VM 網路總覽

本文件概要說明虛擬機器 (VM) 執行個體的網路功能。這可讓您瞭解虛擬機器 (VM) 執行個體如何與虛擬私有雲 (VPC) 網路互動。如要進一步瞭解虛擬私有雲網路和相關功能,請參閱虛擬私有雲網路總覽

網路和子網路

每個 VM 都屬於某個 VPC 網路。虛擬私有雲網路可讓 VM 執行個體連線至其他 Google Cloud 產品和網際網路。虛擬私人雲端網路可設為自動模式或自訂模式

  • 自動模式 VPC 網路會在每個區域中建立一個子網路。所有子網路都包含在以下 IP 位址範圍內:10.128.0.0/9。自動模式虛擬私有雲網路只支援 IPv4 子網路範圍。
  • 自訂模式網路沒有指定的子網路設定,您可以使用指定的 IP 範圍,在所選區域建立子網路。自訂模式網路也支援 IPv6 子網路範圍。

除非選擇停用,否則每個專案都會有 default 網路,也就是自動模式虛擬私有雲網路。您可以建立組織政策,藉此停用預設網路建立功能。

虛擬私有雲網路中的每個子網路都會與某個區域建立關聯,並包含一或多個 IP 位址範圍。每個區域可以建立一個以上的子網路。VM 的每個網路介面都必須連線至子網路。

建立虛擬機器時,您可以指定虛擬私有雲網路和子網路。如果省略這項設定,系統會使用 default 網路和子網路。Google Cloud 會從所選子網路的主要 IPv4 位址範圍,為新 VM 指派內部 IPv4 位址。如果子網路也有 IPv6 位址範圍 (稱為「雙重堆疊」),或是您建立了僅支援 IPv6 的子網路 (預先發布版),就可以為 VM 指派 IPv6 位址。

如要進一步瞭解虛擬私有雲網路,請參閱虛擬私有雲網路總覽。如需使用在兩個區域內含有三個子網路的 VPC 網路的 VM 示例,請參閱 VPC 網路範例

網路介面控制器 (NIC)

虛擬私有雲網路中的每個運算執行個體都有預設的網路介面。您只能在建立運算執行個體時定義網路介面。設定網路介面時,您會選取虛擬私有雲網路,以及該虛擬私有雲網路中的子網路,用於連線至介面。您可以為執行個體建立額外的網路介面,但每個介面都必須連結至不同的 VPC 網路。

多個網路介面可讓您建立執行個體直接連結至多個 VPC 網路的設定。如果在執行個體中運作的應用程式需要分隔流量,例如分隔資料層流量與管理層流量,這種情形也適合使用多個網路介面。如要進一步瞭解如何使用多個 NIC,請參閱「多個網路介面總覽」。

為運算執行個體設定網路介面時,您可以指定要與介面搭配使用的網路驅動程式類型,包括 VirtIO 或 Google 虛擬 NIC (gVNIC)。對於第一代和第二代機器系列,預設值為 VirtIO。第三代及更新機器系列預設會使用 gVNIC,且不支援網路介面的 VirtIO。裸機執行個體會使用 IDPF

此外,您也可以選擇為使用 gVNIC 或 IDPF 的運算執行個體,啟用各 VM Tier_1 網路效能。Tier_1 網路可為傳入和傳出資料移轉提供較高的網路處理量限制

網路頻寬

Google Cloud 會計算每個 VM 執行個體的頻寬,而非每個網路介面 (NIC) 或 IP 位址的頻寬。頻寬會使用兩個維度進行評估:流量方向 (輸入和輸出) 和目的地 IP 位址類型。可用的最大傳出率取決於用於建立執行個體的機器類型;不過,您只能在特定情況下達到可用的最大傳出率。詳情請參閱「網路頻寬」。

如要支援更高的網路頻寬 (例如第三代及後續機器系列的 200 Gbps),就必須使用 Google Virtual NIC (gVNIC)。

  • 標準的傳出頻寬上限範圍為 1 Gbps 到 100 Gbps。
  • 為各 VM 啟用 Tier_1 網路效能後,輸出頻寬上限會提高至 200 Gbps,具體取決於運算執行個體的大小和機器類型。

