Uma rede de nuvem privada virtual (VPC) é uma versão virtual de uma rede física, implementada dentro da rede de produção do Google, usando Andromeda. Uma rede VPC fornece o seguinte:
- Fornece conectividade para suas instâncias de máquina virtual (VM) do Compute Engine, incluindo clusters do Google Kubernetes Engine (GKE), ambiente flexível do App Engine e outros produtos do Google Cloud baseados em VMs do Compute Engine.
- Oferece balanceamento de carga TCP/UDP interno nativo e sistemas de proxy para balanceamento de carga HTTP(S) interno.
- Conecta-se a redes locais usando túneis do Cloud VPN e anexos do Cloud Interconnect.
- Distribui o tráfego dos balanceadores de carga externos do Google Cloud para back-ends.
Os projetos podem conter várias redes VPC. A menos que você crie uma política organizacional que proíba isso, os novos projetos começam com uma rede padrão (uma rede VPC de modo automático) que tem uma sub-rede (sub-rede) em cada região.
Importante: esta página descreve as redes VPC, que são diferentes das redes legadas. As redes legadas não podem mais ser criadas e não são recomendadas para produção porque não são compatíveis com recursos avançados de rede. É possível converter uma rede legada em uma rede VPC. Para ver o tipo da sua rede, consulte Visualizar as redes.
Especificações
As redes VPC têm as seguintes propriedades:
-
Redes VPC, inclusive as rotas associadas e regras de firewall, são recursos globais. Elas não estão associadas a nenhuma região ou zona específica.
-
Sub-redes são recursos regionais.
-
Cada sub-rede define um intervalo de endereços IPv4. Sub-redes em redes VPC no modo personalizado também podem ter um intervalo de endereços IPv6.
-
O tráfego para instâncias e a partir delas pode ser controlado com regras de firewall da rede. As regras são implementadas nas próprias VMs, portanto, o tráfego só pode ser controlado e registrado quando sai ou chega a uma VM.
-
Os recursos em uma rede VPC podem se comunicar uns com os outros por meio de endereços IPv4 internos, endereços IPv6 internos ou endereços IPv6 externos, sujeitos às regras de firewall de rede aplicáveis. Para mais informações, consulte Comunicação dentro da rede.
-
Instâncias com endereços IPv4 ou IPv6 internos podem se comunicar com serviços e APIs do Google. Para mais informações, consulte Opções de acesso privado para serviços.
-
A administração da rede pode ser protegida usando papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês).
-
Uma organização pode usar a VPC compartilhada para manter uma rede VPC em um projeto host comum. Os membros autorizados do Cloud IAM de outros projetos na mesma organização podem criar recursos que usem sub-redes da rede VPC compartilhada.
-
As redes VPC podem ser conectadas a outras redes VPC em diferentes projetos ou organizações usando o Peering de rede VPC.
-
As redes VPC podem ser conectadas com segurança em ambientes híbridos usando Cloud VPN ou Cloud Interconnect.
-
As redes VPC são compatíveis com o tráfego GRE, incluindo o tráfego no Cloud VPN e no Cloud Interconnect. As redes VPC não são compatíveis com GRE para Cloud NAT ou para regras de encaminhamento de balanceamento de carga e encaminhamento de protocolo. A compatibilidade com GRE permite que você encerre o tráfego GRE de uma VM da Internet (endereço IP externo) e do Cloud VPN ou do Cloud Interconnect (endereço IP interno). O tráfego delimitado pode ser encaminhado para um destino acessível. O GRE permite que você use serviços como o Secure Access Service Edge (SASE) e o SD-WAN.
Redes e sub-redes
Uma rede precisa ter pelo menos uma sub-rede para que você possa usá-la. As redes VPC de modo automático criam sub-redes em cada região automaticamente. As redes VPC do modo personalizado começam sem sub-redes, o que proporciona controle total sobre a criação de sub-redes. É possível criar mais de uma sub-rede por região. Para informações sobre as diferenças entre as redes VPC de modo automático e modo personalizado, consulte Tipos de redes VPC.
Ao criar um recurso no Google Cloud, você escolhe uma rede e uma sub-rede. Para recursos que não sejam modelos de instância, você também precisa selecionar uma zona ou região. Selecionar uma zona escolhe implicitamente a região pai. Como as sub-redes são objetos regionais, a região selecionada para um recurso determina as sub-redes que ele pode usar:
-
Ao criar uma instância, você seleciona uma zona para ela. Se você não selecionar uma rede para a VM, será usada a rede VPC padrão, que tem uma sub-rede em cada região. Se você selecionar uma rede para a VM, é necessário selecionar uma rede que tenha uma sub-rede na região pai da zona selecionada.
-
Ao criar um grupo gerenciado de instâncias, você seleciona uma zona ou região, dependendo do tipo de grupo e de um modelo de instância. O modelo de instância define qual rede VPC usar. Portanto, ao criar um grupo gerenciado de instâncias, você precisa selecionar um modelo de instância com a configuração adequada. O modelo precisa especificar uma rede VPC que tenha sub-redes na zona ou região selecionada. As redes VPC de modo automático sempre têm uma sub-rede em cada região.
-
O processo de criação de um cluster de contêineres do Kubernetes envolve a seleção de uma zona ou região (dependendo do tipo de cluster), uma rede e uma sub-rede. Selecione uma sub-rede disponível na zona ou região selecionada.