VPC 概览

虚拟私有云 (VPC) 可为 Compute Engine 虚拟机 (VM) 实例Google Kubernetes Engine (GKE) 集群App Engine 柔性环境提供网络功能。VPC 为基于云的资源和服务提供全球化、可扩展、灵活的网络。

本页面简要介绍了 VPC 的概念和功能。

VPC 网络

您可以像看待物理网络一样看待 VPC 网络,区别是后者是在 Google Cloud 中进行的虚拟化。VPC 网络是一种全球化资源,它由数据中心内的一系列区域性虚拟子网组成,所有子网通过全球广域网连接。在 Google Cloud 中,VPC 网络在逻辑上彼此隔离。

VPC 网络示例(点击可放大)
VPC 网络示例(点击可放大)

所有 Compute Engine 虚拟机实例、GKE 集群和 App Engine 柔性环境实例均依靠 VPC 网络进行通信。该网络将资源彼此连接,并将其连接到互联网。

详细了解 VPC 网络

防火墙规则

每个 VPC 网络都实现了可由您配置的分布式虚拟防火墙。您可通过防火墙规则控制允许哪些数据包传送到哪些目的地。每个 VPC 网络都有两条隐式防火墙规则,用于禁止所有传入连接并允许所有传出连接。

default 网络具有额外的防火墙规则(包括 default-allow-internal 规则),允许在网络中的实例之间进行通信。

详细了解防火墙规则

路由

路由告知虚拟机实例和 VPC 网络应如何将实例的流量发送到目的地(无论目的地是在网络内部还是 Google Cloud 外部)。每个 VPC 网络都附带一些由系统生成的路由,用于在其子网之间路由流量,以及将符合条件的实例的流量发送到互联网。

您可创建自定义静态路由,以将某些数据包定向到特定目的地。例如,可以创建一条路由,将所有出站流量发送到配置为 NAT 网关的实例。

详细了解路由

转发规则

路由控制离开实例的流量,而转发规则基于 IP 地址、协议和端口将流量定向到 VPC 网络中的 Google Cloud 资源。

某些转发规则会将来自 Google Cloud 外部的流量定向到网络内的目的地;其他一些规则会定向来自网络内部的流量。转发规则的目的地是目标实例、负载平衡器目标(目标代理、目标池和后端服务)以及 Cloud VPN 网关。

详细了解转发规则

接口和 IP 地址

IP 地址

Google Cloud 资源(例如 Compute Engine 虚拟机实例、转发规则、GKE 容器和 App Engine)依靠 IP 地址进行通信。

详细了解 IP 地址

别名 IP 范围

如果您在单个虚拟机实例上运行多个服务,则可以使用别名 IP 范围,为每个服务提供不同的内部 IP 地址。VPC 网络会将前往特定服务的数据包转发到相应的虚拟机。

详细了解别名 IP 范围

多个网络接口

您可以将多个网络接口添加到一个虚拟机实例,并使每个接口都驻留在一个唯一的 VPC 网络中。多个网络接口使网络设备虚拟机能够充当网关,以保护不同 VPC 网络之间或进出互联网的流量。

详细了解多个网络接口

VPC 共享和对等互连

共享 VPC

您可以将 VPC 网络从一个项目(称为宿主项目)共享到您的 Google Cloud 组织中的其他项目。您可以使用特定的 IAM 权限授予对整个共享 VPC 网络或其中特选子网的访问权限。这样,您就可以集中控制通用网络,同时保持组织的灵活性。共享 VPC 在大型组织中尤为有用。

详细了解共享 VPC

VPC 网络对等互连

通过 VPC 网络对等互连,您可在 Google Cloud 中构建软件即服务 (SaaS) 生态系统,从而无论 VPN 网络是在同一项目中、不同项目中,还是分属于不同组织的不同项目,都能在不同的 VPN 网络中以非公开的方式提供服务。

通过 VPC 网络对等互连,所有通信均使用专用 RFC 1918 IP 地址进行。根据防火墙规则,每个对等互连网络中的虚拟机实例均可以彼此通信,而无需使用外部 IP 地址。

对等互连的网络会共享子网路由。这两个网络还可以配置为共享自定义静态和动态路由。每个对等互连网络的网络管理均保持不变:一个网络的 Network Admin 和 Security Admin 不会在与其存在对等互连关系的另一网络中自动获得相应角色。如果来自不同项目的两个网络进行对等互连,则一个项目中的 Project Owner、Editor 和 Compute Instance Admin 不会在包含另一个网络的项目中自动获得相应角色。

详细了解 VPC 网络对等互连

混合云

Cloud VPN

借助 Cloud VPN,您可以使用安全的虚拟专用网将您的 VPC 网络连接到本地物理网络或其他云提供商。

详细了解 Cloud VPN

Cloud Interconnect

借助 Cloud Interconnect,您可以使用高速物理连接将您的 VPC 网络连接到本地网络。

详细了解 Cloud Interconnect

Cloud Load Balancing

Google Cloud 提供以下负载平衡配置,用于在多个虚拟机之间分配流量和工作负载:

  • 全局外部负载平衡,包括 HTTP(S) 负载平衡、SSL 代理负载平衡和 TCP 代理负载平衡。
  • 区域性外部网络负载平衡
  • 区域性内部负载平衡

详细了解 Cloud Load Balancing

特殊配置

专用 Google 访问通道

为子网启用专用 Google 访问通道后,VPC 网络的子网内的实例就可以使用专用 IP 地址而不是外部 IP 地址与 Google API 和服务通信。

详细了解专用 Google 访问通道