虛擬私有雲網路

虛擬私有雲 (VPC) 網路是實體網路的虛擬版本，使用 Andromeda 建構於 Google 的正式環境網路之內。

虛擬私有雲網路可執行下列操作：

• 為 Compute Engine 虛擬機器 (VM) 執行個體提供連線。
• 提供原生內部直通式網路負載平衡器和 Proxy 系統，供內部應用程式負載平衡器使用。
• 透過 Cloud VPN 通道和 Cloud Interconnect 的 VLAN 連結，連線至內部部署網路。
• 將來自 Google Cloud 外部負載平衡器的流量分配給後端。

專案可包含多個虛擬私人雲端網路。除非您建立禁止此行為的機構政策，否則新專案一開始都會有預設網路 (自動模式虛擬私有雲網路)，其中在每個地區都有一個子網路。

網路和子網路

「子網路」和「子網路」是同義詞。兩者在 Google Cloud 主控台、gcloud 指令和 API 說明文件中交替使用。

子網路不是 (虛擬私有雲) 網路。網路和子網路是不同類型的 Google Cloud資源。

詳情請參閱「子網路」。

虛擬機器執行個體

Compute Engine 虛擬機器 (VM) 執行個體是指託管在 Google 基礎架構上的虛擬機器。「Compute Engine 執行個體」、「VM 執行個體」和「VM」是同義詞。兩者在Google Cloud 控制台、Google Cloud CLI 參考資料和 API 說明文件中交替使用。

VM 執行個體包括 Google Kubernetes Engine (GKE) 叢集、App Engine 彈性環境執行個體，以及其他 Google Cloud 以 Compute Engine VM 為基礎建構的產品。

詳情請參閱 Compute Engine 說明文件中的「虛擬機器執行個體」。

規格

虛擬私人雲端網路具備以下屬性：

• 虛擬私有雲網路 (包括相關路徑和防火牆規則) 屬於全域性資源。「不會」與任何地區或區域建立關聯。

• 子網路是區域性資源。

• 每個子網路都會定義下列 IP 位址範圍：

  • 僅支援 IPv4 的子網路和雙重堆疊子網路都會定義 IPv4 位址範圍，而雙重堆疊子網路也會定義 IPv6 位址範圍。
  • 僅支援 IPv6 的子網路 (搶先版) 會定義 IPv6 位址範圍。

  詳情請參閱子網路類型。

• 您可以使用網路防火牆規則控管執行個體傳送及接收的流量。規則是在 VM 本身實作，因此只能在流量離開或抵達 VM 時進行控管和記錄。

• 虛擬私有雲網路中的資源可根據適用的網路防火牆規則，使用內部 IPv4 位址、內部 IPv6 位址或外部 IPv6 位址互相通訊。詳情請參閱「網路內部通訊」。

• 具有內部 IPv4 或 IPv6 位址的執行個體可與 Google API 和服務通訊。詳情請參閱各項服務的私人存取權選項。

• 您可以利用身分與存取權管理 (IAM) 角色保障網路管理作業的安全。

• 機構可以運用共用虛擬私有雲，將虛擬私有雲網路保存在一般主專案中。如果相同機構中其他專案的使用者是已獲授權的 IAM 主體，則可讓建立的資源使用共用虛擬私有雲網路的子網路。

• 只要使用 VPC 網路對等互連，您就可以將虛擬私有雲網路連線至不同專案或機構中的其他虛擬私有雲網路。

• 您可以使用 Cloud VPN 或 Cloud Interconnect，從混合式環境安全地連線至虛擬私有雲網路。

• 虛擬私有雲網路支援 GRE 流量，包括 Cloud VPN 和 Cloud Interconnect 上的流量。虛擬私有雲網路不支援 Cloud NAT 的 GRE，也不支援負載平衡和通訊協定轉送的轉送規則。支援 GRE 可讓您從網際網路 (外部 IP 位址) 和 Cloud VPN 或 Cloud Interconnect (內部 IP 位址)，在 VM 上終止 GRE 流量。解封裝的流量隨後可轉送至可連線的目的地。GRE 可讓您使用安全存取服務邊緣 (SASE) 和 SD-WAN 等服務。

