סקירה כללית על רשתות למכונות וירטואליות

במסמך הזה מפורטת סקירה כללית על פונקציונליות הרשת של מכונות וירטואליות (VM). הוא מספק הבנה בסיסית של האינטראקציה בין מכונות וירטואליות (VM) לבין רשתות של ענן וירטואלי פרטי (VPC). מידע נוסף על רשתות VPC ותכונות קשורות זמין במאמר סקירה כללית על רשתות VPC.

רשתות ורשתות משנה

כל מכונה וירטואלית היא חלק מרשת VPC. רשתות VPC מספקות קישוריות למכונה הווירטואלית למוצרים אחרים Google Cloud ולאינטרנט. רשתות VPC יכולות להיות במצב אוטומטי או במצב מותאם אישית.

• רשתות VPC במצב אוטומטי כוללות רשת משנה אחת בכל אזור. כל רשתות המשנה כלולות בטווח כתובות ה-IP הזה: 10.128.0.0/9. רשתות VPC במצב אוטומטי תומכות רק בטווחי רשתות משנה של IPv4.
• ברשתות במצב מותאם אישית לא מוגדרת רשת משנה ספציפית. אתם מחליטים אילו רשתות משנה ליצור באזורים שתבחרו, באמצעות טווחים של כתובות IP שאתם מציינים. רשתות במצב מותאם אישית תומכות גם בטווחים של רשתות משנה ב-IPv6.

אלא אם משביתים את האפשרות הזו, לכל פרויקט יש רשת default, שהיא רשת VPC במצב אוטומטי. כדי להשבית את היצירה של רשתות ברירת מחדל, צריך ליצור מדיניות ארגונית.

כל תת-רשת ברשת VPC משויכת לאזור ומכילה טווח אחד או יותר של כתובות IP. אפשר ליצור יותר מרשת משנה אחת לכל אזור. כל אחד מממשקי הרשת של מכונת ה-VM צריך להיות מחובר לתת-רשת.

כשיוצרים מכונה וירטואלית, אפשר לציין רשת VPC ותת-רשת. אם לא מציינים את ההגדרה הזו, נעשה שימוש ברשת וב-subnet של default. מערכתGoogle Cloud מקצה למכונה הווירטואלית החדשה כתובת IPv4 פנימית מטווח כתובות ה-IPv4 הראשי של ה-subnet שנבחר. אם לרשת המשנה יש גם טווח כתובות IPv6 (שנקרא dual-stack), או אם יצרתם רשת משנה עם IPv6 בלבד, אתם יכולים להקצות כתובת IPv6 למכונה הווירטואלית.

מידע נוסף על רשתות VPC זמין במאמר סקירה כללית על רשתות VPC. דוגמה עם איור של מכונות וירטואליות שמשתמשות ברשת VPC עם שלוש תת-רשתות בשני אזורים מופיעה במאמר דוגמה לרשת VPC.

כרטיסי רשת (NIC)

לכל מכונת חישוב ברשת VPC יש ממשק רשת וירטואלי (vNIC) שמוגדר כברירת מחדל. כשמגדירים vNIC, בוחרים רשת VPC ותת-רשת בתוך רשת ה-VPC שאליהן רוצים לחבר את הממשק. אפשר ליצור ממשקי רשת נוספים למופעים.

ממשקי רשת מרובים מאפשרים ליצור הגדרות שבהן מכונה מתחברת ישירות לכמה רשתות VPC. ממשקי רשת מרובים שימושיים כשנדרש הפרדה של תנועת נתונים באפליקציות שפועלות במופע, למשל הפרדה בין תנועת נתונים במישור הנתונים לבין תנועת נתונים במישור הניהול. מידע נוסף על שימוש בכמה ממשקי רשת מופיע במאמר בנושא ממשקי רשת מרובים.

לא ניתן להשתמש בכמה כרטיסי רשת וירטואליים (vNIC) במכונות Bare Metal. בנוסף, אפשר להוסיף vNICs למופע רק במהלך יצירת המופע. באמצעות ממשקי רשת דינמיים, אפשר ליצור תת-ממשקים של רשת מבוססת-VLAN לכל vNIC חשוף, וכך להגדיל את מספר ממשקי הרשת ואת החיבורים לרשת ה-VPC. אתם יכולים להוסיף או להסיר ממשקי רשת דינמיים בלי שתצטרכו להפעיל מחדש את מופע ה-Compute או ליצור אותו מחדש. מידע נוסף על כרטיס NIC דינמי זמין במאמר יצירת מכונות וירטואליות עם כמה ממשקי רשת.

