虛擬私人雲端 (VPC) 網路總覽

虛擬私人雲端網路 (有時也簡稱為「網路」) 是實體網路的虛擬版本,類似資料中心網路。這種網路可為您的 Compute Engine 虛擬機器 (VM) 執行個體Kubernetes Engine 叢集App Engine 彈性環境執行個體以及專案中的其他資源提供連線能力。

專案可包含多個虛擬私人雲端網路。新專案一開始即配有 default 網路,且在每個地區都有一個子網路 (自動模式網路),除非您建立禁止此設定的組織政策。

規格

虛擬私人雲端網路具備以下屬性:

  • 虛擬私人雲端網路 (包括相關路徑和防火牆規則) 屬於全球資源,「不會」與任何地區或區域建立關聯。

  • 「子網路」屬於地區資源,每個子網路都會定義 IP 位址範圍。如要進一步瞭解網路和子網路,請參閱網路和子網路一節。

  • 您可以使用網路防火牆規則控管執行個體傳送及接收的流量。

  • 虛擬私人雲端網路中的資源可根據適用的網路防火牆規則,使用內部 (私人) IPv4 位址互相通訊。詳情請參閱網路內部通訊一節。

  • 具有內部 IP 位址的執行個體可與 Google API 和服務通訊。詳情請參閱私人存取權選項

  • 您可以利用身分與存取權管理 (IAM) 角色保障網路管理作業的安全。

  • 機構可以運用共用虛擬私人雲端,將虛擬私人雲端網路保存在一般主專案中。如果相同機構中其他專案的使用者是已獲授權的 IAM 成員,則可讓建立的資源使用共用虛擬私人雲端網路的子網路。

  • 只要使用虛擬私人雲端網路對等互連,您就可以將虛擬私人雲端網路連線至不同專案或機構中的其他虛擬私人雲端網路。

  • 您可以使用 Cloud VPNCloud Interconnect,保障混合式環境中虛擬私人雲端網路連線的安全。

  • 虛擬私人雲端網路只支援 IPv4 單點傳播流量。這類網路支援網路「內」廣播多點傳送或 IPv6 流量:虛擬私人雲端網路中的 VM 只能傳送至 IPv4 目的地,也只能接收來自 IPv4 來源的流量。 不過,您可以建立全域負載平衡器的 IPv6 位址。

網路和子網路

每個虛擬私人雲端網路都是由一或多個能實際發揮效用的 IP 範圍分段所組成,這類分段稱為「子網路」,每個子網路都會與地區建立關聯。虛擬私人雲端網路本身並未與任何 IP 位置範圍建立關聯,至於子網路的 IP 範圍則須定義。

網路至少要有一個子網路,您才能開始使用。自動模式網路會自動在每個地區中建立子網路。自訂模式網路一開始沒有任何子網路,可讓您完全掌控子網路的建立作業。每個地區可以建立一個以上的子網路。如要瞭解自動和自訂模式網路之間的差異,請參閱虛擬私人雲端網路類型一節。

您在 GCP 中建立資源時,須選擇網路和子網路。針對執行個體範本以外的資源,您也要選取區域或地區。如果您選擇了某個區域,等於間接選取資源的上層地區。由於子網路屬於地區性物件,資源可使用的子網路取決於您為其選取的地區:

  • 建立執行個體的過程中,您須要選取區域、網路和子網路。您只可在已選取的地區中選擇子網路。GCP 會從子網路的可用位址範圍中指派 IP 位址給執行個體。

  • 建立代管執行個體群組的過程中,您須要根據群組類型選取區域或地區,以及執行個體範本。您針對代管執行個體群組選取地區後,執行個體範本定義的子網路必須位於該地區,您才能選取這個執行個體範本。