部分機器系列的限制不同,詳情請參閱頻寬摘要表

IP 位址

系統會從與網路介面相關聯的子網路指派 IP 位址給每個 VM。以下清單提供有關設定 IP 位址需求的其他資訊。

  • 對於僅限 IPv4 的子網路,IP 位址是內部 IPv4 位址。您可以選擇為 VM 設定外部 IPv4 位址。
  • 如果網路介面連線至具有 IPv6 範圍的雙重堆疊子網路,您必須使用自訂模式虛擬私有雲網路。VM 有下列 IP 位址:
    • 內部 IPv4 位址。您可以選擇為 VM 設定外部 IPv4 位址。
    • 視子網路的存取類型而定,可能是內部或外部 IPv6 位址。
  • 如果是僅支援 IPv6 的子網路 (預先發布版),您必須使用自訂模式的虛擬私有雲網路。VM 會根據子網路的存取類型,使用內部或外部 IPv6 位址。
  • 如要建立同時具備內部和外部 IPv6 位址的僅限 IPv6 執行個體 (預先發布版),您必須在建立 VM 時指定兩個網路介面。您無法將網路介面新增至現有執行個體。

外部和內部 IP 位址都可以是臨時或靜態

內部 IP 位址是下列其中一個的本機:

  • 虛擬私有雲網路
  • 透過虛擬私人雲端網路對等互連建立連線的 VPC 網路
  • 使用 Cloud VPN、Cloud Interconnect 或路由器設備,將內部部署網路連線至 VPC 網路

執行個體可以使用 VM 的內部 IPv4 位址,與同一個虛擬私人雲端網路中的執行個體,或上述清單中指定的已連線網路通訊。如果 VM 網路介面連線至雙重堆疊子網路或僅限 IPv6 的子網路,您可以使用 VM 的內部或外部 IPv6 位址,與同一個網路中的其他執行個體通訊。最佳做法是使用內部 IPv6 位址進行內部通訊。如要進一步瞭解 IP 位址,請參閱 Compute Engine 的 IP 位址總覽。

如要與網際網路或外部系統通訊,請使用在 VM 執行個體上設定的外部 IPv4 或外部 IPv6 位址。外部 IP 位址是可公開轉送的 IP 位址。如果執行個體沒有外部 IP 位址,可以使用 Cloud NAT 處理 IPv4 流量。

如果單一 VM 執行個體上有多項服務在執行,您可以使用別名 IP 範圍為各項服務提供不同的內部 IPv4 位址。目的地為特定服務的封包會由 VPC 網路轉送到對應的 VM。詳情請參閱「別名 IP 範圍」。

網路服務級別

網路服務級別可讓您改善網際網路系統與 Compute Engine 執行個體之間的連線品質。進階級會透過 Google 的進階骨幹網路傳輸流量,而標準級則使用一般 ISP 網路。進階級適用於最佳化效能,標準級則適用於最佳化費用。

由於您是在資源層級選擇網路級別 (例如 VM 的外部 IP 位址),故您可在某些資源使用標準級,而在其他資源使用進階級。如果您未指定級別,系統會使用進階級。

在虛擬私人雲端網路內使用內部 IP 位址通訊的運算執行個體,一律會使用進階級網路基礎架構。

使用進階級或標準級時,輸入資料移轉不會產生任何費用。傳出資料移轉的價格是以傳送的 GiB 為單位,各網路服務級別的價格不同。如要瞭解定價資訊,請參閱「網路服務級別定價」。

網路服務層級與各 VM Tier_1 網路效能不同,後者是可用於運算執行個體的設定選項。如「Tier_1 較高頻寬網路定價」所述,使用 Tier_1 網路會產生額外費用。如要進一步瞭解 Tier_1 網路,請參閱「設定各 VM 的 Tier_1 網路效能」。

進階級

進階級服務使用 Google 低延遲、高穩定性的全球網路,從外部系統傳輸流量至 Google Cloud資源。此網路能承受多處失敗與中斷,同時仍能傳送流量。進階級非常適合使用者分散在全球多個地點的客戶,因為他們需要最好的網路效能與穩定性。

進階級網路由範圍廣泛的私人光纖網路構成,在全球擁有超過 100 個服務點 (PoP)。在 Google 的網路中,流量會從該 PoP 轉送至虛擬私有雲網路中的運算執行個體。傳出流量透過 Google 的網路傳送,從最接近目的地的 PoP 出去。這種轉送方法能減少使用者和最接近他們的 PoP 之間的躍點數量,進而降低壅塞並最大化效能。

標準級

標準級網路會透過網際網路轉送流量,從外部系統將流量傳輸至Google Cloud 資源。離開 Google 網路的封包是透過公開網際網路傳送,故受限於中介轉運服務供應商和 ISP 的穩定性。標準級提供的網路品質與穩定性與其他雲端服務供應商不相上下。

標準級的價格低於進階級,因為來自網際網路上系統的流量,在傳送至虛擬私人雲端網路中的運算執行個體前,是經由中轉 (ISP) 網路轉送。標準級傳出流量,不論目的地為何,通常都從傳送流量的運算執行個體使用的地區離開 Google 網路。