• 虛擬私有雲網路支援 IPv4 和 IPv6 單點傳播位址。 虛擬私有雲網路「不」支援網路「內」的廣播或多點傳送位址。

  如要進一步瞭解 IPv6 子網路範圍，請參閱「子網路」。

虛擬私人雲端網路範例

下列範例說明自訂模式的虛擬私有雲網路，其中包含兩個區域的三個子網路：

• Subnet1 在 us-west1 地區定義為 10.240.0.0/24。
  • 這個子網路有兩個位於 us-west1-a 區域的 VM 執行個體。這兩個執行個體的 IP 位址皆來自「subnet1」的可用位址範圍。
• Subnet2 在 us-east1 地區定義為 192.168.1.0/24。
  • 這個子網路有兩個位於 us-east1-b 區域的 VM 執行個體。這兩個執行個體的 IP 位址皆來自「subnet2」的可用位址範圍。
• Subnet3 在 us-east1 地區定義為 10.2.0.0/16。
  • 「subnet3」subnet3有一個 VM 執行個體位於 us-east1-b 區域，另一個執行個體則位於 us-east1-c 區域，兩者接收的 IP 位址皆來自 subnet3 的可用範圍。由於子網路屬於地區資源，執行個體可將自身的網路介面與相同地區中的任何子網路建立關聯，執行個體所在的區域也會位於該地區內。

機構政策限制

• 每個新專案一開始都是使用預設虛擬私有雲網路。您可以建立機構政策，並在其中包含 compute.skipDefaultNetworkCreation 限制，藉此停用「建立預設網路」的功能。繼承這個政策的專案將不會有預設網路。

• 您可以使用機構政策控管下列 IPv6 設定：

  • 停用虛擬私有雲外部 IPv6 用量：如果設為 true，constraints/compute.disableVpcExternalIpv6 限制會禁止您設定具有外部 IPv6 範圍的子網路。

  • 停用虛擬私有雲內部 IPv6 用量：如果設為 true，constraints/compute.disableVpcInternalIpv6 限制會禁止您設定具有內部 IPv6 範圍的子網路。

  • 停用所有 IPv6 用量：如果設為 true，constraints/compute.disableAllIpv6 限制會禁止建立或更新與 IPv6 用量有關的任何子網路或其他網路資源。

如要進一步瞭解限制，請參閱「組織政策限制」。

子網路建立模式

Google Cloud 提供兩種類型的虛擬私有雲網路，差異在於子網路的建立模式：

• 當您建立自動模式 VPC 網路時，系統會在每個區域中自動建立子網路。這類自動建立的子網路會使用一組在 10.128.0.0/9 CIDR 區塊內的預先定義 IPv4 範圍。如有新的 Google Cloud 區域可用，系統也會使用該區塊的 IP 範圍，自動將這些區域的新子網路新增至自動模式 VPC 網路。除了自動建立的子網路，您還可以使用 10.128.0.0/9 以外的 IP 範圍，在您選擇的地區中手動新增更多子網路到自動模式虛擬私有雲網路。

• 建立自訂模式 VPC 網路時，系統不會自動建立子網路。這類型網路可讓您完全控制其中的子網路和 IP 範圍。在所選區域使用自己指定的 IP 範圍建立子網路，一切由您決定。

您可以將虛擬私有雲網路從自動模式切換至自訂模式。這項轉換是單向的，自訂模式虛擬私有雲網路無法變更為自動模式虛擬私有雲網路。如要判斷哪類網路符合您的需求，請參閱自動模式虛擬私有雲網路的考量事項。

預設網路

除非選擇停用，否則每個新專案起初都會具備預設網路。預設網路為自動模式虛擬私有雲網路，具有預先填入的 IPv4 防火牆規則。預設網路沒有預先填入的 IPv6 防火牆規則。

