Panoramica del networking per le VM


Questo documento fornisce una panoramica della funzionalità di rete delle tue istanze di macchine virtuali (VM). Fornisce una conoscenza di base su come le VM interagiscono con le reti VPC (Virtual Private Cloud) di Google Cloud. Per saperne di più sulle reti VPC e sulle funzionalità correlate, leggi la panoramica delle reti VPC.

Reti e subnet

Ogni VM fa parte di una rete VPC. Le reti VPC forniscono connettività per l'istanza VM ad altri prodotti Google Cloud e a internet. Le reti VPC possono essere in modalità automatica o personalizzata.

  • Le reti in modalità automatica hanno una subrete in ogni regione. Tutte le subnet sono contenute in questo intervallo di indirizzi IP: 10.128.0.0/9. Le reti in modalità automatica supportano solo intervalli di subnet IPv4.
  • Le reti in modalità personalizzata non hanno una configurazione di subnet specificata. Puoi decidere quali subnet creare nelle regioni che scegli utilizzando gli intervalli IPv4 da te specificati. Le reti in modalità personalizzata supportano anche gli intervalli di subnet IPv6.

A meno che tu non scelga di disattivarla, ogni progetto ha una rete default, ovvero una rete in modalità automatica.

Ogni subnet in una rete VPC è associata a una regione e contiene uno o più intervalli di indirizzi IP. Puoi creare più subnet per regione. Ognuna delle interfacce di rete della VM deve essere connessa a una subnet.

Quando crei una VM, puoi specificare una rete e una subnet VPC. Se ometti questa configurazione, vengono utilizzate la rete e la subnet default. Google Cloud assegna alla nuova VM un indirizzo IPv4 interno dall'intervallo di indirizzi IPv4 principale della subnet selezionata. Se la subnet ha anche un intervallo di indirizzi IPv6, puoi scegliere di assegnare un indirizzo IPv6.

Per saperne di più sulle reti VPC, consulta la panoramica delle reti VPC. Per un esempio illustrato di VM che utilizzano una rete VPC con tre subnet in due regioni, consulta Esempio di rete VPC.

Controller interfaccia di rete (NIC)

Ogni VM in una rete VPC ha un'interfaccia di rete predefinita. Puoi creare interfacce di rete aggiuntive per le tue VM, ma ogni interfaccia deve essere collegata a una rete VPC diversa. Più interfacce di rete ti consentono di creare configurazioni in cui un'istanza si connette direttamente a diverse reti VPC. Per ulteriori informazioni sull'utilizzo di più NIC, consulta la Panoramica di più interfacce di rete.

Indirizzi IP

Ogni interfaccia VM ha un indirizzo IPv4 interno, allocato dalla subnet. Facoltativamente, puoi configurare un indirizzo IPv4 esterno. Se l'interfaccia si connette a una subnet con un intervallo IPv6, facoltativamente puoi configurare un indirizzo IPv6. Le VM utilizzano questi indirizzi IP per comunicare con altre risorse Google Cloud e sistemi esterni. Gli indirizzi IP esterni sono indirizzi IP instradabili pubblicamente che possono comunicare con internet. Sia gli indirizzi IP esterni che quelli interni possono essere temporanei o statici.

Gli indirizzi IP interni sono locali per uno dei seguenti elementi:

  • Una rete VPC
  • Una rete VPC connessa tramite il peering di rete VPC
  • Una rete on-premise connessa a una rete VPC utilizzando Cloud VPN, Cloud Interconnect o un'appliance router

Un'istanza può comunicare con le istanze nella stessa rete VPC o in una rete connessa come specificato nell'elenco precedente utilizzando l'indirizzo IPv4 interno della VM. Se le VM hanno IPv6 configurato, puoi anche utilizzare uno degli indirizzi IPv6 interni o esterni della VM. Come best practice, utilizza indirizzi IPv6 interni per la comunicazione interna. Per ulteriori informazioni sugli indirizzi IP, consulta la panoramica degli indirizzi IP per Compute Engine.

Per comunicare con internet, puoi utilizzare un indirizzo IPv4 o IPv6 esterno configurato sull'istanza. Se l'istanza non ha un indirizzo esterno, puoi utilizzare Cloud NAT per il traffico IPv4.

Se hai più servizi in esecuzione su una singola istanza VM, puoi assegnare a ogni servizio un indirizzo IPv4 interno diverso utilizzando gli intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un determinato servizio alla VM corrispondente. Per ulteriori informazioni, consulta la sezione Intervalli IP di alias.

Nomi DNS (Domain Name System) interni

Quando crei un'istanza di una macchina virtuale (VM), Google Cloud crea un nome DNS interno dal nome della VM. A meno che non specifichi un nome host personalizzato, Google Cloud utilizza il nome DNS interno creato automaticamente come nome host fornito alla VM.

Per la comunicazione tra le VM nella stessa rete VPC, puoi specificare il nome DNS completo (FQDN) dell'istanza di destinazione anziché utilizzare il relativo indirizzo IP interno. Google Cloud risolve automaticamente il FQDN nell'indirizzo IP interno dell'istanza.

