Intervalli IP alias

Gli intervalli IP alias di Google Cloud ti consentono di assegnare intervalli di indirizzi IP interni come alias delle interfacce di rete di una macchina virtuale (VM). Questo è è utile se hai più servizi in esecuzione su una VM e vuoi assegnarli un indirizzo IP diverso. Gli intervalli IP alias funzionano anche Pod GKE.

Se hai un solo servizio in esecuzione su una VM, puoi farvi riferimento utilizzando il metodo all'indirizzo IP principale dell'interfaccia. Se hai più servizi in esecuzione una VM, è consigliabile assegnare a ciascuna un indirizzo IP interno diverso. Puoi fai questo con intervalli IP alias.

Intervalli CIDR primari e secondari delle subnet

Tutte le subnet hanno un intervallo CIDR principale, ovvero di indirizzi IP interni che definiscono la subnet. Ogni VM l'istanza riceve il suo indirizzo IP interno principale da questo intervallo. Puoi anche alloca gli intervalli IP alias di quell'intervallo principale oppure puoi aggiungere alla subnet e alloca gli intervalli IP alias dall'intervallo secondario. L'utilizzo di intervalli IP alias non richiede intervalli di subnet secondari. Questi gli intervalli di subnet secondarie forniscono solo uno strumento organizzativo.

Intervalli IP alias definiti in un'interfaccia di rete VM

Con l'aliasing IP, puoi configurare più indirizzi IP interni, che rappresentano di container o applicazioni ospitate in una VM, senza dover definire a riga di comando gcloud. Puoi assegnare intervalli IP alias alle VM dall'account della subnet primari o secondari.

Configurare intervalli IP alias descrive i comandi per configurare una subnet con intervalli secondari per assegnare indirizzi IP alias alle VM.

Il seguente diagramma fornisce un'illustrazione di base degli ambienti primari e secondari Intervalli CIDR e intervalli IP alias VM nell'interfaccia principale della VM:

Intervalli CIDR primari e secondari e intervalli IP alias VM (fai clic per ingrandire)
Intervalli CIDR primari e secondari e intervalli IP alias VM (fai clic per ingrandire)
  • Un intervallo CIDR primario 10.1.0.0/16 è configurato come parte di una subnet.
  • Un intervallo CIDR secondario 10.2.0.0/20 è configurato come parte di una subnet.
  • L'IP principale della VM 10.1.0.2 è allocato dall'intervallo CIDR primario, 10.1.0.0/16, mentre un intervallo IP alias, 10.2.1.0/24, è allocato nella VM dell'intervallo CIDR secondario, 10.2.0.0/20.
  • Gli indirizzi nell'intervallo IP alias vengono utilizzati come indirizzi IP del di container ospitati nella VM.

Vantaggi principali degli intervalli IP alias

Quando vengono configurati gli intervalli IP alias, Google Cloud installa automaticamente la rete Virtual Private Cloud (VPC) per gli intervalli IP principali e alias per la subnet della rete principale a riga di comando. Lo strumento di orchestrazione di container non devi specificare la connettività di rete VPC per queste route. Ciò semplifica l'indirizzamento del traffico e la gestione dei container. Devi eseguire l'accesso come ospite configurazione come descritto in Proprietà della chiave degli intervalli IP alias.

Quando gli indirizzi IP dei container vengono allocati da Google Cloud, i processi di convalida in Google Cloud per assicurarti che gli indirizzi IP dei pod dei container non siano in conflitto con gli indirizzi IP delle VM.

Quando vengono configurati gli indirizzi IP alias, vengono eseguiti i controlli anti-spoofing dal traffico, assicurandosi che il traffico in uscita dalle VM utilizzi indirizzi IP e pod delle VM come indirizzi di origine. I controlli anti-spoofing verificano che le VM non inviare traffico con indirizzi IP di origine arbitrari. Utilizzo di route statiche per il networking dei container sarebbe un approccio meno sicuro rispetto all'IP l'aliasing perché richiederebbe la disattivazione dei controlli anti-spoofing le VM host dei container (i controlli anti-spoofing sono disabilitati quando l'IP forwarding è attivata).

