Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS.

Panoramica del networking per le VM

Questo documento fornisce una panoramica della funzionalità di rete delle tue istanze di macchine virtuali (VM). Fornisce una conoscenza di base su come le istanze delle macchine virtuali (VM) interagiscono con le reti Virtual Private Cloud (VPC). Per ulteriori informazioni sulle reti VPC e sulle funzionalità correlate, consulta la panoramica sulle reti VPC.

Reti e subnet

Ogni VM fa parte di una rete VPC. Le reti VPC forniscono connettività per l'istanza VM ad altri prodotti Trusted Cloud by S3NS e a internet. Le reti VPC possono essere in modalità automatica o personalizzata.

Le reti VPC in modalità automatica hanno una subnet in ogni regione. Tutte le subnet sono contenute in questo intervallo di indirizzi IP: 10.128.0.0/9. Le reti VPC in modalità automatica supportano solo intervalli di subnet IPv4.
Le reti in modalità personalizzata non hanno una configurazione di subnet specificata. Puoi decidere quali subnet creare nelle regioni scelte utilizzando gli intervalli IP da te specificati. Le reti in modalità personalizzata supportano anche gli intervalli di subnet IPv6.

A meno che tu non scelga di disattivarla, ogni progetto ha una rete default, ovvero una rete VPC in modalità automatica. Puoi disattivare la creazione di reti predefinite creando una policy dell'organizzazione.

Ogni subnet in una rete VPC è associata a una regione e contiene uno o più intervalli di indirizzi IP. Puoi creare più subnet per ogni regione. Ognuna delle interfacce di rete della VM deve essere connessa a una subnet.

Quando crei una VM, puoi specificare una subnet e una rete VPC. Se ometti questa configurazione, vengono utilizzate la subnet e la rete default.Trusted Cloud assegna alla nuova VM un indirizzo IPv4 interno dall'intervallo di indirizzi IPv4 principale della subnet selezionata. Se la subnet ha anche un intervallo di indirizzi IPv6 (chiamato doppio stack) o se hai creato una subnet solo IPv6 (Anteprima), puoi assegnare un indirizzo IPv6 alla VM.

Per ulteriori informazioni sulle reti VPC, consulta la panoramica delle reti VPC. Per un esempio illustrato di VM che utilizzano una rete VPC con tre subnet in due regioni, consulta un esempio di rete VPC.

Controller interfaccia di rete (NIC)

Ogni istanza di computing in una rete VPC ha un'interfaccia di rete predefinita. Puoi definire le interfacce di rete solo quando crei un'istanza di computing. Quando configuri un'interfaccia di rete, selezioni una rete VPC e una subnet all'interno di quella rete VPC a cui connettere l'interfaccia. Puoi creare interfacce di rete aggiuntive per le tue istanze, ma ogni interfaccia deve essere collegata a una rete VPC diversa.

Più interfacce di rete ti consentono di creare configurazioni in cui un'istanza si connette direttamente a diverse reti VPC. Più interfacce di rete sono utili quando le applicazioni in esecuzione in un'istanza richiedono la separazione del traffico, come ad esempio la separazione del traffico del piano dati dal traffico del piano di gestione. Per ulteriori informazioni sull'utilizzo di più NIC, consulta la panoramica sulle interfacce di rete multiple.

Quando configuri l'interfaccia di rete per un'istanza di computing, puoi specificare il tipo di driver di rete da utilizzare con l'interfaccia, VirtIO o gVNIC (Google Virtual NIC). Per le serie di macchine di prima e seconda generazione, il valore predefinito è VirtIO. Le serie di macchine di terza generazione e successive sono configurate per utilizzare gVNIC per impostazione predefinita e non supportano VirtIO per l'interfaccia di rete. Le istanze bare metal utilizzano IDPF.

Inoltre, puoi scegliere di utilizzare le prestazioni di networking Tier_1 per VM con un'istanza di computing che utilizza gVNIC o IPDF. Il networking Tier_1 consente limiti di throughput della rete più elevati per i trasferimenti di dati sia in entrata che in uscita.