כשמגדירים את ה-vNIC למכונת חישוב, אפשר לציין את סוג מנהל ההתקן של הרשת שבו רוצים להשתמש בממשק.

• בסדרות מכונות מהדור הראשון והשני, ברירת המחדל היא VirtIO.
• סדרות מכונות מהדור השלישי ומעלה מוגדרות לשימוש ב-gVNIC כברירת מחדל, ולא תומכות ב-VirtIO עבור ממשק הרשת.
• במופעי Bare Metal נעשה שימוש ב-IDPF.
• בסדרות נתמכות של מכונות, כמו H4D, המכונות יכולות להשתמש ב-Cloud RDMA‏ (IRDMA). מנהל ההתקן של רשת הגישה מרחוק לזיכרון נתונים (RDMA) מאפשר יכולות העברת הודעות אמינות עם זמן אחזור נמוך למופעים של Compute Engine. ‫Cloud RDMA מעביר נתונים בין מכונות מרוחקות לזיכרון מקומי דרך ממשק הרשת בלי להשתמש ב-CPU של המארח או במאגרי נתונים זמניים של המארח.

בנוסף, אתם יכולים לבחור להשתמש בביצועי רשת Tier_1 לכל מכונה וירטואלית עם מופע חישוב שמשתמש ב-gVNIC או ב-IPDF. רשתות ברמה 1 מאפשרות מכסות תפוקה גבוהות יותר של רשת להעברות נתונים נכנסות ויוצאות.

רוחב הפס של הרשת

Google Cloud החשבון של רוחב הפס הוא לכל מכונה וירטואלית, ולא לכל ממשק רשת (NIC) או כתובת IP. רוחב הפס נמדד בשני ממדים: כיוון התנועה (תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress)) וסוג כתובת ה-IP של היעד. קצב היציאה המקסימלי האפשרי נקבע לפי סוג המכונה ששימש ליצירת המופע. עם זאת, אפשר להשיג את קצב היציאה המקסימלי האפשרי רק במצבים ספציפיים. מידע נוסף זמין במאמר בנושא רוחב פס ברשת.

כדי לתמוך ברוחבי פס גבוהים יותר ברשת – כמו ‎200 Gbps בסדרות מכונות מהדור השלישי ואילך – נדרש כרטיס רשת וירטואלי של Google ‏ (gVNIC).

• המגבלות הסטנדרטיות על רוחב הפס המקסימלי לתעבורת נתונים יוצאת (egress) הן בין 1 Gbps ל-100 Gbps.
• הביצועים של רישות Tier_1 לכל VM מגדילים את מכסת רוחב הפס המקסימלית של תעבורת נתונים יוצאת (egress) ל-200 Gbps, בהתאם לגודל ולסוג המכונה של המכונה.

לסדרות מסוימות של מכונות יש מגבלות שונות, כפי שמתואר בטבלת סיכום רוחב הפס.

אם משתמשים בממשקי הרשת gVNIC ו-IRDMA עבור מכונה, מגבלת רוחב הפס של הרשת עבור המכונה משותפת בין שתי שיטות התקשורת ברשת. תעבורת נתונים של Cloud RDMA מקבלת עדיפות על פני תעבורת נתונים של gVNIC.

כתובות IP

לכל מכונה וירטואלית מוקצית כתובת IP מתת-הרשת שמשויכת לממשק הרשת. ברשימה הבאה מפורט מידע נוסף על הדרישות להגדרת כתובות IP.

• ברשתות משנה עם IPv4 בלבד, כתובת ה-IP היא כתובת IPv4 פנימית. אפשר גם להגדיר כתובת IPv4 חיצונית למכונה הווירטואלית.
• אם ממשק הרשת מתחבר לרשת משנה עם פרוטוקול כפול שיש לה טווח IPv6, צריך להשתמש ברשת VPC במצב מותאם אישית. למכונה הווירטואלית יש את כתובות ה-IP הבאות:
  • כתובת IPv4 פנימית. אפשר גם להגדיר כתובת IPv4 חיצונית למכונה הווירטואלית.
  • כתובת IPv6 פנימית או חיצונית, בהתאם לסוג הגישה של רשת המשנה.
• ברשתות משנה עם IPv6 בלבד, צריך להשתמש ברשת VPC במצב מותאם אישית. למכונה הווירטואלית יש כתובת IPv6 פנימית או חיצונית, בהתאם לסוג הגישה של רשת המשנה.
• כדי ליצור מכונה וירטואלית עם כתובת IPv6 פנימית וחיצונית בלבד, צריך לציין שני ממשקי רשת כשיוצרים את המכונה הווירטואלית. אי אפשר להוסיף ממשקי רשת למכונה קיימת.

