Panoramica del networking per le VM

Questo documento fornisce una panoramica della funzionalità di networking delle tue istanze di macchine virtuali (VM). Fornisce una comprensione di base di base del modo in cui le VM interagiscono con le reti VPC (Virtual Private Cloud). Per ulteriori informazioni sulle reti VPC e sulle relative funzionalità, consulta la panoramica delle reti VPC.

Reti e subnet

Ogni VM fa parte di una rete VPC. Le reti VPC forniscono connettività per l'istanza VM ad altri prodotti Google Cloud e a internet. Le reti VPC possono essere in modalità automatica o personalizzata.

  • Le reti in modalità automatica hanno una subnet (subnet) in ogni regione. Tutte le subnet sono incluse in questo intervallo di indirizzi IP: 10.128.0.0/9. Le reti in modalità automatica supportano solo intervalli di subnet IPv4.
  • Per le reti in modalità personalizzata non è specificata una configurazione di subnet; sei tu a decidere quali subnet creare nelle regioni di tua scelta utilizzando gli intervalli IPv4 da te specificati. Le reti in modalità personalizzata supportano anche intervalli di subnet IPv6.

A meno che tu non scelga di disabilitarla, ogni progetto ha una rete default, che è una rete in modalità automatica.

Ogni subnet in una rete VPC è associata a una regione e contiene uno o più intervalli di indirizzi IP. Puoi creare più di una subnet per regione. Ognuna delle interfacce di rete della VM deve essere connessa a una subnet.

Quando crei una VM, puoi specificare una rete VPC e una subnet. Se ometti questa configurazione, vengono utilizzate la rete e la subnet default. Google Cloud assegna un indirizzo IPv4 interno alla nuova VM dall'intervallo di indirizzi IPv4 principale della subnet selezionata. Se la subnet ha anche un intervallo di indirizzi IPv6, puoi scegliere di assegnare un indirizzo IPv6.

Per ulteriori informazioni sulle reti VPC, leggi la panoramica delle reti VPC. Per un esempio illustrato di VM che utilizzano una rete VPC con tre subnet in due regioni, vedi Esempio di rete VPC.

Network Interface Controller (NIC)

Ogni VM in una rete VPC ha un'interfaccia di rete predefinita. Puoi creare interfacce di rete aggiuntive per le tue VM, ma ogni interfaccia deve essere collegata a una rete VPC diversa. Più interfacce di rete consentono di creare configurazioni in cui un'istanza si connette direttamente a diverse reti VPC. Per ulteriori informazioni sull'utilizzo di più NIC, consulta la panoramica sulle interfacce di rete multiple.

Indirizzi IP

Ogni interfaccia VM ha un indirizzo IPv4 interno, che viene allocato dalla subnet. Facoltativamente, puoi configurare un indirizzo IPv4 esterno. Se l'interfaccia si connette a una subnet con un intervallo IPv6, puoi facoltativamente configurare un indirizzo IPv6. Le VM utilizzano questi indirizzi IP per comunicare con altre risorse Google Cloud e sistemi esterni. Gli indirizzi IP esterni sono indirizzi IP instradabili pubblicamente che possono comunicare con internet. Gli indirizzi IP interni ed esterni possono essere temporanei o statici.

Gli indirizzi IP interni sono locali in uno dei seguenti paesi:

  • Una rete VPC
  • Una rete VPC connessa tramite peering di rete VPC
  • Una rete on-premise connessa a una rete VPC tramite Cloud VPN, Cloud Interconnect o un'appliance router

Un'istanza può comunicare con le istanze sulla stessa rete VPC, o su una rete connessa, come specificato nell'elenco precedente, utilizzando l'indirizzo IPv4 interno della VM. Se le VM hanno configurato IPv6, puoi anche utilizzare uno degli indirizzi IPv6 interni o esterni della VM. Come best practice, utilizza indirizzi IPv6 interni per la comunicazione interna. Per ulteriori informazioni sugli indirizzi IP, consulta la panoramica degli indirizzi IP per Compute Engine.

Per comunicare con internet, puoi utilizzare un indirizzo IPv4 esterno o un indirizzo IPv6 esterno configurato nell'istanza. Se l'istanza non ha un indirizzo esterno, è possibile utilizzare Cloud NAT per il traffico IPv4.

Se hai più servizi in esecuzione su una singola istanza VM, puoi assegnare a ogni servizio un indirizzo IPv4 interno diverso utilizzando intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un determinato servizio alla VM corrispondente. Per ulteriori informazioni, consulta Intervalli IP alias.

Nomi DNS (Domain Name System) interno

Quando crei un'istanza di una macchina virtuale (VM), Google Cloud crea un nome DNS interno a partire dal nome della VM. A meno che non specifichi un nome host personalizzato, Google Cloud utilizza il nome DNS interno creato automaticamente come nome host che fornisce alla VM.

Per la comunicazione tra le VM nella stessa rete VPC, puoi specificare il nome DNS completo (FQDN) dell'istanza di destinazione anziché utilizzare il suo indirizzo IP interno. Google Cloud risolve automaticamente il nome di dominio completo nell'indirizzo IP interno dell'istanza.

