Concetti avanzati su VPC
Questa pagina fornisce ulteriori dettagli sulle reti Virtual Private Cloud (VPC). Prima di leggere questa pagina, vedi Reti VPC. Se ti interessano le reti VPC in peering, consulta Peering di rete VPC.
Dettagli del networking VPC di basso livello
Questa sezione fornisce alcuni dettagli di rete VPC di basso livello. Non è necessario leggere questo testo per l'utilizzo tipico, ma fornisce maggiori insight su come funziona il networking VPC. Le seguenti diagramma descrive questi dettagli di basso livello, con ulteriori informazioni nel sezioni corrispondenti.
Chi gestisce cosa
Le diverse funzionalità di networking VPC vengono gestite diverse parti del sistema. Alcune di queste sono reti standard di funzionalità ben documentate e alcune sono specifiche per reti VPC. Alcune funzionalità possono essere configurate, mentre altre non sono configurate. Le reti VPC utilizzano il modulo di rete VIRTIO di Linux per modellare la funzionalità delle schede Ethernet e dei router, ma i livelli superiori della piastra di rete, come le ricerche ARP, vengono gestiti utilizzando il software di rete standard.
- Ricerca ARP
- Problemi relativi al kernel dell'istanza Richieste ARP e la rete VPC emette risposte ARP. La mappatura tra indirizzi MAC e indirizzi IP viene gestito dal kernel dell'istanza.
- Tabella di ricerca MAC, tabella di ricerca IP, tabella delle connessioni attive
- Queste tabelle sono ospitate sulla rete VPC sottostante e non possono essere ispezionate o configurato.
- Server DNS
Il server di metadati di ogni istanza funge da server DNS. Archivia il DNS per tutti gli indirizzi IP della rete VPC nella rete VPC locale e nelle chiamate Server DNS pubblico di Google per le voci esterne alla rete VPC. Non puoi per configurare il server DNS. Il client DHCP su ogni istanza è configurato per gestire il file
/etc/resolv.conf
dell'istanza.Puoi aggiungere il tuo dominio di ricerca o i tuoi server dei nomi all'
/etc/resolv.conf
dell'istanza modificando il criterio DHCP. Molti sistemi Linux distribuzioni consentono di mantenere queste modifiche/etc/dhcp/dhclient.conf
Per ulteriori informazioni, consulta la documentazione di DNS interno.- Gestione dei pacchetti tra la rete VPC e l'esterno
I pacchetti in entrata o in uscita dalla rete VPC vengono gestiti dal codice di rete che esamina il pacchetto in base alle regole firewall e alla tabella di ricerca degli IP esterni. rispetto alla tabella delle connessioni attive. La rete VPC esegue anche la traduzione NAT in entrata e in uscita dalla rete VPC.
- Pacchetti ricevuti da un'istanza
Questi pacchetti vengono ricevuti e trasformati in un flusso dal kernel dell'istanza in modo standard.
- Pacchetti inviati da un'istanza
I pacchetti vengono inviati dal kernel dell'istanza nel modo standard. Le funzionalità di interfaccia e di rete sono modellate utilizzando il modulo di rete VIRTIO.
Procedure dettagliate relative alla connessione
Di seguito sono riportati ulteriori dettagli su ciò che accade quando un'istanza crea un VPC chiamata di rete.
Un'istanza effettua una chiamata:
- Se l'indirizzo di destinazione è il nome di un'istanza o un URL come www.google.com, l'istanza chiama il servizio DNS sul proprio server di metadati e recupera all'indirizzo IP corrispondente. Puoi configurare l'istanza in modo che consulti un altro servizio DNS, ma in questo caso non potrai risolvere i nomi delle istanze.
L'indirizzo IP di destinazione viene esaminato in base all'intervallo di indirizzi IP della subnet, noto a tutte le istanze.
Se l'indirizzo IP non si trova nella rete VPC corrente o in una rete VPC connessa tramite il peering di rete VPC:
L'istanza invia il pacchetto all'indirizzo MAC del gateway della subnet con la destinazione impostata sulla destinazione finale del pacchetto. La potrebbe dover effettuare una richiesta ARP per risolvere Indirizzo MAC.
La rete VPC riscrive l'intestazione IP per dichiarare l'indirizzo IP esterno dell'istanza come origine. Se l'istanza non ha un indirizzo IP esterno, la chiamata non è consentita e la rete VPC elimina il pacchetto senza informare il mittente.
La rete VPC registra il pacchetto in uscita e aggiunge l'origine e alla tabella delle connessioni attive.
La rete VPC invia il pacchetto alla sua destinazione.
La destinazione riceve il pacchetto e risponde, se lo desidera.
La rete VPC riceve la risposta, consulta la tabella delle connessioni attive, rileva che si tratta di una connessione attiva e la consente. La La rete VPC consulta la propria rete/tabella di ricerca IP esterno e sostituisce all'indirizzo IP esterno dell'istanza con la rete corrispondente e invia il pacchetto all'istanza di origine.
L'istanza riceve il pacchetto.
Se l'indirizzo IP di destinazione si trova all'interno della rete VPC o in una rete VPC in peering tramite peering di rete VPC:
L'istanza è configurata con un IP con maschera 255.255.255.255, in modo che l'istanza invii il pacchetto al gateway della subnet Indirizzo MAC. L'istanza potrebbe dover prima effettuare una richiesta ARP per risolvere l'indirizzo MAC del gateway.
Google Cloud inoltra il pacchetto all'indirizzo IP di destinazione all'interno della rete VPC corrente o in peering.
L'istanza di destinazione riceve il pacchetto. L'istanza di destinazione controlla il firewall in entrata per determinare se il pacchetto è consentito. In caso contrario, il pacchetto viene ignorato. In caso contrario, l'istanza elabora il pacchetto.
Un'istanza o un computer esterno chiama un'istanza:
L'utente esterno invia un pacchetto all'indirizzo IP esterno di un'istanza, che è di proprietà della rete VPC.
La rete VPC confronta il pacchetto con la tabella delle connessioni attive con verifica se si tratta di una connessione esistente:
- Se non si tratta di una connessione esistente, la rete VPC cerca una una regola firewall per consentire la connessione.
- In assenza di una regola firewall, la rete VPC elimina il pacchetto senza per informare il mittente.
Se esiste una connessione o una regola firewall valida, la rete VPC esamina alla propria tabella di ricerca e sostituisce l'IP esterno con nel pacchetto, registra il pacchetto in entrata nella tabella delle connessioni attive e invia il pacchetto all'istanza di destinazione.
L'istanza riceve il pacchetto e risponde come descritto in Se l'indirizzo IP è esterno all'intervallo IP della rete VPC quando invia un pacchetto esterno all'intervallo di rete.
La rete VPC riceve la risposta, trova la richiesta in entrata corrispondente nella tabella delle connessioni attive e consente il passaggio del pacchetto. Prima di inviarlo, modifica l'indirizzo IP di origine sostituendo l'IP interno dell'istanza con l'IP esterno corrispondente dalla relativa tabella di ricerca.
Misura la velocità effettiva della rete VPC
Per istruzioni, vedi Calcola la velocità effettiva di rete.
Passaggi successivi
- Per saperne di più sulle reti VPC, vedi Reti VPC.
- Per creare, modificare ed eliminare le reti VPC, consulta Creare e gestire le reti VPC.