סקירה כללית על ענן וירטואלי פרטי (VPC)
ענן וירטואלי פרטי (VPC) מספק פונקציונליות של רשתות למכונות וירטואליות (VM) ב-Compute Engine, לאשכולות של Google Kubernetes Engine (GKE) ולעומסי עבודה ללא שרת (serverless).
VPC מספק רשתות למשאבים ולשירותים מבוססי-ענן שהן גלובליות, ניתנות להתאמה וגמישות.
בדף הזה מובאת סקירה כללית של המושגים והתכונות של VPC.
רשתות VPC
אפשר לחשוב על רשת VPC כמו על רשת פיזית, רק שהיא מופעלת וירטואלית בתוך Google Cloud. רשת VPC היא משאב גלובלי שמורכב מרשימה של תת-רשתות וירטואליות אזוריות (תת-רשתות) במרכזי נתונים, שכולן מחוברות לרשת גלובלית רחבת היקף. רשתות VPC מבודדות זו מזו באופן לוגי ב-Google Cloud.
רשת VPC מבצעת את הפעולות הבאות:
- מספק קישוריות למכונות וירטואליות (VM) ב-Compute Engine, כולל אשכולות Google Kubernetes Engine (GKE), עומסי עבודה מסוג Serverless ומוצרי Google Cloud נוספים שנבנו על מכונות וירטואליות ב-Compute Engine.
- מציע מערכות proxy ומאזני עומסי רשת פנימיים להעברת סיגנל ללא שינוי, שמוטמעים במאזני עומסים פנימיים של אפליקציות (ALB).
- מתחבר לרשתות מקומיות באמצעות מנהרות Cloud VPN וקבצים מצורפים של VLAN ל-Cloud Interconnect.
- מפיץ תנועה ממאזני עומסים חיצוניים לקצה העורפי. Google Cloud
מידע נוסף זמין במאמר רשתות VPC.
כללי חומת אש
כל רשת VPC מטמיעה חומת אש וירטואלית מבוזרת שאפשר להגדיר. כללי חומת האש מאפשרים לכם לקבוע אילו מנות מותרות להעברה ליעדים מסוימים. לכל רשת VPC יש שני כללים מרומזים של חומת אש שחוסמים את כל החיבורים הנכנסים ומאפשרים את כל החיבורים היוצאים.
ברשתdefault יש כללים נוספים של חומת האש, כולל הכלל default-allow-internal, שמאפשרים תקשורת בין מופעים ברשת.
מידע נוסף על כללים של חומת אש ב-VPC
מסלולים
מסלולים אומרים למכונות וירטואליות ולרשת ה-VPC איך לשלוח תעבורה ממכונה ליעד, בתוך הרשת או מחוץ ל-Google Cloud. כל רשת VPC מגיעה עם מסלולים שנוצרו על ידי המערכת לניתוב תעבורת נתונים בין רשתות המשנה שלה ולשליחת תעבורת נתונים ממכונות שעומדות בדרישות לאינטרנט.
אפשר ליצור מסלולים סטטיים בהתאמה אישית כדי להפנות חלק מהחבילות ליעדים ספציפיים.
מידע נוסף זמין במאמר בנושא מסלולים.
כללי העברה
בעוד שניתובים שולטים בתעבורת נתונים שיוצאת ממכונה, כללי העברה מכוונים את תעבורת הנתונים אל משאב Google Cloud ברשת VPC על סמך כתובת IP, פרוטוקול ויציאה.
חלק מכללי ההעברה מכוונים תנועה מחוץ ל- Google Cloud ליעד ברשת, ואחרים מכוונים תנועה מתוך הרשת. יעדים לכללי העברה הם מופעי יעד, יעדים של מאזן עומסים (שירותים לקצה העורפי, שרתי proxy ליעד ומאגרי יעד) ושערי VPN קלאסיים.
מידע נוסף זמין במאמר סקירה כללית על כללי העברה.
ממשקים וכתובות IP
רשתות VPC מספקות את ההגדרות הבאות לכתובות IP ולממשקי רשת של מכונות וירטואליות.
כתובות IP
Google Cloud משאבים, כמו מכונות וירטואליות ב-Compute Engine, כללי העברה וקונטיינרים של GKE, מסתמכים על כתובות IP כדי לתקשר.
מידע נוסף זמין במאמר בנושא כתובות IP.
טווחים של כתובות IP חלופיות
אם יש לכם כמה שירותים שפועלים במכונה וירטואלית אחת, אתם יכולים להקצות לכל שירות כתובת IP פנימית שונה באמצעות טווחים של כתובות IP עם כינוי. רשת ה-VPC מעבירה חבילות שמיועדות לשירות מסוים למכונה הווירטואלית המתאימה.
מידע נוסף מופיע במאמר בנושא טווחים של כתובות IP של כינויים.
ממשקי רשת מרובים
אפשר להוסיף כמה ממשקי רשת למופע של מכונה וירטואלית. ממשקי רשת מרובים מאפשרים תרחישי שימוש כמו שימוש במכונה וירטואלית של מכשיר רשת כדי לפעול כשער לאבטחת תעבורה בין רשתות VPC שונות או אל האינטרנט וממנו.
