Visão geral da nuvem privada virtual (VPC)
A nuvem privada virtual (VPC) oferece funcionalidade de rede para Instâncias de máquina virtual (VM) do Compute Engine ,Clusters do Google Kubernetes Engine (GKE) e cargas de trabalho sem servidor.
A VPC proporciona redes globais, escalonáveis e flexíveis para seus recursos e serviços baseados em nuvem.
Nesta página, temos uma visão geral detalhada dos conceitos e recursos de VPC.
Redes VPC
Pense em uma rede VPC da mesma forma que pensaria em uma rede física, só que virtualizada no Google Cloud. Uma rede VPC é um recurso global que consiste em uma lista de sub-redes virtuais regionais em data centers, conectadas por uma rede global de longa distância. As redes VPC são isoladas logicamente umas das outras no Google Cloud.
Uma rede VPC faz o seguinte:
- Fornece conectividade para as instâncias de máquina virtual (VM) do Compute Engine, incluindo clusters do Google Kubernetes Engine (GKE), cargas de trabalho sem servidor e outros produtos do Google Cloud baseados em VMs do Compute Engine.
- Oferece balanceadores de carga de rede internos integrados e sistemas proxy para balanceadores de carga de aplicativo internos.
- Conecta-se a redes locais usando túneis do Cloud VPN e anexos da VLAN para o Cloud Interconnect.
- Distribui o tráfego dos balanceadores de carga externos do Google Cloud para back-ends.
Para mais informações, consulte Redes VPC.
Regras de firewall
Cada rede VPC implementa um firewall virtual distribuído que você pode configurar. As regras de firewall permitem controlar quais pacotes têm permissão para chegar até determinados destinos. Toda rede VPC tem duas regras de firewall implícitas que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída.
A rededefault tem mais regras de firewall, incluindo a regra default-allow-internal, que permite a comunicação entre instâncias na rede.
Para mais informações, consulte Regras de firewall da VPC.
Rotas
As rotas informam às instâncias de VM e à rede VPC como enviar tráfego de uma instância para um destino, dentro da rede ou fora do Google Cloud. Cada rede VPC vem com algumas rotas geradas pelo sistema para rotear o tráfego entre as sub-redes e enviar o tráfego de instâncias qualificadas para a Internet.
Você pode criar rotas estáticas personalizadas para direcionar alguns pacotes para destinos específicos.
Para saber mais, consulte Rotas.
Regras de encaminhamento
Enquanto as rotas controlam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um recurso do Google Cloud em uma rede VPC com base em endereços IP, protocolos e portas.
Algumas regras de encaminhamento direcionam o tráfego de fora do Google Cloud para um destino na rede, enquanto outras direcionam o tráfego de dentro da rede. Os destinos das regras de encaminhamento são instâncias de destino, destinos do balanceador de carga (serviços de back-end, proxies de destino e pools de destino) e gateways de VPN clássica.
Para mais informações, consulte Visão geral das regras de encaminhamento.
Interfaces e endereços IP
As redes VPC oferecem as seguintes configurações para endereços IP e interfaces de rede de VM.
Endereços IP
Os recursos do Google Cloud, como instâncias de VM do Compute Engine, regras de encaminhamento e contêineres do GKE, dependem de endereços IP para se comunicar.
Para mais informações, consulte Endereços IP.
Intervalos de IP de alias
Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IP interno diferente usando intervalos de IP de alias. A rede VPC encaminha os pacotes destinados a um determinado serviço para a VM correspondente.
Para mais informações, consulte Intervalos de IP de alias.
Várias interfaces de rede
É possível adicionar várias interfaces de rede a uma instância de VM, em que cada interface reside em uma rede VPC exclusiva. Várias interfaces de rede permitem que uma VM de dispositivo de rede atue como um gateway para proteger o tráfego entre diferentes redes VPC ou saindo da/para a Internet.
Para mais informações, consulte Várias interfaces de rede.
Compartilhamento e peering de VPC
O Google Cloud oferece as configurações a seguir para compartilhar redes VPC entre projetos e conectar redes VPC entre si.
VPC compartilhada
É possível compartilhar uma rede VPC de um projeto (chamado de projeto host) com outros projetos na sua organização do Google Cloud. Também é possível conceder acesso a redes VPC compartilhadas inteiras ou selecionar sub-redes usando permissões de IAM específicas. Isso permite que você forneça controle centralizado em uma rede comum, mantendo a flexibilidade organizacional. A VPC compartilhada é especialmente útil em grandes organizações.
Para mais informações, consulte VPC compartilhada.
Peering de rede VPC
O peering de rede VPC permite que você crie ecossistemas de software como serviço (SaaS) no Google Cloud, disponibilizando serviços de modo privado em diferentes redes VPC, independentemente de as redes estarem no mesmo projeto, projetos diferentes ou organizações diferentes.
Com o peering de rede VPC, toda a comunicação acontece através de endereços IP internos. Sujeitas a regras de firewall, as instâncias de VMs em cada rede com peering podem se comunicar umas com as outras sem usar endereços IP externos.
As redes com peering trocam automaticamente as rotas de sub-rede por intervalos de endereços IP privados. O peering de rede VPC permite configurar se os seguintes tipos de rotas são trocados:
- rotas de sub-rede para intervalos de IP públicos reutilizados de forma privada
- rotas estáticas e dinâmicas personalizadas
A administração de cada rede com peering não muda: as políticas do IAM nunca são trocadas pelo peering de rede VPC. Por exemplo, os administradores de rede e segurança de uma rede VPC não recebem automaticamente esses papéis para a rede com peering.
Para mais informações, consulte Peering de rede VPC.
Nuvem híbrida
O Google Cloud oferece as configurações a seguir para conectar suas redes VPC a redes locais e de outros provedores de nuvem.
Cloud VPN
O Cloud VPN permite conectar sua rede VPC à rede física local ou a outro provedor de nuvem usando uma rede privada virtual segura.
Para mais informações, consulte Cloud VPN.
Cloud Interconnect
Com o Cloud Interconnect, é possível conectar a rede VPC à sua rede local usando uma conexão física de alta velocidade.
Para mais informações, consulte Cloud Interconnect.
Cloud Load Balancing
O Google Cloud oferece várias configurações de balanceamento de carga para distribuir tráfego e cargas de trabalho em vários tipos de back-end.
Para mais informações, consulte a visão geral do Cloud Load Balancing.
Acesso particular a serviços
É possível usar o Private Service Connect, o Acesso privado do Google e o Acesso a serviços particulares para permitir que VMs sem um endereço IP externo se comuniquem com os serviços compatíveis.
Para mais informações, consulte Opções de acesso particular a serviços.