Conceitos avançados de VPC

Esta página apresenta mais detalhes sobre as redes da nuvem privada virtual (VPC). Antes de ler esta página, consulte Redes VPC. Se você tiver interesse em redes VPC com peering, consulte Peering de redes VPC.

Detalhes da rede VPC de nível baixo

Esta seção fornece alguns detalhes da rede VPC de nível baixo. Não é necessário lê-la para saber sobre o uso típico, mas ela proporciona um entendimento mais aprofundado sobre o funcionamento da rede VPC. O diagrama a seguir descreve esses detalhes de nível baixo, com mais informações nas seções correspondentes.

Diagrama mais detalhado da rede VPC
Um diagrama mais detalhado da rede VPC

O que cada parte faz

Os diferentes recursos de rede VPC são processados por diferentes partes do sistema. Alguns são recursos padrão de rede que já estão bem documentados, outros são específicos das redes VPC. Alguns recursos podem ser configurados e outros não. As redes VPC usam o módulo de rede VIRTIO do Linux para modelar a funcionalidade de cartão Ethernet e roteador, mas os níveis mais altos da pilha de rede, como as consultas ARP, são processados por software de rede padrão.

Consulta ARP
O kernel da instância emite solicitações ARP e a rede VPC emite respostas ARP. O mapeamento entre endereços MAC e endereços IP é processado pelo kernel da instância.
Tabela de consulta MAC, tabela de consulta IP, tabela de conexão ativa
Essas tabelas são hospedadas na rede VPC subjacente e não podem ser inspecionadas ou configuradas.
Servidor DNS

O servidor de metadados de cada instância atua como um servidor DNS. Ele armazena as entradas de DNS de todos os endereços IP de rede VPC na rede VPC local e chama o servidor DNS público do Google para as entradas de fora da rede. Não é possível configurar este servidor DNS. O cliente DHCP em cada instância é configurado para gerenciar o arquivo /etc/resolv.conf da instância.

É possível adicionar seus próprios domínios de pesquisa ou servidores de nomes ao /etc/resolv.conf da instância modificando a política de DHCP. Muitas distribuições do Linux permitem que essas modificações sejam mantidas por meio do /etc/dhcp/dhclient.conf. Consulte a documentação sobre DNS interno para mais informações.

Processamento de pacotes entre a rede VPC e o lado externo

Os pacotes que entram ou saem da rede VPC são processados pelo código da rede, que os examina em relação às regras de firewall, à tabela de consulta de IP externo e à tabela de conexões ativas. A rede VPC também executa NAT nos pacotes que entram e saem dela.

Pacotes recebidos por uma instância

Esses pacotes são recebidos e transformados em stream pelo kernel da instância de maneira padrão.

Pacotes enviados por uma instância

Os pacotes são enviados pelo kernel da instância de maneira padrão. A interface e a funcionalidade da rede são modeladas usando o módulo de rede VIRTIO.

Instruções detalhadas de conexão

Veja mais detalhes sobre o que acontece quando uma instância faz uma chamada à rede VPC.

Uma instância faz uma chamada:

  1. Se o endereço de destino for um nome de instância ou um URL como www.google.com, a instância chamará o serviço DNS em seu servidor de metadados e receberá o endereço IP correspondente. Você pode configurar a instância para consultar outro serviço DNS, mas isso impede a resolução de nomes de instância.

  2. O endereço IP de destino é examinado em relação ao intervalo de endereços IP da sub-rede, que todas as instâncias reconhecem.

    1. Se o endereço IP não estiver na rede VPC atual ou em uma rede VPC com peering usando peering de rede VPC:

      1. A instância envia o pacote para o endereço MAC do gateway da sub-rede com a definição do destino final do pacote. Talvez a instância precise fazer uma solicitação ARP para resolver o endereço MAC do gateway.

      2. A rede VPC reescreve o cabeçalho IP para declarar o endereço IP externo da instância como a origem. Se a instância não tiver nenhum endereço IP externo, a chamada não será permitida e a rede VPC descartará o pacote sem informar o remetente.

      3. A rede VPC registra o pacote de saída e adiciona a origem e o destino à tabela de conexões ativas.

      4. A rede VPC envia o pacote para seu destino.

      5. O destino recebe o pacote e responde, se for o caso.

      6. A rede VPC recebe a resposta, consulta a tabela de conexões ativas, constata que é uma conexão ativa e a permite. A rede VPC consulta a tabela de consulta de IP externo/rede, substitui o endereço IP externo da instância pelo endereço de rede correspondente e envia o pacote para a instância de origem.

      7. A instância recebe o pacote.

    2. Se o endereço IP de destino estiver na rede VPC ou em uma rede VPC com peering usando peering de rede VPC:

      1. A instância é configurada com um IP com a máscara 255.255.255.255, para que possa enviar o pacote ao endereço MAC do gateway da sub-rede. Talvez a instância precise fazer uma solicitação ARP para resolver o endereço MAC do gateway.

      2. O Google Cloud encaminha o pacote para o endereço IP de destino na rede VPC atual ou com peering.

      3. A instância de destino recebe o pacote. A instância de destino verifica o firewall de entrada para determinar se o pacote está permitido. Se não estiver, o pacote será simplesmente descartado. Caso contrário, a instância processa o pacote.

Uma instância externa ou computador chama uma instância:

  1. O chamador externo envia um pacote ao endereço IP externo de uma instância, que pertence à rede VPC.

  2. A rede VPC compara o pacote com a tabela de conexões ativas para verificar se essa é uma conexão existente:

    1. Se ela não for uma conexão existente, a rede VPC vai procurar uma regra de firewall para permitir a conexão.
    2. Se não houver uma regra de firewall, a rede VPC descartará o pacote sem informar o remetente.

  3. Se houver uma conexão existente ou uma regra de firewall válida, a rede VPC examinará a tabela de consulta e substituirá o IP externo pelo IP interno correspondente no pacote, registrará o pacote de entrada na tabela de conexões ativas e o enviará para a instância de destino.

  4. A instância recebe o pacote e responde conforme descrito em Se o endereço IP estiver fora do intervalo IP da rede VPC ao enviar um pacote para fora do intervalo da rede.

  5. A rede VPC recebe a resposta, encontra a solicitação de entrada correspondente na tabela de conexões ativas e permite a passagem do pacote. Antes de enviar, ela modifica o endereço IP de origem substituindo o IP interno da instância pelo IP externo correspondente da tabela de consulta.

Medir a capacidade da rede VPC

Para instruções, consulte Calcular a capacidade da rede.

A seguir