[Day7] Virtual Networks

今天来介绍虚拟网路的部分，既然我们都有各种的虚拟机器、虚拟服务，那想当然，这些服务就是透过虚拟网路进行连线。虚拟网路如同现实网路一样，也有许多需要在意与设定的地方，例如 IP 、 Routing 或防火墙等。

VPC

虚拟私人网路 (VPC, Virtual Private Cloud) ， 就如同现实生活中的 LAN ， 可以将虚拟网路彼此的进行连接或隔离。 一个 Project 预设可以有 5 个虚拟网路，这些网路除了自己使用之外，也可以跟其他的 Project 互相共享。这些虚拟网路中的 IP 没有严格的限制范围；我们也可以设定自己在欧洲与亚洲的机器於同一个区网内。我们也可以藉由 Cloud VPN 等方式将自己地端的设备接入云端，Cloud VPN 相关技术将於之後的文章再跟大家介绍。

VPC 在 Google Cloud 中有三种模式，分别是 Default 、 Auto 与 Custom

Default Mode

在每一个 Project 中都会预设一个 Default Mode 的网路，他们在每一个 Region (可跨 Zone) 中都是一个 Subnet，所以，它有预设的防火墙 Rule。事实上， Default Mode 的 VPC 网路，就是透过接下来要介绍的 Auto Mode 生出来的。

Auto Mode

Auto Mode 如同 Default Mode，它会自动生成，每一个 Region 中会有一个 Subnet，而每一个 Subnet 预设的 IP Range 使用了 /20 的子网路遮罩，最高可以扩充为 /16。

Custom Mode

Custom Mode 不会自动的生成任何的子网路，可以完全的自由设定子网路，只要 IP 位置不要互相重叠即可。这边设定的 IP 位置需要符合 RFC 1918。也就是下列三大区段

• 24 bit 区段
  • 10.0.0.0 – 10.255.255.255
  • 10.0.0.0/8
• 20 bit 区段
  • 172.16.0.0 – 172.31.255.255
  • 172.16.0.0/12
• 16 bit 区段
  • 192.168.0.0 – 192.168.255.255
  • 192.168.0.0/16

我们可以自由地将任何的 Mode 转换为 Custom Mode 以设定更多自己的需求，但我们不能将 Custom Mode 重新的转换为 Auto Mode。

IP Address

在 GCP 中，每个 VM 可以有两个 IP， 其中一个是 Internal IP ， 而另外一个则是 External IP。 Internal IP 是依照 Subnet 透过 DHCP ， 每 24 小时自动更新一次的，且 VM 名称与 IP 会被注册在 Network-scoped DNS 之中； External IP 则有两种，固定式 IP 以及浮动式 IP，不过 VM 不会知道自己的 External IP 是多少，它们是透过 Internal IP 进行自动 mapping 的。

Network-scoped DNS 对应的 Doamin，其 FQDN 为 [hostname].[zone].c.[project-id].internal，会藉由 internal DNS resolver (169.254.169.254)进行处理。

Firewall

VPC 的连线会经过防火墙，而防火墙的规则会套用到整的网路中，在预设状态下，防火墙的规则为：禁止所有的入口(Ingress)，以及允许所有的出口(Egress)。我们可以依照指定的规则，对输入输出的 IP 位置、 Protocol 以及 Port 进行设定，设定为 Allow 或 Deny。也可以藉由 VM 的 Network Tag 对於特定的 VM 及群组进行设定。