Gli intervalli IP alias sono instradabili all'interno della rete virtuale Google Cloud senza richiedere percorsi aggiuntivi. Non è necessario aggiungere una route per ogni alias IP non devi tenere conto delle quote di route.

Gli indirizzi IP alias possono essere annunciati Router Cloud a un server on-premise connessa tramite VPN o Interconnect.

Ci sono vantaggi nell'allocazione di intervalli IP alias da un server Intervallo CIDR. L'allocazione da un intervallo separato da quello utilizzato per indirizzi IP principali, puoi separare l'infrastruttura (VM) dai servizi (container). Quando configuri spazi di indirizzi separati per l'infrastruttura e servizi, puoi configurare i controlli firewall per gli indirizzi IP alias delle VM separatamente dai controlli firewall per gli indirizzi IP principali di una VM. Per Ad esempio, puoi consentire un determinato traffico per i pod di container e rifiutare per l'indirizzo IP principale della VM.

Architettura dei container in Google Cloud

Considera uno scenario in cui vuoi configurare servizi containerizzati su il meglio di Google Cloud. Devi creare le VM che ospiteranno i servizi e infine i container.

In questo scenario, vuoi instradare il traffico da e verso i container a da località on-premise connesse tramite VPN. Tuttavia, non gli indirizzi IP delle VM principali siano raggiungibili tramite la VPN. Per creare questa configurazione, l'intervallo IP del container deve essere instradabile attraverso la VPN, ma non con l'intervallo IP principale della VM. Quando crei la VM, vuoi anche ad assegnare automaticamente un pool di indirizzi IP utilizzati per il container.

Per creare questa configurazione, segui questi passaggi:

  • Quando crei la subnet, configuri
    • Un intervallo CIDR principale, ad esempio 10.128.0.0/16
    • Un intervallo CIDR secondario, ad esempio 172.16.0.0/16
  • Utilizza un modello di istanza per creare le VM e assegnare automaticamente a ciascuna seguenti:
    • Un IP principale dell'intervallo 10.128.0.0/16
    • Un intervallo alias /24 dallo spazio CIDR secondario 172.16.0.0/16, in modo da poter assegnare a ogni container su una VM un IP dall'/24 Intervallo CIDR
  • Crea due regole firewall.
    • Una regola che nega il traffico che viaggia attraverso la VPN da on-premise dal raggiungere l'intervallo CIDR primario della subnet.
    • Una regola che consente al traffico di viaggiare attraverso la VPN on-premise per raggiungere l'intervallo CIDR secondario della subnet.

Esempio: configurare i container con intervalli IP alias

Utilizzando gli intervalli IP alias, gli indirizzi IP dei container possono essere allocati da un nell'intervallo CIDR e configurato come indirizzi IP alias nella VM che ospita containerizzato.

Configurazione di container con indirizzi IP alias (fai clic per ingrandire)
Configurazione di container con indirizzi IP alias (fai clic per ingrandire)

Per creare la configurazione illustrata sopra:

  1. Crea una subnet con un CIDR intervallo 10.128.0.0/16, da cui sono allocati gli indirizzi IP delle VM, e un CIDR secondario l'intervallo 172.16.0.0/20 per l'uso esclusivo dei container, che verrà configurato come intervalli IP alias nella VM che li ospita:

    gcloud compute networks subnets create subnet-a \
    --network network-a \
    --range 10.128.0.0/16 \
    --secondary-range container-range=172.16.0.0/20

  2. Crea VM con un IP primario nell'intervallo 10.128.0.0/16 e un intervallo IP alias 172.16.0.0/24 dall'intervallo CIDR secondario 172.16.0.0/20 per i container nella VM per usare:

    gcloud compute instances create vm1 [...] \
    --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
gcloud compute instances create vm2 [...] \
    --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24

  3. Gli indirizzi IP dei container sono configurati in Google Cloud come indirizzi IP alias. In questo configurazione, sia gli IP principali che quelli alias saranno raggiungibili tramite la VPN tunnel. Se il router Cloud è configurato, annuncierà automaticamente la subnet secondaria è 172.16.0.0/20. Per ulteriori informazioni sull'utilizzo per la VPN con il router Cloud, consulta Creazione di un tunnel VPN utilizzando il routing dinamico.

