使用虛擬私人雲端網路

本頁說明如何建立、修改及刪除虛擬私人雲端網路。本頁假設您熟悉私人雲端網路 (VPC) 總覽中說明的私人雲端網路。在 GCP 中,網路和子網路是不同的資源

建立網路

您可以選擇建立自動模式或自訂模式虛擬私人雲端網路。 您建立的每一個網路,在專案中的名稱均不可重複。

建立自動模式網路

自動模式網路會在您建立網路時,自動在每個 GCP 地區中建立一個子網路。如有新的地區可用,也會自動將這些地區的新子網路新增至自動模式網路中。自動建立的子網路,其 IP 範圍來自一組預先定義的範圍。所有自動模式網路均使用同一組 IP 範圍。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
  2. 按一下 [Create VPC network] (建立虛擬私人雲端網路)
  3. 輸入網路的 [Name] (名稱)
  4. 在「Subnet creation mode」(建立子網路模式) 選擇 [Aotomatic] (自動)
  5. 在「Firewall rules」(防火牆規則) 區段選擇一或多個預先定義的防火牆規則,這些防火牆規則常用於連至 VM 的連線。如不想使用,請不要選擇規則。 您可以先建立網路,之後再自行建立防火牆規則
  6. 選擇虛擬私人雲端網路的「Dynamic routing mode」(動態轉送模式)

    詳情請參閱動態轉送模式。您可以之後再變更動態轉送模式

  7. 按一下 [Create] (建立)。

gcloud

使用下列 gcloud 指令建立自動模式網路:

gcloud compute networks create [NETWORK_NAME] \
    --subnet-mode=auto \
    --bgp-routing-mode=[DYNAMIC_ROUTING_MODE]

將預留位置替換為有效值:

  • [NETWORK_NAME] 是虛擬私人雲端網路的名稱。
  • [DYNAMIC_ROUTING_MODE] 可以是 globalregional,用於控制雲端路由器在網路中的行為。詳情請參閱動態轉送模式

建立自訂模式網路

您需控制在虛擬私人雲端網路自訂模式中建立的子網路。 您可以在建立網路時建立子網路,也可以之後再新增子網路

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
  2. 按一下 [Create VPC network] (建立虛擬私人雲端網路)
  3. 輸入網路的 [Name] (名稱)
  4. 在「Subnet creation mode」(建立子網路模式) 選擇 [Custom] (自訂)
  5. 在「New subnet」(新子網路) 部分,指定子網路的以下設定參數:
    1. 提供這個子網路的 [Name] (名稱)
    2. 選擇一個 [Region] (地區)
    3. 輸入 [IP address range] (IP 位址範圍)。這是子網路的主要 IP 範圍
    4. 若要定義子網路的次要範圍,請按一下 [Create secondary IP range] (建立次要 IP 範圍)
    5. 「Private Google access」(私人 Google 存取權):選擇是否要在建立子網路時啟用該子網路的私人 Google 存取權,或之後再進行編輯。
    6. 「Flow logs」(流程記錄):選擇是否要在建立子網路時啟用虛擬私人雲端流程記錄,或之後再進行編輯。
    7. 按一下 [Done] (完成)
  6. 若要新增其他子網路,請按一下 [Add subnet] (新增子網路),接著重複以上步驟。 建立網路之後,您也可以在網路中新增更多子網路。
  7. 選擇虛擬私人雲端網路的「Dynamic routing mode」(動態轉送模式)

    詳情請參閱動態轉送模式。您可以之後再變更動態轉送模式

  8. 按一下 [Create] (建立)。

gcloud

使用下列 gcloud 指令建立新的自訂模式網路。建立網路後,請按照新增子網路操作說明新增子網路。

gcloud compute networks create [NETWORK_NAME] \
    --subnet-mode=custom \
    --bgp-routing-mode=[DYNAMIC_ROUTING_MODE]

將預留位置替換為有效值:

