Rentang IP alias

Dengan rentang IP alias Google Cloud, Anda dapat menetapkan rentang alamat IP internal sebagai alias ke antarmuka jaringan virtual machine (VM). Hal ini berguna jika Anda memiliki beberapa layanan yang berjalan di VM dan ingin menetapkan alamat IP yang berbeda untuk setiap layanan. Rentang IP alias juga dapat digunakan dengan Pod GKE.

Jika hanya memiliki satu layanan yang berjalan di VM, Anda dapat mereferensikannya menggunakan alamat IP utama antarmuka. Jika memiliki beberapa layanan yang berjalan di VM, Anda dapat menetapkan alamat IP internal yang berbeda untuk setiap layanan. Anda dapat melakukannya dengan rentang IP alias.

Rentang CIDR utama dan sekunder subnet

Semua subnet memiliki rentang CIDR utama, yang merupakan rentang alamat IP internal yang menentukan subnet. Setiap instance VM mendapatkan alamat IP internal utamanya dari rentang ini. Anda juga dapat mengalokasikan rentang IP alias dari rentang utama tersebut, atau menambahkan rentang sekunder ke subnet dan mengalokasikan rentang IP alias dari rentang sekunder. Penggunaan rentang IP alias tidak require rentang subnet sekunder. Rentang subnet sekunder ini hanya menyediakan alat organisasi.

Rentang IP alias yang ditentukan dalam antarmuka jaringan VM

Dengan menggunakan alias IP, Anda dapat mengonfigurasi beberapa alamat IP internal, yang mewakili container atau aplikasi yang dihosting di VM, tanpa harus menentukan antarmuka jaringan terpisah. Anda dapat menetapkan rentang IP alias VM dari rentang utama atau sekunder subnet.

Mengonfigurasi rentang IP alias menjelaskan perintah untuk menyiapkan subnet dengan rentang sekunder dan untuk menetapkan alamat IP alias ke VM.

Diagram berikut memberikan ilustrasi dasar rentang CIDR utama dan sekunder serta rentang IP alias VM di antarmuka utama VM:

Rentang CIDR utama dan sekunder serta rentang IP alias VM (klik untuk
    memperbesar)
Rentang CIDR utama dan sekunder serta rentang IP alias VM (klik untuk memperbesar)
  • Rentang CIDR utama 10.1.0.0/16 dikonfigurasi sebagai bagian dari subnet.
  • Rentang CIDR sekunder 10.2.0.0/20 dikonfigurasi sebagai bagian dari subnet.
  • IP utama VM 10.1.0.2 dialokasikan dari rentang CIDR utama, 10.1.0.0/16, sementara rentang IP alias, 10.2.1.0/24, dialokasikan di VM dari rentang CIDR sekunder, 10.2.0.0/20.
  • Alamat dalam rentang IP alias digunakan sebagai alamat IP container yang dihosting di VM.

Manfaat utama rentang IP alias

Saat rentang IP alias dikonfigurasi, Google Cloud akan otomatis menginstal rute jaringan Virtual Private Cloud (VPC) untuk rentang IP utama dan alias untuk subnet antarmuka jaringan utama. Orkestrator container Anda tidak perlu menentukan konektivitas jaringan VPC untuk rute ini. Hal ini memudahkan perutean traffic dan pengelolaan container. Anda perlu melakukan konfigurasi sebagai tamu seperti yang dijelaskan dalam Properti kunci rentang IP Alias.

Saat alamat IP container dialokasikan oleh Google Cloud, proses validasi di Google Cloud memastikan bahwa alamat IP pod container tidak bertentangan dengan alamat IP VM.

Saat alamat IP alias dikonfigurasi, pemeriksaan anti-spoofing dilakukan terhadap traffic, yang memastikan bahwa traffic yang keluar dari VM menggunakan alamat IP VM dan alamat IP pod sebagai alamat sumber. Pemeriksaan anti-spoofing memverifikasi bahwa VM tidak mengirim traffic dengan alamat IP sumber arbitrer. Penggunaan rute statis untuk jaringan container bersifat kurang aman dibandingkan dengan pembuatan alias IP karena pemeriksaan anti-spoofing harus dinonaktifkan pada VM host container (pemeriksaan anti-spoofing dinonaktifkan ketika IP penerusan diaktifkan).

