Panoramica di Virtual Private Cloud (VPC)

Il Virtual Private Cloud (VPC) fornisce funzionalità di networking per istanze di macchine virtuali (VM) Compute Engine, cluster Google Kubernetes Engine (GKE) e carichi di lavoro serverless. VPC fornisce risorse e servizi basati su cloud che offrono un networking globale, scalabile e flessibile.

Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità di VPC.

Reti VPC

Una rete VPC è simile a una rete fisica, con la differenza che è virtualizzata all'interno di Google Cloud. Una rete VPC è una risorsa globale composta da un elenco di subnet virtuali regionali (subnet) nei data center, tutte collegate da una rete Wide Area Network globale. Le reti VPC sono isolate logicamente tra loro in Google Cloud.

Esempio di rete VPC (fai clic per ingrandire)
Esempio di rete VPC (fai clic per ingrandire)

Una rete VPC esegue quanto segue:

Scopri di più sulle reti VPC.

Regole del firewall

Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Con le regole firewall puoi controllare quali pacchetti possono essere trasferiti verso quali destinazioni. Ogni rete VPC ha due regole firewall implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita.

La rete default ha regole firewall aggiuntive, tra cui la regola default-allow-internal, che consente la comunicazione tra istanze nella rete.

Scopri di più sulle regole firewall.

Route

Le route indicano alle istanze VM e alla rete VPC come inviare il traffico da un'istanza a una destinazione, all'interno o all'esterno di Google Cloud. Ogni rete VPC include alcune route generate dal sistema per instradare il traffico tra le sue subnet e inviarlo dalle istanze idonee a internet.

Puoi creare route statiche personalizzate per indirizzare alcuni pacchetti a destinazioni specifiche.

Scopri di più sui percorsi.

Regole di forwarding

Mentre le route governano il traffico in uscita dall'istanza, le regole di forwarding indirizzano il traffico a una risorsa Google Cloud in una rete VPC in base a indirizzo IP, protocollo e porta.

Alcune regole di forwarding indirizzano il traffico dall'esterno di Google Cloud a una destinazione nella rete, mentre altre indirizzano il traffico dall'interno della rete. Le destinazioni per le regole di forwarding sono istanze di destinazione, target del bilanciatore del carico (proxy di destinazione, pool di destinazione e servizi di backend) e gateway Cloud VPN.

Scopri di più sulle regole di forwarding.

Interfacce e indirizzi IP

Indirizzi IP

Le risorse Google Cloud, come le istanze VM di Compute Engine, le regole di forwarding, i container GKE e App Engine, si basano sugli indirizzi IP per comunicare.

Scopri di più sugli indirizzi IP.

Intervalli IP alias

Se disponi di più servizi in esecuzione su una singola istanza VM, puoi assegnare a ogni servizio un indirizzo IP interno diverso utilizzando intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un determinato servizio alla VM corrispondente.

Scopri di più sugli intervalli IP alias.

Interfacce di rete multiple

Puoi aggiungere più interfacce di rete a un'istanza VM, dove ciascuna interfaccia si trova in un'unica rete VPC. Più interfacce di rete consentono a una VM dell'appliance di rete di agire come gateway per la protezione del traffico tra diverse reti VPC o da e verso internet.

Scopri di più sulle interfacce di rete multiple.

Condivisione VPC e peering

VPC condiviso

Puoi condividere una rete VPC da un progetto (denominato progetto host) con altri progetti nella tua organizzazione Google Cloud. Puoi concedere l'accesso a intere reti VPC condiviso o selezionare subnet al loro interno utilizzando autorizzazioni IAM specifiche. In questo modo puoi offrire un controllo centralizzato su una rete comune mantenendo al contempo la flessibilità dell'organizzazione. Il VPC condiviso è particolarmente utile nelle organizzazioni di grandi dimensioni.

Scopri di più sul VPC condiviso.

Peering di rete VPC

Il peering di rete VPC consente di creare ecosistemi Software as a Service (SaaS) in Google Cloud, rendendo i servizi disponibili privatamente in diverse reti VPC, indipendentemente dal fatto che le reti si trovino nello stesso progetto, in progetti diversi o in progetti in organizzazioni diverse.

Con il peering di rete VPC, tutte le comunicazioni avvengono utilizzando indirizzi IP interni. Soggetti alle regole firewall, le istanze VM in ogni rete in peering possono comunicare tra loro senza utilizzare indirizzi IP esterni.

Le reti in peering scambiano automaticamente route di subnet per intervalli di indirizzi IP privati. Il peering di rete VPC consente di configurare lo scambio dei seguenti tipi di route:

  • Route di subnet per intervalli IP pubblici riutilizzati privatamente
  • Route statiche e dinamiche personalizzate

L'amministrazione della rete per ogni rete in peering è invariata: i criteri IAM non vengono mai scambiati dal peering di rete VPC. Ad esempio, gli amministratori di rete e della sicurezza per una rete VPC non ottengono automaticamente questi ruoli per la rete in peering.

Scopri di più sul peering di rete VPC.

cloud ibrido

Cloud VPN

Cloud VPN consente di connettere la rete VPC alla rete fisica on-premise o a un altro cloud provider utilizzando una rete privata virtuale sicura.

Scopri di più su Cloud VPN.

Cloud Interconnect

Cloud Interconnect consente di connettere la rete VPC alla rete on-premise mediante una connessione fisica ad alta velocità.

Scopri di più su Cloud Interconnect.

Cloud Load Balancing

Google Cloud offre diverse configurazioni di bilanciamento del carico globali e a livello di regione per distribuire traffico e carichi di lavoro tra molti tipi di backend. Per maggiori dettagli, consulta la panoramica di Cloud Load Balancing.

Configurazioni speciali

Accesso privato Google

Quando abiliti l'accesso privato Google per una subnet, le istanze in una subnet di una rete VPC possono comunicare con le API e i servizi Google utilizzando indirizzi IP privati anziché indirizzi IP esterni.

Scopri di più sull'accesso privato Google.