סקירה כללית על ענן וירטואלי פרטי (VPC)
ענן וירטואלי פרטי (VPC) מספק פונקציונליות של רשתות למכונות וירטואליות (VM) ב-Compute Engine, לאשכולות של Google Kubernetes Engine (GKE) ולעומסי עבודה ללא שרת (serverless).
VPC מספקת רשתות למשאבים ולשירותים מבוססי-ענן שהן גלובליות, ניתנות להתאמה וגמישות.
בדף הזה מובאת סקירה כללית של המושגים והתכונות של VPC.
רשתות VPC
אפשר לחשוב על רשת VPC כמו על רשת פיזית, רק שהיא ממוחשבת בתוך Google Cloud. רשת VPC היא משאב גלובלי שמורכב מרשימה של תת-רשתות וירטואליות אזוריות (תת-רשתות) במרכזי נתונים, שכולן מחוברות לרשת גלובלית רחבת היקף. רשתות VPC מבודדות זו מזו באופן לוגי ב-Google Cloud.
רשת VPC:
- מספק קישוריות למכונות וירטואליות (VM) ב-Compute Engine, כולל אשכולות Google Kubernetes Engine (GKE), עומסי עבודה מסוג Serverless ומוצרי Google Cloud נוספים שנבנו על מכונות וירטואליות ב-Compute Engine.
- מציע מערכות proxy ומאזני עומסים פנימיים להעברת סיגנל ללא שינוי שמוטמעים בתוך מאזני עומסים פנימיים של אפליקציות.
- מתחבר לרשתות מקומיות באמצעות מנהרות Cloud VPN וקבצים מצורפים של VLAN ל-Cloud Interconnect.
- מפיץ את התנועה ממאזני עומסים חיצוניים לשרתי קצה עורפיים. Google Cloud
מידע נוסף זמין במאמר רשתות VPC.
כללי חומת אש
כל רשת VPC מטמיעה חומת אש וירטואלית מבוזרת שאפשר להגדיר. כללי חומת האש מאפשרים לכם לקבוע אילו מנות מותרות להעברה ליעדים מסוימים. לכל רשת VPC יש שני כללים מרומזים של חומת אש שחוסמים את כל החיבורים הנכנסים ומאפשרים את כל החיבורים היוצאים.
ברשתdefault יש כללים נוספים של חומת האש, כולל הכלל default-allow-internal, שמאפשרים תקשורת בין מופעים ברשת.
מידע נוסף זמין במאמר בנושא כללים של חומת אש ב-VPC.
מסלולים
מסלולים אומרים למכונות וירטואליות ולרשת ה-VPC איך לשלוח תעבורה ממכונה ליעד, בתוך הרשת או מחוץ ל-Google Cloud. כל רשת VPC מגיעה עם כמה מסלולים שנוצרו על ידי המערכת לניתוב תעבורת נתונים בין רשתות המשנה שלה ולשליחת תעבורת נתונים ממכונות שעומדות בדרישות לאינטרנט.
אתם יכולים ליצור מסלולים סטטיים מותאמים אישית כדי להפנות חלק מהחבילות ליעדים ספציפיים.
מידע נוסף זמין במאמר בנושא מסלולים.
כללי העברה
בעוד שניתובים שולטים בתעבורה שיוצאת ממכונה, כללי העברה מכוונים את התעבורה אל משאב Google Cloud ברשת VPC על סמך כתובת IP, פרוטוקול ויציאה.
חלק מכללי ההעברה מכוונים תנועה מחוץ ל- Google Cloud ליעד ברשת, ואחרים מכוונים תנועה מתוך הרשת. יעדים לכללי העברה הם מופעי יעד, יעדים של מאזן עומסים (שירותי קצה עורפי, שרתי proxy ליעד ומאגרי יעד) ושערי VPN קלאסיים.
מידע נוסף זמין במאמר סקירה כללית של כללי העברה.
ממשקים וכתובות IP
רשתות VPC מספקות את ההגדרות הבאות לכתובות IP ולממשקי רשת של מכונות וירטואליות.
כתובות IP
Google Cloud משאבים, כמו מכונות וירטואליות ב-Compute Engine, כללי העברה וקונטיינרים של GKE, מסתמכים על כתובות IP כדי לתקשר.
מידע נוסף זמין במאמר בנושא כתובות IP.
טווחי IP של כתובות אימייל חלופיות
אם יש לכם כמה שירותים שפועלים במכונה וירטואלית אחת, אתם יכולים להקצות לכל שירות כתובת IP פנימית שונה באמצעות טווחי כתובות IP של כינויים. רשת ה-VPC מעבירה חבילות שמיועדות לשירות מסוים למכונה הווירטואלית המתאימה.
מידע נוסף זמין במאמר בנושא טווחים של כתובות IP של כינויים.
ממשקי רשת מרובים
אפשר להוסיף כמה ממשקי רשת למופע של מכונה וירטואלית. ממשקי רשת מרובים מאפשרים תרחישי שימוש כמו שימוש במכונה וירטואלית של מכשיר רשת כדי שתשמש כשער לאבטחת תעבורת נתונים בין רשתות VPC שונות או אל האינטרנט וממנו.