自動模式虛擬私有雲網路的考量事項

自動模式虛擬私有雲網路設定及使用簡單，非常適合具有下列屬性的用途：

• 能獲益於在每個地區自動建立子網路的功能。

• 子網路的預先定義 IP 範圍不會與用於其他目的 (例如內部部署資源的 Cloud VPN 連線) 的 IP 範圍重疊。

不過，自訂模式虛擬私有雲端網路相對較有彈性，更適合實際工作環境。下列屬性會強調建議或必須使用自訂模式 VPC 網路的使用案例：

• 不須在每個地區自動建立一個子網路。

• 當新地區開放使用時，自動建立的新子網路可能會與手動建立子網路或靜態路徑時所用的 IP 位址重疊，或可能干擾整體網路規劃。

• 您需要完全控管虛擬私人雲端網路中建立的子網路，包括其中使用的地區或 IP 位址範圍。

• 您打算將虛擬私有雲網路連線至其他網路：

  • 由於每個自動模式虛擬私有雲網路的子網路都會使用相同的預先定義 IP 位址範圍，因此您無法使用虛擬私有雲網路對等互連或 Cloud VPN，在兩個自動模式虛擬私有雲網路之間建立連線。

  • 由於自動模式 10.128.0.0/9 CIDR 範圍屬於常用的 RFC 1918 位址空間，10.128.0.0/9 以外的網路可能會使用重疊的 CIDR 範圍。 Google Cloud

• 您想要建立具有 IPv6 範圍的子網路。自動模式 VPC 網路不支援具有 IPv6 範圍的子網路。

IPv4 子網路範圍

每個子網路都有主要 IPv4 位址範圍。下列資源的主要內部位址來自子網路的主要範圍：VM 執行個體、內部負載平衡器和內部通訊協定轉送。您可以選擇在子網路中新增次要 IP 位址範圍，這些範圍僅供別名 IP 範圍使用。不過，您可以從子網路的主要或次要範圍，為執行個體設定別名 IP 範圍。

在虛擬私有雲網路中，所有子網路的每個主要或次要 IPv4 範圍必須是專屬有效的 CIDR 區塊。如要瞭解可定義的次要 IP 範圍數量，請參閱每個網路的限制。

IPv4 子網路不一定得形成預先定義的連續 CIDR 區塊，不過您也可以視情況採用這種形式。舉例來說，自動模式虛擬私有雲網路建立的子網路就會套用預先定義的自動模式 IP 範圍。

在自訂模式虛擬私有雲網路中建立子網路時，您可以選擇要使用的 IPv4 範圍。詳情請參閱「有效範圍」、「禁止的子網路範圍」和「IPv4 子網路範圍限制」。

每個主要 IPv4 子網路範圍都有四個無法使用的 IP 位址。詳情請參閱「IPv4 子網路範圍中無法使用的位址」。

建立自動模式 VPC 網路時，每個區域會建立一個子網路，且新區域會自動收到新的子網路。子網路只有 IPv4 範圍，且所有子網路範圍都適合 10.128.0.0/9 CIDR 區塊。10.128.0.0/9未使用的部分保留供日後使用。Google Cloud 如要瞭解各區域使用的 IPv4 範圍，請參閱「自動模式 IPv4 子網路範圍」。

IPv6 子網路範圍

在自訂模式虛擬私有雲網路中建立具有 IPv6 範圍的子網路時，您可以選擇要為子網路設定內部 IPv6 子網路範圍或外部 IPv6 子網路範圍。

• 內部 IPv6 子網路範圍使用不重複的本機位址 (ULA)。

  • ULA 用於虛擬私有雲網路內的 VM 對 VM 通訊。IPv6 的 ULA 類似於 IPv4 的 RFC 1918 位址。ULA 無法從網際網路連線，也不會公開路由。

