Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Konsep VPC lanjutan
Halaman ini membahas detail tambahan tentang jaringan Virtual Private Cloud (VPC).
Sebelum membaca halaman ini, lihat Jaringan VPC. Jika Anda tertarik dengan jaringan VPC yang di-peering, lihat Peering Jaringan VPC.
Detail jaringan VPC tingkat rendah
Bagian ini menjelaskan beberapa detail jaringan VPC tingkat rendah.
Anda tidak perlu membaca bagian ini untuk penggunaan biasa, tetapi bagian ini memberikan lebih banyak
insight tentang cara kerja jaringan VPC. Diagram
berikut menjelaskan detail tingkat rendah ini, dengan lebih banyak informasi di
bagian yang sesuai.
Jaringan VPC (klik untuk memperbesar).
Siapa yang menangani masalah berikut
Berbagai fitur jaringan VPC ditangani oleh
bagian sistem yang berbeda. Beberapa di antaranya adalah fitur jaringan standar
yang didokumentasikan dengan baik, dan beberapa di antaranya khusus untuk
jaringan VPC. Beberapa fitur dapat Anda konfigurasi, dan beberapa lainnya tidak.
Jaringan VPC menggunakan
modul jaringan VIRTIO
untuk menggambarkan cara kerja kartu Ethernet dan fungsi router, tetapi tingkat stack jaringan
yang lebih tinggi, seperti pencarian ARP ditangani menggunakan software
jaringan standar.
Pencarian ARP
Kernel instance mengeluarkan
permintaan ARP
dan jaringan VPC mengeluarkan balasan ARP. Pemetaan antara alamat MAC dan alamat IP
ditangani oleh kernel instance.
Tabel pemeta MAC, tabel pemeta IP, tabel koneksi aktif
Tabel ini dihosting di jaringan VPC yang mendasarinya dan tidak dapat diperiksa atau
dikonfigurasi.
Server DNS
Setiap server metadata instance bertindak sebagai server DNS. Server DNS menyimpan
entri untuk semua alamat IP jaringan VPC di jaringan VPC lokal dan memanggil
server DNS publik Google untuk entri di luar jaringan VPC. Anda tidak dapat
mengonfigurasi server DNS ini. Klien DHCP di setiap instance dikonfigurasi untuk
mengelola file /etc/resolv.conf instance.
Anda dapat menambahkan domain penelusuran atau server nama Anda sendiri ke
/etc/resolv.conf instance dengan mengubah kebijakan DHCP. Banyak distribusi
Linux yang mengizinkan modifikasi ini tetap ada melalui
/etc/dhcp/dhclient.conf.
Lihat dokumentasi DNS internal untuk mengetahui informasi selengkapnya.
Penanganan paket antara jaringan VPC dan area di luar (jaringan VPC)
Paket yang masuk atau keluar dari jaringan VPC ditangani oleh kode jaringan yang
memeriksa paket terhadap aturan firewall, tabel pemeta IP eksternal, dan tabel koneksi
aktif. Jaringan VPC juga menjalankan NAT pada paket
yang masuk dan keluar dari jaringan VPC.
Paket yang diterima oleh instance
Paket-paket ini diterima dan diubah menjadi stream oleh kernel instance dengan
cara standar.
Paket yang dikirim oleh instance
Paket dikirim oleh kernel instance dengan cara standar. Cara kerja antarmuka
dan fungsi jaringan digambarkan menggunakan
modul jaringan VIRTIO.
Panduan koneksi mendetail
Berikut ini detail selengkapnya tentang apa yang terjadi saat instance melakukan
panggilan jaringan VPC.
Instance melakukan panggilan:
JIka alamat target adalah nama instance atau URL, seperti www.google.com,
instance akan memanggil layanan DNS pada server metadata-nya dan mendapatkan kembali
alamat IP yang cocok. Anda dapat mengonfigurasi instance untuk meminta bantuan ke layanan DNS yang lain,
tetapi kemudian Anda tidak akan dapat menyelesaikan nama instance.
Alamat IP tujuan diperiksa berdasarkan rentang alamat IP subnet,
yang diketahui oleh setiap instance.
Jika alamat IP tidak berada di
jaringan VPC saat ini atau di jaringan VPC yang di-peering
menggunakan Peering Jaringan VPC:
Instance mengirimkan paket ke alamat MAC gateway subnet
dengan tujuan ditetapkan ke tujuan akhir paket. Instance
mungkin perlu membuat permintaan ARP untuk menyelesaikan alamat MAC
gateway.
