Erweiterte VPC-Konzepte
Auf dieser Seite werden weitere Details zu VPC-Netzwerken (Virtual Private Cloud) erläutert. Machen Sie sich vor dem Lesen dieser Seite mit den Informationen zu VPC-Netzwerken vertraut. Wenn Sie an Peering-VPC-Netzwerken interessiert sind, finden Sie weitere Informationen unter VPC-Netzwerk-Peering.
Low-Level-VPC-Netzwerkdetails
Dieser Abschnitt enthält einige VPC-Netzwerkdetails. Sie müssen diese für den normalen Gebrauch nicht lesen, aber sie geben einen Einblick in die Funktionsweise des VPC-Netzwerks. Im folgenden Diagramm werden diese Details beschrieben, wobei die entsprechenden Abschnitte weitere Informationen enthalten.
Wer verarbeitet was
Die verschiedenen Features von VPC-Netzwerken werden von verschiedenen Teilen des Systems ausgeführt. Einige dieser Funktionen sind Standardnetzwerkfunktionen, die gut dokumentiert sind, während andere für VPC-Netzwerke spezifisch sind. Sie können einige Funktionen konfigurieren, andere hingegen nicht. VPC-Netzwerke verwenden das VIRTIO-Netzwerkmodul von Linux zur Modellierung der Ethernetkarten- und Routerfunktion. Höhere Ebenen des Netzwerkstapels, wie etwa ARP-Suchvorgänge, werden aber mithilfe der Standardnetzwerksoftware verarbeitet.
- ARP-Suche
- Der Instanz-Kernel gibt ARP-Anfragen und das VPC-Netzwerk ARP-Antworten aus. Die Zuordnung zwischen MAC-Adressen und IP-Adressen erfolgt durch den Instanz-Kernel.
- MAC-Suchtabelle, IP-Suchtabelle, Tabelle aktiver Verbindungen
- Diese Tabellen werden im zugrunde liegenden VPC-Netzwerk gehostet und können nicht überprüft oder konfiguriert werden.
- DNS-Server
Der Metadatenserver jeder Instanz fungiert als DNS-Server. Er speichert die DNS-Einträge für alle IP-Adressen des VPC-Netzwerks im lokalen VPC-Netzwerk und ruft den öffentlichen DNS-Server von Google für Einträge außerhalb des VPC-Netzwerks auf. Sie können diesen DNS-Server nicht konfigurieren. Der DHCP-Client jeder Instanz ist so konfiguriert, dass er die
/etc/resolv.conf
-Datei der Instanz verwaltet.Sie können eine eigene Suchdomain oder Nameserver zur Instanz
/etc/resolv.conf
hinzufügen, indem Sie die DHCP-Richtlinie ändern. Bei vielen Linux-Distributionen können diese Änderungen über/etc/dhcp/dhclient.conf
bestehen bleiben. Weitere Informationen finden Sie in der Dokumentation Interne DNS.- Paketverarbeitung zwischen VPC-Netzwerk und außerhalb
Pakete in das oder aus dem VPC-Netzwerk werden von Netzwerkcode verarbeitet, der das Paket anhand von Firewallregeln, der Suchtabelle für externe IP-Adressen und der Tabelle aktiver Verbindungen untersucht. Das VPC-Netzwerk führt auch NAT für Pakete in und aus dem VPC-Netzwerk durch.
- Von einer Instanz empfangene Pakete
Diese Pakete werden vom Instanz-Kernel nach der Standardmethode empfangen und in einen Stream umgewandelt.
- Von einer Instanz gesendete Pakete
Pakete werden vom Instanz-Kernel nach der Standardmethode gesendet. Schnittstellen- und Netzwerkfunktion werden mit dem VIRTIO-Netzwerkmodul modelliert.
Detaillierte Verbindungsanleitungen
Im Folgenden wird beschrieben, was geschieht, wenn eine Instanz einen VPC-Netzwerkaufruf durchführt.
Eine Instanz führt einen Aufruf durch:
- Wenn die Zieladresse ein Instanzname oder eine URL ist, wie etwa www.google.com, ruft die Instanz den DNS-Dienst über ihren Metadatenserver auf und gibt die entsprechende IP-Adresse zurück. Sie können die Instanz so konfigurieren, dass ein anderer DNS-Dienst abgefragt wird, aber dann können Sie keine Instanznamen auflösen.
Die Ziel-IP-Adresse wird anhand des IP-Adressbereichs des Subnetzes überprüft, den jede Instanz kennt.