• 外部 IPv6 子網路範圍使用全域單點傳播位址 (GUA)。

  • GUA 可用於虛擬私有雲網路內的 VM 間通訊，也可在網際網路上路由傳輸。

如要進一步瞭解 IPv6 子網路範圍，請參閱「子網路」。

支援具有 IPv6 位址範圍的子網路的網路

您可以在自訂模式的虛擬私有雲網路中，建立具有 IPv6 位址範圍的子網路。詳情請參閱「使用子網路」。

下列項目不支援具有 IPv6 位址範圍的子網路：

• 自動模式虛擬私有雲網路，包括預設網路
• 舊版網路

如果您想在自動模式虛擬私有雲網路中新增具有 IPv6 位址範圍的子網路，請按照下列步驟操作：

1. 將自動模式網路轉換為自訂模式。

2. 建立新的雙重堆疊或僅限 IPv6(搶先版) 子網路。您也可以將現有的僅支援 IPv4 的子網路轉換為雙重堆疊。

路徑和防火牆規則

路徑

路徑會定義封包離開執行個體的途徑 (輸出流量)。如要瞭解路線類型，請參閱「路線」。 Google Cloud

動態轉送模式

每個虛擬私有雲端網路都有相關的「動態轉送模式」，可控管網路中所有雲端路由器的行為。Cloud Router 會管理Google Cloud 使用 Cloud Router 的產品的 BGP 工作階段。

如要瞭解動態轉送模式選項，請參閱 Cloud Router 說明文件中的「動態轉送模式」。

廣告和內部 IP 位址的路由

系統會在虛擬私有雲網路中宣傳下列 IP 位址：

• 區域內部 IPv4 位址

  用於主要和次要 IPv4 子網路位址範圍

• 區域內部和外部 IPv6 位址

  用於內部和外部 IPv6 子網路位址範圍

• 全域內部 IPv4 位址

  用於 Google API 的 Private Service Connect 端點

使用 VPC 網路對等互連連線到 VPC 網路時，系統一律會交換使用私人 IPv4 位址的子網路範圍。您可以控管是否交換使用私用公開 IPv4 位址的子網路範圍，以及是否交換內部和外部 IPv6 子網路範圍。系統絕不會透過對等互連交換全域內部 IPv4 位址。詳情請參閱虛擬私有雲網路對等互連說明文件。

使用 Google Cloud 連線產品 (例如 Cloud VPN、Cloud Interconnect 或路由器設備) 將虛擬私有雲網路連線至其他網路 (例如內部部署網路) 時，請注意下列事項：

• 您可以將虛擬私有雲網路的內部 IP 位址通告至其他網路 (例如內部部署網路)。
• 雖然虛擬私有雲網路與其他網路 (例如內部部署網路) 之間的連線可以使用Google Cloud 連線產品提供的私人路由，但其他網路的 IP 位址也可能可公開路由。如果內部部署網路使用可公開轉送的 IP 位址，請務必留意這點。
• 如果虛擬私有雲網路包含使用私用公開 IP 位址的子網路範圍，該網路中的 VM 執行個體就無法連線至使用相同公開 IP 位址的外部資源。
• 向其他網路 (例如內部部署網路) 宣傳私人使用的公開 IP 位址時，請格外小心，尤其是當其他網路可以向網際網路宣傳這些公開 IP 位址時。

防火牆規則

階層式防火牆政策和 VPC 防火牆規則都會套用至傳送至 VM 執行個體 (以及依附於 VM 的資源，例如 Google Kubernetes Engine 節點) 的封包，以及從這些執行個體傳送的封包。即使流量是在同一個虛擬私有雲網路的 VM 之間傳輸，這兩種防火牆也會控管流量。

如要監控哪些防火牆規則允許或拒絕特定連線，請參閱「防火牆規則記錄」。

通訊和存取權

網路內部通訊

系統產生的子網路路徑會定義路徑，供網路內執行個體使用內部 IP 位址傳送流量。如要讓一個執行個體與另一個執行個體通訊，也必須設定適當的防火牆規則，因為每個網路都有連入流量的隱含拒絕防火牆規則。