    • 執行個體範本屬於全球資源。在建立執行個體範本的過程中,您須選擇網路和子網路。由於自動模式網路本質上在每個地區都會有子網路,您在使用這類網路時可以選擇「自動子網路」來延後子網路的選取時機,等到您針對要使用範本的代管執行個體群組選取地區後,再從該地區選取可用的子網路。
  • 建立 Kubernetes 容器叢集的過程中,您須要根據叢集類型選取區域或地區,以及網路和子網路。您只可在已選取的地區中選擇子網路。

網路和子網路的用語說明

「subnet」和「subnetwork」為同義詞,皆表示「子網路」,兩者在 GCP 主控台、gcloud 指令和 API 說明文件中交替使用。

子網路建立模式

GCP 提供兩種類型的虛擬私人雲端網路,差異在於子網路的建立模式

  • 當您建立自動模式網路時,系統會在每個地區中自動建立子網路。這類自動建立的子網路會使用一組在 10.128.0.0/9 CIDR 區塊內的預先定義 IP 範圍。當新的 GCP 地區開放使用時,系統也會將位於這類地區的新子網路自動新增至透過該區塊使用 IP 範圍的自動模式網路。除了自動建立的子網路,您還可以使用 10.128.0.0/9 以外的 IP 範圍,在您選擇的地區中手動新增更多子網路到自動模式網路。

  • 當您建立自訂模式網路時,系統不會自動建立任何子網路。這類網路可讓您完全掌控其中的子網路和 IP 範圍,您可以在您選擇的地區中,使用您指定的 IP 範圍,決定要建立哪些子網路。

您可以將網路從自動模式切換至自訂模式。這是單向的轉換作業;您無法將自訂模式網路變更為自動模式網路。請詳閱自動模式網路的考量事項一節,來判斷哪類網路符合您的需求。

預設網路

除非選擇停用,否則每個專案起初都會具備 default 網路。default 網路為自動模式網路,具有預先填入的防火牆規則

您可以建立組織政策,並在其中包含 compute.skipDefaultNetworkCreation 限制,藉此停用「建立預設網路」的功能。沿用這個政策的專案將不會有預設網路。

自動模式網路的考量事項

自動模式網路可供您輕易設定及使用。如果您的用途具有以下特性,就相當適合採用這類網路:

  • 能獲益於在每個地區自動建立子網路的功能。

  • 子網路的預先定義 IP 範圍不會與用於其他目的 (例如內部部署資源的 Cloud VPN 連線) 的 IP 範圍重疊。

不過,自訂模式網路相對較有彈性,更適合實際工作環境。如果您的用途具有以下特性,採用自訂模式網路會是比較理想 (甚至是必要) 的做法:

  • 不須在每個地區自動建立一個子網路。

  • 當新地區開放使用時,自動建立的新子網路可能會與手動建立子網路或靜態路徑時所用的 IP 位址重疊,或可能干擾整體網路規劃。

  • 您需要完全控管虛擬私人雲端網路中建立的子網路,包括其中使用的地區或 IP 位址範圍。

  • 您打算使用虛擬私人雲端網路對等互連Cloud VPN 連線到虛擬私人雲端網路。由於每個自動模式網路的子網路都會使用相同的預先定義 IP 位址範圍,因此您無法在兩個自動模式網路之間建立連線。

子網路和 IP 範圍

在建立子網路時,您必須定義主要 IP 位址範圍。您也可以定義最多五個「次要 IP 位址範圍」

  • 主要 IP 位址範圍:您所選的子網路主要 IP 位址範圍可以是任何私人 RFC 1918 CIDR 區塊。這些 IP 位址可用於 VM 的主要內部 IP 位址、VM 的別名 IP 位址,以及內部負載平衡器的 IP 位址。

