Panoramica del networking per le VM


Questo documento fornisce una panoramica della funzionalità di rete delle tue istanze di macchine virtuali (VM). Fornisce una conoscenza di base su come le istanze delle macchine virtuali (VM) interagiscono con le reti Virtual Private Cloud (VPC). Per saperne di più sulle reti VPC e sulle funzionalità correlate, leggi la panoramica delle reti VPC.

Reti e subnet

Ogni VM fa parte di una rete VPC. Le reti VPC forniscono connettività per l'istanza VM ad altri Google Cloud prodotti e a internet. Le reti VPC possono essere in modalità automatica o personalizzata.

  • Le reti VPC in modalità automatica hanno una sottorete in ogni regione. Tutte le subnet sono contenute in questo intervallo di indirizzi IP: 10.128.0.0/9. Le reti VPC in modalità automatica supportano solo intervalli di subnet IPv4.
  • Le reti in modalità personalizzata non hanno una configurazione di subnet specificata. Puoi decidere quali subnet creare nelle regioni di tua scelta utilizzando gli intervalli IP da te specificati. Le reti in modalità personalizzata supportano anche gli intervalli di subnet IPv6.

A meno che tu non scelga di disattivarla, ogni progetto ha una rete default, ovvero una rete VPC in modalità automatica. Puoi disattivare la creazione di reti predefinite creando un criterio dell'organizzazione.

Ogni subnet in una rete VPC è associata a una regione e contiene uno o più intervalli di indirizzi IP. Puoi creare più subnet per regione. Ognuna delle interfacce di rete della VM deve essere connessa a una subnet.

Quando crei una VM, puoi specificare una rete e una subnet VPC. Se ometti questa configurazione, vengono utilizzate la rete e la subnet default.Google Cloud assegna alla nuova VM un indirizzo IPv4 interno dall'intervallo di indirizzi IPv4 principale della subnet selezionata. Se la subnet ha anche un intervallo di indirizzi IPv6 (chiamato doppio stack) o se hai creato una subnet solo IPv6 (anteprima), puoi assegnare un indirizzo IPv6 alla VM.

Per saperne di più sulle reti VPC, consulta la panoramica delle reti VPC. Per un esempio illustrato di VM che utilizzano una rete VPC con tre subnet in due regioni, consulta Esempio di rete VPC.

Controller interfaccia di rete (NIC)

Ogni istanza di calcolo in una rete VPC ha un'interfaccia di rete predefinita. Puoi definire le interfacce di rete solo quando crei un'istanza di calcolo. Quando configuri un'interfaccia di rete, seleziona una rete VPC e una subnet all'interno di quella rete VPC a cui connettere l'interfaccia. Puoi creare interfacce di rete aggiuntive per le tue istanze, ma ogni interfaccia deve essere collegata a una rete VPC diversa.

Più interfacce di rete ti consentono di creare configurazioni in cui un'istanza si connette direttamente a diverse reti VPC. Più interfacce di rete sono utili quando le applicazioni in esecuzione in un'istanza richiedono la separazione del traffico, ad esempio la separazione del traffico del piano dati dal traffico del piano di gestione. Per ulteriori informazioni sull'utilizzo di più NIC, consulta la Panoramica di più interfacce di rete.

Quando configuri l'interfaccia di rete per un'istanza di calcolo, puoi specificare il tipo di driver di rete da utilizzare con l'interfaccia, VirtIO o gVNIC (Google Virtual NIC). Per le serie di macchine di prima e seconda generazione, il valore predefinito è VirtIO. Le serie di macchine di 3ª generazione e successive sono configurate per utilizzare gVNIC per impostazione predefinita e non supportano VirtIO per l'interfaccia di rete. Le istanze bare metal utilizzano IDPF.

Inoltre, puoi scegliere di utilizzare le prestazioni di rete Tier_1 per VM con un'istanza compute che utilizza gVNIC o IPDF. La rete Tier_1 consente limiti di throughput della rete più elevati sia per i trasferimenti di dati in entrata che in uscita.