כתובות IP חיצוניות ופנימיות יכולות להיות זמניות או סטטיות.

כתובות IP פנימיות הן מקומיות לאחד מהבאים:

• רשת VPC
• רשת VPC שמחוברת באמצעות קישור בין רשתות VPC שכנות (peering)
• רשת מקומית שמחוברת לרשת VPC באמצעות Cloud VPN,‏ Cloud Interconnect או נתב וירטואלי

מכונה יכולה לתקשר עם מכונות באותה רשת VPC, או עם רשת מחוברת כפי שמפורט ברשימה הקודמת, באמצעות כתובת ה-IPv4 הפנימית של המכונה הווירטואלית. אם ממשק הרשת של המכונה הווירטואלית מתחבר לרשת משנה עם תמיכה כפולה או לרשת משנה עם IPv6 בלבד, אפשר להשתמש בכתובות ה-IPv6 הפנימיות או החיצוניות של המכונה הווירטואלית כדי לתקשר עם מכונות וירטואליות אחרות באותה רשת. מומלץ להשתמש בכתובות IPv6 פנימיות לתקשורת פנימית. למידע נוסף על כתובות IP, אפשר לקרוא את הסקירה הכללית בנושא כתובות IP ב-Compute Engine.

כדי לתקשר עם האינטרנט או עם מערכות חיצוניות, צריך להשתמש בכתובת IPv4 חיצונית או בכתובת IPv6 חיצונית שהוגדרו במכונה הווירטואלית. כתובות IP חיצוניות הן כתובות IP שאפשר לנתב באופן ציבורי. אם למכונה אין כתובת IP חיצונית, אפשר להשתמש ב-Cloud NAT לתעבורת IPv4.

אם יש לכם כמה שירותים שפועלים על מכונה וירטואלית אחת, אתם יכולים להקצות לכל שירות כתובת IPv4 פנימית שונה באמצעות טווחי כתובות IP של כינויים. רשת ה-VPC מעבירה חבילות שמיועדות לשירות מסוים למכונה הווירטואלית המתאימה. מידע נוסף מופיע במאמר בנושא טווחים של כתובות IP של כינויים.

Network Service Tiers

מסלולי שירות הרשת מאפשרים לכם לבצע אופטימיזציה של הקישוריות בין מערכות באינטרנט למכונות של Compute Engine. במסלול הפרימיום, תעבורת הנתונים עוברת דרך תשתית הפרימיום של Google, ובמסלול הרגיל היא עוברת דרך רשתות ISP רגילות. כדי לבצע אופטימיזציה של הביצועים, משתמשים במסלול פרימיום, וכדי לבצע אופטימיזציה לעלות, משתמשים במסלול הרגיל.

המסלול נבחר ברמת המשאב (למשל כתובת IP חיצונית למכונה וירטואלית), ולכן חלק מהמשאבים יכולים להיות במסלול הרגיל והשאר במסלול הפרימיום. אם לא מציינים מסלול, נעשה שימוש במסלול הפרימיום.

מופעי מחשוב שמשתמשים בכתובות IP פנימיות כדי לתקשר ברשתות VPC תמיד משתמשים בתשתית הרישות במסלול פרימיום.

כשמשתמשים במסלול פרימיום או במסלול רגיל, לא חלים חיובים על העברת נתונים נכנסת. המחיר של העברת נתונים יוצאת הוא לכל GiB שמועבר, והוא שונה בכל אחד ממסלולי שירות הרשת. מידע על תמחור זמין במאמר בנושא מחירים של מסלולי שירות רשת.

מסלולי שירות הרשת שונים מביצועי הרשת של Tier_1 לכל מכונה וירטואלית, שהם אפשרות הגדרה שאתם יכולים לבחור להשתמש בה עם מופעי החישוב שלכם. יש עלות נוספת שמשויכת לשימוש ברישות Tier_1, כפי שמתואר במאמר בנושא מחירים של רשתות Tier_1 עם רוחב פס גבוה יותר. מידע נוסף על רשת Tier_1 זמין במאמר בנושא הגדרת ביצועים של רשת Tier_1 לכל מכונה וירטואלית.

מסלול פרימיום

במסלול פרימיום, תעבורת הנתונים נשלחת ממערכות שמחוץ למשאבי Google Cloud דרך הרשת הגלובלית האמינה ובעלת זמן הטעינה הקצר של Google. ברשת יש טולרנטיות לכמה כשלים ושיבושים בלי שיש פגיעה בשליחה של תעבורת נתונים. מסלול הפרימיום מתאים ללקוחות שיש להם משתמשים בכמה מיקומים ברחבי העולם שצריכים רשת מאוד אמינה ושמספקת ביצועים מיטביים.