  • 次要 IP 位址範圍:您可以定義最多五個次要 IP 位址範圍 (獨立的 RFC 1918 CIDR 區塊)。這些 IP 位址範圍僅能用於別名 IP 位址。

子網路不一定得形成預先定義的連續 CIDR 區塊,不過您也可以視情況採用這種形式。舉例來說,自動模式網路建立的子網路就會套用預先定義的自動模式 IP 範圍

詳情請參閱使用虛擬私人雲端網路頁面中的「使用子網路」一節。

保留的 IP

每個子網路在主要 IP 範圍中都有四個保留的 IP 位址:

保留的位址 說明 範例
網路 子網路主要 IP 範圍中的第一個位址 10.1.2.0/24 中的 10.1.2.0
預設閘道 子網路主要 IP 範圍中的第二個位址 10.1.2.0/24 中的 10.1.2.1
倒數第二個保留項目 子網路主要 IP 範圍中的倒數第二個位址 10.1.2.0/24 中的 10.1.2.254
廣播 子網路主要 IP 範圍中的最後一個位址 10.1.2.0/24 中的 10.1.2.255

自動模式 IP 範圍

下表針對自動模式網路中自動建立的子網路列出 IP 位址,這類子網路的 IP 範圍會在 10.128.0.0/9 CIDR 區塊內。自動模式網路在建立時會針對每個地區建構一個子網路,之後也會自動接收新地區中的新子網路。因此,系統會將 10.128.0.0/9 中未使用的部分保留下來,日後可供 GCP 使用。

地區 IP 範圍 (CIDR) 預設閘道 可用位址 (含首尾)
asia-east1 10.140.0.0/20 10.140.0.1 10.140.0.2 至 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 10.170.0.2 to 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 10.146.0.2 至 10.146.15.253
asia-south1 10.160.0.0/20 10.160.0.1 10.160.0.2 至 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 10.148.0.2 至 10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 10.152.0.2 至 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 10.166.0.2 至 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 10.132.0.2 至 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 10.154.0.2 至 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 10.156.0.2 至 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 10.164.0.2 至 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 10.172.0.2 至 10.172.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 10.162.0.2 至 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 10.158.0.2 至 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 10.128.0.2 至 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 10.142.0.2 至 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 10.150.0.2 至 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 10.138.0.2 至 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 10.168.0.2 至 10.168.15.253

路徑和防火牆規則

路徑

路徑會定義封包離開執行個體的途徑 (輸出流量)。GCP 中的路徑分為兩類:系統產生的路徑和自訂路徑。本節將簡略說明系統產生的兩種路徑。您也可以在自己的網路中建立自訂路徑,只要參閱路徑總覽即可瞭解 GCP 中轉送作業的完整詳情。

每個新的網路一開始都會有系統產生的兩種路徑:

  • 預設路徑會定義流量離開虛擬私人雲端網路的途徑,可針對符合網際網路存取需求的 VM 提供一般網際網路存取權,也能針對私人 Google 存取權提供典型途徑。

  • 子網路路徑是針對每個與子網路相關聯的 IP 範圍所建立。每個子網路至少都有一個主要 IP 範圍的子網路路徑,您將次要 IP 範圍新增至子網路時也會建立其他子網路路徑。子網路路徑會針對使用子網路的 VM 定義流量接收途徑。

動態轉送模式

每個虛擬私人雲端網路都有相關的「動態轉送模式」,可控管網路中所有雲端路由器的行為。當您透過使用動態轉送的 Cloud VPN 通道專屬互連網路合作夥伴互連網路將虛擬私人雲端網路連線至其他網路時,雲端路由器會分享路徑給虛擬私人雲端網路,並從連線的網路得知自訂動態路徑。

  • 區域動態轉送是預設模式。在這個模式中,虛擬私人雲端網路內的指定雲端路由器會得知內部部署資源的路徑,這類路徑僅會套用至所在地區與雲端路由器相同的子網路。除非受到自訂公告修改,否則每個雲端路由器只會利用自身的內部部署對應項目,在自身所在地區中分享子網路的路徑。

