Planificación de direcciones IP

En esta guía se ofrece una descripción general de la planificación de direcciones IP para entornos aislados de Google Distributed Cloud (GDC). Una gestión eficaz de las direcciones IP es fundamental para que la implementación, el funcionamiento y el escalado de tu solución aislada de GDC sean un éxito.

Este documento está dirigido a:

  • Operadores de infraestructura (IOs): personas o equipos responsables de la planificación, la implementación y el funcionamiento generales de una zona aislada de un centro de datos de Google, incluida la infraestructura de red subyacente y la creación de organizaciones de clientes.

Información general sobre el producto

Google Distributed Cloud (GDC) con air gap es una solución integrada de hardware y software que te permite ejecutar tecnologías en la nube en entornos con estrictas restricciones de seguridad o soberanía, completamente desconectados de las nubes públicas. GDC 1.14 introduce mejoras significativas en el diseño y la red de clústeres, incluido un único clúster de infraestructura por organización y funciones avanzadas de redes de nube privada virtual (VPC).

Es fundamental planificar cuidadosamente las direcciones IP en GDC aislado para lo siguiente:

  • Aislamiento: segmentación de red adecuada entre los distintos inquilinos (organizaciones) y entre los planos de gestión y de datos.
  • Escalabilidad: espacio de direcciones IP suficiente para las cargas de trabajo actuales y futuras, incluidas las máquinas virtuales, los contenedores y los servicios.
  • Conectividad: enrutamiento y accesibilidad correctos para todos los componentes del entorno aislado de GDC y para las redes externas, según sea necesario.
  • Cumplimiento: cumplimiento de esquemas de direccionamiento de red o restricciones específicos obligatorios en tu entorno.

La arquitectura de GDC utiliza instancias de enrutamiento y reenvío virtuales (VRF) para conseguir el aislamiento y la segmentación de la red. Es fundamental saber qué espacios de direcciones IP gestiona la IO y cuáles la PA para planificar correctamente. Planificación de direcciones de red con ámbito de pedido de inserción

Planificación de IPs de zona

Como operador de infraestructura, debes planificar el espacio de direcciones IP básico de toda la zona aislada de la GDC. Esto incluye las redes de la infraestructura principal de la zona, los servicios compartidos y los segmentos de red iniciales necesarios para iniciar nuevas organizaciones.

Redes de infraestructura de zonas

La IO aprovisiona las redes de infraestructura de las zonas durante el arranque inicial de la zona, y son fundamentales para el funcionamiento del entorno aislado de GDC. Sus direcciones deben ser únicas a nivel global en el universo aislado de GDC y suelen usar el espacio de direcciones privadas RFC 1918. Estas redes se convierten en reservadas a nivel global y no pueden usarlas las redes de ninguna organización de arrendatario.

Para consultar las especificaciones y la referencia completas, consulte la plantilla de recogida de requisitos .

El IO proporciona estas direcciones IP al iniciar una zona mediante el cuestionario de información del cliente (CIQ) y otros pasos de inicio de la zona.

Redes de infraestructura de la organización

Cuando un partner crea una organización, se aprovisionan determinadas redes básicas. Forman parte del espacio de direcciones de la infraestructura aislada de GDC y deben ser únicos a nivel global. Las direcciones se asignan automáticamente desde la red de infraestructura de la zona proporcionada en el arranque de la zona. Los administradores y los usuarios de una organización no conocen estas redes.

Planificación de IP de la organización

Al crear una organización, el IO debe colaborar con el PA para planificar el direccionamiento IP de la organización como parte del proceso del cuestionario de información de la organización (OIQ). Estos CIDRs se usan para iniciar el clúster de infraestructura de la organización en cada zona y no deben solaparse entre sí ni con ninguna red reservada a nivel global, como las redes de infraestructura de zona. Las redes de infraestructura de zonas se pueden obtener de CIQ o consultando el clúster de administrador raíz.