Per saperne di più sui nomi DNS interni a livello di zona e globale, consulta Nomi DNS interni a livello di zona e globale.

Route

Le route di Google Cloud definiscono i percorsi seguiti dal traffico di rete da un'istanza di macchina virtuale (VM) ad altre destinazioni. Queste destinazioni possono trovarsi all'interno della rete VPC (ad esempio in un'altra VM) o al di fuori. La tabella di routing per una rete VPC è definita a livello di rete VPC. Ogni istanza VM ha un controller che viene informato di tutte le route applicabili dalla tabella di routing della rete. Ogni pacchetto in uscita da una VM viene inviato all'hop successivo appropriato di una route applicabile in base a un ordine di routing.

Le route delle subnet definiscono i percorsi per risorse come VM e bilanciatori del carico interni in una rete VPC. Ogni subnet ha almeno una route di subnet la cui destinazione corrisponde all'intervallo IP principale della subnet. Le route subnet hanno sempre le destinazioni più specifiche. Non possono essere sostituite da altre route, anche se un'altra route ha una priorità più alta. Questo perché Google Cloud considera la specificità della destinazione prima della priorità quando seleziona una route. Per maggiori informazioni sugli intervalli IP delle subnet, consulta la panoramica delle subnet.

Regole di forwarding

Mentre le route regolano il traffico in uscita da un'istanza, le regole di inoltro indirizzano il traffico a una risorsa Google Cloud in una rete VPC in base all'indirizzo IP, al protocollo e alla porta. Alcune regole di inoltro indirizzano il traffico dall'esterno di Google Cloud a una destinazione all'interno della rete, mentre altre indirizzano il traffico dall'interno della rete.

Puoi configurare regole di inoltro per le tue istanze per implementare l'hosting virtuale per IP, Cloud VPN, IP virtuali privati (VIP) e il bilanciamento del carico. Per ulteriori informazioni sulle regole di inoltro, consulta Utilizzare il forwarding del protocollo.

Regole firewall

Le regole firewall VPC consentono o negano le connessioni da o verso la VM in base a una configurazione da te specificata. Google Cloud applica sempre le regole firewall VPC abilitate, proteggendo le VM a prescindere dalla configurazione e dal sistema operativo, anche se la VM non è stata avviata.

Per impostazione predefinita, ogni rete VPC ha regole firewall in entrata (ingress) e in uscita (egress) che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. La rete default ha regole firewall aggiuntive, inclusa la regola default-allow-internal, che consente la comunicazione tra le istanze della rete. Se non utilizzi la rete default, devi creare esplicitamente regole firewall in entrata con priorità più elevata per consentire alle istanze di comunicare tra loro.

Ogni rete VPC funziona come un firewall distribuito. Le regole firewall vengono definite a livello di VPC e possono essere applicate a tutte le istanze della rete oppure puoi utilizzare tag di destinazione o account di servizio di destinazione per applicare le regole a istanze specifiche. Puoi considerare le regole del firewall VPC come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze all'interno della stessa rete VPC.

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Puoi assegnare criteri firewall gerarchici all'organizzazione nel suo complesso o a singole cartelle. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC. Inoltre, le regole dei criteri firewall gerarchici possono delegare la valutazione a criteri di livello inferiore o a regole firewall VPC con un'azione goto_next. Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione possono gestire le regole di firewall critiche in un'unica posizione.

Larghezza di banda della rete

Google Cloud tiene conto della larghezza di banda per istanza di macchina virtuale (VM), non per interfaccia di rete (NIC) o indirizzo IP. La larghezza di banda viene misurata utilizzando due dimensioni: direzione del traffico (in entrata e in uscita) e tipo di indirizzo IP di destinazione. Il tipo di macchina di una VM ne definisce la massima possibile velocità in uscita; tuttavia, puoi raggiungere questa velocità in uscita massima solo in situazioni specifiche. Per ulteriori informazioni, consulta la sezione Larghezza di banda di rete.

Google Virtual NIC (gVNIC) è un'interfaccia di rete virtuale progettata specificamente per Compute Engine. gVNIC è un'alternativa al driver Ethernet basato su virtIO. gVNIC è necessario per supportare larghezze di banda di rete superiori, come le velocità da 50 a 100 Gbps che possono essere utilizzate per i carichi di lavoro distribuiti sulle VM con GPU collegate. Inoltre, gVNIC è obbligatoria quando si utilizzano alcuni tipi di macchine progettati per prestazioni ottimali. Per ulteriori informazioni, consulta Utilizzare Google Virtual NIC.

Gruppi di istanze gestite e configurazioni di rete

Se utilizzi gruppi di istanze gestite, la configurazione di rete specificata nel modello di istanza si applica a tutte le VM create con il modello. Se crei un modello di istanza in una rete VPC in modalità automatica, Google Cloud seleziona automaticamente la subnet per la regione in cui hai creato il gruppo di istanze gestite.

Per saperne di più, consulta Reti e sottoreti e Creare modelli di istanze.

Passaggi successivi