Rentang IP alias dapat dirutekan dalam jaringan virtual Google Cloud tanpa memerlukan rute tambahan. Anda tidak perlu menambahkan rute untuk setiap alias IP dan tidak perlu memperhitungkan kuota rute.

Alamat IP alias dapat diumumkan oleh Cloud Router ke jaringan lokal yang terhubung melalui VPN atau Interconnect.

Ada beberapa keuntungan dalam mengalokasikan rentang IP alias dari rentang CIDR sekunder. Dengan mengalokasikan dari rentang yang terpisah dari rentang yang digunakan untuk alamat IP utama, Anda dapat memisahkan infrastruktur (VM) dari layanan (container). Saat mengonfigurasi ruang alamat terpisah untuk infrastruktur dan layanan, Anda dapat menyiapkan kontrol firewall untuk alamat IP alias VM secara terpisah dari kontrol firewall untuk alamat IP utama VM. Misalnya, Anda dapat mengizinkan traffic tertentu untuk pod container dan menolak traffic serupa untuk alamat IP utama VM.

Arsitektur container di Google Cloud

Pertimbangkan skenario saat Anda ingin mengonfigurasi layanan dalam container di Google Cloud. Anda harus membuat VM yang akan menghosting layanan dan juga container.

Dalam skenario ini, Anda ingin merutekan traffic dari dan ke container ke dan dari lokasi lokal yang terhubung melalui VPN. Namun, Anda tidak ingin alamat IP VM utama dapat dijangkau melalui VPN. Untuk membuat konfigurasi ini, rentang IP container harus dapat dirutekan melalui VPN, tetapi bukan rentang IP utama VM. Pada waktu pembuatan VM, Anda juga ingin otomatis menetapkan kumpulan alamat IP yang digunakan untuk container tersebut.

Untuk membuat konfigurasi ini, lakukan hal berikut:

  • Saat membuat subnet, Anda harus mengonfigurasi
    • Satu rentang CIDR utama, misalnya, 10.128.0.0/16
    • Satu rentang CIDR sekunder, misalnya, 172.16.0.0/16
  • Gunakan template instance untuk membuat VM dan menetapkan setiap VM secara otomatis:
    • IP utama dari rentang 10.128.0.0/16
    • Rentang alias /24 dari ruang 172.16.0.0/16 CIDR sekunder, sehingga Anda dapat menetapkan IP untuk setiap container di VM dari rentang CIDR sekunder /24
  • Buat dua aturan firewall.
    • Satu aturan yang menolak traffic berpindah melintasi VPN dari infrastruktur lokal agar tidak mencapai rentang CIDR utama subnet.
    • Satu aturan yang mengizinkan traffic berpindah melintasi VPN dari infrastruktur lokal untuk mencapai rentang CIDR sekunder subnet.

Contoh: Mengonfigurasi container dengan rentang IP alias

Dengan menggunakan rentang IP alias, alamat IP container dapat dialokasikan dari rentang CIDR sekunder dan dikonfigurasi sebagai alamat IP alias di VM yang menghosting container.

Mengonfigurasi container dengan alamat IP alias (klik untuk
    memperbesar)
Mengonfigurasi container dengan alamat IP alias (klik untuk memperbesar)

Untuk membuat konfigurasi yang diilustrasikan di atas:

  1. Buat subnet dengan rentang CIDR 10.128.0.0/16, tempat alamat IP VM dialokasikan, dan rentang CIDR sekunder 172.16.0.0/20 untuk penggunaan eksklusif container, yang akan dikonfigurasi sebagai rentang IP alias di VM yang menghostingnya:

    gcloud compute networks subnets create subnet-a \
        --network network-a \
        --range 10.128.0.0/16 \
        --secondary-range container-range=172.16.0.0/20
    
  2. Buat VM dengan IP utama dari rentang 10.128.0.0/16 dan rentang IP alias 172.16.0.0/24 dari rentang CIDR sekunder 172.16.0.0/20 untuk container di VM tersebut yang akan digunakan:

    gcloud compute instances create vm1 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
    gcloud compute instances create vm2 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24
    
  3. Alamat IP container dikonfigurasi di Google Cloud sebagai alamat IP alias. Dalam penyiapan ini, baik IP utama maupun alias akan dapat dijangkau melalui tunnel VPN. Jika Cloud Router sudah dikonfigurasi, maka Cloud Router secara otomatis akan memberitahukan rentang subnet sekunder 172.16.0.0/20. Untuk mengetahui informasi selengkapnya tentang cara menggunakan VPN dengan Cloud Router, lihat Membuat tunnel VPN menggunakan perutean dinamis.

