Übersicht: VPC-Netzwerk (Virtual Private Cloud)
Die Virtual Private Cloud (VPC) bietet Netzwerkfunktionen für VM-Instanzen von Compute Engine, Cluster von Google Kubernetes Engine (GKE) und serverlose Arbeitslasten. VPC stellt globale, skalierbare und flexible Netzwerke für Ihre cloudbasierten Ressourcen und Dienste bereit.
Diese Seite bietet eine allgemeine Übersicht über VPC-Konzepte und -Funktionen.
VPC-Netzwerke
Ein VPC-Netzwerk gleicht einem physischen Netzwerk, ist aber nur virtuell in Google Cloud vorhanden. VPC-Netzwerke sind eine globale Ressource und bestehen aus regionalen virtuellen Subnetzwerken (Subnetzen) in Rechenzentren, die über ein globales Wide Area Network (WAN) verbunden sind. VPC-Netzwerke sind in Google Cloud logisch voneinander isoliert.
Ein VPC-Netzwerk führt Folgendes aus:
- Stellt eine Verbindung für Ihre Compute Engine-VM-Instanzen her, einschließlich GKE-Cluster (Google Kubernetes Engine), serverlose Arbeitslasten und andere Google Cloud-Produkte, die auf Compute Engine-VMs basieren.
- Bietet integrierte interne Passthrough-Network Load Balancer und Proxysysteme für interne Application Load Balancer.
- Stellt eine Verbindung zu lokalen Netzwerken über Cloud VPN-Tunnel und VLAN-Anhänge für Cloud Interconnect her.
- Verteilt den Traffic von externen Google Cloud-Load-Balancern auf Back-Ends.
Weitere Informationen zu VPC-Netzwerken
Firewallregeln
Jedes VPC-Netzwerk enthält eine verteilte virtuelle Firewall, die konfiguriert werden kann. Mit Firewallregeln steuern Sie, welche Pakete zu welchen Zielen weitergeleitet werden können. Jedes VPC-Netzwerk hat zwei implizite Firewallregeln, die alle eingehenden Verbindungen blockieren und alle ausgehenden Verbindungen zulassen.
Das default
-Netzwerk hat zusätzliche Firewallregeln, darunter die Regel default-allow-internal
, die die Kommunikation zwischen Instanzen im Netzwerk zulässt.
Weitere Informationen zu Firewallregeln
Routen
Mithilfe von Routen wird für die VM-Instanzen und das VPC-Netzwerk festgelegt, wie Traffic von einer Instanz an ein Ziel innerhalb des Netzwerks oder außerhalb der Google Cloud gesendet werden soll. Jedes VPC-Netzwerk beinhaltet einige vom System generierte Routen, um Traffic zwischen den Subnetzen weiterzuleiten und von berechtigten Instanzen an das Internet zu senden.
Sie können benutzerdefinierte statische Routen erstellen, wenn Sie bestimmte Pakete zu bestimmten Zielen leiten möchten.
Weitere Informationen zu Routen
Weiterleitungsregeln
Während Routen den Traffic regeln, der eine Instanz verlässt, leiten Weiterleitungsregeln den Traffic anhand von IP-Adresse, Protokoll und Port an eine Google Cloud-Ressource in einem VPC-Netzwerk weiter.
Einige Weiterleitungsregeln leiten Traffic von außerhalb der Google Cloud zu einem Ziel im Netzwerk, andere leiten Traffic innerhalb des Netzwerks weiter. Ziele für Weiterleitungsregeln sind Zielinstanzen, Load-Balancer-Ziele (Zielproxyserver, Zielpools und Backend-Dienste) sowie VPN-Gateways.
Weitere Informationen zu Weiterleitungsregeln
Schnittstellen und IP-Adressen
IP-Adressen
Google Cloud-Ressourcen wie Compute Engine-VM-Instanzen, Weiterleitungsregeln, GKE-Container und App Engine benötigen IP-Adressen für die Kommunikation.
Weitere Informationen zu IP-Adressen
Alias-IP-Bereiche
Wenn Sie mehrere Dienste auf einer einzelnen VM-Instanz ausführen, können Sie jedem Dienst mithilfe von Alias-IP-Bereichen eine andere interne IP-Adresse zuweisen. Das VPC-Netzwerk leitet Pakete, die für einen bestimmten Dienst bestimmt sind, an die entsprechende VM weiter.