מידע נוסף מופיע במאמר בנושא ממשקי רשת מרובים.
שיתוף וקישור בין רשתות VPC
Google Cloud מספק את ההגדרות הבאות לשיתוף רשתות VPC בין פרויקטים ולחיבור רשתות VPC זו לזו.
Network Connectivity Center
אתם יכולים להשתמש ב-Network Connectivity Center (NCC) כדי לחבר רשתות VPC באמצעות מודל קישוריות של רכזת ורשתות היקפיות. רשתות VPC מסוג Hub and Spoke מאפשרות לכם לחבר שתי רשתות VPC או יותר ל-Hub של NCC, כך שהרשתות מחליפות נתיבי תת-רשת. אתם יכולים לחבר ולנהל מאות רשתות VPC מסוג spoke ממרכז אחד.
מידע נוסף זמין במאמר סקירה כללית על NCC.
קישור בין רשתות VPC שכנות (peering)
קישור בין רשתות VPC שכנות (peering) מאפשר לכם לבנות מערכות אקולוגיות של תוכנה כשירות (SaaS) ב- Google Cloud, ולהפוך שירותים לזמינים באופן פרטי ברשתות VPC שונות, בין אם הרשתות נמצאות באותו פרויקט, בפרויקטים שונים או בפרויקטים בארגונים שונים.
בקישור בין רשתות שכנות (peering) של VPC, כל התקשורת מתבצעת באמצעות כתובות IP פנימיות. בכפוף לכללי חומת האש, מכונות וירטואליות בכל רשת שנוצרה לה שותפות יכולות לתקשר זו עם זו בלי להשתמש בכתובות IP חיצוניות.
ברשתות שנוצרו ביניהן קשרי Peering, מתבצעת באופן אוטומטי החלפה של נתיבי תת-רשתות עבור טווחי כתובות IP פרטיות. קישור בין רשתות VPC מאפשר להגדיר אם יתבצע חילוף של סוגי המסלולים הבאים:
- נתיבי תת-רשת לטווחים של כתובות IP ציבוריות שנעשה בהן שימוש חוזר באופן פרטי
- נתיבים סטטיים ודינמיים בהתאמה אישית
הניהול של כל רשת שכנה לא משתנה: קישור בין רשתות VPC שכנות (peering) אף פעם לא מחליף כללי מדיניות של IAM. לדוגמה, אדמינים של רשתות ואבטחה ברשת VPC אחת לא מקבלים באופן אוטומטי את התפקידים האלה ברשת השכנה.
מידע נוסף זמין במאמר VPC Network Peering.
VPC משותף
אתם יכולים לשתף רשת VPC מפרויקט אחד (שנקרא פרויקט מארח) עם פרויקטים אחרים בארגון Google Cloud . אתם יכולים להעניק גישה לרשתות שלמות של VPC משותף או לבחור תת-רשתות בתוכן באמצעות הרשאות IAM ספציפיות. כך תוכלו לספק שליטה מרכזית ברשת משותפת, תוך שמירה על גמישות ארגונית. VPC משותף שימושי במיוחד בארגונים גדולים.
מידע נוסף זמין במאמר בנושא VPC משותף.
ענן היברידי
Google Cloud מספק את ההגדרות הבאות שמאפשרות לכם לחבר את רשתות ה-VPC לרשתות מקומיות ולרשתות מספקי ענן אחרים.
Cloud VPN
שירות Cloud VPN מאפשר לכם לחבר את רשת ה-VPC לרשת הפיזית המקומית או לספק שירותי ענן אחר באמצעות רשת וירטואלית פרטית מאובטחת.
מידע נוסף זמין במאמר בנושא Cloud VPN.
Cloud Interconnect
Cloud Interconnect מאפשר לכם לחבר את רשת ה-VPC לרשת המקומית באמצעות חיבור פיזי מהיר.
מידע נוסף מופיע במאמר בנושא Cloud Interconnect.
Hybrid Subnets
Hybrid Subnets עוזרות לכם להעביר עומסי עבודה אל Google Cloud בלי לשנות כתובות IP. רשת משנה היברידית היא רשת משנה לוגית אחת שמשלבת קטע של רשת מקומית עם רשת משנה ברשת VPC.
מידע נוסף זמין במאמר בנושא רשתות משנה היברידיות.
Cloud Load Balancing
Google Cloud מציע כמה הגדרות של איזון עומסים כדי לחלק את התנועה ואת עומסי העבודה בין סוגים רבים של קצה עורפי.
מידע נוסף זמין במאמר סקירה כללית על Cloud Load Balancing.
גישה פרטית לשירותים
אפשר להשתמש ב-Private Service Connect, ב-גישה פרטית ל-Google וב-גישה לשירותים פרטיים כדי לאפשר למכונות וירטואליות שאין להן כתובת IP חיצונית לתקשר עם שירותים נתמכים.מידע נוסף זמין במאמר אפשרויות גישה פרטיות לשירותים.