Panoramica di Virtual Private Cloud (VPC)
Un virtual private cloud (VPC) fornisce le funzionalità di rete necessarie per istanze di macchine virtuali (VM) di Compute Engine, cluster Google Kubernetes Engine (GKE) e carichi di lavoro serverless.
VPC fornisce networking per le tue risorse basate su cloud globale, scalabile e flessibile.
Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità VPC.
Reti VPC
In sostanza, una rete VPC è come una rete fisica, ad eccezione del fatto che è virtualizzata all'interno di Google Cloud. R La rete VPC è una risorsa globale composta da un elenco di subnet virtuali regionali nei data center, tutte collegate tramite una rete globale. Le reti VPC sono isolate logicamente l'uno dall'altro in Google Cloud.
Una rete VPC esegue le seguenti operazioni:
- Fornisce connettività per le tue istanze di macchine virtuali (VM) Compute Engine, inclusi i cluster Google Kubernetes Engine (GKE), carichi di lavoro serverless e altri prodotti Google Cloud basati su VM Compute Engine.
- Offre bilanciatori del carico di rete passthrough interni e sistemi proxy integrati per bilanciatori del carico delle applicazioni interni.
- Si connette alle reti on-premise utilizzando i tunnel VPN Cloud e i collegamenti VLAN per Cloud Interconnect.
- Distribuisce il traffico dai bilanciatori del carico esterni di Google Cloud ai backend.
Per saperne di più, consulta Reti VPC.
Regole firewall
Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Le regole firewall ti consentono di specificare quali pacchetti possono essere inviati a quali destinazioni. Ogni rete VPC include regole firewall implicite che bloccano tutte le connessioni in entrata e consentire tutte le connessioni in uscita.
La retedefault
ha regole firewall aggiuntive, inclusa la regola default-allow-internal
, che consentono la comunicazione tra le istanze della rete.
Per ulteriori informazioni, consulta Regole firewall VPC.
Route
Le route mostrano alle istanze VM e alla rete VPC come inviare il traffico da un'istanza a una destinazione, all'interno della rete o all'esterno di Google Cloud. Ogni rete VPC include percorsi generati dal sistema per il percorso il traffico tra le sue subnet e inviarlo da istanze idonee a internet.
Puoi creare route statiche personalizzate per indirizzare alcuni pacchetti a specifiche destinazioni.
Per ulteriori informazioni, consulta Route.
Regole di forwarding
Mentre le route regolano il traffico in uscita da un'istanza, le regole di inoltro indirizzano il traffico a una risorsa Google Cloud in una rete VPC in base all'indirizzo IP, al protocollo e alla porta.
Alcune regole di inoltro indirizzano il traffico dall'esterno di Google Cloud a una destinazione all'interno della rete, mentre altre indirizzano il traffico dall'interno della rete. Le destinazioni per le regole di forwarding sono istanze di destinazione, target dei bilanciatori del carico (servizi di backend, proxy di destinazione e pool di destinazione) e Gateway VPN classici.
Per ulteriori informazioni, vedi Panoramica delle regole di forwarding.
Interfacce e indirizzi IP
Le reti VPC forniscono le seguenti configurazioni per gli indirizzi IP e le interfacce di rete delle VM.
Indirizzi IP
Le risorse Google Cloud, come le istanze VM di Compute Engine, le regole di inoltro e i contenitori GKE, si basano sugli indirizzi IP per comunicare.
Per ulteriori informazioni, vedi Indirizzi IP.
Intervalli IP alias
Se hai più servizi in esecuzione su una singola istanza VM, puoi concedere a ogni servizio un indirizzo IP interno diverso utilizzando intervalli IP alias. La La rete VPC inoltra i pacchetti destinati a un particolare alla VM corrispondente.
Per ulteriori informazioni, consulta Intervalli IP alias.
Interfacce di rete multiple
Puoi aggiungere più interfacce di rete a un'istanza VM, dove ogni interfaccia che risiede in una rete VPC univoca. Interfacce di rete multiple le VM dell'appliance di rete possono fungere da gateway per la protezione del traffico da reti VPC diverse o da e verso internet.
Per ulteriori informazioni, vedi Interfacce di rete multiple.
Condivisione e peering VPC
Google Cloud fornisce le seguenti configurazioni per condividere reti VPC tra i progetti e collegare le reti VPC tra loro.
VPC condiviso
Puoi condividere una rete VPC da un progetto (denominato host progetto) ad altri progetti nella tua organizzazione Google Cloud. Puoi concedere l'accesso a intere reti VPC condivise o a subnet selezionate al loro interno utilizzando autorizzazioni IAM specifiche. Ciò consente si fornisce un controllo centralizzato su una rete comune, mantenendo al contempo flessibilità organizzativa. La rete VPC condivisa è particolarmente utile nelle grandi organizzazioni.
Per maggiori informazioni, vedi VPC condiviso.
Peering di rete VPC
Il peering di rete VPC ti consente di creare ecosistemi di software as a service (SaaS) in Google Cloud, rendendo disponibili i servizi privatamente su diverse reti VPC, indipendentemente dal fatto che le reti si trovino nello stesso progetto, in progetti diversi o in progetti di organizzazioni diverse.
Con il peering di rete VPC, tutte le comunicazioni avvengono utilizzando l'IP interno indirizzi IP esterni. Soggette alle regole del firewall, le istanze VM in ogni rete in peering possono che comunicano tra loro senza utilizzare indirizzi IP esterni.
Le reti in peering scambiano automaticamente le route di subnet con gli indirizzi IP privati intervalli di tempo. Il peering di rete VPC consente di configurare se: tipi di route vengono scambiati:
- Route di subnet per intervalli IP pubblici riutilizzati privatamente
- Route statiche e dinamiche personalizzate
L'amministrazione della rete per ogni rete in peering rimane invariata: criteri IAM non vengono mai scambiati dal peering di rete VPC. Ad esempio, Rete e Gli amministratori della sicurezza di una rete VPC non ottengono automaticamente quei ruoli per la rete in peering.
Per ulteriori informazioni, vedi Peering di rete VPC.
Cloud ibrido
Google Cloud fornisce le seguenti configurazioni che ti consentono di connetterti dalle tue reti VPC a reti on-premise e reti da altri con i provider cloud sottostanti.
Cloud VPN
Cloud VPN ti consente di connettere la tua rete VPC alla rete fisica on-premise o a un altro provider cloud utilizzando una rete privata virtuale sicura.
Per ulteriori informazioni, consulta Cloud VPN.
Cloud Interconnect
Cloud Interconnect ti consente di connettere la tua rete VPC della rete on-premise mediante una connessione fisica ad alta velocità.
Per ulteriori informazioni, consulta Cloud Interconnect.
Cloud Load Balancing
Google Cloud offre diverse configurazioni di bilanciamento del carico per distribuire il traffico e i carichi di lavoro su molti tipi di backend.
Per ulteriori informazioni, consulta Cloud Load Balancing Panoramica.
Accesso privato ai servizi
Puoi utilizzare Private Service Connect, accesso privato Google e accesso ai servizi privati per consentire alle VM che non dispongono di un indirizzo IP esterno di comunicare con i servizi supportati.
Per ulteriori informazioni, vedi Opzioni di accesso privato per i servizi.