Per ulteriori informazioni sui comandi utilizzati per creare questa configurazione, consulta Configura indirizzi e intervalli IP alias.

Esempio: diversi intervalli IP alias configurati in una singola istanza VM

Gli intervalli IP alias consentono di gestire l'allocazione degli IP per le applicazioni in esecuzione all'interno delle VM, anche con i container.

Potresti avere un deployment in cui è possibile eseguire la migrazione di alcuni container tra le VM e altri no. I container di cui è possibile eseguire la migrazione possono essere configurati utilizzando /32 di rete, semplificando la migrazione individuale. Non idoneo alla migrazione i container possono essere configurati con un intervallo più ampio, in quanto in sinergia.

In questo tipo di deployment, potresti richiedere più di un IP alias di intervallo per istanza VM, ad esempio /27 per container non di cui è possibile eseguire la migrazione diversi /32 per i container di cui è possibile eseguire la migrazione.

Configurazione delle VM con più intervalli IP alias (fai clic per ingrandire)
Configurazione di VM con più intervalli IP alias (fai clic per ingrandire)

Per configurare questo esempio, utilizza i seguenti comandi gcloud:

gcloud compute networks create vpc1 --subnet-mode custom

gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20

gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"

gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"

Indirizzi IP alias nelle reti e nelle subnet VPC in modalità automatica

Le subnet create automaticamente nelle reti VPC in modalità automatica sono ognuna hanno un intervallo CIDR primario, ma non a un intervallo secondario. Per utilizzare l'IP alias con una funzione di rete VPC dalla modalità standard, puoi allocare intervalli IP alias l'intervallo CIDR principale della subnet creato automaticamente aggiungi un intervallo secondario alla subnet creata automaticamente e alloca gli intervalli IP alias dal nuovo intervallo secondario.

In alternativa, puoi crea una nuova subnet con intervalli secondari nella rete VPC in modalità automatica purché nessuno dei suoi che si sovrappongono a 10.128.0.0/9. Puoi quindi creare istanze VM nuova subnet e allocare intervalli IP alias da qualsiasi intervallo su quella subnet.

Se vuoi aggiungere intervalli secondari alla tua subnet, consulta Aggiungi intervalli CIDR secondari a una subnet esistente.

Indirizzi IP alias in reti e subnet in modalità personalizzata

Nelle reti in modalità personalizzata:

  • Tutte le subnet vengono create manualmente
  • Un intervallo CIDR primario è obbligatorio.
  • Facoltativamente, puoi creare intervalli CIDR secondari.

Proprietà chiave degli intervalli IP alias

Le seguenti proprietà si applicano agli intervalli IP alias configurati nelle VM:

