Visão geral da VPC

A nuvem privada virtual (VPC) oferece funcionalidades de rede para instâncias de máquina virtual (VM) do Compute Engine, clusters do Google Kubernetes Engine (GKE) e o ambiente flexível do App Engine. A VPC proporciona redes globais, escalonáveis e flexíveis para seus recursos e serviços baseados em nuvem.

Nesta página, apresentamos uma visão geral dos conceitos e recursos de VPC.

Redes VPC

Uma rede VPC pode ser pensada como uma rede física, só que virtualizada no Google Cloud. Uma rede VPC é um recurso global que consiste em uma lista de sub-redes virtuais regionais em data centers, conectadas por uma rede global de longa distância. As redes VPC são isoladas logicamente umas das outras no Google Cloud.

Exemplo de rede VPC (clique para ampliar)
Exemplo de rede VPC (clique para ampliar)

A comunicação de todas as instâncias de VM do Compute Engine, os clusters do GKE e as instâncias do ambiente flexível do App Engine dependem de uma rede VPC. A rede conecta os recursos entre si e à Internet.

Leia mais sobre as redes VPC.

Regras de firewall

Cada rede VPC conta com um firewall virtual distribuído que pode ser configurado. As regras de firewall permitem controlar quais pacotes têm permissão para chegar até determinados destinos. Toda rede VPC tem duas regras de firewall implícitas que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída.

A rede default tem mais regras de firewall, incluindo default-allow-internal, que permite a comunicação entre instâncias na rede.

Leia mais sobre regras de firewall.

Rotas

As rotas informam às instâncias de VM e à rede VPC como enviar tráfego de uma instância para um destino, dentro da rede ou fora do Google Cloud. Cada rede VPC vem com algumas rotas geradas pelo sistema para rotear o tráfego entre as sub-redes e enviar o tráfego de instâncias qualificadas para a Internet.

É possível criar rotas estáticas personalizadas para direcionar alguns pacotes para destinos específicos. Por exemplo, é possível criar uma rota que envie todo o tráfego de saída para uma instância configurada como um gateway NAT.

Leia mais sobre rotas.

Regras de encaminhamento

Enquanto as rotas controlam o tráfego que sai de uma instância, as regras de encaminhamento direcionam o tráfego para um recurso do Google Cloud em uma rede VPC com base em endereços IP, protocolos e portas.

Algumas regras de encaminhamento direcionam o tráfego de fora do Google Cloud para um destino na rede, enquanto outras direcionam o tráfego de dentro da rede. Os destinos das regras de encaminhamento são instâncias de destino, destinos do balanceador de carga (proxies de destino, pools de destino e serviços de back-end) e gateways do Cloud VPN.

Leia mais sobre regras de encaminhamento.

Interfaces e endereços IP

Endereços IP

Os recursos do Google Cloud, como as instâncias de VM do Compute Engine, as regras de encaminhamento, os contêineres do GKE e o App Engine, dependem de endereços IP para se comunicar.

Leia mais sobre endereços IP.

Intervalos de IP de alias

Se você tiver vários serviços em execução em uma única instância de VM, poderá atribuir a cada serviço um endereço IP interno diferente usando intervalos de IP de alias. A rede VPC encaminha os pacotes destinados a um determinado serviço para a VM correspondente.

Leia mais sobre intervalos de IP de alias.

Várias interfaces de rede

É possível adicionar várias interfaces de rede a uma instância de VM, em que cada interface reside em uma rede VPC exclusiva. Várias interfaces de rede permitem que uma VM de dispositivo de rede atue como um gateway para proteger o tráfego entre diferentes redes VPC ou saindo da/para a Internet.

Leia mais sobre várias interfaces de rede.

Compartilhamento e peering de VPC

VPC compartilhada

É possível compartilhar uma rede VPC de um projeto (chamado de projeto host) com outros projetos na sua organização do Google Cloud. Também é possível conceder acesso a redes VPC compartilhadas inteiras ou selecionar sub-redes usando permissões de IAM específicas. Isso permite que você forneça controle centralizado em uma rede comum, mantendo a flexibilidade organizacional. A VPC compartilhada é especialmente útil em grandes organizações.

Leia mais sobre VPC compartilhada.

Peering de rede VPC

O peering de rede VPC permite que criar ecossistemas SaaS (Software as a Service) no Google Cloud, disponibilizando serviços de maneira particular em diferentes redes VPC. As redes podem estar no mesmo projeto ou em projetos e organizações diferentes.

Com o peering de rede VPC, toda a comunicação acontece usando endereços IP particulares RFC 1918 (em inglês). Sujeitas a regras de firewall, as instâncias de VMs em cada rede com peering podem se comunicar umas com as outras sem usar endereços IP externos.

As redes com peering compartilham rotas de sub-rede. Como alternativa, as redes também podem ser configuradas para compartilhar rotas estáticas e dinâmicas personalizadas. A administração de cada rede com peering não muda: os administradores de rede e de segurança de uma rede não recebem esses papéis automaticamente para a outra rede na relação de peering. Se duas redes de projetos diferentes fizerem peering, os proprietários de projetos, editores e administradores de instância do Compute de um projeto não receberão esses papéis automaticamente no projeto que contém a outra rede.

Leia mais sobre o Peering de rede VPC.

Nuvem híbrida

Cloud VPN

O Cloud VPN permite conectar sua rede VPC à rede física local ou outro provedor de nuvem usando uma rede privada virtual.

Leia mais sobre Cloud VPN.

Cloud Interconnect

Com o Cloud Interconnect, é possível conectar a rede VPC à sua rede local usando uma conexão física de alta velocidade.

Leia mais sobre o Cloud Interconnect.

Cloud Load Balancing

O Google Cloud oferece as configurações de balanceamento de carga abaixo para distribuir tráfego e cargas de trabalho em várias VMs.

  • Balanceamento de carga externo global, incluindo balanceamento de carga HTTP(S), proxy SSL e proxy TCP
  • Balanceamento de carga de rede externo e regional
  • Balanceamento de carga interno e regional

Leia mais sobre Cloud Load Balancing.

Configurações especiais

Acesso privado do Google

Quando você ativa o Acesso privado do Google em uma sub-rede, as instâncias de uma sub-rede VPC podem se comunicar com APIs e serviços do Google usando endereços IP particulares em vez de endereços IP externos.

Leia mais sobre o Acesso privado do Google.