הרשת במסלול הפרימיום מורכבת מרשת סיבים פרטית ונרחבת עם יותר מ-100 נקודות נוכחות (PoPs) ברחבי העולם. ברשת של Google, תעבורת הנתונים מנותבת מנקודת ה-PoP הזו למופע של Compute ברשת ה-VPC. תעבורת נתונים יוצאת נשלחת דרך הרשת של Google ויוצאת בנקודת ה-PoP שהכי קרובה ליעד שלה. שיטת הניתוב הזו מצמצמת את העומס וממקסמת את הביצועים באמצעות הפחתה של מספר הצעדים בין משתמשי הקצה לנקודות PoP שהכי קרובות אליהם.

רמה רגילה

ברשת במסלול הרגיל, תעבורת הנתונים ממערכות חיצוניות מנותבת דרך האינטרנט למשאביGoogle Cloud . מנות שיוצאות מהרשת של Google מועברות באמצעות האינטרנט הציבורי, והן כפופות למהימנות של ספקי ההעברה וספקי ה-ISP שמעורבים בתהליך. במסלול הרגיל, האיכות והמהימנות של הרשת דומות לאיכות ולמהימנות של ספקי שירותי ענן אחרים.

המחיר של המסלול הרגיל נמוך מהמחיר של מסלול הפרימיום, כי תעבורת הנתונים ממערכות באינטרנט מנותבת דרך רשתות העברה (ISP) לפני שהיא נשלחת למופעי מחשוב ברשת ה-VPC. בדרך כלל, תעבורת נתונים יוצאת במסלול הרגיל יוצאת מהרשת של Google מאותו אזור שמופע החישוב ששולח את תעבורת הנתונים נמצא בו, לא משנה מה היעד שלה.

המסלול הרגיל כולל 200GB לכל מוצר, לשימוש בחודש בכל אזור שאתם משתמשים בו בכל הפרויקטים שלכם.

שמות פנימיים של מערכת DNS

כשיוצרים מכונה וירטואלית (VM),‏ Google Cloud נוצר שם DNS פנימי משם המכונה הווירטואלית. אלא אם מציינים שם מארח בהתאמה אישית,‏Google Cloud משתמש בשם ה-DNS הפנימי שנוצר אוטומטית כשם המארח שהוא מספק למכונה הווירטואלית.

כדי לתקשר בין מכונות וירטואליות באותה רשת VPC, אפשר לציין את שם ה-DNS המוגדר במלואו (FQDN) של מכונת היעד במקום להשתמש בכתובת ה-IP הפנימית שלה. Google Cloud פותר באופן אוטומטי את ה-FQDN לכתובת ה-IP הפנימית של המכונה.

מידע נוסף על שמות דומיין שמוגדרים במלואם (FQDN) זמין במאמר שמות DNS פנימיים אזוריים וגלובליים.

מסלולים

Google Cloud נתיבים מגדירים את הנתיבים שבהם תעבור תעבורת הרשת ממכונה וירטואלית (VM) ליעדים אחרים. היעדים האלה יכולים להיות בתוך רשת ה-VPC (לדוגמה, במכונה וירטואלית אחרת) או מחוצה לה. טבלת הניתוב של רשת VPC מוגדרת ברמת רשת ה-VPC. לכל מכונה וירטואלית יש בקר שמקבל עדכונים לגבי כל המסלולים הרלוונטיים מטבלת הניתוב של הרשת. כל מנה שיוצאת ממכונה וירטואלית מועברת לנקודת הקפיצה הבאה המתאימה במסלול רלוונטי, על סמך סדר הניתוב.

מסלולים ברשת משנה מגדירים נתיבים למשאבים כמו מכונות וירטואליות ומאזני עומסים פנימיים ברשת VPC. לכל רשת משנה יש לפחות נתיב אחד ברשת המשנה, שהיעד שלו תואם לטווח ה-IP הראשי של רשת המשנה. למסלולים בתת-רשת תמיד יש יעדים ספציפיים יותר. אי אפשר לשנות את ההגדרות שלהם באמצעות מסלולים אחרים, גם אם למסלול אחר יש עדיפות גבוהה יותר. הסיבה לכך היא שכשמערכת Google Cloud בוחרת מסלול, היא מתחשבת במידת הספציפיות של היעד לפני העדיפות. מידע נוסף על טווחי כתובות IP של רשתות משנה זמין במאמר סקירה כללית על רשתות משנה.