  • [NETWORK_NAME] 是虛擬私人雲端網路的名稱。
  • [DYNAMIC_ROUTING_MODE] 可以是 globalregional,用於控制雲端路由器在網路中的行為。詳情請參閱動態轉送模式

查看網路

查看專案中的虛擬私人雲端網路和舊版網路。您可以查看虛擬私人雲端網路的子網路相關資訊及子網路建立模式。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面

    主控台會列出您的所有虛擬私人雲端網路及舊版雲端網路。

  2. 選擇一個虛擬私人雲端網路開始查看其詳細資料,例如對等互連連線及子網路。

gcloud

  1. 列出專案中的網路,如下列範例所示。

    gcloud compute networks list
    

    這個指令會列出您的所有虛擬私人雲端網路及舊版雲端網路。 舊版網路顯示的子網路建立模式會是 LEGACY,虛擬私人雲端網路則會顯示 AUTOCUSTOM

    NAME             SUBNET_MODE  BGP_ROUTING_MODE  IPV4_RANGE     GATEWAY_IPV4
    custom-network   CUSTOM       REGIONAL
    default          AUTO         REGIONAL
    legacy-network1  LEGACY       REGIONAL          10.240.0.0/16  10.240.0.1
    
  2. 說明網路,查看其對等互連連線及子網路等詳細資料。

    gcloud compute networks describe [NETWORK_NAME]
    

使用子網路

建立或編輯子網路時,必須遵循以下規則:

  • 在專案中,除非子網路是虛擬私人雲端網路的成員,否則子網路名稱不能與虛擬私人雲端網路的名稱相同。在專案中,同一個地區的子網路須各自使用一個不重複的名稱。例如,名稱為 production 的網路可以有多個同樣命名為 production 的子網路,只要其中每一個子網路各自屬於不重複的地區即可。

  • 建立子網路之後,就不能變更該子網路的名稱或地區。不過,您可以刪除並替換沒有任何資源使用的子網路頁面。

  • 每個子網路都必須要有一個主要範圍,另可為別名 IP 選擇最多五個次要範圍。主要和次要 IP 範圍必須是 RFC 1918 位址。

    • 在虛擬私人雲端網路中,所有主要和次要 IP 範圍均不可重複,但可以連續。例如,某個子網路的主要範圍是 10.0.0.0/24,同一個網路中另一個子網路的主要範圍可以是 192.168.0.0/16

    • 建立子網路後,可以延伸該子網路的主要 IP 範圍,但不能替換或縮短範圍。

    • 唯有在沒有任何執行個體使用子網路次要 IP 位址範圍的情況下,才能移除並替換該範圍。

    • 主要或次要範圍均至少須包含八個 IP 位址。換句話說,您可以使用的子網路遮罩不能超過 /29

  • 子網路的主要和次要範圍不得與下列項目重疊:任何已分配範圍、同一個網路中另一個子網路的任何主要或次要範圍,或者對等互連網路中的任何子網路 IP 範圍。

  • GCP 會根據主要和次要 IP 範圍建立對應的子網路路徑。按照定義,子網路路徑必須要有最明確的 IP 範圍,子網路 IP 範圍也是如此。

    • 如果您使用 Cloud VPN專屬互連網路合作夥伴互連網路將虛擬私人雲端網路連至另一個網路,請注意主要和次要範圍不能與內部部署 IP 範圍衝突。

    • 在所有以虛擬私人雲端網路對等互連方式彼此連線的虛擬私人雲端網路中 ,所有 IP 子網路的範圍均不可重複。

    • 子網路 IP 範圍不可與靜態路徑的目的地衝突。

    • 子網路的主要或次要 IP 範圍應盡量避免使用 10.128.0.0/9 區塊的 IP 位址。在自動模式網路中自動建立的子網路會使用這個區塊的 IP 位址。如果使用 10.128.0.0/9 區塊內的 IP 位址,就無法使用虛擬私人雲端對等互連或 Cloud VPN 通道,將您的網路連上自動模式虛擬私人雲端網路。

