מושגים מתקדמים בנושא VPC

בדף הזה מפורטים פרטים נוספים על רשתות של ענן וירטואלי פרטי (VPC). לפני שקוראים את הדף הזה, כדאי לעיין במאמר בנושא רשתות VPC. אם אתם רוצים לקשר בין רשתות VPC שכנות, תוכלו לעיין במאמר בנושא VPC Network Peering.

פרטים ברמה נמוכה על רשתות VPC

בקטע הזה מפורטים כמה פרטים ברמה נמוכה על רשתות VPC. לא צריך לקרוא את המאמר הזה כדי להשתמש ב-VPC בדרך כלל, אבל הוא מספק תובנות נוספות לגבי אופן הפעולה של רשתות VPC. בתרשים הבא מפורטים הפרטים האלה, ובקטעים המתאימים יש מידע נוסף.

רשת ה-VPC.
רשת ה-VPC (לחצו כדי להגדיל).

מי מטפל במה

התכונות השונות של רשתות VPC מטופלות על ידי חלקים שונים במערכת. חלק מהתכונות האלה הן תכונות רגילות של רשתות, שמתועדות היטב, וחלק מהן ספציפיות לרשתות VPC. חלק מהתכונות ניתנות להגדרה וחלק לא. רשתות VPC משתמשות במודול הרשת VIRTIO של Linux כדי ליצור מודל של כרטיס Ethernet ופונקציונליות של נתב, אבל רמות גבוהות יותר של מחסנית הרשת, כמו חיפושי ARP, מטופלות באמצעות תוכנת רשת רגילה.

חיפוש ARP
בעיות בקרנל של המכונה בקשות ARP ובעיות ברשת ה-VPC בתשובות ARP. המיפוי בין כתובות MAC לכתובות IP מנוהל על ידי ליבת המופע.
טבלת מיפוי של כתובות MAC, טבלת מיפוי של כתובות IP, טבלת חיבורים פעילים
הטבלאות האלה מתארחות ברשת ה-VPC הבסיסית, ואי אפשר לבדוק או להגדיר אותן.
שרת DNS

שרת המטא-נתונים של כל מכונה וירטואלית פועל כשרת DNS. הוא מאחסן את רשומות ה-DNS של כל כתובות ה-IP ברשת ה-VPC המקומית, וקורא לשרת ה-DNS הציבורי של Google כדי לקבל רשומות מחוץ לרשת ה-VPC. אי אפשר להגדיר את שרת ה-DNS הזה. לקוח ה-DHCP בכל מופע מוגדר לנהל את הקובץ /etc/resolv.conf של המופע.

אפשר להוסיף את הדומיין או את שרתי השמות שלכם למופע של /etc/resolv.conf על ידי שינוי מדיניות ה-DHCP. בהרבה הפצות של Linux אפשר לשמור את השינויים האלה באמצעות /etc/dhcp/dhclient.conf. מידע נוסף זמין במאמר בנושא DNS פנימי.

טיפול במנות בין רשת ה-VPC לבין העולם החיצוני

חבילות שנכנסות לרשת ה-VPC או יוצאות ממנה מטופלות על ידי קוד רשת שבודק את החבילה מול כללי חומת האש, מול טבלת החיפוש של כתובות ה-IP החיצוניות ומול טבלת החיבורים הפעילים. רשת ה-VPC מבצעת גם NAT על מנות נתונים שנכנסות לרשת ה-VPC ויוצאות ממנה.

חבילות שהתקבלו על ידי מופע

החבילות האלה מתקבלות ומומרות לזרם על ידי ליבת המופע באופן רגיל.

מנות שנשלחו על ידי מופע

החבילות נשלחות על ידי ליבת המופע בדרך הרגילה. הממשק והפונקציונליות של הרשת מוגדרים באמצעות מודול הרשת VIRTIO.

הסברים מפורטים על חיבורים

ריכזנו כאן פרטים נוספים על מה שקורה כשמופעלת קריאה לרשת VPC ממופע.

מופע מבצע שיחה:

  1. אם כתובת היעד היא שם של מופע או כתובת URL כמו www.google.com, המופע קורא לשירות ה-DNS בשרת המטא-נתונים שלו ומקבל בחזרה את כתובת ה-IP התואמת. אפשר להגדיר את המופע כך שיפנה לשירות DNS אחר, אבל אז לא תהיה אפשרות לפתור שמות של מופעים.

