VM 網路總覽

本文將概要說明虛擬機器 (VM) 執行個體的網路功能。這項主題提供基本基礎知識,協助您瞭解虛擬機器 (VM) 執行個體如何與虛擬私有雲 (VPC) 網路互動。如要進一步瞭解虛擬私有雲網路和相關功能,請參閱虛擬私有雲網路總覽

網路和子網路

每個 VM 都屬於 VPC 網路。虛擬私有雲網路可讓 VM 執行個體連線至其他 Google Cloud 產品和網際網路。虛擬私有雲網路可設為自動或自訂模式

  • 自動模式 VPC 網路在每個區域都有一個子網路。所有子網路都包含在這個 IP 位址範圍內:10.128.0.0/9。自動模式 VPC 網路僅支援 IPv4 子網路範圍。
  • 自訂模式網路沒有指定的子網路設定,您可以在所選區域使用自己指定的 IP 範圍建立子網路,一切由您決定。自訂模式網路也支援 IPv6 子網路範圍。

除非選擇停用,否則每個專案都會有 default 網路,這是自動模式虛擬私有雲網路。您可以建立機構政策,藉此停用「建立預設網路」的功能。

虛擬私有雲網路中的每個子網路都與一個區域建立關聯,並含有一或多個 IP 位址範圍。每個地區可以建立一個以上的子網路。VM 的每個網路介面都必須連線至子網路。

建立 VM 時,您可以指定虛擬私有雲網路和子網路。如果省略這項設定,系統會使用 default 網路和子網路。Google Cloud 會從所選子網路的主要 IPv4 位址範圍,將內部 IPv4 位址指派給新的 VM。如果子網路也有 IPv6 位址範圍 (稱為雙重堆疊),或是您建立了僅支援 IPv6 的子網路,則可以將 IPv6 位址指派給 VM。

如要進一步瞭解虛擬私有雲網路,請參閱虛擬私有雲網路總覽。如需 VM 使用 VPC 網路的圖解範例,其中包含兩個區域中的三個子網路,請參閱 VPC 網路範例

網路介面控制器 (NIC)

虛擬私有雲網路中的每個運算執行個體都有預設的虛擬網路介面 (vNIC)。設定 vNIC 時,請選取虛擬私有雲網路,以及該虛擬私有雲網路中的子網路,以便將介面連線至該子網路。您可以為執行個體建立額外的網路介面。

多個網路介面可讓您建立設定,將執行個體直接連結至多個虛擬私有雲網路。如果執行個體中執行的應用程式需要分隔流量,例如分隔資料層流量與管理層流量,這種情形也適合使用多個網路介面。如要進一步瞭解如何使用多個網路介面,請參閱「多個網路介面」。

Bare Metal 執行個體不支援多個 vNIC。此外,您只能在建立執行個體時,將 vNIC 新增至執行個體。透過動態網路介面 (搶先版),您可以為每個公開的 vNIC 建立以 VLAN 為基礎的網路子介面,藉此擴充網路介面和 VPC 網路連線的數量。您可以新增或移除 Dynamic Network Interface,不必重新啟動或重新建立運算執行個體。如要進一步瞭解動態 NIC,請參閱「建立具備多個網路介面的 VM」。

設定運算執行個體的 vNIC 時,您可以指定要搭配介面使用的網路驅動程式類型。

此外,您也可以選擇搭配使用各 VM 的 Tier_1 網路效能,以及使用 gVNIC 或 IPDF 的運算執行個體。Tier_1 網路可提高輸入和輸出資料移轉的網路處理量上限

網路頻寬

Google Cloud 是根據每個 VM 執行個體的頻寬計算,而非每個網路介面 (NIC) 或 IP 位址。頻寬的計算依據有兩個維度:流量方向 (輸入和輸出) 和目的地 IP 位址類型。可能的最高輸出速率取決於用於建立執行個體的機器類型,但只有在特定情況下,才能達到可能的最高輸出速率。詳情請參閱網路頻寬

如要支援更高的網路頻寬 (例如第 3 代和後續機型系列的 200 Gbps),必須使用 Google 虛擬 NIC (gVNIC)。

  • 標準輸出頻寬上限介於 1 Gbps 到 100 Gbps 之間。
  • 為各個 VM 啟用 Tier_1 網路效能後,輸出頻寬上限會提高至 200 Gbps,實際上限取決於運算執行個體的大小和機型。