除了預設網路外，您必須明確建立優先順序較高的輸入防火牆規則，才能讓執行個體相互通訊。預設網路除了隱含的防火牆規則外，還包含多項規則，包括 default-allow-internal 規則，可允許網路中執行個體間的通訊。預設網路也隨附輸入規則，允許遠端桌面協定和安全殼層等通訊協定。

使用 Google Cloud 控制台建立新的自動模式虛擬私有雲網路時，系統也會將預設網路隨附的規則做為選項，供您套用。

網際網路存取需求

執行個體必須符合以下條件，才能具備外送網際網路存取權：

• 網路必須具備有效的「預設網際網路閘道」路徑或自訂路徑，這類路徑的目的地 IP 範圍是最常見的形式 (IPv4 為 0.0.0.0/0，IPv6 為 ::/0)。這條路徑定義了網際網路路徑。詳情請參閱路徑類型。

• 防火牆規則必須允許執行個體的輸出流量。除非受到優先順序較高的規則覆寫，否則允許輸出流量的隱含規則會允許所有執行個體的傳出流量。

• 必須符合以下其中一項條件：

  • 執行個體必須具有外部 IP 位址。您可以在建立執行個體時或在建立執行個體後，將外部 IP 位址指派給執行個體。

  • 執行個體必須能夠使用 Cloud NAT，或是靜態 0.0.0.0/0 或 ::/0 路徑目標的執行個體 Proxy。

App Engine 的通訊和存取權

虛擬私有雲防火牆規則適用於虛擬私有雲網路中執行的資源，例如 Compute Engine VM。如果是 App Engine 執行個體，防火牆規則的運作方式如下：

• App Engine 標準環境：只有 App Engine 防火牆規則適用於連入流量。由於 App Engine 標準環境執行個體不會在虛擬私有雲網路中執行，因此虛擬私有雲防火牆規則不適用於這些執行個體。

• App Engine 彈性環境：App Engine 和虛擬私有雲防火牆規則都會套用至輸入流量。只有在兩種防火牆規則都允許的情況下，才能傳入流量。傳出流量適用虛擬私有雲防火牆規則。

如要進一步瞭解如何控管 App Engine 執行個體的存取權，請參閱「應用程式安全性」。

追蹤外部 IP 位址的路徑

基於內部原因， Google Cloud 會增加封包的 TTL 計數器，這些封包會遍歷 Google 網路中的下一個躍點。由於部分躍點的 TTL 不會過期，因此 traceroute 和 mtr 等工具可能會提供不完整的結果。從 Compute Engine 執行個體將封包傳送至網際網路上的目的地時，Google 網路內的躍點可能會隱藏。

隱藏躍點數量取決於執行個體的網路服務層級、區域和其他因素。如果只有幾個躍點，可能全部都會隱藏。traceroute 或 mtr 結果中缺少躍點，並不代表傳出流量遭到捨棄。