Larghezza di banda della rete

Trusted Cloud tiene conto della larghezza di banda per ogni istanza VM, non per interfaccia di rete (NIC) o indirizzo IP. La larghezza di banda viene misurata utilizzando due dimensioni: direzione del traffico (in entrata e in uscita) e tipo di indirizzo IP di destinazione. La velocità massima possibile per il traffico in uscita è determinata dal tipo di macchina utilizzato per creare l'istanza. Tuttavia, puoi raggiungere questa velocità massima possibile per il traffico in uscita solo in situazioni specifiche. Per saperne di più, consulta Larghezza di banda della rete.

Per supportare larghezze di banda della rete più elevate, ad esempio 200 Gbps per le serie di macchine di terza generazione e successive, è necessario Google Virtual NIC (gVNIC).

I limiti di larghezza di banda in uscita massima standard vanno da 1 Gbps a 100 Gbps.
Le prestazioni di networking Tier_1 per VM aumentano il limite di larghezza di banda in uscita massima a 200 Gbps, a seconda delle dimensioni e del tipo di macchina dell'istanza di computing.

Alcune serie di macchine hanno limiti diversi, come descritto nella tabella di riepilogo della larghezza di banda.

Indirizzi IP

A ogni VM viene assegnato un indirizzo IP della subnet associata all'interfaccia di rete. Il seguente elenco fornisce informazioni aggiuntive sui requisiti per la configurazione degli indirizzi IP.

Per le subnet solo IPv4, l'indirizzo IP è un indirizzo IPv4 interno. Se vuoi, puoi configurare un indirizzo IPv4 esterno per la VM.
Se l'interfaccia di rete si connette a una subnet a doppio stack con un intervallo IPv6, devi utilizzare una rete VPC in modalità personalizzata. La VM ha i seguenti indirizzi IP:
- Un indirizzo IPv4 interno. Se vuoi, puoi configurare un indirizzo IPv4 esterno per la VM.
- Un indirizzo IPv6 interno o esterno, a seconda del tipo di accesso della subnet.
Per le subnet solo IPv6 (Anteprima), devi usare una rete VPC in modalità personalizzata. La VM ha un indirizzo IPv6 interno o esterno, a seconda del tipo di accesso della subnet.
Per creare un'istanza solo IPv6 (Anteprima) con un indirizzo IPv6 interno ed esterno, devi specificare due interfacce di rete durante la creazione della VM. Non puoi aggiungere interfacce di rete a un'istanza esistente.

Gli indirizzi IP esterni e interni possono essere temporanei o statici.

Gli indirizzi IP interni sono locali per uno dei seguenti elementi:

Una rete VPC
Una rete VPC connessa tramite il peering di rete VPC
Una rete on-premise connessa a una rete VPC utilizzando Cloud VPN, Cloud Interconnect o un'appliance router

Un'istanza può comunicare con le istanze nella stessa rete VPC o in una rete connessa come specificato nell'elenco precedente utilizzando l'indirizzo IPv4 interno della VM. Se l'interfaccia di rete della VM si connette a una subnet a doppio stack o a una subnet solo IPv6, puoi utilizzare gli indirizzi IPv6 interni o esterni della VM per comunicare con altre istanze sulla stessa rete. Come best practice, utilizza indirizzi IPv6 interni per le comunicazioni interne. Per ulteriori informazioni sugli indirizzi IP, consulta la panoramica degli indirizzi IP per Compute Engine.

Per comunicare con internet o con sistemi esterni, utilizza un indirizzo IPv4 o IPv6 esterno configurato sull'istanza VM. Gli indirizzi IP esterni sono indirizzi IP instradabili pubblicamente. Se un'istanza non dispone di un indirizzo IP esterno, è possibile utilizzare Cloud NAT per il traffico IPv4.

Se hai più servizi in esecuzione su una singola istanza VM, puoi assegnare a ogni servizio un indirizzo IPv4 interno diverso utilizzando gli intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un determinato servizio alla VM corrispondente. Per saperne di più, consulta Intervalli IP alias.

Network Service Tiers

Network Service Tiers ti consente di ottimizzare la connettività tra i sistemi su internet e le tue istanze Compute Engine. Il livello Premium invia il traffico sul backbone premium di Google, mentre il livello Standard utilizza le reti ISP standard. Utilizza il livello Premium per l'ottimizzazione in base alle prestazioni e il livello Standard per l'ottimizzazione in base al costo.

