Panoramica di VPC

Il Virtual Private Cloud (VPC) fornisce funzionalità di networking alle istanze delle macchine virtuali (VM) Compute Engine, ai cluster Google Kubernetes Engine (GKE) e all'ambiente flessibile di App Engine. VPC offre una rete globale, scalabile e flessibile per le tue risorse e i tuoi servizi basati su cloud.

Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità VPC.

Reti VPC

In sostanza, una rete VPC è come una rete fisica, ad eccezione del fatto che è virtualizzata in Google Cloud. Una rete VPC è una risorsa globale formata da un elenco di subnet virtuali di area geografica ubicate data center, tutte collegate tramite una rete globale (Wide Area Network). Le reti VPC sono isolate logicamente tra di loro in Google Cloud.

Esempio di rete VPC (fai clic per ingrandire)
Esempio di rete VPC (fai clic per ingrandire)

Una rete VPC fornisce quanto segue:

Scopri di più sulle reti VPC.

Regole firewall

Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Le regole del firewall ti consentono di specificare quali pacchetti possono essere inviati a quali destinazioni. Ogni rete VPC prevede due regole firewall implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita.

La rete default prevede regole firewall aggiuntive, inclusa la regola default-allow-internal, che consentono la comunicazione tra le istanze nella rete.

Ulteriori informazioni sulle regole firewall.

Route

Le route mostrano alle istanze VM e alla rete VPC come inviare il traffico a una destinazione all'interno della rete o all'esterno di Google Cloud. Ogni rete VPC include alcune route generate dal sistema per instradare il traffico tra le sue subnet e per inviarlo da istanze idonee a Internet.

Puoi creare route statiche personalizzate per indirizzare alcuni pacchetti a destinazioni specifiche.

Leggi ulteriori informazioni sui percorsi.

Regole di forwarding

Mentre le route regolano il traffico che lascia un'istanza, le regole di forwarding indirizzano il traffico a una risorsa Google Cloud in una rete VPC in base a indirizzo IP, protocollo e porta.

Alcune regole di forwarding indirizzano il traffico dall'esterno di Google Cloud a una destinazione della rete, mentre altre indirizzano il traffico dall'interno della rete. Le destinazioni per le regole di forwarding sono istanze di destinazione, target del bilanciatore del carico (proxy di destinazione, pool di destinazione e servizi di backend) e gateway Cloud VPN.

Leggi ulteriori informazioni sulle regole di inoltro.

Interfacce e indirizzi IP

Indirizzi IP

Le risorse di Google Cloud, come le istanze VM di Compute Engine, le regole di forwarding, i container GKE e App Engine, si basano su indirizzi IP per comunicare.

Leggi ulteriori informazioni sugli indirizzi IP.

Intervalli IP alias

Se hai più servizi in esecuzione su una singola istanza VM, puoi assegnare a ciascun servizio un indirizzo IP interno diverso utilizzando intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un particolare servizio alla VM corrispondente.

Scopri di più sugli intervalli IP alias.

Interfacce di rete multiple

Puoi aggiungere più interfacce di rete a un'istanza VM, in cui ogni interfaccia si trova in una rete VPC univoca. Un'interfaccia di rete multipla consente a una VM dell'appliance di rete di fungere da gateway per la protezione del traffico tra diverse reti VPC da e verso Internet.

Ulteriori informazioni su più interfacce di rete.

Condivisione e peering VPC

VPC condiviso

Puoi condividere una rete VPC da un progetto (chiamato progetto host) ad altri progetti nella tua organizzazione Google Cloud. Puoi concedere l'accesso a intere reti VPC condivise o selezionare le subnet al loro interno utilizzando autorizzazioni IAM specifiche. Questo ti consente di offrire un controllo centralizzato su una rete comune mantenendo la flessibilità organizzativa. VPC condiviso è particolarmente utile nelle organizzazioni di grandi dimensioni.

Ulteriori informazioni sul VPC condiviso.

Peering di rete VPC

Il peering di rete VPC consente di creare ecosistemi Software as a Service (SaaS) in Google Cloud, rendendo i servizi disponibili privatamente su reti VPC diverse, indipendentemente dal fatto che le reti si trovino nello stesso progetto o in progetti o progetti diversi in organizzazioni diverse.

Con il peering di rete VPC, tutte le comunicazioni vengono eseguite utilizzando indirizzi IP interni. In base alle regole del firewall, le istanze VM in ciascuna rete in peering possono comunicare tra loro senza utilizzare indirizzi IP esterni.

Le reti in peering scambiano automaticamente le route di subnet per gli intervalli di indirizzi IP privati. Il peering di rete VPC consente di configurare se i seguenti tipi di route sono scambiati:

  • Route di subnet per intervalli IP pubblici riutilizzati privatamente
  • Route statiche e dinamiche personalizzate

L'amministrazione di rete per ogni rete in peering è rimasta invariata: i criteri IAM non vengono mai scambiati tramite peering di rete VPC. Ad esempio, gli amministratori di rete e sicurezza per una rete VPC non ricevono automaticamente questi ruoli per la rete in peering.

Scopri di più sul peering di rete VPC.

Cloud ibrido

Cloud VPN

Cloud VPN ti consente di connettere la tua rete VPC alla tua rete fisica on-premise o a un altro cloud provider tramite una rete privata virtuale sicura.

Ulteriori informazioni su Cloud VPN.

Cloud Interconnect

Cloud Interconnect ti consente di connettere la tua rete VPC alla tua rete on-premise mediante l'utilizzo di una connessione fisica ad alta velocità.

Ulteriori informazioni su Cloud Interconnect.

Cloud Load Balancing

Google Cloud offre le seguenti configurazioni di bilanciamento del carico per distribuire traffico e carichi di lavoro tra diverse VM:

  • Bilanciamento del carico esterno globale, inclusi bilanciamento del carico HTTP(S) e bilanciamento del carico del proxy SSL
  • Bilanciamento del carico di rete esterno a livello di area geografica
  • Bilanciamento del carico TCP/UDP interno a livello di area geografica

Scopri di più su Cloud Load Balancing.

Configurazioni speciali

Accesso privato Google

Quando abiliti l'accesso privato Google per una subnet, le istanze in una subnet di una rete VPC possono comunicare con API e servizi Google utilizzando indirizzi IP privati anziché indirizzi IP esterni.

Ulteriori informazioni sull'accesso privato Google.