Per ulteriori informazioni sui nomi di dominio completi, consulta Nomi di DNS interni a livello di zona e globali.

Route

Le route Google Cloud definiscono i percorsi che il traffico di rete prende da un'istanza di macchina virtuale (VM) ad altre destinazioni. Queste destinazioni possono trovarsi all'interno della rete VPC (ad esempio in un'altra VM) o all'esterno di questa. La tabella di routing per una rete VPC è definita a livello di rete VPC. Ogni istanza VM ha un controller che viene informato su tutte le route applicabili dalla tabella di routing della rete. Ogni pacchetto in uscita da una VM viene consegnato all'hop successivo appropriato di una route applicabile in base a un ordine di routing.

Le route di subnet definiscono i percorsi delle risorse, ad esempio VM e bilanciatori del carico interni in una rete VPC. Ogni subnet ha almeno una route la cui destinazione corrisponde all'intervallo IP principale della subnet. Le route di subnet hanno sempre le destinazioni più specifiche. Non possono essere sostituite da altre route, anche se un'altra route ha una priorità più alta. Questo perché Google Cloud prende in considerazione la specificità della destinazione prima della priorità quando seleziona una route. Per ulteriori informazioni sugli intervalli IP delle subnet, consulta la panoramica delle subnet.

Regole di forwarding

Mentre le route gestiscono il traffico in uscita da un'istanza, le regole di forwarding indirizzano il traffico a una risorsa Google Cloud in una rete VPC in base a indirizzo IP, protocollo e porta. Alcune regole di forwarding indirizzano il traffico dall'esterno di Google Cloud a una destinazione nella rete, mentre altre regole il traffico viene indirizzato dall'interno della rete.

Puoi configurare regole di forwarding per le tue istanze in modo da implementare l'hosting virtuale tramite IP, Cloud VPN, IP virtuali privati (VIP) e bilanciamento del carico. Per ulteriori informazioni sulle regole di forwarding, consulta Utilizzo dell'inoltro del protocollo.

Regole del firewall

Le regole firewall VPC consentono o negano le connessioni da o verso la VM in base a una configurazione da te specificata. Google Cloud applica sempre le regole firewall VPC abilitate, proteggendo le VM indipendentemente dalla configurazione e dal sistema operativo, anche se la VM non è stata avviata.

Per impostazione predefinita, ogni rete VPC prevede regole firewall in entrata (in entrata) e in uscita (in uscita) che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. La rete default ha regole firewall aggiuntive, inclusa la regola default-allow-internal, che consente la comunicazione tra istanze nella rete. Se non utilizzi la rete default, devi creare esplicitamente regole firewall in entrata con priorità più elevata per consentire alle istanze di comunicare tra loro.

Ogni rete VPC funziona come un firewall distribuito. Le regole firewall sono definite a livello di VPC e possono essere applicate a tutte le istanze nella rete, oppure puoi utilizzare tag di destinazione o account di servizio di destinazione per applicare regole a istanze specifiche. Puoi considerare le regole firewall VPC come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze nella stessa rete VPC.

I criteri firewall gerarchici consentono di creare e applicare criteri firewall coerenti in tutta l'organizzazione. Puoi assegnare criteri firewall gerarchici all'organizzazione nel suo complesso o a singole cartelle. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, proprio come le regole firewall VPC. Inoltre, le regole dei criteri firewall gerarchici possono delegare la valutazione a criteri di livello inferiore o a regole firewall VPC con un'azione goto_next. Le regole di livello inferiore non possono eseguire l'override di una regola da una posizione più alta nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione gestiscono le regole firewall critiche in un unico posto.

Larghezza di banda della rete

Google Cloud tiene conto della larghezza di banda per istanza di macchina virtuale (VM), non per interfaccia di rete (NIC) o indirizzo IP. La larghezza di banda viene misurata utilizzando due dimensioni: direzione del traffico (in entrata e in uscita) e tipo di indirizzo IP di destinazione. Il tipo di macchina di una VM definisce la velocità in uscita massima possibile, ma puoi ottenere questa velocità massima possibile solo in situazioni specifiche. Per ulteriori informazioni, consulta Larghezza di banda di rete.

Google Virtual NIC (gVNIC) è un'interfaccia di rete virtuale progettata appositamente per Compute Engine. gVNIC è un'alternativa al driver Ethernet basato su virtIO. gVNIC è necessario per supportare larghezze di banda di rete maggiori, come velocità da 50 a 100 Gbps, utilizzabili per carichi di lavoro distribuiti su VM con GPU collegate. Inoltre, gVNIC è richiesto quando si lavora con alcuni tipi di macchine ideali per prestazioni ottimali. Per maggiori informazioni, consulta la sezione Utilizzo del NIC virtuale di Google.

Gruppi di istanze gestite e configurazioni di rete

Se utilizzi gruppi di istanze gestite, la configurazione di rete specificata nel modello di istanza viene applicata a tutte le VM create con il modello. Se crei un modello di istanza in una rete VPC in modalità automatica, Google Cloud seleziona automaticamente la subnet per la regione in cui hai creato il gruppo di istanze gestite.

Per saperne di più, consulta Reti e subnet e Creazione di modelli di istanza.

Che cosa succede dopo?