Übersicht: VPC-Netzwerk (Virtual Private Cloud)

Die Virtual Private Cloud (VPC) bietet Netzwerkfunktionen für VM-Instanzen von Compute Engine, Cluster von Google Kubernetes Engine (GKE) und serverlose Arbeitslasten.

VPC stellt globale, skalierbare und flexible Netzwerke für Ihre cloudbasierten Ressourcen und Dienste bereit.

Diese Seite bietet eine allgemeine Übersicht über VPC-Konzepte und -Funktionen.

VPC-Netzwerke

Ein VPC-Netzwerk gleicht einem physischen Netzwerk, ist aber nur virtuell in Google Cloud vorhanden. VPC-Netzwerke sind eine globale Ressource und bestehen aus regionalen virtuellen Subnetzwerken (Subnetzen) in Rechenzentren, die über ein globales Wide Area Network (WAN) verbunden sind. VPC-Netzwerke sind in Google Cloud logisch voneinander isoliert.

Beispiel für ein VPC-Netzwerk.
Beispiel für ein VPC-Netzwerk (zum Vergrößern klicken)

Ein VPC-Netzwerk führt Folgendes aus:

  • Stellt eine Verbindung für Ihre Compute Engine-VM-Instanzen her, einschließlich GKE-Cluster (Google Kubernetes Engine), serverlose Arbeitslasten und andere Google Cloud-Produkte, die auf Compute Engine-VMs basieren.
  • Bietet integrierte interne Passthrough-Network Load Balancer und Proxysysteme für interne Application Load Balancer.
  • Stellt eine Verbindung zu lokalen Netzwerken über Cloud VPN-Tunnel und VLAN-Anhänge für Cloud Interconnect her.
  • Verteilt den Traffic von externen Google Cloud-Load Balancern auf Back-Ends.

Weitere Informationen finden Sie unter VPC-Netzwerke.

Firewallregeln

Jedes VPC-Netzwerk enthält eine verteilte virtuelle Firewall, die konfiguriert werden kann. Mit Firewallregeln steuern Sie, welche Pakete zu welchen Zielen weitergeleitet werden können. Jedes VPC-Netzwerk hat zwei implizite Firewallregeln, die alle eingehenden Verbindungen blockieren und alle ausgehenden Verbindungen zulassen.

Das default-Netzwerk hat zusätzliche Firewallregeln, darunter die Regel default-allow-internal, die die Kommunikation zwischen Instanzen im Netzwerk zulässt.

Weitere Informationen finden Sie unter VPC-Firewallregeln.

Routen

Mithilfe von Routen wird für die VM-Instanzen und das VPC-Netzwerk festgelegt, wie Traffic von einer Instanz an ein Ziel innerhalb des Netzwerks oder außerhalb der Google Cloud gesendet werden soll. Jedes VPC-Netzwerk beinhaltet einige vom System generierte Routen, um Traffic zwischen den Subnetzen weiterzuleiten und von berechtigten Instanzen an das Internet zu senden.

Sie können benutzerdefinierte statische Routen erstellen, wenn Sie bestimmte Pakete zu bestimmten Zielen leiten möchten.

Weitere Informationen finden Sie unter Routen.

Weiterleitungsregeln

Während Routen den Traffic regeln, der eine Instanz verlässt, leiten Weiterleitungsregeln den Traffic anhand von IP-Adresse, Protokoll und Port an eine Google Cloud-Ressource in einem VPC-Netzwerk weiter.

Einige Weiterleitungsregeln leiten Traffic von außerhalb der Google Cloud zu einem Ziel im Netzwerk, andere leiten Traffic innerhalb des Netzwerks weiter. Ziele für Weiterleitungsregeln sind Zielinstanzen, Load Balancer-Ziele (Back-End-Dienste, Zielproxys und Zielpools) und klassische VPN-Gateways.

Weitere Informationen finden Sie unter Weiterleitungsregeln.

Schnittstellen und IP-Adressen

VPC-Netzwerke bieten die folgenden Konfigurationen für IP-Adressen und VM-Netzwerkschnittstellen.

IP-Adressen

Google Cloud-Ressourcen wie Compute Engine-VM-Instanzen, Weiterleitungsregeln und GKE-Container benötigen IP-Adressen für die Kommunikation.

Weitere Informationen finden Sie unter IP-Adressen.

Alias-IP-Bereiche

Wenn Sie mehrere Dienste auf einer einzelnen VM-Instanz ausführen, können Sie jedem Dienst mithilfe von Alias-IP-Bereichen eine andere interne IP-Adresse zuweisen. Das VPC-Netzwerk leitet Pakete, die für einen bestimmten Dienst bestimmt sind, an die entsprechende VM weiter.

