Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Concetti avanzati sui VPC

Questa pagina fornisce ulteriori dettagli sulle reti Virtual Private Cloud (VPC). Prima di leggere questa pagina, consulta le reti VPC. Se ti interessano le reti VPC in peering, consulta il peering di rete VPC.

Dettagli di rete VPC di basso livello

Questa sezione fornisce alcuni dettagli di rete VPC di basso livello. Non è necessario leggerlo per un utilizzo tipico, ma fornisce maggiori informazioni sul funzionamento del networking VPC. Il seguente diagramma descrive questi dettagli di basso livello, con ulteriori informazioni nelle sezioni corrispondenti.

Diagramma più dettagliato della rete VPC
Diagramma più dettagliato della rete VPC

Chi gestisce cosa

Le diverse funzionalità di networking VPC sono gestite da parti diverse del sistema. Alcune di queste sono funzionalità di networking standard ben documentate, altre sono specifiche delle reti VPC. Alcune funzionalità possono essere configurate, altre no. Le reti VPC utilizzano il modulo di rete VIRTIO di Linux per modellare le funzionalità della scheda Ethernet e del router, ma i livelli più alti dello stack di rete, come le ricerche ARP, vengono gestiti utilizzando un software di rete standard.

Ricerca ARP
Il kernel dell'istanza emette le richieste ARP e la rete VPC emette le risposte ARP. La mappatura tra indirizzi MAC e indirizzi IP viene gestita dal kernel dell'istanza.
Tabella di ricerca MAC, tabella di ricerca IP, tabella di connessione attiva
Queste tabelle sono ospitate sulla rete VPC sottostante e non possono essere ispezionate o configurate.
Server DNS

Ogni server di metadati di un'istanza funge da server DNS. Archivia le voci DNS per tutti gli indirizzi IP della rete VPC nella rete VPC locale e richiama il server DNS pubblico di Google per le voci esterne alla rete VPC. Non puoi configurare questo server DNS. Il client DHCP su ogni istanza è configurato per gestire il file /etc/resolv.conf dell'istanza.

Puoi aggiungere il tuo dominio di ricerca o i server dei nomi all'istanza di /etc/resolv.conf modificando il criterio DHCP. Molte distribuzioni Linux consentono queste modifiche per rimanere tramite /etc/dhcp/dhclient.conf. Per ulteriori informazioni, consulta la documentazione relativa al DNS interno.

Gestione dei pacchetti tra la rete VPC e l'esterno

I pacchetti in entrata o in uscita dalla rete VPC sono gestiti dal codice di rete che esamina il pacchetto rispetto alle regole firewall, alla tabella di ricerca degli IP esterni e alla tabella delle connessioni attive. La rete VPC esegue anche NAT sui pacchetti in entrata e in uscita dalla rete VPC.

Pacchetti ricevuti da un'istanza

Questi pacchetti vengono ricevuti e trasformati in un flusso dal kernel dell'istanza in modalità standard.

Pacchetti inviati da un'istanza

I pacchetti vengono inviati dal kernel dell'istanza in modo standard. Le funzionalità di interfaccia e di rete sono modellate utilizzando il modulo di rete VIRTIO.

Procedura dettagliata di connessione

Di seguito sono riportati ulteriori dettagli su ciò che accade quando un'istanza effettua una chiamata di rete VPC.

Un'istanza effettua una chiamata:

  1. Se l'indirizzo di destinazione è un nome di istanza o un URL come www.google.com, l'istanza chiama il servizio DNS sul server dei metadati e recupera l'indirizzo IP corrispondente. Puoi configurare l'istanza in modo che consulta un altro servizio DNS, ma non sarai in grado di risolvere i nomi dell'istanza.
  2. L'indirizzo IP di destinazione viene esaminato in base all'intervallo di indirizzi IP della subnet, noto a ogni istanza.

    1. Se l'indirizzo IP non si trova nella rete VPC attuale o in una rete VPC in peering tramite peering di rete VPC:

      1. L'istanza invia il pacchetto all'indirizzo MAC del gateway della subnet con la destinazione impostata sulla destinazione finale del pacchetto. L'istanza potrebbe dover effettuare una richiesta ARP per risolvere l'indirizzo MAC del gateway.

      2. La rete VPC riscrive l'intestazione IP per dichiarare l'indirizzo IP esterno dell'istanza come origine. Se l'istanza non ha un indirizzo IP esterno, la chiamata non è consentita e la rete VPC elimina il pacchetto senza informare il mittente.

      3. La rete VPC registra il pacchetto in uscita e aggiunge l'origine e la destinazione alla tabella delle connessioni attive.

      4. La rete VPC invia il pacchetto alla sua destinazione.

      5. La destinazione riceve il pacchetto e risponde se vuole.

      6. La rete VPC riceve la risposta, consulta la tabella delle connessioni attive, rileva che si tratta di una connessione attiva e la consente. La rete VPC consulta la tabella di ricerca degli IP esterni/di rete e sostituisce l'indirizzo IP esterno dell'istanza con l'indirizzo di rete corrispondente e invia il pacchetto all'istanza di origine.

      7. L'istanza riceve il pacchetto.

    2. Se l'indirizzo IP di destinazione si trova all'interno della rete VPC o in una rete VPC in peering tramite peering di rete VPC:

      1. L'istanza è configurata con un IP con maschera 255.255.255.255, quindi l'istanza invia il pacchetto all'indirizzo MAC del gateway della subnet. L'istanza potrebbe dover prima effettuare una richiesta ARP per risolvere l'indirizzo MAC del gateway.

      2. Google Cloud inoltra il pacchetto all'indirizzo IP di destinazione all'interno della rete VPC attuale o in peering.

      3. L'istanza di destinazione riceve il pacchetto. L'istanza di destinazione controlla il firewall in entrata per determinare se il pacchetto è consentito. In caso contrario, il pacchetto viene eliminato senza avvisi. In caso contrario, l'istanza elabora il pacchetto.

Un'istanza esterna o un computer chiama un'istanza:

  1. Il chiamante esterno invia un pacchetto all'indirizzo IP esterno di un'istanza, di proprietà della rete VPC.

  2. La rete VPC confronta il pacchetto con la tabella delle connessioni attive per verificare se si tratta di una connessione esistente:

    1. Se non si tratta di una connessione esistente, la rete VPC cerca una regola del firewall per consentire la connessione.
    2. Se non è presente alcuna regola firewall, la rete VPC elimina il pacchetto senza informare il mittente.
  3. Se è presente una connessione firewall esistente o una regola firewall valida, la rete VPC esamina la tabella di ricerca e sostituisce l'IP esterno con l'IP interno corrispondente nel pacchetto, registra il pacchetto in entrata nella tabella delle connessioni attive e invia il pacchetto all'istanza di destinazione.

  4. L'istanza riceve il pacchetto e risponde come descritto in Se l'indirizzo IP è esterno all'intervallo IP della rete VPC quando viene inviato un pacchetto all'esterno dell'intervallo di rete.

  5. La rete VPC riceve la risposta, trova la richiesta in entrata corrispondente nella tabella delle connessioni attive e consente il pacchetto. Prima dell'invio, modifica l'indirizzo IP di origine sostituendo l'IP interno dell'istanza con l'IP esterno corrispondente dalla tabella di ricerca.

Misura la velocità effettiva di rete VPC

Per le istruzioni, consulta la pagina Calcolare la velocità effettiva di rete.

Passaggi successivi