Jaringan VPC
menulis ulang IP header untuk menyatakan alamat IP eksternal
sebagai sumber. Jika instance tidak memiliki alamat IP eksternal, panggilan
tidak diizinkan, dan jaringan VPC menghapus paket tanpa memberi tahu
pengirim paket.
Jaringan VPC mencatat paket keluar serta menambahkan sumber dan
tujuan ke tabel koneksi aktif.
Jaringan VPC mengirimkan paket ke tujuannya.
Tujuan menerima paket dan merespons jika paket dipilih.
Jaringan VPC menerima respons, memeriksa
tabel koneksi aktif, mencatat bahwa koneksi tersebut adalah koneksi aktif, dan mengizinkannya. Jaringan VPC
memeriksa tabel pemeta IP eksternal/jaringannya dan mengganti
alamat IP eksternal instance dengan alamat jaringan
yang cocok dan mengirim paket ke instance sumber.
Instance menerima paket.
Jika alamat IP tujuan berada di dalam jaringan VPC
atau di jaringan VPC yang di-peering menggunakan Peering Jaringan VPC:
Instance dikonfigurasi dengan IP menggunakan mask 255.255.255.255,
sehingga instance mengirim paket ke alamat MAC gateway
subnet. Instance mungkin perlu membuat permintaan ARP
untuk menyelesaikan alamat MAC gateway terlebih dahulu.
Google Cloud meneruskan paket ke alamat IP tujuan
dalam jaringan VPC saat ini atau yang di-peering.
Instance target menerima paket. Instance target
memeriksa firewall masuk untuk menentukan apakah paket diizinkan. Jika
paket diizinkan, paket akan dihapus secara diam-diam. Jika paket diizinkan,
instance akan memproses paket.
Instance eksternal atau komputer memanggil instance:
Pemanggil eksternal mengirimkan paket ke alamat IP eksternal instance,
yang dimiliki oleh jaringan VPC.
Jaringan VPC membandingkan paket terhadap tabel koneksi aktif untuk
melihat apakah koneksi tersebut sudah ada atau tidak:
Jika koneksi tersebut bukan koneksi yang sudah ada, jaringan VPC akan mencari
aturan firewall untuk mengizinkan koneksi.
Jika tidak ada aturan firewall, jaringan VPC akan menghapus paket tanpa
memberi tahu pengirim paket.
Jika terdapat koneksi yang sudah ada atau aturan firewall yang valid, jaringan VPC akan memeriksa
tabel pemetanya dan mengganti IP eksternal dengan IP internal
yang terkait dengan paket. Jaringan VPC juga akan mencatat paket masuk di tabel koneksi aktif dan mengirim paket ke instance target.
Jaringan VPC akan menerima balasan, menemukan permintaan masuk yang cocok di
di tabel koneksi aktif, dan mengizinkan paket masuk. Sebelum mengirim, instance
ini mengubah alamat IP sumber dengan mengganti IP internal instance dengan
IP eksternal yang sesuai dari tabel pemetanya.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-08-19 UTC."],[],[],null,["# Advanced VPC concepts\n=====================\n\nThis page goes into additional detail about Virtual Private Cloud (VPC) networks.\nBefore reading this page, see [VPC networks](/vpc/docs/vpc). If you are interested in peered VPC networks, see [VPC Network Peering](/vpc/docs/vpc-peering).\n\nLow-level VPC networking details\n--------------------------------\n\nThis section provides some low-level VPC networking details.\nYou do not need to read this for typical usage, but it provides more\ninsight about how VPC networking works. The following\ndiagram describes these low-level details, with more information in the\ncorresponding sections.\n[](/static/vpc/images/detailednetworkingdiagram.svg) The VPC network (click to enlarge).\n\n### Who handles what\n\nThe different VPC networking features are handled by\ndifferent parts of the system. Some of these are standard networking\nfeatures that are well documented, and some of them are specific to\nVPC networks. Some features you can configure, and some you cannot.\nVPC networks use Linux's\n[VIRTIO network module](http://dl.acm.org/citation.cfm?id=1400097.1400108)\nto model Ethernet card and router functionality, but higher levels of the\nnetworking stack, such as ARP lookups, are handled using standard networking\nsoftware.\n\nARP lookup\n: The instance kernel issues\n [ARP requests](https://wikipedia.org/wiki/Address_Resolution_Protocol)\n and the VPC network issues ARP replies. The mapping between MAC addresses and IP addresses\n is handled by the instance kernel.\n\nMAC lookup table, IP lookup table, active connection table\n: These tables are hosted on the underlying VPC network and cannot be inspected or\n configured.\n\nDNS server\n\n: Each instance's metadata server acts as a DNS server. It stores the DNS\n entries for all VPC network IP addresses in the local VPC network and calls\n Google's public DNS server for entries outside the VPC network. You cannot\n configure this DNS server. The DHCP client on each instance is configured to\n manage the instance's `/etc/resolv.conf` file.\n\n: You can add your own search domain or nameservers to the instance's\n `/etc/resolv.conf` by modifying the DHCP policy. Many Linux\n distributions allow these modifications to persist via\n [`/etc/dhcp/dhclient.conf`](https://www.isc.org/wp-content/uploads/2017/08/dhcp41clientconf.html).