Konsep VPC lanjutan

Halaman ini membahas detail tambahan tentang jaringan Virtual Private Cloud (VPC). Sebelum membaca halaman ini, lihat Jaringan VPC. Jika Anda tertarik dengan jaringan VPC yang di-peering, lihat Peering Jaringan VPC.

Detail jaringan VPC tingkat rendah

Bagian ini menjelaskan beberapa detail jaringan VPC tingkat rendah. Anda tidak perlu membaca bagian ini untuk penggunaan biasa, tetapi bagian ini memberikan lebih banyak insight tentang cara kerja jaringan VPC. Diagram berikut menjelaskan detail tingkat rendah ini, dengan lebih banyak informasi di bagian yang sesuai.

Diagram jaringan VPC yang lebih mendetail
Diagram jaringan VPC yang lebih mendetail

Siapa yang menangani apa

Berbagai fitur jaringan VPC ditangani oleh bagian sistem yang berbeda. Beberapa di antaranya adalah fitur jaringan standar yang didokumentasikan dengan baik, dan beberapa di antaranya khusus untuk jaringan VPC. Beberapa fitur dapat Anda konfigurasi, dan beberapa lainnya tidak. Jaringan VPC menggunakan modul jaringan VIRTIO untuk menggambarkan cara kerja kartu Ethernet dan fungsi router, tetapi tingkat stack jaringan yang lebih tinggi, seperti pencarian ARP ditangani menggunakan software jaringan standar.

Pencarian ARP
Kernel instance mengeluarkan permintaan ARP dan jaringan VPC mengeluarkan balasan ARP. Pemetaan antara alamat MAC dan alamat IP ditangani oleh kernel instance.
Tabel pemeta MAC, tabel pemeta IP, tabel koneksi aktif
Tabel ini dihosting di jaringan VPC yang mendasarinya dan tidak dapat diperiksa atau dikonfigurasi.
Server DNS

Setiap server metadata instance bertindak sebagai server DNS. Server DNS menyimpan entri untuk semua alamat IP jaringan VPC di jaringan VPC lokal dan memanggil server DNS publik Google untuk entri di luar jaringan VPC. Anda tidak dapat mengonfigurasi server DNS ini. Klien DHCP di setiap instance dikonfigurasi untuk mengelola file /etc/resolv.conf instance.

Anda dapat menambahkan domain penelusuran atau server nama Anda sendiri ke /etc/resolv.conf instance dengan mengubah kebijakan DHCP. Banyak distribusi Linux yang mengizinkan modifikasi ini tetap ada melalui /etc/dhcp/dhclient.conf. Lihat dokumentasi DNS internal untuk mengetahui informasi selengkapnya.

Penanganan paket antara jaringan VPC dan area di luar (jaringan VPC)

Paket yang masuk atau keluar dari jaringan VPC ditangani oleh kode jaringan yang memeriksa paket terhadap aturan firewall, tabel pemeta IP eksternal, dan tabel koneksi aktif. Jaringan VPC juga menjalankan NAT pada paket yang masuk dan keluar dari jaringan VPC.

Paket yang diterima oleh instance

Paket-paket ini diterima dan diubah menjadi stream oleh kernel instance dengan cara standar.

Paket yang dikirim oleh instance

Paket dikirim oleh kernel instance dengan cara standar. Cara kerja antarmuka dan fungsi jaringan digambarkan menggunakan modul jaringan VIRTIO.

Panduan koneksi mendetail

Berikut ini detail selengkapnya tentang apa yang terjadi saat instance melakukan panggilan jaringan VPC.

Instance melakukan panggilan:

  1. JIka alamat target adalah nama instance atau URL, seperti www.google.com, instance akan memanggil layanan DNS pada server metadata-nya dan mendapatkan kembali alamat IP yang cocok. Anda dapat mengonfigurasi instance untuk meminta bantuan ke layanan DNS yang lain, tetapi kemudian Anda tidak akan dapat menyelesaikan nama instance.
  2. Alamat IP tujuan diperiksa berdasarkan rentang alamat IP subnet, yang diketahui oleh setiap instance.