部分機器系列有不同的限制,詳情請參閱頻寬摘要表

IP 位址

系統會從與網路介面相關聯的子網路,為每個 VM 指派 IP 位址。以下列出設定 IP 位址的相關規定。

  • 如果是僅限 IPv4 的子網路,IP 位址就是內部 IPv4 位址。 您可以選擇為 VM 設定外部 IPv4 位址。
  • 如果網路介面連線至具有 IPv6 範圍的雙重堆疊子網路,則必須使用自訂模式虛擬私有雲網路。VM 具有下列 IP 位址:
    • 內部 IPv4 位址。您可以選擇為 VM 設定外部 IPv4 位址。
    • 內部或外部 IPv6 位址,視子網路的存取權類型而定。
  • 如要使用僅限 IPv6 的子網路,您必須使用自訂模式的虛擬私有雲網路。視子網路的存取權類型而定,VM 會擁有內部或外部 IPv6 位址。
  • 如要建立僅限 IPv6 的執行個體,並同時具備內部和外部 IPv6 位址,您必須在建立 VM 時指定兩個網路介面。您無法將網路介面新增至現有執行個體。

外部和內部 IP 位址都可以是臨時或靜態的。

內部 IP 位址是下列其中一項的本機位址:

  • 虛擬私有雲網路
  • 透過虛擬私有雲網路對等互連連線的虛擬私有雲網路
  • 使用 Cloud VPN、Cloud Interconnect 或路由器設備連線至 VPC 網路的內部部署網路

執行個體可以使用 VM 的內部 IPv4 位址,與相同虛擬私有雲網路或連線網路中的執行個體通訊 (如上述清單所述)。如果 VM 網路介面連線至雙重堆疊子網路或僅支援 IPv6 的子網路,您可以使用 VM 的內部或外部 IPv6 位址,與相同網路上的其他執行個體通訊。最佳做法是使用內部 IPv6 位址進行內部通訊。如要進一步瞭解 IP 位址,請參閱 Compute Engine 的 IP 位址總覽。

如要與網際網路或外部系統通訊,請使用 VM 執行個體上設定的外部 IPv4 或外部 IPv6 位址。外部 IP 位址是可公開轉送的 IP 位址。如果執行個體沒有外部 IP 位址,則可使用 Cloud NAT 處理 IPv4 流量。

如有多個服務在單一 VM 執行個體上執行,您可以透過別名 IP 範圍為各個服務提供不同的內部 IPv4 位址。目的地為特定服務的封包會由 VPC 網路轉送到對應 VM。詳情請參閱別名 IP 範圍

網路服務級別

網路服務級別可讓您最佳化網際網路上系統與 Compute Engine 執行個體之間的連線。進階級會透過 Google 的進階骨幹網路傳輸流量,標準級則使用一般 ISP 網路。進階級適用於最佳化效能,標準級則適用於最佳化費用。

由於您是在資源層級選擇網路級別 (例如 VM 的外部 IP 位址),故您可在某些資源使用標準級,而在其他資源使用進階級。如未指定層級,系統會使用進階層級。

在虛擬私人雲端網路內使用內部 IP 位址通訊的 Compute 執行個體,一律使用進階級網路基礎架構。

無論使用進階級或標準級,傳入資料移轉都不會產生費用。資料轉出計價方式是以所傳送的流量計價,以 GiB 為計費單位,且各個網路服務級別的價格不同。如要瞭解定價資訊,請參閱網路服務級別定價

網路服務層級與各 VM 的 Tier_1 網路效能不同,後者是您可以選擇與運算執行個體搭配使用的設定選項。使用 Tier_1 網路會產生額外費用,詳情請參閱「Tier_1 較高頻寬網路定價」。如要進一步瞭解 Tier_1 網路,請參閱「為個別 VM 設定 Tier_1 網路效能」。

進階級

進階級使用 Google 低延遲、高穩定性的全域網路,從外部系統傳輸流量至 Google Cloud資源。此網路能承受多處失敗與中斷,同時仍能傳送流量。進階級非常適合使用者分散在全球多個地點的客戶,因為他們需要最好的網路效能與穩定性。

進階級網路是由範圍廣泛的專用光纖網路構成,在全球擁有超過 100 個服務點 (PoP)。在 Google 的網路中,流量會從該 PoP 轉送至虛擬私有雲網路中的運算執行個體。傳出流量透過 Google 的網路傳送,從最接近其目的地的 PoP 出去。這種轉送方法能減少使用者和最接近他們的 PoP 之間的躍點數量,進而降低壅塞並最大化效能。

標準級

標準級網路透過網際網路轉送流量,從外部系統將流量傳輸至Google Cloud 資源。離開 Google 網路的封包是透過公開網際網路傳送,故受限於中轉服務供應商和 ISP 的穩定性。標準級提供的網路品質與穩定性與其他雲端服務供應商不相上下。

