Virtual Private Cloud (VPC) 概览

Virtual Private Cloud (VPC) 可为 Compute Engine 虚拟机 (VM) 实例、Google Kubernetes Engine (GKE) 集群和无服务器工作负载提供网络功能。VPC 为云端资源和服务提供了全球化、可扩缩的灵活网络。

本页面简要介绍了 VPC 的概念和功能。

VPC 网络

您可以像看待物理网络一样看待 VPC 网络，区别是后者是在 Google Cloud 中进行的虚拟化。VPC 网络是一种全球化资源，它由数据中心内的一系列区域性虚拟子网组成，所有子网通过全球广域网连接。在 Google Cloud 中，VPC 网络在逻辑上彼此隔离。

VPC 网络执行以下操作：

• 为 Compute Engine 虚拟机 (VM) 实例提供连接，包括 Google Kubernetes Engine (GKE) 集群、无服务器工作负载，以及其他基于 Compute Engine 虚拟机构建的 Google Cloud 产品。
• 为内部应用负载均衡器提供内置的内部直通网络负载均衡器和代理系统。
• 通过使用 Cloud VPN 隧道和 Cloud Interconnect 的 VLAN 连接，连接到本地网络。
• 将来自 Google Cloud 外部负载平衡器的流量分配到后端。

详细了解 VPC 网络。

防火墙规则

每个 VPC 网络均实现了分布式虚拟防火墙，可由您进行配置。您可通过防火墙规则控制允许哪些数据包传送到哪些目的地。每个 VPC 网络都有两条隐式防火墙规则，用于禁止所有传入连接并允许所有传出连接。

default 网络具有额外的防火墙规则（包括 default-allow-internal 规则），用于允许在网络中的实例之间进行通信。

详细了解防火墙规则。

路由

路由会指示虚拟机实例和 VPC 网络应如何将实例的流量发送到目的地（无论目的地是在网络内部还是 Google Cloud 外部）。每个 VPC 网络都附带一些由系统生成的路由，用于在其子网之间路由流量，以及将符合条件的实例的流量发送到互联网。

您可以创建自定义静态路由，以便将某些数据包定向到特定目的地。

详细了解路由。

转发规则

路由控制离开实例的流量，而转发规则基于 IP 地址、协议和端口将流量定向到 VPC 网络中的 Google Cloud 资源。

某些转发规则会将来自 Google Cloud 外部的流量定向到网络内的目的地；其他一些规则会定向来自网络内部的流量。转发规则的目的地是目标实例、负载平衡器目标（目标代理、目标池和后端服务）以及 Cloud VPN 网关。

详细了解转发规则。

接口和 IP 地址

IP 地址

Google Cloud 资源（例如 Compute Engine 虚拟机实例、转发规则、GKE 容器和 App Engine）依靠 IP 地址进行通信。

详细了解 IP 地址。

别名 IP 范围

如果您在单个虚拟机实例上运行多个服务，则可以使用别名 IP 范围，为每个服务提供不同的内部 IP 地址。VPC 网络会将前往特定服务的数据包转发到相应的虚拟机。

详细了解别名 IP 地址范围。

多个网络接口

您可以将多个网络接口添加到一个虚拟机实例，其中每个接口都位于唯一的 VPC 网络中。多个网络接口使网络设备虚拟机能够充当网关，以保护不同 VPC 网络之间或进出互联网的流量。

详细了解多个网络接口。

VPC 共享和对等互连

共享 VPC

您可以将 VPC 网络从一个项目（称为宿主项目）共享到您的 Google Cloud 组织中的其他项目。您可以使用特定的 IAM 权限授予对整个共享 VPC 网络或其中选定子网的访问权限。这样，您就可以集中控制通用网络，同时保持组织的灵活性。共享 VPC 在大型组织中尤为有用。

详细了解共享 VPC。

VPC 网络对等互连

借助 VPC 网络对等互连，您可以在 Google Cloud 中构建软件即服务 (SaaS) 生态系统，从而在不同的 VPC 网络间以专用方式提供服务 - 无论这些网络处于同一项目中、不同项目中，还是分属于不同组织的不同项目。

通过 VPC 网络对等互连，所有通信均使用内部 IP 地址进行。根据防火墙规则，每个对等互连网络中的虚拟机实例均可以彼此通信，而无需使用外部 IP 地址。

对等互连的网络会自动将子网路由交换为专用 IP 地址范围。通过 VPC 网络对等互连，您可以配置是否交换以下类型的路由：

• 以私密方式重复使用的公共 IP 范围的子网路由
• 自定义静态和动态路由

每个对等互连网络的网络管理均保持不变：VPC 网络对等互连始终不会交换 IAM 政策。例如，一个 VPC 网络的 Network Admin 和 Security Admin 不会在对等互连网络中自动获取这些角色。

详细了解 VPC 网络对等互连。

混合云

Cloud VPN

借助 Cloud VPN，您可以使用安全的虚拟专用网将您的 VPC 网络连接到物理、本地网络或其他云服务商。

详细了解 Cloud VPN。

Cloud Interconnect

借助 Cloud Interconnect，您可以使用高速物理连接将您的 VPC 网络连接到本地网络。

详细了解 Cloud Interconnect。

Cloud Load Balancing

Google Cloud 提供了几种全球和地区负载均衡配置，用于在多个后端类型之间分配流量和工作负载。如需了解详情，请参阅 Cloud Load Balancing 概览。

特殊配置

专用 Google 访问通道

为子网启用专用 Google 访问通道后，VPC 网络的子网内的实例就可以使用专用 IP 地址而不是外部 IP 地址与 Google API 和服务通信。

详细了解专用 Google 访问通道。