  • Dal punto di vista del sistema operativo delle VM, l'indirizzo IP principale e vengono allocati tramite DHCP. Gli indirizzi IP alias possono essere configurati nel sistema operativo delle VM, che in genere è Linux o Windows, manualmente utilizzando gli script.
  • L'indirizzo IP principale e l'intervallo IP alias dell'interfaccia devono essere allocati da intervalli CIDR configurati come parte della stessa subnet. Tieni presente i seguenti requisiti:
    • L'indirizzo IP primario deve essere allocato dal CIDR primario intervallo.
    • L'intervallo IP alias può essere allocato dall'istanza principale o da un intervallo CIDR secondario della stessa subnet.
    • Per un'interfaccia di rete VM, l'IP alias deve provenire dalla stessa subnet che fornisce l'indirizzo IP per l'interfaccia di rete principale. Non puoi selezionare un intervallo CIDR primario o secondario da un'altra subnet risorsa.
    • L'indirizzo IP principale può essere un indirizzo IP interno statico o temporaneo.
    • Gli intervalli IP alias sono facoltativi e non vengono aggiunti automaticamente. È possibile configurare un intervallo IP alias durante la creazione dell'istanza modifica.
    • Un intervallo IP alias può essere configurato come intervallo CIDR esplicito (ad esempio, 10.128.1.0/24), un singolo indirizzo IP (ad esempio, 10.128.7.29/32) o come netmask (/24). Un intervallo IP alias può essere completamente specificati o allocati automaticamente specificando la netmask.
    • Per utilizzare un singolo indirizzo IP in un intervallo IP alias, utilizza /32 netmask.
    • Poiché tutti subnet in una rete VPC condividono un singolo gateway predefinito, tutti gli IP alias gli indirizzi IP all'interno di un'interfaccia condividono lo stesso gateway all'indirizzo IP principale.
    • Non puoi utilizzare indirizzi IP riservati negli intervalli IP alias.
. Gli IP alias all'interno di un'interfaccia condividono lo stesso gateway predefinito Indirizzo IP principale (fai clic per ingrandire)
Gli IP alias all'interno di un'interfaccia condividono lo stesso gateway predefinito come indirizzo IP principale (fai clic per ingrandire)

DNS con indirizzi IP alias

Google Cloud configura automaticamente il DNS interno per l'IP principale dell'istanza principale a ogni istanza VM. che associa il nome host dell'istanza l'indirizzo IP principale dell'interfaccia principale. Tuttavia, la ricerca DNS su tale nome host funziona solo nella rete che contiene l'interfaccia principale.

Google Cloud non associa automaticamente altri indirizzi IP al nome host. Google Cloud non associa indirizzi IP alias nell'interfaccia principale con il nome host e non associa alcun indirizzo IP di un si interfaccia con il nome host.

Puoi configurare manualmente il DNS per associare altri indirizzi IP.

Firewall

Tutto il traffico in entrata o in uscita, incluso quello per intervalli IP alias, viene valutato da una regola firewall VPC per un tag target corrispondente o l'account di servizio di destinazione. Per maggiori dettagli sulle destinazioni e sugli IP alias, consulta Destinazioni e indirizzi IP.

Gli intervalli IP alias non sono inclusi quando specifica le origini di un traffico in entrata una regola firewall utilizzando tag di origine o account di servizio di origine.

Route statiche

Quando crei una route statica che utilizza un'istanza di hop successivo specificata da un indirizzo IPv4 interno, Google Cloud verifica che l'IP della VM dell'hop successivo questo indirizzo rientri in un intervallo IPv4 di una subnet nel rete VPC. Tuttavia, Google Cloud programma la route solo se l'indirizzo dell'hop successivo è un indirizzo IPv4 interno primario assegnato al interfaccia di rete (NIC) nella rete VPC della route (non è rete VPC in peering).

Sebbene sia possibile creare una route il cui indirizzo dell'hop successivo è un IPv4 interno che rientri in un intervallo IP alias, Google Cloud non programma questa route: Google Cloud considera non disponibile l'hop successivo. Pacchetti inviati alla destinazione del percorso potrebbero essere annullati, a seconda che esistono per la stessa esatta destinazione e se quelle altre route sono in esecuzione hop successivi.

Per ulteriori informazioni, vedi:

Peering di rete VPC

Il peering di rete VPC consente di eseguire il peering di due reti VPC in modo da le VM nelle due reti possono comunicare tramite indirizzi IP interni e privati.

Sia gli intervalli IP principali che quelli secondari di una subnet sono raggiungibili dalle istanze VM in una rete in peering.

I controlli di sovrapposizione delle subnet nelle reti in peering assicurano gli intervalli primari e secondari non si sovrappongono ad alcun intervallo in peering.

Alias IP con peering di rete (fai clic per ingrandire)
Alias IP con peering di rete (fai clic per ingrandire)

Passaggi successivi