列出子網路

您可以看到專案下的所有現有子網路。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
    會顯示所有虛擬私人雲端網路中的子網路。
  2. 按一下網路的名稱,再按「虛擬私人雲端網路詳細資料」頁面中的 [Subnets] (子網路) 分頁,就可單純查看該網路,而非整個網路的詳細資料

gcloud

您可以列出專案中所有網路的所有子網路,也可以只顯示特定網路或地區的子網路。指令範例如下表所示。

  • 使用這個指令列出所有地區中所有虛擬私人雲端網路的所有子網路:

    gcloud compute networks subnets list
    
  • 使用這個指令成列出特定虛擬私人雲端網路中的所有子網路 (將 [NETWORK] 替換成該網路的名稱):

    gcloud compute networks subnets list \
       --network=[NETWORK]
    
  • 使用這個指令列出特定地區中的所有子網路 (將 [REGION] 替換成地區的名稱):

    gcloud compute networks subnets list \
       --region=[REGION]
    

說明子網路

您可以按照本節的以下步驟查看現有子網路的詳細資料,例如其主要 IP 範圍、任何次要 IP 範圍,以及其地區。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
    專案中的所有網路和子網路會以階層視圖顯示,其中,子網路會顯示成網路當中的項目。
  2. 若只要查看特定網路中的子網路,請按一下網路名稱。在該網路的「VPC network details」(VPC 網路詳細資料) 頁面中,按一下 [Subnets] (子網路) 分頁標籤裡某個子網路的名稱,即可查看其「Subnet details」(子網路詳細資料) 頁面。

gcloud

  1. 列出子網路,用於判斷專案中現有子網路的名稱和地區。

  2. 使用以下 gcloud 指令說明子網路 (將 [SUBNET_NAME] 替換成子網路的名稱,並將 [REGION] 替換成子網路的地區)。

    gcloud compute networks subnets describe [SUBNET_NAME] \
        --region=[REGION]
    

新增子網路

建立子網路時,須設定名稱、地區,以及至少一個主要 IP 位址 (以子網路規則為準)。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
  2. 按一下虛擬私人雲端網路的名稱,顯示其「VPC network details」(虛擬私人雲端網路詳細資料) 頁面。
  3. 按一下 [Add subnet] (新增子網路)。在出現的面板中:
    1. 提供「Name」(名稱)
    2. 選擇一個 [Region] (地區)
    3. 輸入 [IP address range] (IP 位址範圍)。這是子網路的主要 IP 範圍
    4. 若要定義子網路的次要範圍,請按一下 [Create secondary IP range] (建立次要 IP 範圍)
    5. 「Private Google access」(私人 Google 存取權):您可以在建立子網路時啟用該子網路的私人 Google 存取權,也可以之後再進行編輯。
    6. 「Flow logs」(流程記錄):您可以在建立子網路時啟用虛擬私人雲端流程記錄,也可以之後再進行編輯。
    7. 按一下 [Add] (新增)。

gcloud

以下 gcloud 指令會在指定網路中建立一個新的子網路。

gcloud compute networks subnets create [SUBNET_NAME] \
    --network=[NETWORK] \
    --range=[PRIMARY_RANGE] \
    --region=[REGION]

將預留位置替換為有效值:

  • [SUBNET_NAME] 是新子網路的名稱。
  • [NETWORK] 是虛擬私人雲端網路的名稱,此網路將包含新的子網路。
  • [PRIMARY_RANGE] 是新子網路的主要 IP 範圍,採用 CIDR 標記法。
  • [REGION] 是 GCP 地區,將會在這個地區中建立新子網路。

您可以使用下列非必要標記修改之前的指令:

  • --secondary-range=[SECONDARY_RANGE]:將 CIDR 標記法中的 [SECONDARY_RANGE] 替換為次要範圍。最多可以新增五個次要範圍。
  • --enable-flow-logs:在建立子網路時啟用該子網路中的虛擬私人雲端流程記錄
  • --enable-private-ip-google-access:在建立子網路時啟用該子網路中的私人 Google 存取權