Weitere Informationen zu Alias-IP-Bereichen
Mehrere Netzwerkschnittstellen
Sie können einer VM-Instanz mehrere Netzwerkschnittstellen hinzufügen, wobei sich jede Schnittstelle in einem spezifischen VPC-Netzwerk befindet. Mehrere Netzwerkschnittstellen ermöglichen es einer Netzwerk-Appliance-VM, als Gateway zum Sichern des Traffics zwischen verschiedenen VPC-Netzwerken oder zum und vom Internet zu fungieren.
Weitere Informationen zu mehreren Netzwerkschnittstellen
VPC-Freigabe und Peering
Freigegebene VPC
Sie können ein VPC-Netzwerk von einem Projekt (als Hostprojekt bezeichnet) für andere Projekte in Ihrer Google Cloud-Organisation freigeben. Hierbei können Sie den Zugriff auf ganze freigegebene VPC-Netzwerke gewähren oder darin Subnetze mit spezifischen IAM-Berechtigungen auswählen. Auf diese Weise können Sie die zentrale Kontrolle über ein gemeinsames Netzwerk herstellen und gleichzeitig die Flexibilität der Organisation wahren. Eine freigegebene VPC ist besonders in großen Organisationen nützlich.
Weitere Informationen zur freigegebenen VPC
VPC-Netzwerk-Peering
Mit VPC-Netzwerk-Peering können Sie Software-as-a-Service-Systeme (SaaS) in Google Cloud erstellen, mit denen Dienste privat in verschiedenen VPC-Netzwerken verfügbar sind, unabhängig davon, ob sich die Netzwerke im selben Netzwerk befinden, in unterschiedlichen Projekten oder in Projekten in verschiedenen Organisationen.
Beim VPC-Netzwerk-Peering erfolgt die gesamte Kommunikation über interne IP-Adressen. Je nach Konfiguration der Firewallregeln können VM-Instanzen in jedem Peering-Netzwerk miteinander kommunizieren, ohne externe IP-Adressen zu verwenden.
Peering-Netzwerke tauschen Subnetzrouten automatisch gegen private IP-Adressbereiche aus. Mit VPC-Netzwerk-Peering können Sie konfigurieren, ob die folgenden Routentypen ausgetauscht werden:
- Subnetzrouten für privat wiederverwendete öffentliche IP-Bereiche
- Benutzerdefinierte statische und dynamische Routen
Die Netzwerkverwaltung für jedes Peering-Netzwerk bleibt unverändert: IAM-Richtlinien werden nie durch VPC-Netzwerk-Peering ausgetauscht. Netzwerk- und Sicherheitsadministratoren für ein VPC-Netzwerk erhalten diese Rollen z. B. nicht automatisch für das Peering-Netzwerk.
Weitere Informationen zu VPC-Netzwerk-Peering
Hybridcloud
Cloud VPN
Mit Cloud VPN können Sie Ihr VPC-Netzwerk über ein sicheres virtuelles privates Netzwerk mit Ihrem physischen, lokalen Netzwerk oder einem anderen Cloud-Anbieter verbinden.
Weitere Informationen zu Cloud VPN
Cloud Interconnect
Cloud Interconnect stellt eine physische Hochgeschwindigkeitsverbindung zwischen Ihrem VPC-Netzwerk und Ihrem lokalen Netzwerk dar.
Weitere Informationen zu Cloud Interconnect
Cloud Load Balancing
Google Cloud bietet mehrere globale und regionale Load-Balancing-Konfigurationen, um Traffic und Arbeitslasten auf viele Backend-Typen zu verteilen. Weitere Informationen finden Sie unter Cloud Load Balancing.
Spezielle Konfigurationen
Privater Google-Zugriff
Wenn Sie privaten Google-Zugriff für ein Subnetz aktivieren, können Instanzen in einem Subnetz eines VPC-Netzwerks mit Google-APIs und -Diensten kommunizieren, indem Sie private IP-Adressen anstelle von externen IP-Adressen verwenden.
Weitere Informationen zu privaten Google-Zugriff