Panoramica del Virtual Private Cloud (VPC)

Il Virtual Private Cloud (VPC) fornisce funzionalità di rete per le istanze di macchine virtuali (VM) di Compute Engine e i cluster Google Kubernetes Engine (GKE).

Il VPC fornisce funzionalità di rete per le risorse e i servizi basati su cloud che sono scalabili e flessibili.

Questa pagina fornisce una panoramica generale dei concetti e delle funzionalità del VPC.

Reti VPC

In sostanza, una rete VPC è come una rete fisica, ad eccezione del fatto che è virtualizzata all'interno di Cloud de Confiance. Una rete VPC è una risorsa formata da un elenco di subnet virtuali ubicate in data center. Le reti VPC sono isolate logicamente tra loro in Cloud de Confiance.

Una rete VPC esegue le seguenti operazioni:

  • Fornisce connettività per le istanze di macchine virtuali (VM) di Compute Engine, inclusi i cluster Google Kubernetes Engine (GKE) e altri Cloud de Confiance by S3NS prodotti basati su VM di Compute Engine.
  • Offre bilanciatori del carico di rete passthrough interni integrati e sistemi proxy per bilanciatori del carico delle applicazioni interni.
  • Si connette alle reti on-premise utilizzando i tunnel Cloud VPN e attachment VLAN per Cloud Interconnect.
  • Distribuisce il traffico da Cloud de Confiance bilanciatori del carico esterni a backends.

Per saperne di più, consulta Reti VPC.

Regole firewall

Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Le regole firewall ti consentono di controllare quali pacchetti possono raggiungere quali destinazioni. Ogni rete VPC prevede due regole firewall implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita.

Per saperne di più, consulta Regole firewall VPC.

Route

Le route mostrano alle istanze VM e alla rete VPC come inviare il traffico a una destinazione all'interno della rete o all'esterno di Cloud de Confiance. Ogni rete VPC include alcune route generate dal sistema per instradare il traffico tra le sue subnet e inviarlo da istanze idonee a internet.

Puoi creare route statiche personalizzate per indirizzare determinati pacchetti a destinazioni specifiche.

Per saperne di più, consulta Route.

Regole di forwarding

Mentre le route regolano il traffico in uscita da un'istanza, le regole di forwarding indirizzano il traffico a una Cloud de Confiance risorsa in una rete VPC in base a indirizzo IP , protocollo e porta.

Alcune regole di forwarding indirizzano il traffico esterno a Cloud de Confiance una destinazione all'interno della rete; altre regole indirizzano il traffico dall'interno della rete. Le destinazioni per le regole di forwarding sono istanze di destinazione, destinazioni del bilanciatore del carico (servizi di backend, proxy di destinazione e pool di destinazione) e gateway VPN classica.

Per saperne di più, consulta Panoramica delle regole di forwarding.

Interfacce e indirizzi IP

Le reti VPC forniscono le seguenti configurazioni per gli indirizzi IP e le interfacce di rete VM.

Indirizzi IP

Cloud de Confiance Le risorse, come le istanze VM di Compute Engine, le regole di forwarding e i container GKE, si basano sugli indirizzi IP per comunicare.

Per saperne di più, consulta Indirizzi IP.

Intervalli IP alias

Se hai più servizi in esecuzione su una singola istanza VM, puoi assegnare a ogni servizio un indirizzo IP interno diverso utilizzando gli intervalli IP alias. La rete VPC inoltra i pacchetti destinati a un determinato servizio alla VM corrispondente.

Per saperne di più, consulta Intervalli IP alias.

Interfacce di rete multiple

Puoi aggiungere più interfacce di rete a un'istanza VM. Le interfacce di rete multiple consentono casi d'uso come l'utilizzo di una VM appliance di rete come gateway per proteggere il traffico tra diverse reti VPC o da e verso internet.

Per saperne di più, consulta Interfacce di rete multiple.

Condivisione e peering VPC

Cloud de Confiance fornisce le seguenti configurazioni per la condivisione delle reti VPC tra i progetti e la connessione delle reti VPC tra loro.

Network Connectivity Center

Puoi utilizzare Network Connectivity Center (NCC) per connettere le reti VPC utilizzando un modello di connettività hub e spoke. Gli spoke VPC consentono di connettere due o più reti VPC a un hub NCC in modo che possano scambiare le route delle subnet. Puoi connettere e gestire centinaia di spoke VPC da un singolo hub.

Per saperne di più, consulta Panoramica di NCC.

Peering di rete VPC

Il peering di rete VPC consente di creare ecosistemi software as a service (SaaS) in Cloud de Confiance, rendendo i servizi disponibili privatamente in diverse reti VPC, indipendentemente dal fatto che le reti si trovino nello stesso progetto, in progetti diversi o in progetti di organizzazioni diverse.

Con il peering di rete VPC, tutte le comunicazioni avvengono tramite indirizzi IP interni. Se le regole firewall lo consentono, le istanze VM in ogni rete in peering possono comunicare tra loro senza utilizzare indirizzi IP esterni.

Le reti in peering scambiano automaticamente le route di subnet per gli intervalli di indirizzi IP privati. Il peering di rete VPC consente di configurare se scambiare i seguenti tipi di route:

  • Route di subnet per intervalli IP pubblici riutilizzati privatamente
  • Route statiche e dinamiche personalizzate

L'amministrazione della rete per ogni rete in peering rimane invariata: le policy IAM non vengono mai scambiate dal peering di rete VPC. Ad esempio, gli amministratori di rete e gli amministratori della sicurezza di una rete VPC non ottengono automaticamente questi ruoli per la rete in peering.

Per saperne di più, consulta Peering di rete VPC.

VPC condiviso

Puoi condividere una rete VPC da un progetto (chiamato progetto host ) con altri progetti della tua Cloud de Confiance organizzazione. Puoi concedere l'accesso a intere reti VPC condiviso o selezionare le subnet al loro interno utilizzando autorizzazioni IAM specifiche. In questo modo puoi fornire un controllo centralizzato su una rete comune mantenendo la flessibilità organizzativa. Il VPC condiviso è particolarmente utile nelle grandi organizzazioni.

Per saperne di più, consulta VPC condiviso.

Cloud ibrido

Cloud de Confiance fornisce le seguenti configurazioni che consentono di connettere le reti VPC alle reti on-premise e alle reti di altri cloud provider.

Cloud VPN

Cloud VPN consente di connettere la rete VPC a una rete fisica on-premise o a un altro cloud provider utilizzando una rete privata virtuale sicura.

Per saperne di più, consulta Cloud VPN.

Cloud Interconnect

Cloud Interconnect consente di connettere la rete VPC alla rete on-premise utilizzando una connessione fisica ad alta velocità.

Per saperne di più, consulta Cloud Interconnect.

Hybrid Subnets

Hybrid Subnets ti aiuta a eseguire la migrazione dei carichi di lavoro a Cloud de Confiance senza dover modificare gli indirizzi IP. Una subnet ibrida è una singola subnet logica che combina un segmento di una rete on-premise con una subnet in una rete VPC.

Per saperne di più, consulta Hybrid Subnets.

Cloud Load Balancing

Cloud de Confiance offre diverse configurazioni di bilanciamento del carico per distribuire il traffico e i carichi di lavoro su molti tipi di backend.

Per saperne di più, consulta Cloud Load Balancing overview.

Accesso privato ai servizi

Puoi utilizzare Private Service Connect e l'accesso privato Google per consentire alle VM che non hanno un indirizzo IP esterno di comunicare con i servizi supportati.