最近参加谷歌的云服务架构师的考试，趁现在把知识整理一下。
VPC network的话对于用过云服务的人来说应该是个很基础的概念。它就是物理网络的虚拟版（virtual private cloud network）

network

GCP的VPC network这个概念，相比其他一些云服务如aws，有些特殊。
它本身没有ip地址范围。
VPC network是跨所有区域(region)的
VPC network下可以分子网。
子网拥有ip地址范围,可选择RPC 1918的任何任何区段。
子网只能建立在一个区域(region)上，子网无法跨区域。

region, zone

简单说一下region和zone。
region是一个地理上的概念。如London, Los Angeles。亚洲的话有Hong Kong, Tokyo, Singapore, Taiwan等（没有天朝大陆orz）。
region之下还分zone。如下图黑色框的代表zone。
zone容易被联想成一个数据中心。但据谷歌说一个zone里也有可能有多个数据中心。

当你要在gcp上创建一台虚拟机（gcp的话叫compute engine），虚拟机隶属于某一个zone。这个也很好理解，现实就是在某个数据中心创建了一台虚拟机。所以虚拟机必然和某个zone是绑定的。
而刚才说过子网(subnet)，它是和某个region绑定的，换言之，一个子网是跨region下的所有zone的。

重复一下子网无法跨region

通信

在VPC上的虚拟机有两种ip地址，外部ip地址和内部ip地址。默认情况下，当虚拟机被创建时，它会被赋予外部ip和内部ip。

在VPC network内的虚拟机可以通过内部ip通信。如下图，即使是位于不同region的虚拟机也可以通过内部ip来通信。

虚拟机的外部ip用于与VPC network外部的通信。比如在VPC上建立了两个VPC network,位于两个网络里的虚拟机需要用外部ip来通信。

另外如果虚拟机需要直接访问因特网，它必须有外部ip，外部ip会成为请求的发起地址。
当然，很多情况下我们不想把虚拟机暴露给外部，这种情况下我们可以移除虚拟机的外部ip。如果我们还是需要虚拟机访问外网时，则需要自己用另一台虚拟机做NAT gateway。

子网创建模式

VPC network有两种子网创建模式，自动模式与自定义模式。在创建VPC network时可以指定。
选择自动模式的话，在每个region下都会自动创建一个子网（地址范围是10.128.0.0/9中的区块），之后根据需求还可以手动增加子网。
选择自定义模式的话，没有子网会被自动创建。所有的子网都必须自己来创建是比较麻烦，但哪个region用什么地址范围全部可以有自己决定，有更高的自由度。

防火墙规则(firewall rules)

VPC network中通过防火墙规则来限制子网内的虚拟机与外部的通信。
以虚拟机为目标，把通信简单分成进(ingress)和出(egress)。

对于ingress。防火墙规则设置许可的规则（allow）。比如允许来自192.168.1.1对虚拟机80端口的访问。默认情况下，虚拟机禁止一切ingress通信。
对于egress，防火墙规则设置屏蔽规则(deny)。比如不允许虚拟机对192.168.1.2的访问。默认情况下，虚拟机对egress没有任何限制。

以上就是谷歌云服务关于VPC network的几个大的概念。光从名词上来看VPC network, subnet这些都和aws大同小异，aws的secruity group和gcp的firewall rules相类似。但VPC network的区别还是比较大的。比如aws的VPC network只能限定在某一个region。
今后还会继续整理谷歌云服务的一些知识。