Poiché il livello di rete viene scelto a livello di risorsa, ad esempio l'indirizzo IP esterno di una VM, puoi utilizzare il livello Standard per alcune risorse e il livello Premium per altre. Se non specifichi un livello, viene utilizzato il livello Premium.

Le istanze Compute che utilizzano indirizzi IP interni per comunicare all'interno delle reti VPC utilizzano sempre l'infrastruttura di networking di livello Premium.

Quando utilizzi il livello Premium o Standard, non viene addebitato alcun costo per il trasferimento di dati in entrata. I prezzi del trasferimento di dati in uscita sono calcolati per GiB recapitato e sono diversi per ciascuno dei livelli di Network Service Tiers. Per informazioni sui prezzi, consulta la sezione Prezzi di Network Service Tiers.

I livelli di Network Service Tiers non sono uguali alle prestazioni di networking Tier_1 per VM, che è un'opzione di configurazione che puoi scegliere di utilizzare con le tue istanze di computing. L'utilizzo del networking Tier_1 comporta un costo aggiuntivo, come descritto in Prezzi di rete Tier_1 con maggiore larghezza di banda. Per ulteriori informazioni sul networking Tier_1, consulta Configura le prestazioni di rete Tier_1 per VM.

Livello Premium

Il livello Premium invia il traffico da sistemi esterni alle risorse Trusted Cloudutilizzando la rete globale di Google, a bassa latenza e altamente affidabile. Questa rete è progettata per tollerare più errori e interruzioni, continuando a gestire il traffico. Il livello Premium è ideale per i clienti con utenti in più località in tutto il mondo che hanno bisogno delle migliori prestazioni e affidabilità della rete.

La rete di livello Premium è costituita da un'estesa rete in fibra privata con più di 100 punti di presenza (POP) in tutto il mondo. All'interno della rete di Google, il traffico viene instradato dal POP all'istanza di computing nella rete VPC. Il traffico in uscita viene inviato tramite la rete di Google ed esce dal POP più vicino alla destinazione. Questo metodo di routing riduce al minimo la congestione e ottimizza le prestazioni riducendo il numero di hop tra gli utenti finali e i POP più vicini.

Livello Standard

La rete di livello Standard invia il traffico da sistemi esterni alle risorseTrusted Cloud instradandolo su internet. I pacchetti che escono dalla rete di Google vengono recapitati utilizzando la rete internet pubblica e sono soggetti all'affidabilità dei provider di transito e degli ISP intermedi. Il livello Standard offre una qualità e un'affidabilità della rete paragonabili a quelle di altri provider cloud.

Il livello Standard ha un prezzo inferiore rispetto al livello Premium perché il traffico proveniente dai sistemi su internet viene indirizzato tramite le reti di transito (ISP) prima di essere inviato alle istanze di computing nella rete VPC. Il traffico in uscita del livello Standard solitamente esce dalla rete di Google dalla stessa regione utilizzata dall'istanza di computing mittente, indipendentemente dalla destinazione.

Il livello Standard include 200 GB di utilizzo gratuito al mese in ogni regione che utilizzi in tutti i tuoi progetti, basandosi sulle risorse.

Nomi DNS (Domain Name System) interni

Quando crei un'istanza di una macchina virtuale (VM), Trusted Cloudcrea un nome DNS interno dal nome della VM. A meno che non specifichi un nome host personalizzato,Trusted Cloud utilizza il nome DNS interno creato automaticamente come nome host fornito alla VM.

Per la comunicazione tra le VM nella stessa rete VPC, puoi specificare il nome DNS completo (FQDN) dell'istanza di destinazione anziché utilizzare il relativo indirizzo IP interno. Trusted Cloud risolve automaticamente il FQDN nell'indirizzo IP interno dell'istanza.

Per saperne di più sui nomi di dominio completi (FQDN), consulta Nomi DNS interni a livello di zona e globali.