Consulta todos los detalles de las restricciones en la plantilla de recopilación de requisitos.

El IO recoge estos detalles del PA y los usa para aprovisionar la organización. Los campos clave de OIQ relacionados con la planificación de direcciones IP para organizaciones son los siguientes:

  • infraVPCCIDR:
    • Descripción: se usa para las cargas de trabajo del sistema de la organización, incluidas la consola de la organización, las APIs de gestión y los servicios propios.
    • Nombre de subred raíz global: infra-vpc-root-cidr
    • Servidor de API global: raíz global
  • defaultVPCCIDR
    • Descripción: se usa para las cargas de trabajo de los usuarios de la organización, incluidas las VMs de los usuarios, los CIDRs de pods y los nodos de clúster de Kubernetes.
    • Nombre de subred raíz global: default-vpc-root-cidr
    • Servidor de API global: API Global Org
  • orgAdminExternalCIDR:
    • Descripción: para cargas de trabajo y endpoints del clúster perimetral que gestionan el tráfico administrativo entre redes externas y la organización.
    • Nombre de subred raíz global: admin-external-root-cidr
    • Servidor de API global: raíz global
  • orgDataExternalCIDR:
    • Descripción: para cargas de trabajo y endpoints a los que los usuarios pueden acceder externamente, como balanceadores de carga externos y NATs de salida.
    • Nombre de subred raíz global: data-external-root-cidr
    • Servidor de API global: raíz global

Proceso de planificación

El proceso general para planificar y aprovisionar la asignación de direcciones de red de una organización es el siguiente:

  1. Colaborar con los administradores de la organización para definir CIDRs: trabaje con los administradores de la organización para determinar los bloques de CIDR no superpuestos adecuados para su VPC de infraestructura, su VPC predeterminada, su segmento de red de administrador de la organización y su segmento de red de datos de la organización.

  2. Crea subredes globales en el servidor de la API de administrador raíz global: crea recursos Subnet (infra-vpc-root-cidr, admin-external-root-cidr y data-external-root-cidr) en el espacio de nombres de la organización en el servidor de la API de administrador raíz global mediante los CIDRs definidos.

  3. Dividir subredes raíz por zonas: estas subredes raíz globales se dividen automáticamente o manualmente en subredes más pequeñas para cada zona.

    • División automática: de forma predeterminada, un controlador divide automáticamente la subred raíz global.
    • División manual: si necesitas controlar manualmente la asignación de CIDR zonales, define la anotación ipam.gdc.goog/pause-auto-division: true en los recursos Subnet y define manualmente las subredes zonales.

Para obtener información más detallada sobre cómo crear estas subredes y la organización, consulta el artículo Crear una organización de cliente.

Plantilla de recopilación de requisitos

En esta sección se proporciona una plantilla de la información de direccionamiento IP que los operadores de infraestructura deben recoger para el arranque de la zona y de la organización.

Arranque de zona

Antes de iniciar Zone Bootstrap, los IOs deben tener las siguientes direcciones IP: AttachmentGroup.

Detalles de la subred Tamaño de subred Notas o restricciones
Nombre Compatibilidad con IPv6 Mín. Rec
OOBMgmtCIDR
Opcional
Ampliable		 No /19
por zona		 - Se usa en una sola zona.
DEBE ser único en todas las zonas de un universo.
DEBE ser único en todas las redes emparejadas externamente.
Se reserva de forma global y no puede usarlo ninguna organización.
ZoneInfraCIDR
Opcional
No se puede ampliar en la versión 1.14		 /16
por zona		 - Se usa en una sola zona
DEBE ser único en todas las zonas de un universo
DEBE ser único en todas las redes emparejadas externamente
Se reserva de forma global y no puede usarlo ninguna organización
Si no se proporciona, el valor predeterminado es 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
Obligatorio
Expandible		 /24
por universo		 - Se usa en todas las zonas
DEBE ser único en todas las zonas de un universo
DEBE ser único en todas las redes emparejadas externamente
Se reserva de forma global y no se puede usar en ninguna organización

Bootstrap de la organización

Antes de empezar a aprovisionar una organización, los IOs deben colaborar con los PAs de incorporación para planificar la siguiente información sobre las direcciones IP.