מידע נוסף זמין במאמר בנושא ממשקי רשת מרובים.
שיתוף וקישור בין רשתות VPC שכנות (peering)
Google Cloud מספק את ההגדרות הבאות לשיתוף רשתות VPC בין פרויקטים ולחיבור רשתות VPC זו לזו.
Network Connectivity Center
אתם יכולים להשתמש ב-Network Connectivity Center (NCC) כדי לחבר רשתות VPC באמצעות מודל קישוריות של רכזת ורשתות משנה. רשתות VPC מסוג Spoke מאפשרות לחבר שתי רשתות VPC או יותר ל-Hub של NCC, כך שהרשתות מחליפות נתיבי תת-רשת. אתם יכולים לחבר ולנהל מאות רשתות VPC מסוג spoke ממרכז יחיד.
מידע נוסף מופיע בסקירה הכללית על NCC.
קישור בין רשתות VPC שכנות (peering)
קישור בין רשתות VPC שכנות (peering) מאפשר לכם לבנות מערכות אקולוגיות של תוכנה כשירות (SaaS) ב- Google Cloud, ולהפוך שירותים לזמינים באופן פרטי ברשתות VPC שונות, בין אם הרשתות נמצאות באותו פרויקט, בפרויקטים שונים או בפרויקטים בארגונים שונים.
בקישור בין רשתות שכנות (peering) של VPC, כל התקשורת מתבצעת באמצעות כתובות IP פנימיות. בכפוף לכללי חומת האש, מכונות וירטואליות בכל רשת שנוצרה לה שותפות יכולות לתקשר ביניהן בלי להשתמש בכתובות IP חיצוניות.
ברשתות מקושרות מתבצעת באופן אוטומטי החלפה של נתיבי תת-רשתות לטווחים של כתובות IP פרטיות. קישור בין רשתות VPC שכנות (peering) מאפשר להגדיר אם יתבצע חילוף של סוגי המסלולים הבאים:
- נתיבי תת-רשת לטווחים של כתובות IP ציבוריות שנעשה בהן שימוש חוזר באופן פרטי
- נתיבים סטטיים ודינמיים בהתאמה אישית
הניהול של כל רשת שכנה לא משתנה: קישור בין רשתות VPC שכנות (peering) אף פעם לא מחליף כללי מדיניות של IAM. לדוגמה, אדמינים של רשת ואבטחה ברשת VPC אחת לא מקבלים באופן אוטומטי את התפקידים האלה ברשת המקושרת.
מידע נוסף זמין במאמר VPC Network Peering.
VPC משותף
אתם יכולים לשתף רשת VPC מפרויקט אחד (שנקרא פרויקט מארח) עם פרויקטים אחרים בארגון Google Cloud . אתם יכולים להעניק גישה לרשתות שלמות של VPC משותף או לבחור תת-רשתות בתוכן באמצעות הרשאות IAM ספציפיות. כך תוכלו לספק שליטה מרכזית ברשת משותפת, תוך שמירה על גמישות ארגונית. VPC משותף שימושי במיוחד בארגונים גדולים.
מידע נוסף זמין במאמר בנושא VPC משותף.
ענן היברידי
Google Cloud מספק את ההגדרות הבאות שמאפשרות לכם לחבר את רשתות ה-VPC לרשתות מקומיות ולרשתות מספקי ענן אחרים.
Cloud VPN
שירות Cloud VPN מאפשר לכם לחבר את רשת ה-VPC לרשת הפיזית המקומית או לספק שירותי ענן אחר באמצעות רשת וירטואלית פרטית מאובטחת.
מידע נוסף זמין במאמר בנושא Cloud VPN.
Cloud Interconnect
Cloud Interconnect מאפשר לכם לחבר את רשת ה-VPC לרשת המקומית באמצעות חיבור פיזי מהיר.
מידע נוסף מופיע במאמר בנושא Cloud Interconnect.
Hybrid Subnets
בעזרת רשתות משנה היברידיות אפשר להעביר עומסי עבודה אל Google Cloud בלי לשנות כתובות IP. תת-רשת היברידית היא תת-רשת לוגית יחידה שמשלבת קטע של רשת מקומית עם תת-רשת ברשת VPC.
מידע נוסף זמין במאמר בנושא Hybrid Subnets.
Cloud Load Balancing
Google Cloud מציע כמה הגדרות של איזון עומסים כדי לחלק את התנועה ואת עומסי העבודה בין סוגים רבים של קצה עורפי.
מידע נוסף זמין במאמר סקירה כללית על Cloud Load Balancing.
גישה פרטית לשירותים
אפשר להשתמש ב-Private Service Connect, ב-גישה פרטית ל-Google וב-גישה לשירותים פרטיים כדי לאפשר למכונות וירטואליות שאין להן כתובת IP חיצונית לתקשר עם שירותים נתמכים.מידע נוסף זמין במאמר אפשרויות גישה פרטיות לשירותים.