  • 全域動態轉送會變更網路中所有雲端路由器的行為,以便在不論地區為何的情況下,讓已知的內部部署資源路徑在虛擬私人雲端網路的所有子網路中開放使用。除非受到自訂公告修改,否則每個雲端路由器都會利用自身的內部部署對應項目,在虛擬私人雲端網路中分享所有子網路的路徑。

如要瞭解如何自訂雲端路由器分享的路徑組合,請參閱自訂公告

您可以在建立或修改虛擬私人雲端網路時設定動態轉送模式,也能在區域動態轉送和全域動態轉送這兩個模式之間交互切換而不受限制。如需操作說明,請參閱使用虛擬私人雲端網路

防火牆規則

防火牆規則會套用至網路中的外送 (輸出) 和連入 (輸入) 流量。流量即使完全只在網路內部傳送 (包括 VM 執行個體間的通訊),也會受到防火牆規則控管。

每個虛擬私人雲端網路都有兩項隱含防火牆規則。其中一項隱含規則會允許所有輸出流量,另一項則會拒絕所有輸入流量。您無法刪除這些隱含規則,但可用自訂規則覆寫。不論防火牆規則如何,GCP 一律會封鎖某些流量。詳情請參閱封鎖的流量

詳情請參閱防火牆規則總覽

您可以對允許或拒絕特定連線的防火牆規則進行監控,詳情請參閱防火牆規則記錄

網路內部通訊

系統產生的子網路路徑會使用內部 (私人) IP 位址,定義在網路內部執行個體間傳送流量的途徑。如要讓某個執行個體能與其他執行個體通訊,您也必須設定適當的防火牆規則,因為每個網路都會有拒絕輸入流量的默示防火牆規則

除了 default 網路外,您必須明確建立優先順序較高的輸入防火牆規則,才能讓執行個體相互通訊。default 網路除了隱含的防火牆規則外還有多項規則 (包括 default-allow-internal 規則),可允許網路中執行個體間的通訊。default 網路也有可允許遠端桌面協定和 SSH 等通訊協定的輸入規則。

當您透過 GCP 主控台建立新的自動模式網路時,系統也會顯示 default 網路具備的規則,做為可供您套用的選項。

網際網路存取需求

執行個體必須符合以下條件,才能具備外送網際網路存取權:

  • 網路必須具備有效的「預設網際網路閘道」路徑或自訂路徑,這類路徑的目的地 IP 範圍是最常見的形式 (0.0.0.0/0)。該路徑只定義網際網路路徑。如要進一步瞭解路徑,請參閱路徑

  • 防火牆規則必須允許執行個體的輸出流量。除非受到優先順序較高的規則覆寫,否則允許輸出流量的隱含規則會允許所有執行個體的傳出流量。

  • 必須符合以下其中一項條件:

虛擬私人雲端網路範例

以下範例說明在兩個地區設有三個子網路的自訂模式網路:

虛擬私人雲端網路範例 (點選即可放大)
虛擬私人雲端網路範例 (點選即可放大)
  • Subnet1 在 us-west1 地區定義為 10.240.0.0/24
    • 這個子網路有兩個位於 us-west1-a 區域的 VM 執行個體。這兩個執行個體的 IP 位址皆來自「subnet1」的可用位址範圍。
  • Subnet2 在 us-east1 地區定義為 192.168.1.0/24
    • 這個子網路有兩個位於 us-east1-a 區域的 VM 執行個體。這兩個執行個體的 IP 位址皆來自「subnet2」的可用位址範圍。
  • Subnet3 在 us-east1 地區定義為 10.2.0.0/16
    • 「subnet3」有一個 VM 執行個體位於 us-east1-a 區域,另一個執行個體則位於 us-east1-b 區域,兩者接收的 IP 位址皆來自 subnet3 的可用範圍。由於子網路屬於地區資源,執行個體可將自身的網路介面與相同地區中的任何子網路建立關聯,執行個體所在的區域也會位於該地區內。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
虛擬私人雲端