Detalles de la subred Tamaño de subred Notas o restricciones
Nombre Compatibilidad con IPv6 Mín. Rec
defaultVPCCIDR
Obligatorio
Expandible		 /16 por zona /16 por zona Se usa en varias zonas
DEBE ser único en la organización global en todas las zonas
Siempre puede solaparse entre otras organizaciones
NO DEBE usar ninguna subred reservada globalmente
infraVPCCIDR
Obligatorio
Expandible		 /16 por zona /16 por zona Se usa en varias zonas
DEBE ser único en la organización global en todas las zonas
Siempre puede solaparse entre otras organizaciones
NO DEBE usar ninguna subred reservada globalmente
orgAdminExternalCIDR
Obligatorio
Expandible		 /26 por zona /26 por zona NO DEBE usar ninguna subred reservada globalmente
Se usa en una sola zona
DEBE ser única en toda la organización global en todas las zonas
DEBE ser única en todas las redes emparejadas externamente
NO DEBE usar ninguna subred reservada globalmente
orgAdminAnycastCIDR
Obligatorio
Expandible		 /28 por universo /28 por universo NO DEBE usar ninguna subred reservada a nivel global
Se usa en varias zonas DEBE ser única en la organización global en todas las zonas DEBE ser única en todas las redes emparejadas externamente NO DEBE usar ninguna subred reservada a nivel global
orgDataExternalCIDR
Obligatorio
Expandible		 /26 por zona /23 por zona NO DEBE usar ninguna subred reservada globalmente.Se usa en una sola zona.
DEBE ser único en la organización global en todas las zonas.
DEBE ser único en todas las redes emparejadas externamente.
NO DEBE usar ninguna subred reservada globalmente.
orgDataAnycastCIDR
Obligatorio
Expandible		 /28 por universo /26 por universo NO DEBE usar ninguna subred reservada globalmente
Se usa en varias zonas
DEBE ser única en la organización global en todas las zonas
DEBE ser única en todas las redes emparejadas externamente
NO DEBE usar ninguna subred reservada globalmente

Ejemplos

En los siguientes diagramas se ilustra cómo se aplican los conceptos de planificación de direcciones IP que se explican en este documento a situaciones habituales de GDC con aislamiento físico.

Ejemplo 1: Bootstrap de zona

Planificación de direcciones de red con ámbito de IO: arranque de zona Ejemplo

Ejemplo 2: Incorporación de una organización con una interconexión compartida

Planificación de direcciones de red con ámbito de PI: incorporación de una organización con un ejemplo de interconexión compartida

Ejemplo 3: Incorporación de una organización con interconexiones dedicadas

Planificación de direcciones de red con ámbito de PI: incorporación de una organización con una interconexión dedicada Ejemplo