這個問題沒有解決方法。如果您設定第三方監控服務，並連線至與 VM 相關聯的外部 IP 位址，就必須將這點納入考量。

輸出處理量上限

如需網路總處理量資訊，請參閱 Compute Engine 說明文件中的「網路頻寬」頁面。

封包大小

如要瞭解封包大小，請參閱「最大傳輸單位」。

最大傳輸單位

如要進一步瞭解虛擬私有雲網路及其連線 VM 的最大傳輸單位 (MTU) 設定，請參閱「最大傳輸單位」。

如要瞭解如何變更虛擬私有雲網路的 MTU，或在 MTU 設定不同的虛擬私有雲網路之間遷移 VM，請參閱「變更虛擬私有雲網路的 MTU 設定」。

支援的通訊協定

Google Cloud 僅支援下列通訊協定和擴充標頭：

• VM 之間的 IPv4 資料封包：所有 IPv4 通訊協定。
• VM 與網際網路之間的 IPv4 資料封包：ICMP、IPIP、TCP、UDP、GRE、ESP、AH 和 SCTP 通訊協定。
• VM 之間和 VM 與網際網路之間的 IPv6 資料封包：AH、ESP、GRE、ICMP、ICMPv6、IPIP、SCTP、TCP 和 UDP 通訊協定，以及目的地選項和片段擴充功能標頭。不過，系統不支援在 IPv6 資料封包中，將「目的地選項」標頭放在「片段」標頭之後。
• 通訊協定轉送：AH、ESP、GRE、ICMP、ICMPv6、SCTP、TCP 和 UDP 通訊協定

如要允許支援通訊協定的資料封包，您需要根據需求設定防火牆規則或通訊協定轉送規則。

特定用途的網路設定檔

Google Cloud 使用網路設定檔資源，預先設定虛擬私有雲網路中的特定屬性，以因應特定用途。建立網路時，您可以選擇指定 Google Cloud 提供的網路設定檔。

網路設定檔支援的用途是在機器上執行 AI 工作負載，這些機器具有支援遠端直接記憶體存取 (RDMA) 的網路介面卡 (NIC)。Google Cloud 提供 RDMA 網路設定檔，可讓您建立支援 RDMA 連線的虛擬私有雲 (VPC) 網路。

詳情請參閱網路設定檔總覽。

如要進一步瞭解如何在 Google Cloud中執行 AI 工作負載，請參閱 AI 超級電腦文件。

網路效能

延遲時間

如要查看網路的跨區域延遲時間，請參閱 Google Cloud 即時資訊主頁。資訊主頁會顯示 Google Cloud的中位數區域間延遲時間，以及總處理量效能指標和方法，方便您使用 PerfKit Benchmarker 重現這些結果。

Google Cloud 通常會測量第 50 個百分位數的來回延遲時間，在同一區域的 c2-standard-4 VM 執行個體之間，延遲時間小於 55 微秒；第 99 個百分位數的尾部延遲時間則小於 80 微秒。

Google Cloud 通常在同一個低延遲網路中，c2-standard-4 VM 執行個體間的往返延遲時間，第 50 個百分位數小於 45 微秒，第 99 個百分位數小於 60 微秒 (「密集」配置方式政策)。密集配置政策可確保 VM 位於同一個低延遲網路中，藉此降低網路延遲。

方法：我們透過黑箱探測器監控可用區內延遲時間，探測器會持續在每個可用區的 C2 類型 VM 之間執行 netperf TCP_RR 基準測試。這項測試會收集設定有密集配置政策和沒有密集配置政策的 P50 和 P99 結果。TCP_RR 基準會測量交易率，藉此評估要求/回應效能。如果應用程式需要盡可能縮短延遲時間，建議使用 c2 執行個體。

封包遺失率

Google Cloud 定期測量所有區域間的往返遺失率，追蹤跨區域封包遺失率。我們的目標是讓這些測量的全球平均值低於 0.01%。

方法：黑箱 VM 對 VM 探測器會使用 Ping 監控每個區域配對的封包遺失率，並將結果匯總為一個全域遺失指標。這項指標的追蹤時間範圍為一天。

後續步驟

• 如要瞭解如何使用虛擬私有雲網路和子網路，請參閱「建立、修改或刪除虛擬私有雲網路和子網路」。
• 如要瞭解部署虛擬私有雲網路的最佳做法，請參閱「虛擬私有雲設計的最佳做法與參考架構」。
• 如要瞭解如何部署虛擬私有雲網路，做為 Cross-Cloud Network 的一部分，請參閱分散式應用程式的 Cross-Cloud Network。

歡迎試用

如果您未曾使用過 Google Cloud，歡迎建立帳戶，親自體驗實際使用 VPC 的成效。新客戶可以獲得價值 $300 美元的免費抵免額，可用於執行、測試及部署工作負載。

免費試用虛擬私有雲