Weitere Informationen finden Sie unter Alias-IP-Bereiche.

Mehrere Netzwerkschnittstellen

Sie können einer VM-Instanz mehrere Netzwerkschnittstellen hinzufügen, wobei sich jede Schnittstelle in einem spezifischen VPC-Netzwerk befindet. Mehrere Netzwerkschnittstellen ermöglichen es einer Netzwerk-Appliance-VM, als Gateway zum Sichern des Traffics zwischen verschiedenen VPC-Netzwerken oder zum und vom Internet zu fungieren.

Weitere Informationen finden Sie unter Mehrere Netzwerkschnittstellen.

VPC-Freigabe und Peering

Google Cloud bietet die folgenden Konfigurationen für die projektübergreifende Freigabe von VPC-Netzwerken und die Verbindung von VPC-Netzwerken miteinander.

Freigegebene VPC

Sie können ein VPC-Netzwerk von einem Projekt (als Hostprojekt bezeichnet) für andere Projekte in Ihrer Google Cloud-Organisation freigeben. Hierbei können Sie den Zugriff auf ganze freigegebene VPC-Netzwerke gewähren oder darin Subnetze mit spezifischen IAM-Berechtigungen auswählen. Auf diese Weise können Sie die zentrale Kontrolle über ein gemeinsames Netzwerk herstellen und gleichzeitig die Flexibilität der Organisation wahren. Eine freigegebene VPC ist besonders in großen Organisationen nützlich.

Weitere Informationen finden Sie unter Freigegebene VPC.

VPC-Netzwerk-Peering

Mit VPC-Netzwerk-Peering können Sie Software-as-a-Service-Systeme (SaaS) in Google Cloud erstellen, mit denen Dienste privat in verschiedenen VPC-Netzwerken verfügbar sind, unabhängig davon, ob sich die Netzwerke im selben Netzwerk befinden, in unterschiedlichen Projekten oder in Projekten in verschiedenen Organisationen.

Beim VPC-Netzwerk-Peering erfolgt die gesamte Kommunikation über interne IP-Adressen. Je nach Konfiguration der Firewallregeln können VM-Instanzen in jedem Peering-Netzwerk miteinander kommunizieren, ohne externe IP-Adressen zu verwenden.

Peering-Netzwerke tauschen Subnetzrouten automatisch gegen private IP-Adressbereiche aus. Mit VPC-Netzwerk-Peering können Sie konfigurieren, ob die folgenden Routentypen ausgetauscht werden:

  • Subnetzrouten für privat wiederverwendete öffentliche IP-Bereiche
  • Benutzerdefinierte statische und dynamische Routen

Die Netzwerkverwaltung für jedes Peering-Netzwerk bleibt unverändert: IAM-Richtlinien werden nie durch VPC-Netzwerk-Peering ausgetauscht. Netzwerk- und Sicherheitsadministratoren für ein VPC-Netzwerk erhalten diese Rollen z. B. nicht automatisch für das Peering-Netzwerk.

Weitere Informationen finden Sie unter VPC-Netzwerk-Peering.

Hybrid-Cloud

Google Cloud bietet die folgenden Konfigurationen, mit denen Sie Ihre VPC-Netzwerke mit lokalen Netzwerken und Netzwerken anderer Cloud-Anbieter verbinden können.

Cloud VPN

Mit Cloud VPN können Sie Ihr VPC-Netzwerk über ein sicheres virtuelles privates Netzwerk mit Ihrem physischen, lokalen Netzwerk oder einem anderen Cloud-Anbieter verbinden.

Weitere Informationen finden Sie unter Cloud VPN.

Cloud Interconnect

Cloud Interconnect stellt eine physische Hochgeschwindigkeitsverbindung zwischen Ihrem VPC-Netzwerk und Ihrem lokalen Netzwerk dar.

Weitere Informationen finden Sie unter Cloud Interconnect.

Cloud Load Balancing

Google Cloud bietet mehrere Load-Balancing-Konfigurationen, um Traffic und Arbeitslasten auf viele Backend-Typen zu verteilen.

Weitere Informationen finden Sie unter Cloud Load Balancing.

Privater Zugriff auf Dienste

Mit Private Service Connect, privatem Google-Zugriff und Zugriff auf private Dienste können VMs ohne externe IP-Adresse mit unterstützten Diensten kommunizieren.

Weitere Informationen finden Sie unter Private Zugriffsoptionen für Dienste.