刪除子網路

按照下列操作說明刪除自動建立的子網路。刪除子網路之前,必須刪除 VM、預留的內部 IP 位址,以及使用該子網路的內部轉送規則。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
    專案中的所有網路和子網路會以階層視圖顯示,其中,子網路會顯示成網路當中的項目。
  2. 若只要查看特定網路中的子網路,請按一下網路名稱。在該網路的「VPC network details」(虛擬私人雲端網路詳細資料) 頁面中,按一下「Subnets」(子網路) 分頁裡某個子網路的名稱,即可查看其「Subnet details」(子網路詳細資料) 頁面。
  3. 按一下 [Delete subnet] (刪除子網路)
  4. 在出現的訊息中,按一下 [Delete] (刪除) 完成確認。

gcloud

使用下列 gcloud 指令刪除子網路:

gcloud compute networks subnets delete [SUBNET_NAME] \
    --region=[REGION]

將預留位置替換為有效值:

  • [SUBNET_NAME] 是欲刪除之子網路的名稱。
  • [REGION] 是子網路所在的地區。

延伸主要 IP 範圍

您可以延伸現有子網路的主要 IP 範圍,方法是修改其子網路遮罩,將前置長度設為「較小的」數字即可。您針對子網路輸入的新次要 IP 範圍必須遵循子網路規則

延伸在自動模式網路中自動建立之子網路 (或者之前在自動模式網路中建立之自動模式網路) 的 IP 範圍時,您可以使用的最大前置詞 (子網路遮罩) 範圍是 /16。如前置字串超過 /16,會與其他自動建立的子網路的主要 IP 範圍發生衝突。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
    專案中的所有網路和子網路會以階層視圖顯示,其中,子網路會顯示成網路當中的項目。
  2. 若只要查看特定網路中的子網路,請按一下網路名稱。在該網路的「VPC network details」(虛擬私人雲端網路詳細資料) 頁面中,按一下「Subnets」(子網路) 分頁裡某個子網路的名稱,即可查看其「Subnet details」(子網路詳細資料) 頁面。
  3. 按一下 [Edit] (編輯)
  4. 在 [IP address range] (IP 位址範圍) 欄位中輸入範圍更大的新 CIDR 區塊。
  5. 按一下 [Save] (儲存)

gcloud

使用下列 gcloud 指令延伸子網路的主要 IP 範圍:

gcloud compute networks subnets expand-ip-range [SUBNET_NAME] \
  --region=[REGION] \
  --prefix-length=[PREFIX_LENGTH]

將預留位置替換為有效值:

  • [SUBNET_NAME] 是子網路的名稱。
  • [REGION] 是子網路所在的地區。
  • [PREFIX_LENGTH] 是子網路遮罩大小,單位是位元。若主要 IP 範圍是 10.1.2.0/24,輸入 20 可以將子網路遮罩減少到 20 個位元,也會將主要 IP 範圍變更為 10.1.2.0/20

編輯次要範圍

您最多可以為子網路新增五個次要 IP 範圍,也可以移除沒有任何資源使用其中任何 IP 位址的次要範圍。

gcloud

使用下列 gcloud 指令新增子網路的新次要 IP 範圍:

gcloud compute networks subnets update [SUBNET_NAME] \
  --region=[REGION] \
  --add-secondary-ranges=[SECONDARY_RANGE_NAME]=[SECONDARY_RANGE]

將預留位置替換為有效值:

  • [SUBNET_NAME] 是子網路的名稱。
  • [REGION] 是子網路所在的地區。
  • [SECONDARY_RANGE_NAME] 是次要範圍的名稱。
  • [SECONDARY_RANGE] 是次要 IP 範圍,採用 CIDR 標記法。

使用下列 gcloud 指令移除子網路的次要 IP 範圍:

gcloud compute networks subnets update [SUBNET_NAME] \
  --region=[REGION] \
  --remove-secondary-ranges=[SECONDARY_RANGE_NAME]

將預留位置替換為有效值:

  • [SUBNET_NAME] 是子網路的名稱。
  • [REGION] 是子網路所在的地區。
  • [SECONDARY_RANGE_NAME] 是要移除之次要範圍的名稱。

修改網路

轉換成自訂模式

您可以按照以下程序將自動模式網路轉換成自訂模式。參閱自動模式網路的考量事項,瞭解建議您這麼做的理由有何背景資訊。

若將自動模式網路轉換成自訂模式網路,會保留其所有自動建立的子網路和您所新增的任何子網路。子網路名稱和 IP 範圍不變。

將自動模式網路轉換成自訂模式後,您必須檢閱所有 API 呼叫和 gcloud 指令,確認是否隱含參照任何在網路處於自動模式期間自動建立的子網路。您必須修改 API 呼叫和指令,使其明確參照子網路。gcloud 指令若含指定子網路的標記 (--subnet),該標記必須參照自訂模式網路中的子網路。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
  2. 按一下虛擬私人雲端網路的名稱,顯示其「VPC network details」(虛擬私人雲端網路詳細資料) 頁面。
  3. 按一下 [Edit] (編輯)
  4. 在「Subnet creation mode」(子網路建立模式) 部分,選擇 [Custom] (自訂)
  5. 按一下 [Save] (儲存)

gcloud

使用下列指令將自動模式網路轉換成自訂模式網路 (將 [NETWORK_NAME] 替換為該網路的名稱)。

gcloud compute networks update [NETWORK_NAME] \
    --switch-to-custom-subnet-mode

變更動態轉送模式

每個虛擬私人雲端網路各有一個相關的動態轉送模式,負責控制雲端路由器在雲端中的行為。請參閱「虛擬私人雲端 (VPC) 網路總覽」頁面中的動態轉送模式一節,瞭解各個模式如何影響雲端路由器共用路徑與套用任何已知路徑的方式。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
  2. 按一下虛擬私人雲端網路的名稱,顯示其「VPC network details」(虛擬私人雲端網路詳細資料) 頁面。
  3. 按一下 [Edit] (編輯)
  4. 在**「Dynamic routing mode」(動態轉送模式)** 部分,選擇 [Global] (全球) 或 [Regional] (地區)
  5. 按一下 [Save] (儲存)

gcloud

使用下列 gcloud 指令變更虛擬私人雲端網路的動態轉送模式:

gcloud compute networks update [NETWORK_NAME] \
    --bgp-routing-mode=[DYNAMIC_ROUTING_MODE]

將預留位置替換為有效值:

  • [NETWORK_NAME] 是虛擬私人雲端網路的名稱,您需改變此網路的動態轉送模式。
  • [DYNAMIC_ROUTING_MODE]globalregional,取決於網路中所有雲端路由器應有的行為。

刪除網路

您可以刪除不再使用的網路。刪除網路前,您必須刪除其子網路中的所有資源,以及所有參照該網路的資源。參照該網路的資源包括 Cloud VPN 閘道、雲端路由器、防火牆規則以及自訂靜態路徑。

主控台

  1. 前往 Google Cloud Platform 主控台的「VPC 網路」頁面。
    前往「VPC networks」(虛擬私人雲端網路) 頁面
  2. 按一下虛擬私人雲端網路的名稱,顯示其「VPC network details」(虛擬私人雲端網路詳細資料) 頁面。
  3. 按一下 [Delete VPC network] (刪除虛擬私人雲端網路)
  4. 在出現的訊息中,按一下 [Delete] (刪除) 完成確認。

gcloud

使用下列 gcloud 指令刪除網路 (將 [NETWORK_NAME] 替換為要移除之網路的名稱)。

gcloud compute networks delete [NETWORK_NAME]

監控您的虛擬私人雲端網路

您可以啟用 VM 網路進出流程的記錄,操作說明請參閱使用虛擬私人雲端網路流程記錄

您也可以啟用防火牆規則記錄,即可查看每項規則允許或封鎖的流量。操作說明請參閱使用防火牆規則記錄

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
虛擬私人雲端