Larghezza di banda della rete

Google Cloud tiene conto della larghezza di banda per istanza VM, non per interfaccia di rete (NIC) o indirizzo IP. La larghezza di banda viene misurata utilizzando due dimensioni: direzione del traffico (in entrata e in uscita) e tipo di indirizzo IP di destinazione. La velocità in uscita massima possibile è determinata dal tipo di macchina utilizzato per creare l' istanza. Tuttavia, puoi raggiungere questa velocità in uscita massima solo in situazioni specifiche. Per ulteriori informazioni, consulta la sezione relativa alla larghezza di banda di rete.

Per supportare larghezze di banda di rete più elevate, ad esempio 200 Gbps per le serie di macchine di terza generazione e successive, è necessaria la scheda di rete virtuale Google (gVNIC).

  • I limiti di larghezza di banda in uscita massima standard vanno da 1 Gbps a 100 Gbps.
  • Le prestazioni di rete Tier_1 per VM aumentano il limite di larghezza di banda in uscita massima a 200 Gbps, a seconda delle dimensioni e del tipo di macchina dell'istanza di calcolo.

Alcune serie di macchine hanno limiti diversi, come descritto nella tabella di riepilogo della larghezza di banda.

Indirizzi IP

A ogni VM viene assegnato un indirizzo IP della subnet associata all'interfaccia di rete. Il seguente elenco fornisce informazioni aggiuntive sui requisiti per la configurazione degli indirizzi IP.

  • Per le subnet solo IPv4, l'indirizzo IP è un indirizzo IPv4 interno. Se vuoi, puoi configurare un indirizzo IPv4 esterno per la VM.
  • Se l'interfaccia di rete si connette a una subnet a doppio stack con un intervallo IPv6, devi utilizzare una rete VPC in modalità personalizzata. La VM ha i seguenti indirizzi IP:
    • Un indirizzo IPv4 interno. Se vuoi, puoi configurare un indirizzo IPv4 esterno per la VM.
    • Un indirizzo IPv6 interno o esterno, a seconda del tipo di accesso della subnet.
  • Per le subnet solo IPv6 (anteprima), devi usare una rete VPC in modalità personalizzata. La VM ha un indirizzo IPv6 interno o esterno, a seconda del tipo di accesso della subnet.
  • Per creare un'istanza solo IPv6 (anteprima) con un indirizzo IPv6 interno ed esterno, devi specificare due interfacce di rete durante la creazione della VM. Non puoi aggiungere interfacce di rete a un'istanza esistente.

Gli indirizzi IP esterni e interni possono essere temporanei o statici.

Gli indirizzi IP interni sono locali per uno dei seguenti elementi:

  • Una rete VPC
  • Una rete VPC connessa tramite il peering di rete VPC
  • Una rete on-premise connessa a una rete VPC utilizzando Cloud VPN, Cloud Interconnect o un'appliance router

Un'istanza può comunicare con le istanze nella stessa rete VPC o in una rete connessa come specificato nell'elenco precedente utilizzando l'indirizzo IPv4 interno della VM. Se l'interfaccia di rete della VM si connette a una subnet a doppio stack o a una subnet solo IPv6, puoi utilizzare gli indirizzi IPv6 interni o esterni della VM per comunicare con altre istanze sulla stessa rete. Come best practice, utilizza indirizzi IPv6 interni per la comunicazione interna. Per ulteriori informazioni sugli indirizzi IP, consulta la panoramica degli indirizzi IP per Compute Engine.

Per comunicare con internet o con sistemi esterni, utilizza un indirizzo IPv4 o IPv6 esterno configurato sull'istanza VM. Gli indirizzi IP esterni sono indirizzi IP instradabili pubblicamente. Se un'istanza non dispone di un indirizzo IP esterno, è possibile utilizzare Cloud NAT per il traffico IPv4.

Se hai più servizi in esecuzione su una singola istanza VM, puoi assegnare a ogni servizio un indirizzo IPv4 interno diverso utilizzando gli intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un determinato servizio alla VM corrispondente. Per ulteriori informazioni, consulta la sezione Intervalli IP di alias.