  2. כתובת ה-IP של היעד נבדקת מול טווח כתובות ה-IP של תת-הרשת, שכל מופע מכיר.

    1. אם כתובת ה-IP לא נמצאת ברשת ה-VPC הנוכחית או ברשת VPC שמקושרת באמצעות קישור בין רשתות VPC שכנות:

      1. המופע שולח את החבילה לכתובת ה-MAC של שער רשת המשנה, כשהיעד מוגדר ליעד הסופי של החבילה. יכול להיות שהמופע יצטרך לשלוח בקשת ARP כדי לזהות את כתובת ה-MAC של השער.

      2. ברשת ה-VPC, כותרת ה-IP נכתבת מחדש כדי להגדיר את כתובת ה-IP החיצונית של המכונה כמקור. אם למכונה אין כתובת IP חיצונית, לא ניתן לבצע את הקריאה, ורשת ה-VPC משמיטה את המנה בלי ליידע את השולח.

      3. רשת ה-VPC מתעדת את החבילה היוצאת ומוסיפה את המקור ואת היעד לטבלת החיבורים הפעילים.

      4. רשת ה-VPC שולחת את החבילה ליעד שלה.

      5. היעד מקבל את החבילה ומגיב אם הוא בוחר לעשות זאת.

      6. רשת VPC מקבלת את התגובה, מעיינת בטבלת החיבורים הפעילים, מציינת שזהו חיבור פעיל ומאפשרת אותו. רשת ה-VPC מעיינת בטבלת החיפוש של כתובת ה-IP החיצונית של הרשת ומחליפה את כתובת ה-IP החיצונית של המכונה בכתובת הרשת התואמת, ואז שולחת את החבילה למכונת המקור.

      7. המופע מקבל את החבילה.

    2. אם כתובת ה-IP של היעד נמצאת ברשת ה-VPC או ברשת VPC שמקושרת לרשת שכנה באמצעות VPC Network Peering:

      1. המופע מוגדר עם כתובת IP עם מסכה 255.255.255.255, ולכן המופע שולח את החבילה לכתובת ה-MAC של שער רשת המשנה. יכול להיות שהמופע יצטרך קודם לשלוח בקשת ARP כדי לזהות את כתובת ה-MAC של השער.

      2. ‫Google Cloud מעבירה את החבילה לכתובת ה-IP של היעד ברשת ה-VPC הנוכחית או ברשת ה-VPC המקושרת.

      3. מופע היעד מקבל את החבילה. מופע היעד בודק את חומת האש של התעבורה הנכנסת כדי לקבוע אם החבילה מורשית. אם לא, המנה מוסרת ללא הודעה. אחרת, המופע מעבד את המנה.

מכונה או מחשב חיצוניים מתקשרים למכונה:

  1. המתקשר החיצוני שולח חבילת נתונים לכתובת ה-IP החיצונית של מכונה, שנמצאת בבעלות רשת ה-VPC.

  2. רשת ה-VPC משווה את החבילה לטבלת החיבורים הפעילים כדי לבדוק אם זה חיבור קיים:

    1. אם זה לא חיבור קיים, רשת VPC מחפשת כלל חומת אש שיאפשר את החיבור.
    2. אם אין כלל חומת אש, רשת ה-VPC משמיטה את החבילה בלי ליידע את השולח.

  3. אם יש חיבור קיים או כלל חומת אש תקף, רשת ה-VPC בודקת את טבלת החיפוש שלה ומחליפה את כתובת ה-IP החיצונית בכתובת ה-IP הפנימית התואמת בחבילה, מתעדת את החבילה הנכנסת בטבלת החיבורים הפעילים ושולחת את החבילה למופע היעד.

  4. המכונה מקבלת את החבילה ומגיבה כמו שמתואר בקטע אם כתובת ה-IP נמצאת מחוץ לטווח כתובות ה-IP של רשת ה-VPC כששולחים חבילה מחוץ לטווח הרשת.

  5. רשת ה-VPC מקבלת את התשובה, מוצאת את הבקשה הנכנסת התואמת בטבלה של החיבורים הפעילים ומאפשרת למנה לעבור. לפני השליחה, הוא משנה את כתובת ה-IP של המקור על ידי החלפת כתובת ה-IP הפנימית של המכונה בכתובת ה-IP החיצונית התואמת מטבלת החיפוש שלו.

מדידת התפוקה של רשת VPC

הוראות מפורטות מופיעות במאמר חישוב קצב העברת הנתונים ברשת.

המאמרים הבאים