Untuk mengetahui informasi lebih lanjut tentang perintah yang digunakan untuk membuat konfigurasi ini, lihat Mengonfigurasi alamat dan rentang IP alias.

Contoh: Beberapa rentang IP alias yang dikonfigurasi dalam satu instance VM

Rentang IP alias memungkinkan Anda mengelola alokasi IP untuk aplikasi yang berjalan dalam VM, termasuk dengan container.

Anda mungkin memiliki deployment di mana beberapa container dapat dimigrasikan di seluruh VM, sedangkan sebagian tidak. Container yang dapat dimigrasikan dapat dikonfigurasi menggunakan rentang /32, sehingga memudahkan untuk memigrasikannya satu per satu. Penampung yang tidak dapat dimigrasikan dapat dikonfigurasi menggunakan rentang yang lebih besar, karena mereka akan tetap bersama-sama.

Dalam jenis deployment ini, Anda mungkin memerlukan lebih dari satu rentang IP alias per instance VM, misalnya /27 untuk container yang tidak dapat dimigrasikan dan beberapa rentang /32 untuk container yang dapat dimigrasikan.

Mengonfigurasi VM dengan beberapa rentang IP alias (klik untuk
    memperbesar)
Mengonfigurasi VM dengan beberapa rentang IP alias (klik untuk memperbesar)

Untuk mengonfigurasi contoh ini, gunakan perintah gcloud berikut:

gcloud compute networks create vpc1 --subnet-mode custom
gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20
gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"
gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"

Alamat IP alias dalam subnet dan jaringan VPC mode otomatis

Dalam jaringan VPC mode otomatis, satu subnet tersedia di setiap region. Subnet yang dibuat secara otomatis ini, masing-masing memiliki rentang CIDR utama, tetapi tidak memiliki rentang sekunder. Untuk menggunakan IP alias dengan jaringan VPC mode otomatis, Anda dapat mengalokasikan rentang IP alias dari rentang CIDR utama subnet yang dibuat secara otomatis atau menambahkan rentang sekunder ke subnet yang dibuat secara otomatis dan mengalokasikan rentang IP alias dari rentang sekunder baru.

Atau, Anda dapat membuat subnet baru dengan rentang sekunder di jaringan VPC mode otomatis selama rentangnya tidak tumpang tindih dengan 10.128.0.0/9. Selanjutnya, Anda dapat membuat instance VM di subnet baru dan mengalokasikan rentang IP alias dari rentang mana pun pada subnet tersebut.

Jika ingin menambahkan rentang sekunder ke subnet Anda, lihat Menambahkan rentang CIDR sekunder ke subnet yang ada.

Alamat IP alias dalam subnet dan jaringan mode kustom

Dalam jaringan mode kustom:

  • Semua subnet dibuat secara manual
  • Satu rentang CIDR utama wajib diisi.
  • Secara opsional, Anda dapat membuat rentang CIDR sekunder.

Properti kunci rentang IP alias

Properti berikut berlaku untuk rentang IP alias yang dikonfigurasi di VM:

  • Dari perspektif OS VM, alamat IP utama dan gateway default biasanya dialokasikan menggunakan DHCP. Alamat IP alias dapat dikonfigurasi di OS VM, biasanya Linux atau Windows, secara manual atau dengan menggunakan skrip.
  • Alamat IP utama dan rentang IP alias antarmuka harus dialokasikan dari rentang CIDR yang dikonfigurasi sebagai bagian dari subnet yang sama. Perhatikan persyaratan berikut:
    • Alamat IP utama harus dialokasikan dari rentang utama CIDR.
    • Rentang IP alias dapat dialokasikan dari rentang CIDR utama atau rentang CIDR sekunder pada subnet yang sama.
    • Untuk antarmuka jaringan VM, IP alias harus berasal dari resource subnet yang sama yang menyediakan alamat IP untuk antarmuka jaringan utama. Anda tidak dapat memilih rentang CIDR utama atau sekunder dari resource subnet lain.
    • Alamat IP utama dapat berupa alamat IP internal statis atau sementara.
    • Rentang IP alias bersifat opsional dan tidak ditambahkan secara otomatis. Rentang IP alias dapat dikonfigurasi selama pembuatan atau modifikasi instance.
    • Rentang IP alias dapat dikonfigurasi sebagai rentang CIDR eksplisit (misalnya, 10.128.1.0/24), alamat IP tunggal (misalnya, 10.128.7.29/32), atau sebagai netmask (/24). Rentang IP alias dapat sepenuhnya ditentukan atau dialokasikan secara otomatis dengan menentukan netmask.
    • Untuk menggunakan satu alamat IP dalam rentang IP alias, gunakan netmask /32.
    • Karena semua subnet di jaringan VPC berbagi satu gateway default, semua alamat IP alias dalam antarmuka memiliki gateway default yang sama dengan alamat IP utama.
    • Anda tidak dapat menggunakan alamat IP yang dicadangkan dalam rentang IP alias.
IP alias dalam antarmuka memiliki gateway default yang sama dengan alamat IP utama (klik untuk memperbesar)
IP alias dalam antarmuka memiliki gateway default yang sama dengan alamat IP utama (klik untuk memperbesar)

DNS dengan alamat IP alias

Google Cloud otomatis mengonfigurasi DNS internal untuk IP utama antarmuka utama setiap instance VM. Tindakan ini mengaitkan nama host instance dengan alamat IP utama antarmuka utama. Namun, pencarian DNS pada nama host tersebut hanya berfungsi di jaringan yang berisi antarmuka utama.

Google Cloud tidak secara otomatis mengaitkan alamat IP lain dengan nama host. Google Cloud tidak mengaitkan alamat IP alias di antarmuka utama dengan nama host, dan tidak mengaitkan alamat IP antarmuka sekunder dengan nama host.

Anda dapat mengonfigurasi DNS secara manual untuk mengaitkan alamat IP lainnya.

Firewall

Semua traffic masuk atau keluar, termasuk traffic untuk rentang IP Alias, dievaluasi oleh aturan firewall VPC untuk tag target atau akun layanan target yang cocok. Untuk mengetahui detail tentang target dan IP Alias, lihat Target dan alamat IP.

Rentang IP alias tidak disertakan jika Anda menentukan sumber untuk aturan firewall masuk menggunakan tag sumber atau akun layanan sumber.

Rute statis

Saat Anda membuat rute statis yang menggunakan instance next hop yang ditentukan oleh alamat IPv4 internal, Google Cloud akan memverifikasi bahwa alamat IP VM next hop sesuai dengan rentang subnet IPv4 dari subnet di Jaringan VPC rute. Namun, Google Cloud akan memprogram rute hanya jika alamat next hop adalah alamat IPv4 internal utama yang ditetapkan ke antarmuka jaringan (NIC) VM di jaringan VPC rute (bukan jaringan VPC yang di-peering).

Meskipun Anda dapat membuat rute yang alamat next hop-nya adalah alamat IPv4 internal yang sesuai dengan rentang IP alias, Google Cloud tidak akan memprogram rute tersebut—Google Cloud menganggap next hop-nya tidak berfungsi. Paket yang dikirim ke tujuan rute dapat dihapus, bergantung pada apakah rute lain untuk tujuan yang sama ada dan apakah rute lain tersebut memiliki next hop yang sedang berjalan.

Untuk informasi selengkapnya, lihat:

Peering Jaringan VPC

Peering Jaringan VPC memungkinkan Anda melakukan peering dua jaringan VPC, sehingga VM di dua jaringan dapat berkomunikasi melalui alamat IP pribadi internal.

Rentang IP utama dan sekunder subnet dapat dijangkau oleh instance VM dalam jaringan yang di-peering.

Pemeriksaan tumpang-tindih subnet di seluruh jaringan yang di-peering memastikan bahwa rentang utama dan sekunder tidak tumpang tindih dengan rentang yang di-peering.

Pembuatan alias IP dengan peering jaringan (klik untuk memperbesar)
Pembuatan alias IP dengan peering jaringan (klik untuk memperbesar)

Langkah selanjutnya