Network Service Tiers

Network Service Tiers ti consente di ottimizzare la connettività tra i sistemi su internet e le tue istanze Compute Engine. Il livello Premium invia il traffico sul backbone premium di Google, mentre il livello Standard utilizza le reti degli ISP standard. Utilizza il livello Premium per l'ottimizzazione in base alle prestazioni e il livello Standard per l'ottimizzazione in base al costo.

Poiché scegli un livello di rete a livello di risorsa, ad esempio l'indirizzo IP esterno di una VM, puoi utilizzare il livello Standard per alcune risorse e il livello Premium per altre. Se non specifichi un livello, viene utilizzato il livello Premium.

Le istanze Compute che utilizzano indirizzi IP interni per comunicare all'interno delle reti VPC utilizzano sempre l'infrastruttura di rete del livello Premium.

Quando utilizzi il livello Premium o Standard, non viene addebitato alcun costo per il trasferimento di dati in entrata. I prezzi del trasferimento di dati in uscita sono calcolati per GiB recapitato e sono diversi per ciascuno dei livelli di servizio di rete. Per informazioni sui prezzi, consulta Prezzi di Network Service Tiers.

I livelli di servizio di rete non sono uguali alle prestazioni di rete Tier_1 per VM, che è un'opzione di configurazione che puoi scegliere di utilizzare con le tue istanze di calcolo. L'utilizzo della rete Tier_1 comporta un costo aggiuntivo, come descritto in Prezzi di rete Tier_1 con maggiore larghezza di banda. Per ulteriori informazioni sulla rete Tier_1, consulta Configurare le prestazioni di rete Tier_1 per VM.

Livello Premium

Il livello Premium invia il traffico da sistemi esterni alle risorse Google Cloud utilizzando la rete globale di Google, a bassa latenza e altamente affidabile. Questa rete è progettata per tollerare più errori e interruzioni, continuando a gestire il traffico. Il livello Premium è ideale per i clienti con utenti in più località in tutto il mondo che hanno bisogno delle migliori prestazioni e affidabilità della rete.

La rete di livello Premium è costituita da un'estesa rete in fibra privata con più di 100 punti di presenza (POP) in tutto il mondo. All'interno della rete di Google, il traffico viene instradato da questo PoP all'istanza di calcolo nella rete VPC. Il traffico in uscita viene inviato tramite la rete di Google ed esce dal PoP più vicino alla destinazione. Questo metodo di routing riduce al minimo la congestione e massimizza le prestazioni riducendo il numero di hop tra gli utenti finali e i PoP più vicini.

Livello Standard

La rete di livello Standard invia il traffico da sistemi esterni alle risorseGoogle Cloud instradandolo su internet. I pacchetti che escono dalla rete di Google vengono inviati utilizzando la rete internet pubblica e sono soggetti all'affidabilità dei provider di transito e degli ISP intermedi. Il livello Standard offre una qualità e un'affidabilità della rete paragonabili a quelle di altri provider cloud.

Il livello Standard ha un prezzo inferiore rispetto al livello Premium perché il traffico proveniente dai sistemi su internet viene indirizzato tramite reti di transito (ISP) prima di essere inviato alle istanze di calcolo nella rete VPC. Il traffico in uscita del livello standard solitamente esce dalla rete di Google dalla stessa regione utilizzata dall'istanza di calcolo mittente, indipendentemente dalla destinazione.

Il livello Standard include 200 GB di utilizzo gratuito al mese in ogni regione che utilizzi in tutti i tuoi progetti, su base di risorsa.

Nomi DNS (Domain Name System) interni

Quando crei un'istanza di una macchina virtuale (VM), Google Cloud viene creato un nome DNS interno dal nome della VM. A meno che non specifichi un nome host personalizzato, Google Cloud utilizza il nome DNS interno creato automaticamente come nome host fornito alla VM.

Per la comunicazione tra le VM nella stessa rete VPC, puoi specificare il nome DNS completo (FQDN) dell'istanza di destinazione anziché utilizzare il relativo indirizzo IP interno. Google Cloud risolve automaticamente il FQDN nell'indirizzo IP interno dell'istanza.