Conceptos clave y prácticas recomendadas

  • Aislamiento de VRF: los VRFs son fundamentales para la segmentación de redes en GDC air-gapped. Conoce el propósito de cada VRF (infraestructura de zona, infraestructura de organización, administrador de organización, datos de organización, etc.) para planificar espacios de direcciones IP que mantengan los límites de aislamiento necesarios.
  • IPs superpuestas y no superpuestas:
    • Espacio de direcciones de la infraestructura de GDCag (gestionado por IO): debe ser único a nivel global en toda la implementación aislada de GDC (todas las zonas y todas las organizaciones). Este espacio de direcciones se convierte en reservado a nivel global.
    • Espacio de direcciones de la organización (gestionado o definido por el PA):
      • Redes de VPC (VPC de infraestructura y VPC predeterminada): pueden solaparse entre diferentes organizaciones, pero deben ser únicas en una organización en todas sus zonas y únicas en comparación con las redes con las que se emparejan.
      • Administrador de la organización o VRFs de datos: pueden superponerse entre diferentes organizaciones si estas usan grupos de adjuntos de interconexión independientes. Si comparten un grupo de archivos adjuntos, las direcciones IP deben ser únicas. Debe ser único en la misma organización en todas sus zonas y único en comparación con las redes con las que se empareja.
  • Tamaños de CIDR recomendados: respeta las longitudes de prefijo CIDR recomendadas especificadas para cada segmento de red para que haya suficiente espacio de direcciones para los componentes del sistema y el crecimiento futuro.
  • Preferencia de RFC 1918: aunque se pueden usar direcciones IP públicas en la mayoría de los espacios gestionados por PA si la zona no se conecta a Internet, generalmente se recomiendan las direcciones privadas RFC 1918 para las redes internas aisladas de GDC.
  • Precisión de la información de pedidos: la información proporcionada en el CIQ (para IOs) y el OIQ (para que los PAs hagan pedidos a los IOs) es fundamental. Si los intervalos de direcciones IP son inexactos o están mal planificados, pueden surgir problemas importantes durante la implementación.
  • Multizona:
    • En el caso de los IOs, los VRFs de infraestructura de zona son por zona.
    • En el caso de las cuentas de PA, las VPCs de la organización (Infra y Default) y los segmentos de red de datos y de administrador de la organización se aplican a toda la organización, pero requieren asignaciones de IP únicas por zona que no se solapen dentro de esa organización global. Las subredes globales se dividen para proporcionar intervalos únicos por zona a una organización determinada.

Asistencia, diagnóstico, solución de problemas y preguntas frecuentes

  • Errores frecuentes:
    • Bloques CIDR de tamaño insuficiente, lo que provoca el agotamiento de las IPs.
    • Intervalos de IP superpuestos en los que se requiere que sean únicos. Por ejemplo, en redes de infraestructura gestionadas por IO o en las VPCs de una sola organización y VRFs externos en diferentes zonas.
    • No se entiende qué entidad (IO o PA) es responsable de planificar intervalos de IP específicos.
    • Intervalos de CIDR que entran en conflicto con las redes zone-infra-cidr o emparejadas.
  • Verificación (nivel alto):
    • Entradas y salidas: puede verificar los recursos CIDRClaim en el clúster de administrador raíz y los recursos Subnet en el servidor de la API de administrador raíz global.
    • Administradores de partners: pueden coordinarse con los IOs para conocer los intervalos de direcciones IP asignados a la infraestructura y las VPCs de su organización. Los recursos de Subnet de la VPC predeterminada se pueden consultar en el servidor de la API de la organización global.
  • Preguntas frecuentes:
    • P: ¿Puedo cambiar los CIDRs de IP después de la implementación?
      • R: Modificar los intervalos de IP de la infraestructura principal después de la implementación es complejo y puede requerir un esfuerzo considerable o una nueva implementación. Los CIDRs orientados al cliente (por ejemplo, para la VPC predeterminada, el administrador de la organización y los segmentos de red de datos de la organización) se han diseñado para que se puedan modificar después de la creación, pero los cambios requieren una planificación y una coordinación cuidadosas.
    • P: ¿Dónde defino las IPs de los balanceadores de carga o de la traducción de direcciones de red de salida de mi aplicación?
      • R: Normalmente, se asignan desde el CIDR de VRF de datos de la organización, que planifica el PA y se proporciona al IO durante la creación de la organización.
    • P: ¿Qué es zone-infra-cidr y por qué no pueden superponerse mis CIDRs de OIQ con él?
      • R: La zone-infra-cidr es un intervalo de direcciones IP fundamental para los componentes de infraestructura internos de la zona. Si se superpone, se producirán conflictos de enrutamiento e inestabilidad.

Para obtener información detallada sobre cómo crear organizaciones y configurar subredes, los IOs deben consultar la documentación sobre cómo crear una organización de cliente.