Route

Le route diTrusted Cloud definiscono i percorsi che il traffico di rete segue da un'istanza di macchina virtuale (VM) ad altre destinazioni. Queste destinazioni possono trovarsi all'interno della rete VPC (ad esempio in un'altra VM) o al di fuori. La tabella di routing per una rete VPC è definita a livello di rete VPC. Ogni istanza VM ha un controller che viene informato di tutte le route applicabili dalla tabella di routing della rete. Ogni pacchetto in uscita da una VM viene inviato all'hop successivo appropriato di una route applicabile in base a un ordine di routing.

Le route delle subnet definiscono i percorsi per risorse come VM e bilanciatori del carico interni in una rete VPC. Ogni subnet ha almeno una route di subnet la cui destinazione corrisponde all'intervallo IP principale della subnet. Le route subnet hanno sempre le destinazioni più specifiche. Non possono essere sostituite da altre route, anche se un'altra route ha una priorità più alta. Ciò è dovuto al fatto che, quando seleziona un itinerario, Trusted Cloudconsidera la specificità della destinazione prima della priorità. Per maggiori informazioni sugli intervalli IP delle subnet, consulta la panoramica sulle subnet.

Regole di forwarding

Mentre le route regolano il traffico in uscita da un'istanza, le regole di forwarding indirizzano il traffico a una risorsa Trusted Cloud in una rete VPC in base a indirizzo IP, protocollo e porta. Alcune regole di forwarding indirizzano il traffico esterno a Trusted Cloud a una destinazione all'interno della rete; altre regole indirizzano il traffico dall'interno della rete.

Puoi configurare regole di forwarding per le tue istanze per implementare l'hosting virtuale per IP, Cloud VPN, IP virtuali privati (VIP) e bilanciamento del carico. Per ulteriori informazioni sulle regole di forwarding, consulta Utilizzo del forwarding del protocollo.

Regole firewall

Le regole firewall VPC permettono di consentire o negare le connessioni da o verso la VM in base a una configurazione specificata. Trusted Cloud applica sempre le regole firewall VPC abilitate, proteggendo le VM a prescindere dalla configurazione e dal sistema operativo, anche se la VM non è stata avviata.

Per impostazione predefinita, ogni rete VPC ha regole firewall in entrata e in uscita che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. La rete default ha regole firewall aggiuntive, tra cui la regola default-allow-internal, che consente la comunicazione tra le istanze della rete. Se non utilizzi la rete default, devi creare esplicitamente regole firewall in entrata con priorità più elevata per consentire alle istanze di comunicare tra loro.

Ogni rete VPC funziona come un firewall distribuito. Le regole firewall vengono definite a livello di VPC e possono essere applicate a tutte le istanze della rete; in alternativa puoi utilizzare tag o service account di destinazione per applicare le regole a istanze specifiche. Puoi considerare le regole firewall VPC come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze nella stessa rete VPC.

Le policy del firewall gerarchiche ti consentono di creare e applicare una policy del firewall coerente in tutta l'organizzazione. Puoi assegnare le policy del firewall gerarchiche all'organizzazione nel suo complesso o a singole cartelle. Queste policy contengono regole che possono negare o consentire esplicitamente le connessioni, come le regole firewall VPC. Inoltre, le regole delle policy del firewall gerarchiche possono delegare la valutazione a policy di livello inferiore o a regole firewall VPC con un'azione goto_next. Le regole di livello inferiore non possono sostituire una regola di un livello superiore nella gerarchia delle risorse. In questo modo, gli amministratori a livello di organizzazione possono gestire le regole del firewall critiche in un'unica posizione.

Gruppi di istanze gestite e configurazioni di rete

Se utilizzi gruppi di istanze gestite (MIG), la configurazione di rete specificata nel template di istanza si applica a tutte le VM create con il template. Se crei un template di istanza in una rete VPC in modalità automatica, Trusted Cloud seleziona automaticamente la subnet per la regione in cui hai creato il gruppo di istanze gestite.

Per saperne di più, consulta Reti e subnet e Crea template di istanza.

Passaggi successivi

Scopri come creare e gestire le reti VPC.
Scopri come creare e gestire le route per le reti VPC.
Scopri come creare e avviare un'istanza Compute Engine.
Scopri come creare un gruppo di istanze gestite (MIG) .
Scopri come scalare le VM e ottimizzare la latenza delle applicazioni con il bilanciamento del carico.