Visão geral da nuvem privada virtual (VPC)

A nuvem privada virtual (VPC) oferece funcionalidade de rede para Instâncias de máquina virtual (VM) do Compute Engine ,Clusters do Google Kubernetes Engine (GKE) e cargas de trabalho sem servidor. A VPC proporciona redes globais, escalonáveis e flexíveis para seus recursos e serviços baseados em nuvem.

Nesta página, temos uma visão geral detalhada dos conceitos e recursos de VPC.

Redes VPC

Pense em uma rede VPC da mesma forma que pensaria em uma rede física, só que virtualizada no Google Cloud. Uma rede VPC é um recurso global que consiste em uma lista de sub-redes virtuais regionais em data centers, conectadas por uma rede global de longa distância. As redes VPC são isoladas logicamente umas das outras no Google Cloud.

Exemplo de rede VPC (clique para ampliar)
Exemplo de rede VPC (clique para ampliar)

Uma rede VPC faz o seguinte:

Leia mais sobre as redes VPC.

Regras de firewall

Cada rede VPC implementa um firewall virtual distribuído que você pode configurar. As regras de firewall permitem controlar quais pacotes têm permissão para transitar para quais destinos. Toda rede VPC tem duas regras de firewall implícitas que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída.

A rede default tem mais regras de firewall, incluindo a default-allow-internal, que permite a comunicação entre instâncias na rede.

Leia mais sobre regras de firewall.

Rotas

As rotas informam às instâncias de VM e à rede VPC como enviar tráfego de uma instância para um destino, dentro da rede ou fora do Google Cloud. Cada rede VPC vem com algumas rotas geradas pelo sistema para rotear o tráfego entre as sub-redes e enviar o tráfego de instâncias qualificadas para a Internet.

Você pode criar rotas estáticas personalizadas para direcionar alguns pacotes para destinos específicos.

Leia mais sobre rotas.

Regras de encaminhamento

Enquanto as rotas controlam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um recurso do Google Cloud em uma rede VPC com base em endereços IP, protocolos e portas.

Algumas regras de encaminhamento direcionam o tráfego de fora do Google Cloud para um destino na rede, enquanto outras direcionam o tráfego de dentro da rede. Os destinos das regras de encaminhamento são instâncias de destino, destinos do balanceador de carga (proxies de destino, pools de destino e serviços de back-end) e gateways do Cloud VPN.

Leia mais sobre regras de encaminhamento.

Interfaces e endereços IP

Endereços IP

Os recursos do Google Cloud, como as instâncias de VM do Compute Engine, as regras de encaminhamento, os contêineres do GKE e o App Engine, dependem de endereços IP para se comunicar.

Leia mais sobre endereços IP.

Intervalos de IP de alias

Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IP interno diferente usando intervalos de IP de alias. A rede VPC encaminha os pacotes destinados a um determinado serviço para a VM correspondente.

Leia mais sobre intervalos de IP de alias.

Várias interfaces de rede

É possível adicionar várias interfaces de rede a uma instância de VM, em que cada interface reside em uma rede VPC exclusiva. Várias interfaces de rede permitem que uma VM de dispositivo de rede atue como um gateway para proteger o tráfego entre diferentes redes VPC ou saindo da/para a Internet.

Leia mais sobre várias interfaces de rede.

Compartilhamento e peering de VPC

VPC compartilhada

É possível compartilhar uma rede VPC de um projeto (chamado de projeto host) com outros projetos na sua organização do Google Cloud. Também é possível conceder acesso a redes VPC compartilhadas inteiras ou selecionar sub-redes usando permissões de IAM específicas. Isso permite que você forneça controle centralizado em uma rede comum, mantendo a flexibilidade organizacional. A VPC compartilhada é especialmente útil em grandes organizações.

Leia mais sobre VPC compartilhada.

Peering de rede VPC

O peering de rede VPC permite que você crie ecossistemas de software como serviço (SaaS) no Google Cloud, disponibilizando serviços de modo privado em diferentes redes VPC, independentemente de as redes estarem no mesmo projeto, projetos diferentes ou organizações diferentes.

Com o peering de rede VPC, toda a comunicação acontece através de endereços IP internos. Sujeitas a regras de firewall, as instâncias de VMs em cada rede com peering podem se comunicar umas com as outras sem usar endereços IP externos.

As redes com peering trocam automaticamente as rotas de sub-rede por intervalos de endereços IP privados. O peering de rede VPC permite configurar se os seguintes tipos de rotas são trocados:

  • rotas de sub-rede para intervalos de IP públicos reutilizados de forma privada
  • rotas estáticas e dinâmicas personalizadas

A administração de cada rede com peering não muda: as políticas do IAM nunca são trocadas pelo peering de rede VPC. Por exemplo, os administradores de rede e segurança de uma rede VPC não recebem automaticamente esses papéis para a rede com peering.

Leia mais sobre o Peering de rede VPC.

Nuvem híbrida

Cloud VPN

O Cloud VPN permite conectar sua rede VPC à rede física local ou a outro provedor de nuvem usando uma rede privada virtual segura.

Leia mais sobre Cloud VPN.

Cloud Interconnect

Com o Cloud Interconnect, é possível conectar a rede VPC à sua rede local usando uma conexão física de alta velocidade.

Leia mais sobre o Cloud Interconnect.

Cloud Load Balancing

O Google Cloud oferece várias configurações de balanceamento de carga globais e regionais para distribuir o tráfego e as cargas de trabalho entre vários tipos de back-end. Para mais detalhes, consulte a Visão geral do Cloud Load Balancing.

Configurações especiais

Acesso privado do Google

Quando você ativa o Acesso privado do Google em uma sub-rede, as instâncias de uma sub-rede VPC podem se comunicar com APIs e serviços do Google usando endereços IP privados em vez de endereços IP externos.

Leia mais sobre o Acesso privado do Google.