Per saperne di più sui nomi DNS interni a livello di zona e globale, consulta Nomi DNS interni a livello di zona e globale.

Route

LeGoogle Cloud route definiscono i percorsi che il traffico di rete segue da un'istanza di macchina virtuale (VM) ad altre destinazioni. Queste destinazioni possono trovarsi all'interno della rete VPC (ad esempio in un'altra VM) o al di fuori. La tabella di routing per una rete VPC è definita a livello di rete VPC. Ogni istanza VM ha un controller che viene informato di tutte le route applicabili dalla tabella di routing della rete. Ogni pacchetto in uscita da una VM viene inviato all'hop successivo appropriato di una route applicabile in base a un ordine di routing.

Le route delle subnet definiscono i percorsi per risorse come VM e bilanciatori del carico interni in una rete VPC. Ogni subnet ha almeno una route di subnet la cui destinazione corrisponde all'intervallo IP principale della subnet. Le route subnet hanno sempre le destinazioni più specifiche. Non possono essere sostituite da altre route, anche se un'altra route ha una priorità più alta. Questo perché Google Cloud viene presa in considerazione la specificità della destinazione prima della priorità quando si seleziona un itinerario. Per maggiori informazioni sugli intervalli IP delle subnet, consulta la panoramica delle subnet.

Regole di forwarding

Mentre le route regolano il traffico in uscita da un'istanza, le regole di forwarding indirizzano il traffico a una Google Cloud risorsa in una rete VPC in base a indirizzo IP, protocollo e porta. Alcune regole di inoltro indirizzano il traffico dall'esterno Google Cloud a una destinazione all'interno della rete; altre regole indirizzano il traffico dall'interno della rete.

Puoi configurare regole di inoltro per le tue istanze per implementare l'hosting virtuale per IP, Cloud VPN, IP virtuali privati (VIP) e bilanciamento del carico. Per ulteriori informazioni sulle regole di inoltro, consulta Utilizzare il forwarding del protocollo.

Regole firewall

Le regole firewall VPC consentono di consentire o negare le connessioni da o verso la VM in base a una configurazione specificata. Google Cloud applica sempre le regole firewall VPC abilitate, proteggendo le VM a prescindere dalla configurazione e dal sistema operativo, anche se la VM non è stata avviata.

Per impostazione predefinita, ogni rete VPC ha regole firewall in entrata (ingress) e in uscita (egress) che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. La rete default ha regole firewall aggiuntive, tra cui la regola default-allow-internal, che consente la comunicazione tra le istanze della rete. Se non utilizzi la rete default, devi creare esplicitamente regole firewall in entrata con priorità più elevata per consentire alle istanze di comunicare tra loro.

Ogni rete VPC funziona come un firewall distribuito. Le regole firewall vengono definite a livello di VPC e possono essere applicate a tutte le istanze della rete oppure puoi utilizzare tag di destinazione o account di servizio di destinazione per applicare le regole a istanze specifiche. Puoi considerare le regole del firewall VPC come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze all'interno della stessa rete VPC.

I criteri firewall gerarchici ti consentono di creare e applicare un criterio firewall coerente in tutta l'organizzazione. Puoi assegnare i criteri firewall gerarchici all'organizzazione nel suo complesso o a singole cartelle. Questi criteri contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC. Inoltre, le regole dei criteri firewall gerarchici possono delegare la valutazione a criteri di livello inferiore o a regole firewall VPC con un'azione goto_next. Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione possono gestire le regole di firewall critiche in un'unica posizione.

Gruppi di istanze gestite e configurazioni di rete

Se utilizzi gruppi di istanze gestite, la configurazione di rete specificata nel modello di istanza si applica a tutte le VM create con il modello. Se crei un modello di istanza in una rete VPC in modalità automatica, Google Cloud viene selezionata automaticamente la subnet per la regione in cui hai creato il gruppo di istanze gestite.

Per saperne di più, consulta Reti e sottoreti e Creare modelli di istanze.

Passaggi successivi