כללי העברה

בעוד שניתובים שולטים בתעבורת נתונים שיוצאת ממכונה, כללי העברה מכוונים את תעבורת הנתונים למשאב Google Cloud ברשת VPC על סמך כתובת IP, פרוטוקול ויציאה. חלק מכללי ההעברה מעבירים תנועה מחוץ ל- Google Cloud ליעד ברשת, וכללים אחרים מעבירים תנועה מתוך הרשת.

אפשר להגדיר כללי העברה למכונות כדי להטמיע אירוח וירטואלי לפי כתובות IP,‏ Cloud VPN, כתובות IP וירטואליות פרטיות (VIP) ואיזון עומסים. מידע נוסף על כללי העברה זמין במאמר שימוש בהעברת פרוטוקול.

כללי חומת אש

כללי חומת אש ב-VPC מאפשרים תעבורה או מונעים אותה מהמכונות הווירטואליות ואליהן, על סמך ההגדרות שאתם בוחרים. Google Cloud תמיד אוכפת את כללי חומת האש המופעלים ב-VPC, ומגנה על המכונות הווירטואליות בלי קשר להגדרות ולמערכת ההפעלה שלהן, גם אם המכונה הווירטואלית לא הופעלה.

כברירת מחדל, לכל רשת VPC יש כללי חומת אש לחיבורים נכנסים (ingress) ויוצאים (egress) שחוסמים את כל החיבורים הנכנסים ומאפשרים את כל החיבורים היוצאים. ברשת default יש כללים נוספים של חומת האש, כולל הכלל default-allow-internal, שמאפשר תקשורת בין מופעים ברשת. אם אתם לא משתמשים ברשת default, אתם צריכים ליצור במפורש כללי חומת אש לתעבורה נכנסת עם עדיפות גבוהה יותר כדי לאפשר למופעים לתקשר זה עם זה.

כל רשת VPC פועלת כחומת אש מבוזרת. כללי חומת אש מוגדרים ברמת ה-VPC, ויכולים לחול על כל המופעים ברשת. לחלופין, אפשר להשתמש בתוויות יעד או בחשבונות שירות ליעד כדי להחיל כללים על מופעים ספציפיים. אפשר לחשוב על כללי חומת האש של ה-VPC כאילו הם קיימים לא רק בין המכונות שלכם לבין רשתות אחרות, אלא גם בין מכונות נפרדות באותה רשת VPC.

כללי מדיניות היררכיים של חומת אש מאפשרים לכם ליצור ולאכוף מדיניות עקבית של חומת אש בכל הארגון. אפשר להקצות כללי מדיניות היררכיים של חומת אש לארגון כולו או לתיקיות בודדות. כללי המדיניות האלה מכילים כללים שיכולים לדחות או לאשר חיבורים באופן מפורש, בדיוק כמו כללי חומת האש של VPC. בנוסף, כללים של מדיניות חומת אש היררכית יכולים להעביר את ההערכה למדיניות ברמה נמוכה יותר או לכללים של חומת אש ב-VPC עם פעולה goto_next. כללים ברמה נמוכה יותר לא יכולים לבטל כלל ממקום גבוה יותר בהיררכיית המשאבים. כך אדמינים ברמת הארגון יכולים לנהל כללים קריטיים של חומת אש במקום אחד.

קבוצות מנוהלות של מופעי מכונה והגדרות רשת

אם משתמשים בקבוצות מופעי מכונה מנוהלים (MIG), הגדרת הרשת שמציינים בתבנית של הגדרות מכונה חלה על כל המכונות הווירטואליות שנוצרות באמצעות התבנית. אם יוצרים תבנית של הגדרות מכונה ברשת VPC במצב אוטומטי, Google Cloud המערכת בוחרת באופן אוטומטי את רשת המשנה לאזור שבו יצרתם את קבוצת מופעי מכונה מנוהלים.

מידע נוסף זמין במאמרים בנושא רשתות ורשתות משנה ויצירת תבניות של מכונות וירטואליות.

המאמרים הבאים

• איך יוצרים ומנהלים רשתות VPC
• איך יוצרים ומנהלים מסלולים ברשתות VPC
• איך יוצרים מכונה של Compute Engine ומפעילים אותה
• איך יוצרים קבוצת מופעי מכונה מנוהלים (MIG)
• כך משפרים את זמן האחזור של האפליקציה באמצעות איזון עומסים.
• כך תוכלו להשתמש בכתובות ה-IP שלכם ב-Google Cloud.