Questa pagina è stata tradotta dall'API Cloud Translation.

Concetti avanzati della VPC

Questa pagina fornisce ulteriori dettagli sulle reti Virtual Private Cloud (VPC). Prima di leggere questa pagina, consulta Reti VPC. Se ti interessano le reti VPC con peering, consulta Peering di rete VPC.

Dettagli di rete VPC a basso livello

Questa sezione fornisce alcuni dettagli di rete VPC di basso livello. Non è necessario leggere questa sezione per un utilizzo normale, ma fornisce maggiori informazioni su come funzionano le reti VPC. Il seguente diagramma descrive questi dettagli di basso livello, con ulteriori informazioni nelle sezioni corrispondenti.

La rete VPC. — La rete VPC (fai clic per ingrandire).

Chi gestisce cosa

Le diverse funzionalità di networking VPC vengono gestite da diverse parti del sistema. Alcune di queste sono funzionalità di rete standard ben documentate, mentre altre sono specifiche per le reti VPC. Alcune funzionalità possono essere configurate, altre no. Le reti VPC utilizzano il modulo di rete VIRTIO di Linux per modellare la funzionalità delle schede Ethernet e dei router, ma i livelli superiori della piastra di rete, come le ricerche ARP, vengono gestiti utilizzando il software di rete standard.

Ricerca ARP: Il kernel dell'istanza invia richieste ARP e la rete VPC invia risposte ARP. La mappatura tra indirizzi MAC e indirizzi IP è gestita dal kernel dell'istanza.
Tabella di ricerca MAC, tabella di ricerca IP, tabella delle connessioni attive: Queste tabelle sono ospitate sulla rete VPC sottostante e non possono essere ispezionate o configurate.
Server DNS: Il server di metadati di ogni istanza funge da server DNS. Memorizza le voci DNS per tutti gli indirizzi IP della rete VPC nella rete VPC locale e chiama il server DNS pubblico di Google per le voci esterne alla rete VPC. Non puoi configurare questo server DNS. Il client DHCP su ogni istanza è configurato per gestire il file /etc/resolv.conf dell'istanza.; Puoi aggiungere il tuo dominio di ricerca o i tuoi server dei nomi all'/etc/resolv.conf dell'istanza modificando il criterio DHCP. Molte distribuzioni Linux consentono la persistenza di queste modifiche tramite /etc/dhcp/dhclient.conf. Per ulteriori informazioni, consulta la documentazione del DNS interno.
Gestione dei pacchetti tra la rete VPC e l'esterno: I pacchetti in entrata o in uscita dalla rete VPC vengono gestiti dal codice di rete che esamina il pacchetto in base alle regole del firewall, alla tabella di ricerca IP esterna e alla tabella delle connessioni attive. La rete VPC esegue anche la NAT sui pacchetti che entrano e escono dalla rete VPC.
Pacchetti ricevuti da un'istanza: Questi pacchetti vengono ricevuti e trasformati in uno stream dal kernel dell'istanza in modo standard.
Pacchetti inviati da un'istanza: I pacchetti vengono inviati dal kernel dell'istanza nel modo standard. Le funzionalità di interfaccia e di rete sono modellate utilizzando il modulo di rete VIRTIO.

Procedura dettagliata per la connessione

Di seguito sono riportati ulteriori dettagli su cosa succede quando un'istanza effettua una chiamata alla rete VPC.

Un'istanza effettua una chiamata:

Se l'indirizzo di destinazione è un nome di istanza o un URL come www.google.com, l'istanza chiama il servizio DNS sul proprio server di metadati e riceve nuovamente l'indirizzo IP corrispondente. Puoi configurare l'istanza in modo che consulti un altro servizio DNS, ma in questo caso non potrai risolvere i nomi delle istanze.
L'indirizzo IP di destinazione viene esaminato in base all'intervallo di indirizzi IP della subnet, che è noto a ogni istanza.
1. Se l'indirizzo IP non si trova nella rete VPC corrente o in una rete VPC connessa tramite il peering di rete VPC:
  1. L'istanza invia il pacchetto all'indirizzo MAC del gateway della subnet con la destinazione impostata sulla destinazione finale del pacchetto. L'istanza potrebbe dover inviare una richiesta ARP per risolvere l'indirizzo MAC del gateway.
  2. La rete VPC riscrivi l'intestazione IP per dichiarare l'indirizzo IP esterno dell'istanza come origine. Se l'istanza non ha un indirizzo IP esterno, la chiamata non è consentita e la rete VPC elimina il pacchetto senza informare il mittente.
  3. La rete VPC registra il pacchetto in uscita e aggiunge l'origine e la destinazione alla tabella delle connessioni attive.
  4. La rete VPC inoltra il pacchetto alla destinazione.
  5. La destinazione riceve il pacchetto e risponde, se lo desidera.
  6. La rete VPC riceve la risposta, consulta la tabella delle connessioni attive, rileva che si tratta di una connessione attiva e la consente. La rete VPC consulta la propria tabella di ricerca della rete/dell'indirizzo IP esterno, sostituisce l'indirizzo IP esterno dell'istanza con l'indirizzo di rete corrispondente e invia il pacchetto all'istanza di origine.
  7. L'istanza riceve il pacchetto.
2. Se l'indirizzo IP di destinazione si trova all'interno della rete VPC o in una rete VPC connessa tramite il peering di rete VPC:
  1. L'istanza è configurata con un IP con maschera 255.255.255.255, quindi invia il pacchetto all'indirizzo MAC del gateway della sottorete. L'istanza potrebbe dover prima effettuare una richiesta ARP per risolvere l'indirizzo MAC del gateway.
  2. Google Cloud inoltra il pacchetto all'indirizzo IP di destinazione all'interno della rete VPC corrente o in peering.
  3. L'istanza di destinazione riceve il pacchetto. L'istanza di destinazione controlla il firewall in entrata per determinare se il pacchetto è consentito. In caso contrario, il pacchetto viene ignorato. In caso contrario, l'istanza elabora il pacchetto.

Un'istanza o un computer esterno chiama un'istanza:

L'utente esterno invia un pacchetto all'indirizzo IP esterno di un'istanza, che è di proprietà della rete VPC.
La rete VPC confronta il pacchetto con la tabella delle connessioni attive per verificare se si tratta di una connessione esistente:
1. Se non è una connessione esistente, la rete VPC cerca una regola del firewall per consentire la connessione.
2. Se non è presente una regola firewall, la rete VPC ignora il pacchetto senza informare il mittente.
Se esiste una connessione o una regola firewall valida, la rete VPC esamina la tabella di ricerca e sostituisce l'IP esterno con l'IP interno corrispondente nel pacchetto, registra il pacchetto in arrivo nella tabella delle connessioni attive e lo invia all'istanza di destinazione.
L'istanza riceve il pacchetto e risponde come descritto in Se l'indirizzo IP è esterno all'intervallo IP della rete VPC quando invia un pacchetto esterno all'intervallo di rete.
La rete VPC riceve la risposta, trova la richiesta in entrata corrispondente nella tabella delle connessioni attive e consente il passaggio del pacchetto. Prima dell'invio, modifica l'indirizzo IP di origine sostituendo l'IP interno dell'istanza con l'IP esterno corrispondente della tabella di ricerca.

Misurare la velocità effettiva della rete VPC

Per le istruzioni, consulta Calcolare il throughput della rete.

Passaggi successivi

Per scoprire di più sulle reti VPC, consulta Reti VPC.
Per creare, modificare ed eliminare le reti VPC, consulta Creare e gestire le reti VPC.