標準級的價格低於進階級,因為來自網際網路上系統的流量,在傳送至虛擬私人雲端網路中的運算執行個體前,是經由中轉 (ISP) 網路轉送。標準級的傳出流量,不論目的地為何,通常都從傳送流量的運算執行個體使用的地區離開 Google 網路。

標準級方案在每個區域提供每月 200 GB 的免費用量,適用於所有專案,並以資源為單位計算。

內部網域名稱系統 (DNS) 名稱

建立虛擬機器 (VM) 執行個體時, Google Cloud會根據 VM 名稱建立內部 DNS 名稱。除非您指定自訂主機名稱,否則Google Cloud 會使用自動建立的內部 DNS 名稱做為主機名稱,並提供給 VM。

如要在相同虛擬私有雲網路中的 VM 之間通訊,可以指定目標執行個體的完整 DNS 名稱 (FQDN),不必使用內部 IP 位址。 Google Cloud 會自動將 FQDN 解析為執行個體的內部 IP 位址。

如要進一步瞭解完整網域名稱 (FQDN),請參閱區域和全域內部 DNS 名稱

路徑

Google Cloud 路徑可定義網路流量從虛擬機器 (VM) 執行個體到其他目的地之間的路徑。這些目的地可能位於您虛擬私有雲 (VPC) 網路的內部 (例如在其他 VM 中) 或外部。虛擬私有雲網路的路徑資料表是在虛擬私有雲網路層級定義。每個 VM 執行個體都有個控制器,可以透過網路的路徑資料表掌握所有適用路徑。每個從 VM 傳送的封包都會根據轉送順序,遞送到適用路徑的下一個適當躍點。

子網路路徑會定義 VPC 網路中 VM 和內部負載平衡器等資源的路徑。每個子網路至少會有一個目的地符合子網路主要 IP 範圍的子網路路徑。子網路路徑一律具有最明確的目的地。即使其他路徑的優先順序較高,也無法覆寫這些路徑。這是因為 Google Cloud在選取路徑時,會先考量目的地明確性,再考量優先順序。如要進一步瞭解子網路 IP 範圍,請參閱子網路總覽

轉送規則

路徑可控管從執行個體傳出的流量,而轉送規則會根據 IP 位址、通訊協定和通訊埠,將流量導向 VPC 網路中的 Google Cloud 資源。有些轉送規則會將流量從 Google Cloud 外部導向網路中的目的地;有些則是將流量從網路內部引導出去。

您可以為執行個體設定轉送規則,透過 IP、Cloud VPN、私人虛擬 IP (VIP) 和負載平衡實作虛擬主機。如要進一步瞭解轉送規則,請參閱使用通訊協定轉送

防火牆規則

虛擬私有雲防火牆規則可讓您根據指定設定,允許或拒絕來往 VM 的連線。 Google Cloud 一律會強制執行已啟用的虛擬私有雲防火牆規則,保護採用各種設定和作業系統的 VM,即便 VM 未啟動亦然。

根據預設,每個 VPC 網路都有傳入 (ingress) 和傳出 (egress) 防火牆規則,分別會封鎖所有傳入連線及允許所有傳出連線。default 網路具有額外的防火牆規則,包含允許網路中執行個體彼此通訊的 default-allow-internal 規則。如果您未使用 default 網路,就必須明確建立優先順序較高的輸入防火牆規則,才能讓執行個體相互通訊。

每個虛擬私人雲端網路皆會以分散式防火牆的形式運作。防火牆規則是在 VPC 層級定義,可套用至網路中的所有執行個體,您也可以使用目標標記或目標服務帳戶,將規則套用至特定執行個體。您可以想像成虛擬私有雲防火牆規則不僅存在於執行個體與其他網路之間,也存在於相同虛擬私有雲網路的個別執行個體之間。

階層式防火牆政策可讓您在整個機構中建立及強制執行一致的防火牆政策。您可以將階層式防火牆政策指派給整個機構或個別資料夾。這類政策包含可明確拒絕或允許連線的規則,與虛擬私有雲防火牆規則相同。此外,階層式防火牆政策規則可透過 goto_next 動作,將評估作業委派給較低層級的政策或虛擬私有雲防火牆規則。較低層級的規則無法覆寫資源階層中較高位置的規則。方便全機構管理員集中管理重要防火牆規則。

代管執行個體群組和網路設定

如果您使用代管執行個體群組 (MIG),在執行個體範本中指定的網路設定會套用至以該範本建立的所有 VM。如果您在自動模式虛擬私有雲網路中建立執行個體範本, Google Cloud 會自動選取您建立代管執行個體群組的地區所屬子網路。

詳情請參閱「網路和子網路」和「建立執行個體範本」。

後續步驟