Panoramica di Virtual Private Cloud (VPC)
Il Virtual Private Cloud (VPC) fornisce le funzionalità di networking Istanze di macchine virtuali (VM) Compute Engine, cluster Google Kubernetes Engine (GKE) e carichi di lavoro serverless.
VPC fornisce un sistema di networking globale, scalabile e flessibile per le risorse e i servizi basati su cloud.
Questa pagina fornisce una panoramica generale del VPC concetti e funzionalità.
Reti VPC
Una rete VPC è come una rete VPC rete fisica, tranne per il fatto che è virtualizzata all'interno di Google Cloud. Una rete VPC è una risorsa globale formata da un elenco di subnet virtuali regionali ubicate in data center, tutte collegate tramite una rete WAN (wide area network) globale. Le reti VPC sono isolate logicamente tra loro in Google Cloud.
Una rete VPC esegue le seguenti operazioni:
- Fornisce connettività per Istanze di macchine virtuali (VM) Compute Engine, incluso Google Kubernetes Engine (GKE) cluster, carichi di lavoro serverless e altri Prodotti Google Cloud basati su VM di Compute Engine.
- Offre bilanciatori del carico di rete passthrough interni integrati e sistemi proxy per dei bilanciatori del carico delle applicazioni interni.
- Si connette alle reti on-premise utilizzando i tunnel Cloud VPN e Collegamenti VLAN per Cloud Interconnect.
- Distribuisce il traffico dai bilanciatori del carico esterni di Google Cloud ai backend.
Per saperne di più, consulta Reti VPC.
Regole firewall
Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Le regole firewall ti consentono di specificare quali pacchetti possono essere inviati a quali destinazioni. Ogni rete VPC include regole firewall implicite che bloccano tutte le connessioni in entrata e consentire tutte le connessioni in uscita.
La retedefault ha un firewall aggiuntivo
personalizzate, tra cui
default-allow-internal, che consente la comunicazione tra le istanze in
in ogni rete.
Per maggiori informazioni, consulta Regole firewall VPC.
Route
Le route mostrano alle istanze VM e alla rete VPC come inviare il traffico da un'istanza a una destinazione, all'interno della rete o all'esterno in Google Cloud. Ogni rete VPC include percorsi generati dal sistema per il percorso il traffico tra le sue subnet e inviarlo da istanze idonee a internet.
Puoi creare route statiche personalizzate per indirizzare determinati pacchetti a destinazioni specifiche.
Per ulteriori informazioni, consulta Route.
Regole di forwarding
Mentre le route regolano il traffico in uscita da un'istanza, le regole di inoltro indirizzano il traffico a una risorsa Google Cloud in una rete VPC in base all'indirizzo IP, al protocollo e alla porta.
Alcune regole di inoltro indirizzano il traffico dall'esterno di Google Cloud a una destinazione all'interno della rete, mentre altre indirizzano il traffico dall'interno della rete. Le destinazioni per le regole di inoltro sono istanze di destinazione, destinazioni del bilanciatore del carico (servizi di backend, proxy di destinazione e pool di destinazione) e gateway VPN classica.
Per ulteriori informazioni, vedi Panoramica delle regole di forwarding.
Interfacce e indirizzi IP
Le reti VPC forniscono le seguenti configurazioni per indirizzi IP e interfacce di rete VM.
Indirizzi IP
di risorse Google Cloud, ad esempio le istanze VM di Compute Engine, regole di forwarding e container GKE, si basano sugli indirizzi IP per comunicare.
Per saperne di più, vedi Indirizzi IP.
Intervalli IP alias
Se hai più servizi in esecuzione su una singola istanza VM, puoi concedere a ogni servizio un indirizzo IP interno diverso utilizzando intervalli IP alias. La La rete VPC inoltra i pacchetti destinati a un particolare alla VM corrispondente.
Per ulteriori informazioni, consulta Intervalli IP alias.
Interfacce di rete multiple
Puoi aggiungere più interfacce di rete a un'istanza VM, dove ogni interfaccia risiede in una rete VPC univoca. Più interfacce di rete consentono a una VM appliance di rete di fungere da gateway per proteggere il traffico tra reti VPC diverse o verso e da internet.
Per ulteriori informazioni, consulta Più interfacce di rete.
Condivisione e peering VPC
Google Cloud fornisce le seguenti configurazioni per la condivisione reti VPC tra progetti e connessione VPC tra loro.
VPC condiviso
Puoi condividere una rete VPC da un progetto (denominato host progetto) ad altri progetti nella tua organizzazione Google Cloud. Puoi concedi l'accesso a intere reti VPC condiviso o seleziona le subnet al loro interno utilizzando autorizzazioni IAM specifiche. Ciò consente si fornisce un controllo centralizzato su una rete comune, mantenendo al contempo flessibilità organizzativa. La rete VPC condivisa è particolarmente utile nelle grandi organizzazioni.
Per ulteriori informazioni, consulta VPC condiviso.
Peering di rete VPC
Il peering di rete VPC ti consente di creare ecosistemi di software as a service (SaaS) in Google Cloud, rendendo disponibili i servizi privatamente su diverse reti VPC, indipendentemente dal fatto che le reti si trovino nello stesso progetto, in progetti diversi o in progetti di organizzazioni diverse.
Con il peering di rete VPC, tutte le comunicazioni avvengono tramite indirizzi IP interni. Soggette alle regole del firewall, le istanze VM in ogni rete in peering possono che comunicano tra loro senza utilizzare indirizzi IP esterni.
Le reti in peering scambiano automaticamente le route di subnet con gli indirizzi IP privati intervalli di tempo. Il peering di rete VPC ti consente di configurare se i seguenti tipi di route devono essere scambiati:
- Route di subnet per intervalli IP pubblici riutilizzati privatamente
- Route statiche e dinamiche personalizzate
L'amministrazione della rete per ogni rete in peering rimane invariata: criteri IAM non vengono mai scambiati dal peering di rete VPC. Ad esempio, gli amministratori di rete e della sicurezza di una rete VPC non ottengono automaticamente quei ruoli per la rete in peering.
Per ulteriori informazioni, consulta Peering di rete VPC.
Cloud ibrido
Google Cloud fornisce le seguenti configurazioni che ti consentono di collegare le tue reti VPC alle reti on-premise e ad altre reti di altri cloud provider.
Cloud VPN
Cloud VPN ti consente di connettere la tua rete VPC sulla tua rete fisica on-premise o su un altro cloud provider utilizzando un rete privata virtuale.
Per ulteriori informazioni, consulta Cloud VPN.
Cloud Interconnect
Cloud Interconnect ti consente di connettere la tua rete VPC della rete on-premise mediante una connessione fisica ad alta velocità.
Per ulteriori informazioni, consulta Cloud Interconnect.
Cloud Load Balancing
Google Cloud offre diverse configurazioni di bilanciamento del carico per distribuire il traffico e i carichi di lavoro su molti tipi di backend.
Per ulteriori informazioni, consulta Cloud Load Balancing Panoramica.
Accesso privato ai servizi
Puoi utilizzare Private Service Connect, accesso privato Google e accesso privato ai servizi per consentire alle VM che non hanno un indirizzo IP esterno comunicare con i servizi supportati.
Per ulteriori informazioni, consulta Opzioni di accesso privato per i servizi.