Wenn die IP-Adresse nicht im aktuellen VPC-Netzwerk oder in einem VPC-Netzwerk mit VPC-Netzwerk-Peering enthalten ist:
Die Instanz sendet das Paket an die MAC-Adresse des Subnetz-Gateways, wobei das Ziel auf das endgültige Ziel des Pakets eingestellt ist. Die Instanz muss möglicherweise eine ARP-Anfrage stellen, um die MAC-Adresse des Gateways aufzulösen.
Das VPC-Netzwerk schreibt den IP-Header um, um die externe IP-Adresse der Instanz als Quelle zu deklarieren. Wenn die Instanz keine externe IP-Adresse hat, ist der Aufruf nicht zulässig und das VPC-Netzwerk löscht das Paket, ohne den Absender zu informieren.
Das VPC-Netzwerk zeichnet das ausgehende Paket auf und fügt Quelle und Ziel der Tabelle aktiver Verbindungen hinzu.
Das VPC-Netzwerk sendet das Paket an dessen Ziel.
Das Ziel ruft das Paket ab und antwortet gegebenenfalls.
Das VPC-Netzwerk empfängt die Antwort, prüft die Tabelle aktiver Verbindungen, stellt fest, dass es sich um eine aktive Verbindung handelt, und lässt diese zu. Das VPC-Netzwerk prüft die Netzwerk-/externe IP-Suchtabelle, ersetzt die externe IP-Adresse der Instanz durch die entsprechende Netzwerkadresse und sendet das Paket an die Quellinstanz.
Die Instanz empfängt das Paket.
Wenn sich die Ziel-IP-Adresse innerhalb des VPC-Netzwerks oder eines VPC-Netzwerks befindet, das über VPC-Netzwerk-Peering verbunden ist:
Die Instanz wird mit einer IP-Adresse mit 255.255.255.255-Maske konfiguriert, sodass die Instanz das Paket an die Gateway-MAC-Adresse des Subnetzes sendet. Die Instanz muss möglicherweise eine ARP-Anfrage stellen, um die MAC-Adresse des Gateways aufzulösen.
Google Cloud leitet das Paket an die Ziel-IP-Adresse im aktuellen oder im Peering-VPC-Netzwerk weiter.
Die Zielinstanz empfängt das Paket. Die Zielinstanz prüft die Firewall für eingehenden Traffic und bestimmt, ob das Paket zulässig ist. Wenn nicht, wird das Paket ohne Meldung gelöscht. Andernfalls verarbeitet die Instanz das Paket.
Eine externe Instanz oder ein externer Computer ruft eine Instanz auf:
Der externe Aufrufer sendet ein Paket an die externe IP-Adresse der Instanz, die dem VPC-Netzwerk gehört.
Das VPC-Netzwerk vergleicht das Paket mit der Tabelle aktiver Verbindungen, um zu prüfen, ob es sich um eine vorhandene Verbindung handelt:
- Wenn es sich nicht um eine bestehende Verbindung handelt, sucht das VPC-Netzwerk nach einer Firewallregel, die die Verbindung zulässt.
- Ist keine Firewallregel vorhanden, löscht das VPC-Netzwerk das Paket, ohne den Absender zu informieren.
Wenn eine Verbindung oder eine gültige Firewallregel vorhanden ist, prüft das VPC-Netzwerk die Suchtabelle und ersetzt die externe IP-Adresse durch die entsprechende interne IP-Adresse im Paket, protokolliert das eingehende Paket in der Tabelle aktiver Verbindungen und sendet das Paket an die Zielinstanz.
Die Instanz empfängt das Paket und antwortet, wenn ein Paket an eine Adresse außerhalb des Netzwerkbereichs gesendet wird, wie oben unter Wenn die IP-Adresse außerhalb des VPC-Netzwerk-IP-Bereichs liegt beschrieben.
Das VPC-Netzwerk empfängt die Antwort, sucht die entsprechende eingehende Anfrage in der Tabelle aktiver Verbindungen und lässt die Weiterleitung des Pakets zu. Vor dem Senden ändert es die Quell-IP-Adresse. Dabei wird die interne IP-Adresse der Instanz durch die entsprechende externe IP-Adresse aus der Suchtabelle ersetzt.
Durchsatz eines VPC-Netzwerks messen
Eine Anleitung finden Sie unter Netzwerkdurchsatz berechnen.
Nächste Schritte
- Eine Übersicht über VPC-Netzwerke finden Sie unter VPC-Netzwerke.
- Anleitungen zum Erstellen, Ändern und Löschen von VPC-Netzwerken finden Sie unter VPC-Netzwerke erstellen und verwalten.