Concetti avanzati di VPC

Questa pagina fornisce ulteriori dettagli sulle reti Virtual Private Cloud (VPC). Prima di leggere questa pagina, vedi Reti VPC. Se ti interessano le reti VPC in peering, consulta Peering di rete VPC.

Dettagli della rete VPC di basso livello

Questa sezione fornisce alcuni dettagli della rete VPC di basso livello. Non è necessario leggerla per l'utilizzo tipico, ma fornisce maggiori informazioni sul funzionamento delle reti VPC. Il seguente schema descrive questi dettagli di basso livello, con ulteriori informazioni nelle sezioni corrispondenti.

Diagramma più dettagliato della rete VPC
Diagramma più dettagliato della rete VPC

Chi gestisce cosa

Le diverse funzionalità di networking VPC sono gestite da diverse parti del sistema. Alcune di queste sono funzionalità di networking standard ben documentate, mentre altre sono specifiche delle reti VPC. Alcune funzionalità che puoi configurare e altre no. Le reti VPC utilizzano il modulo di rete VIRTIO di Linux per modellare le funzionalità del router e delle schede Ethernet, ma livelli più elevati dello stack di rete, come le ricerche ARP, vengono gestiti utilizzando un software di rete standard.

Ricerca ARP
Il kernel dell'istanza invia le richieste ARP e la rete VPC emette le risposte ARP. La mappatura tra indirizzi MAC e indirizzi IP è gestita dal kernel dell'istanza.
tabella di ricerca MAC, tabella di ricerca IP, tabella di connessione attiva
Queste tabelle sono ospitate sulla rete VPC sottostante e non possono essere ispezionate o configurate.
Server DNS

Il server di metadati di ogni istanza agisce come server DNS. Archivia le voci DNS per tutti gli indirizzi IP di rete VPC nella rete VPC locale e chiama il server DNS pubblico di Google per le voci esterne alla rete VPC. Non puoi configurare questo server DNS. Il client DHCP su ogni istanza è configurato per gestire il file /etc/resolv.conf dell'istanza.

Puoi aggiungere il tuo dominio di ricerca o i tuoi server dei nomi all'istanza /etc/resolv.conf modificando il criterio DHCP. Molte distribuzioni Linux consentono la persistenza di queste modifiche tramite /etc/dhcp/dhclient.conf. Per ulteriori informazioni, consulta la documentazione relativa al DNS interno.

Gestione dei pacchetti tra la rete VPC e l'esterno

I pacchetti in entrata o in uscita dalla rete VPC vengono gestiti dal codice di rete che esamina il pacchetto in base alle regole firewall, alla tabella di ricerca degli IP esterni e alla tabella delle connessioni attive. La rete VPC esegue anche la traduzione NAT sui pacchetti in entrata e in uscita dalla rete VPC.

Pacchetti ricevuti da un'istanza

Questi pacchetti vengono ricevuti e trasformati in flusso dal kernel dell'istanza secondo la procedura standard.

Pacchetti inviati da un'istanza

I pacchetti vengono inviati dal kernel dell'istanza in modo standard. L'interfaccia e la funzionalità di rete sono modellate utilizzando il modulo di rete VIRTIO.

Procedure dettagliate per la connessione

Di seguito sono riportati ulteriori dettagli su cosa succede quando un'istanza effettua una chiamata alla rete VPC.

Un'istanza effettua una chiamata:

  1. Se l'indirizzo di destinazione è un nome istanza o un URL come www.google.com, l'istanza chiama il servizio DNS sul proprio server di metadati e recupera l'indirizzo IP corrispondente. Puoi configurare l'istanza per consultare un altro servizio DNS, ma non potrai risolvere i nomi delle istanze.
  2. L'indirizzo IP di destinazione viene esaminato in base all'intervallo di indirizzi IP della subnet, riconosciuto da ogni istanza.

    1. Se l'indirizzo IP non si trova nella rete VPC corrente o in una rete VPC in peering utilizzando il peering di rete VPC:

      1. L'istanza invia il pacchetto all'indirizzo MAC del gateway della subnet con la destinazione impostata su quella finale del pacchetto. L'istanza potrebbe dover effettuare una richiesta ARP per risolvere l'indirizzo MAC del gateway.

      2. La rete VPC riscrive l'intestazione IP per dichiarare l'indirizzo IP esterno dell'istanza come origine. Se l'istanza non ha un indirizzo IP esterno, la chiamata non è consentita e la rete VPC elimina il pacchetto senza informare il mittente.

      3. La rete VPC registra il pacchetto in uscita e aggiunge l'origine e la destinazione alla tabella delle connessioni attive.

      4. La rete VPC invia il pacchetto alla sua destinazione.

      5. La destinazione riceve il pacchetto e risponde, se lo desidera.

      6. La rete VPC riceve la risposta, consulta la tabella delle connessioni attive, rileva che si tratta di una connessione attiva e lo consente. La rete VPC consulta la tabella di ricerca dell'IP esterno o della rete, sostituisce l'indirizzo IP esterno dell'istanza con l'indirizzo di rete corrispondente e invia il pacchetto all'istanza di origine.

      7. L'istanza riceve il pacchetto.

    2. Se l'indirizzo IP di destinazione si trova all'interno della rete VPC o in una rete VPC in peering utilizzando il peering di rete VPC:

      1. L'istanza è configurata con un IP con maschera 255.255.255.255, quindi invia il pacchetto all'indirizzo MAC del gateway della subnet. L'istanza potrebbe prima dover effettuare una richiesta ARP per risolvere l'indirizzo MAC del gateway.

      2. Google Cloud inoltra il pacchetto all'indirizzo IP di destinazione all'interno della rete VPC attuale o in peering.

      3. L'istanza di destinazione riceve il pacchetto. L'istanza di destinazione controlla il firewall in entrata per determinare se il pacchetto è consentito. In caso contrario, il pacchetto viene ignorato automaticamente. In caso contrario, l'istanza elabora il pacchetto.

Un'istanza esterna o un computer chiama un'istanza:

  1. Il chiamante esterno invia un pacchetto all'indirizzo IP esterno di un'istanza, che è di proprietà della rete VPC.

  2. La rete VPC confronta il pacchetto con la tabella delle connessioni attive per vedere se si tratta di una connessione esistente:

    1. Se non si tratta di una connessione esistente, la rete VPC cerca una regola firewall per consentire la connessione.
    2. Se non esiste alcuna regola firewall, la rete VPC elimina il pacchetto senza informare il mittente.
  3. Se esiste già una connessione o una regola firewall valida, la rete VPC esamina la tabella di ricerca e sostituisce l'IP esterno con l'IP interno corrispondente nel pacchetto, registra il pacchetto in entrata nella tabella delle connessioni attive e invia il pacchetto all'istanza di destinazione.

  4. L'istanza riceve il pacchetto e risponde come descritto in Se l'indirizzo IP è al di fuori dell'intervallo IP della rete VPC quando invia un pacchetto al di fuori dell'intervallo di rete.

  5. La rete VPC riceve la risposta, trova la richiesta in entrata corrispondente nella tabella delle connessioni attive e consente il passaggio del pacchetto. Prima dell'invio, modifica l'indirizzo IP di origine sostituendo l'IP interno dell'istanza con l'IP esterno corrispondente della tabella di ricerca.

Misura la velocità effettiva di rete VPC

Per le istruzioni, vedi Calcolare la velocità effettiva di rete.

Passaggi successivi