\n See the [Internal DNS](/compute/docs/internal-dns) documentation for more\n information.\n\nPacket handling between the VPC network and the outside\n\n: Packets coming into or out of the VPC network are handled by network code that\n examines the packet against firewall rules, against the external IP lookup table, and\n against the active connections table. The VPC network also performs NAT on packets\n coming into and out of the VPC network.\n\nPackets received by an instance\n\n: These packets are received and turned into a stream by the instance kernel in\n the standard fashion.\n\nPackets sent by an instance\n\n: Packets are sent by the instance kernel in the standard way. Interface\n and network functionality are modeled using the\n [VIRTIO network module](http://dl.acm.org/citation.cfm?id=1400097.1400108).\n\n### Detailed connection walkthroughs\n\nHere are more details about what happens when an instance makes a VPC\nnetwork call.\n\n**An instance makes a call:**\n\n1. If the target address is an instance name or a URL such as www.google.com, the instance calls the DNS service on its metadata server and gets back the matching IP address. You can configure your instance to consult another DNS service, but then you will not be able to resolve instance names.\n2. The destination IP address is examined against the subnet's IP address range,\n which every instance knows.\n\n 1. If the IP address is not in the\n current VPC network or in a VPC network\n peered using VPC Network Peering:\n\n 1. The instance sends the packet to the subnet's gateway MAC address\n with the destination set to the packet's final destination. The\n instance might need to make an ARP request to resolve the gateway's\n MAC address.\n\n 2. The VPC network\n rewrites the IP header to declare the instance's external IP address\n as the source. If the instance has no external IP address, the call\n is not allowed, and the VPC network drops the packet without informing\n the sender.\n\n 3. The VPC network records the outgoing packet and adds the source and\n destination to the active connections table.\n\n 4. The VPC network sends the packet on to its destination.\n\n 5. The destination gets the packet and responds if it chooses.\n\n 6. The VPC network receives the response, consults the active connections\n table, notes that this is an active connection, and allows it. The\n VPC network consults its network/external IP lookup table and replaces\n the instance's external IP address with the matching network\n address and sends the packet to the source instance.\n\n 7. The instance receives the packet.\n\n 2. If the destination IP address is within the VPC network\n or in a VPC network peered using VPC Network Peering:\n\n 1. The instance is configured with an IP with 255.255.255.255 mask,\n so the instance sends the packet to the subnet's gateway\n MAC address. The instance first might need to make an ARP request\n to resolve the gateway's MAC address.\n\n 2. Google Cloud forwards the packet to the destination IP address\n within the current or peered VPC network.\n\n 3. The target instance receives the packet. The target instance\n checks ingress firewall to determine if the packet is allowed. If\n not, the packet is dropped silently. Otherwise, the instance\n processes the packet.\n\n**An external instance or computer calls an instance:**\n\n1. The external caller sends a packet to an instance's external IP address, which\n is owned by the VPC network.\n\n2. The VPC network compares the packet against the active connections table to\n see whether this is an existing connection:\n\n 1. If it is not an existing connection, the VPC network looks for a firewall rule to allow the connection.\n 2. If there is no firewall rule, the VPC network drops the packet without informing the sender.\n3. If there is an existing connection or valid firewall rule, the VPC network examines\n its lookup table and replaces the external IP with the corresponding internal\n IP in the packet, logs the incoming packet in the active connections table,\n and sends the packet to the target instance.\n\n4. The instance receives the packet and responds as described in\n **[If the IP address is outside the VPC network IP range](#ip_outside_network)**\n when sending a packet outside the network range.\n\n5. The VPC network receives the reply, finds the matching incoming request in the\n active connections table, and allows the packet through. Before sending, it\n modifies the source IP address by replacing the instance's internal IP with\n the corresponding external IP from its lookup table.\n\nMeasure VPC network throughput\n------------------------------\n\nFor instructions, see\n[Calculate network throughput](/community/tutorials/network-throughput).\n\nWhat's next\n-----------\n\n- To learn about VPC networks, see [VPC networks](/vpc/docs/vpc).\n- To create, modify, and delete VPC networks, see [Create and manage VPC networks](/vpc/docs/create-modify-vpc-networks)."]]
