教學目標

學習 Google Cloud Platform 的心得分享,初步了解 Google Cloud 中有關虛擬私人雲端的重點概念。

重點概念

首先 Google Cloud 雲端中的虛擬私人雲端 (Virtual Private Cloud,VPC) 的範圍可以同時涵蓋多個地區,且無需透過公開網際網路進行通訊。在內部部署系統中,我們能夠使用同一個虛擬私人雲端的所有地區,並且共用虛擬私人雲端和內部部署資源之間的連結,這樣就不必為各個地區建立專屬的連結。此外我們能夠將 VPC 網路想像成實體網路,差別在於這個網路在 GCP 中已經虛擬化,並且 VPC 網路是全球的資源,由資料中心中的地區性虛擬子網路透過全球的網際網路連線所組成,而在 VPC 網路在邏輯上彼此獨立,以及所有 Compute Engine VM 執行個體、GKE 叢集及 App Engine 彈性環境執行個體皆需要透過虛擬私人雲端網路進通訊。

接著當我們建立虛擬私人雲端網路,主要能夠選擇自動模式和自訂模式虛擬私人雲端網路,又稱 VPC 網路,請注意每個 VPC 網路的名稱皆不能夠重複,其中所謂自動模式網路主要會在我們建立網路時,自動在每個 GCP 地區建立一個子網路,並且如果有新的地區可用,也會自動將這些地區的新子網路新增至自動模式的網路中,其 IP 範圍來自一組預先定義的範圍,子網路的 IP 範圍會在 10.128.0.0/9 CIDR 區塊內,自動模式網路在建立時會針對每個地區建構一個子網路,之後也會自動接收新地區中的新子網路。因此,系統會將 10.128.0.0/9 中未使用的部分保留下來,請注意每個子網路在主要 IP 範圍中都有四個保留的 IP 位址,分別為主要 IP 範圍中的第一個位址的網路、主要 IP 範圍中的第二個位址的預設閘道、主要 IP 範圍中的倒數第二個位址的保留項目和主要 IP 範圍中的最後一個位址的廣播。此外專案可包含多個虛擬私人雲端網路,並且新專案一開始即配有 default 網路,以及在每個地區都有一個子網路 ,也就是使用自動模式網路。

再來整個機構只要使用一個虛擬私人雲端 (Virtual Private Cloud,VPC),各個團隊就能在計費方式和配額各不相同的專案中獨立運作,同時共用一個私人 IP 空間,以及共享 VPN 或 Cloud Interconnect 等常用服務。共用虛擬私人雲端將,也就是 Shared VPC,其主要能夠將主專案中虛擬私人雲端網路的子網路匯出至同一個機構中的其他服務專案,並且服務專案中的執行個體可以使用主專案共用子網路中的網路連線。此外如果是的不同機構的虛擬私人雲端需要對等互連時,就會使用虛擬私人雲端網路對等互連,也就是 VPC Peering,其主要能夠將不同機構或相同機構中不同專案或相同專案的虛擬私人雲端網路進行對等互連。請注意如果有一個組織 A 需要在專案 A 中的網路 A 和專案 B 中的網路 B 之間建立 VPC 網路對等互連,為了成功建立 VPC 網路對等互連,網路 A 和網路 B 的管理員必須個別設定對等互連關聯。

最後每個 VPC 網路皆需要設定的分散式虛擬防火牆,透過防火牆規則,我們能夠控管哪些封包允許傳送到哪些目的地,並且每個 VPC 網路都設有兩個預設防火牆規則,分別會封鎖所有傳入連線以及允許所有傳出連線。此外雖然防火牆規則是在網路層級定義,但是否允許連線則取決於每個執行個體本身,則我們能夠想像成 GCP 防火牆規則不僅存在於執行個體與其它網路之間,也存在於相同網路的個別執行個體之間。

總結我們能夠基於虛擬私人雲端、子網路、對等互連和防火牆的基本概念在一個專案中建立兩個虛擬私人雲端 (VPC),在各自的子網路建立虛擬機器的執行個體,並且針對虛擬私人雲端網路進行對等互連,以及為每個VPC 網路設定虛擬防火牆。

相關資源