標準級方案包含每個區域每月 200 GB 的免費用量,適用於您在所有專案中使用的每個資源。

內部網域名稱系統 (DNS) 名稱

當您建立虛擬機器 (VM) 執行個體時, Google Cloud會利用 VM 名稱建立內部 DNS 名稱。除非您指定了自訂主機名稱,否則Google Cloud 會使用自動建立的內部 DNS 名稱做為主機名稱,並提供給 VM。

如要在相同虛擬私人雲端網路中的 VM 之間通訊,您可以指定目標執行個體的完整 DNS 名稱 (FQDN),而非使用其內部 IP 位址。 Google Cloud 會自動將 FQDN 解析為執行個體的內部 IP 位址。

如要進一步瞭解完整網域名稱 (FQDN),請參閱「區域和全域內部 DNS 名稱」一文。

路徑

Google Cloud 路徑可定義網路流量從虛擬機器 (VM) 執行個體到其他目的地之間的路徑。這些目的地可能位於您虛擬私有雲網路的內部 (例如在其他 VM 中) 或外部。虛擬私人雲端網路的路徑資料表是在虛擬私人雲端網路層級中定義。每個 VM 執行個體都有個控制器,可以透過網路的路徑資料表掌握所有適用路徑。每個從 VM 傳送的封包都會根據轉送順序,遞送到適用路徑的下一個適當躍點。

子網路路徑會定義 VPC 網路中 VM 和內部負載平衡器等資源的路徑。每個子網路至少會有一個目的地符合子網路主要 IP 範圍的子網路路徑。子網路路徑一律具有最明確的目的地。即使其他路徑的優先順序較高,也無法覆寫這些路徑。這是因為 Google Cloud在選取路徑時,會先考量目的地明確度,再考量優先順序。如要進一步瞭解子網路 IP 範圍,請參閱子網路總覽

轉送規則

路徑可控管從執行個體傳出的流量,而轉送規則會根據 IP 位址、通訊協定和通訊埠,將流量導向「到」 Google Cloud VPC 網路中的資源。有些轉送規則會將流量從 Google Cloud 外部導向網路中的目的地;有些則是將流量從網路內部引導出去。

您可以為執行個體設定轉送規則,以便透過 IP、Cloud VPN、私人虛擬 IP (VIP) 和負載平衡實作虛擬主機代管。如要進一步瞭解轉送規則,請參閱「使用通訊協定轉送」一文。

防火牆規則

虛擬私有雲防火牆規則可讓您根據指定設定,允許或拒絕來往虛擬機器的連線。 Google Cloud 一律會強制執行已啟用的虛擬私有雲防火牆規則,保護採用不同設定和作業系統的 VM,即使 VM 尚未啟動亦然。

根據預設,每個 VPC 網路都設有傳入 (ingress) 和傳出 (egress) 防火牆規則,分別會封鎖所有傳入連線以及允許所有傳出連線。default 網路具有額外的防火牆規則,包括允許網路中執行個體彼此通訊的 default-allow-internal 規則。如果您未使用 default 網路,就必須明確建立優先順序較高的輸入防火牆規則,才能讓執行個體相互通訊。

每個虛擬私人雲端網路皆會以分散式防火牆的形式運作。防火牆規則是在 VPC 層級定義,可套用至網路中的所有執行個體,您也可以使用目標標記或目標服務帳戶,將規則套用至特定執行個體。您可以想像成虛擬私有雲防火牆規則不僅存在於執行個體與其他網路之間,也存在於相同虛擬私有雲網路的個別執行個體之間。

階層式防火牆政策可讓您在機構中建立並強制執行一致的防火牆政策。您可以將階層式防火牆政策指派給整個機構或個別資料夾。這些政策包含可明確拒絕或允許連線的規則,這點與 VPC 防火牆規則相同。此外,階層防火牆政策規則可以透過 goto_next 動作,將評估作業委派給較低層級的政策或虛擬私有雲防火牆規則。較低層級的規則無法覆寫資源階層中較高層級的規則。這可讓全機構的管理員集中管理重要防火牆規則。

代管執行個體群組和網路設定

如果您使用代管執行個體群組 (MIG),則您在執行個體範本中指定的網路設定,會套用至使用該範本建立的所有 VM。如果您在自動模式虛擬私有雲網路中建立執行個體範本, Google Cloud 會自動為您建立代管執行個體群組的地區選取子網路。

詳情請參閱「網路和子網路」和「建立執行個體範本」。

後續步驟