    1. Jika alamat IP tidak berada di jaringan VPC saat ini atau di jaringan VPC yang di-peering menggunakan Peering Jaringan VPC:

      1. Instance mengirimkan paket ke alamat MAC gateway subnet dengan tujuan ditetapkan ke tujuan akhir paket. Instance mungkin perlu membuat permintaan ARP untuk menyelesaikan alamat MAC gateway.

      2. Jaringan VPC menulis ulang IP header untuk menyatakan alamat IP eksternal sebagai sumber. Jika instance tidak memiliki alamat IP eksternal, panggilan tidak diizinkan, dan jaringan VPC menghapus paket tanpa memberi tahu pengirim paket.

      3. Jaringan VPC mencatat paket keluar serta menambahkan sumber dan tujuan ke tabel koneksi aktif.

      4. Jaringan VPC mengirimkan paket ke tujuannya.

      5. Tujuan menerima paket dan merespons jika paket dipilih.

      6. Jaringan VPC menerima respons, memeriksa tabel koneksi aktif, mencatat bahwa koneksi tersebut adalah koneksi aktif, dan mengizinkannya. Jaringan VPC memeriksa tabel pemeta IP eksternal/jaringannya dan mengganti alamat IP eksternal instance dengan alamat jaringan yang cocok dan mengirim paket ke instance sumber.

      7. Instance menerima paket.

    2. Jika alamat IP tujuan berada di dalam jaringan VPC atau di jaringan VPC yang di-peering menggunakan Peering Jaringan VPC:

      1. Instance dikonfigurasi dengan IP menggunakan mask 255.255.255.255, sehingga instance mengirim paket ke alamat MAC gateway subnet. Instance mungkin perlu membuat permintaan ARP untuk menyelesaikan alamat MAC gateway terlebih dahulu.

      2. Google Cloud meneruskan paket ke alamat IP tujuan dalam jaringan VPC saat ini atau yang di-peering.

      3. Instance target menerima paket. Instance target memeriksa firewall masuk untuk menentukan apakah paket diizinkan. Jika paket diizinkan, paket akan dihapus secara diam-diam. Jika paket diizinkan, instance akan memproses paket.

Instance eksternal atau komputer memanggil instance:

  1. Pemanggil eksternal mengirimkan paket ke alamat IP eksternal instance, yang dimiliki oleh jaringan VPC.

  2. Jaringan VPC membandingkan paket terhadap tabel koneksi aktif untuk melihat apakah koneksi tersebut sudah ada atau tidak:

    1. Jika koneksi tersebut bukan koneksi yang sudah ada, jaringan VPC akan mencari aturan firewall untuk mengizinkan koneksi.
    2. Jika tidak ada aturan firewall, jaringan VPC akan menghapus paket tanpa memberi tahu pengirim paket.
  3. Jika terdapat koneksi yang sudah ada atau aturan firewall yang valid, jaringan VPC akan memeriksa tabel pemetanya dan mengganti IP eksternal dengan IP internal yang terkait dengan paket. Jaringan VPC juga akan mencatat paket masuk di tabel koneksi aktif dan mengirim paket ke instance target.

  4. Instance menerima paket dan merespons seperti yang dijelaskan dalam artikel Jika alamat IP berada di luar rentang IP jaringan VPC saat mengirim paket di luar rentang jaringan.

  5. Jaringan VPC akan menerima balasan, menemukan permintaan masuk yang cocok di di tabel koneksi aktif, dan mengizinkan paket masuk. Sebelum mengirim, instance ini mengubah alamat IP sumber dengan mengganti IP internal instance dengan IP eksternal yang sesuai dari tabel pemetanya.

Mengukur throughput jaringan VPC

Untuk mengetahui petunjuknya, lihat Menghitung throughput jaringan.

Langkah selanjutnya