool, o que provavelmente será diferente.

Visualizando IPs Públicos

Para visualizar seus IPs públicos, simplesmente navegue até a página \"IPs públicos" clicando na guia "IPs públicos" na coluna esquerda do portal (na seção "Rede"). Nesta página, você pode visualizar todos os IPs públicos criados e seus status ( Ativo significa que ele está atribuído a uma porta, enquanto Inativo significa que está reservado, mas não anexado).

Reservando um IP público

Em alguns casos, pode ser necessário reservar um IP público antes mesmo de atribuí-lo a qualquer dispositivo. Por exemplo, você pode usar esse IP para registrar registros DNS com antecedência. Para isso, siga estas etapas:

  1. Clique em "Rede" na coluna esquerda do portal e clique em "IPs públicos"
  2. Na página IPs públicos, clique no botão "Criar IP público" para abrir a janela de criação.
  3. Selecione a rede desejada (normalmente, haverá apenas uma chamada ext-net . O sinal $ ao lado da rede indica um recurso faturável.
  4. Clique em "Criar " para reservar um IP público.

Utilizando IP público em redirecionamento de porta

Para criar uma nova regra de redirecionamento de porta, faça o seguinte:

  1. Clique em "Rede" na coluna esquerda do portal e clique em "IPs públicos"
  2. Na página de IPs públicos, selecione o IP que você gostaria de usar (você também pode clicar no botão "Criar IP público" para alocar um novo). Note que o IP não deve estar no estado "Atribuído", uma vez que este estado indica que ele foi atribuído a uma instância ou outro dispositivo, e não está disponível para redirecionamento de porta.
  3. Clique no menu de ações do IP, e selecione "Portas redirecionadas".
  4. Na janela aberta, especifique protocolo (TCP/UDP), porta externa, instância alvo junto com seu IP e porta.

Algumas vezes, você pode ver que alguns IPs privados das instâncias estão indisponíveis para seleção. Isto pode ser devido a uma das seguintes razões:

  • O IP privado tem um IP público associado a ele.
  • O IP privado está alocado em uma rede que não tem um roteador conectado, ou o roteador não possui um gateway externo (significa ter um caminho para que o tráfego externo seja entregue à instância).

Para deletar uma regra de redirecionamento de porta, veja a lista na parte de baixo da mesma tela. Selecione as regras que você quer remover e clique no ícone “Deletar”.