Planificación de direcciones IP

En esta guía, se proporciona una descripción general de la planificación de direcciones IP para entornos aislados de Google Distributed Cloud (GDC). La administración eficaz de las direcciones IP es fundamental para la implementación, el funcionamiento y el escalamiento exitosos de tu solución aislada de GDC.

Este documento está dirigido a los siguientes usuarios:

  • Operadores de infraestructura (IO): Son las personas o los equipos responsables de la planificación, la implementación y el funcionamiento generales de una zona aislada de GDC, incluida la infraestructura de red subyacente y la creación de organizaciones de inquilinos.

Descripción general del producto

Google Distributed Cloud (GDC) aislado es una solución integrada de hardware y software que te permite ejecutar tecnologías de nube en entornos con restricciones estrictas de seguridad o soberanía, completamente desconectados de las nubes públicas. La versión 1.14 de GDC introduce mejoras significativas en el diseño y las redes de clústeres, incluido un solo clúster de infraestructura por organización y capacidades avanzadas de redes de nube privada virtual (VPC).

La planificación cuidadosa de direcciones IP es fundamental en GDC aislado del aire por los siguientes motivos:

  • Aislamiento: Segmentación de red adecuada entre diferentes arrendatarios (organizaciones) y entre planos de administración y datos.
  • Escalabilidad: Espacio de direcciones IP suficiente para las cargas de trabajo actuales y futuras, incluidas las VMs, los contenedores y los servicios.
  • Conectividad: Enrutamiento y accesibilidad correctos para todos los componentes dentro del entorno aislado de GDC y para las redes externas según sea necesario.
  • Cumplimiento: Cumplimiento de esquemas o restricciones de direccionamiento de red específicos obligatorios en tu entorno

La arquitectura de GDC utiliza instancias de reenvío y enrutamiento virtuales (VRF) para lograr el aislamiento y la segmentación de la red. Comprender qué espacios de direcciones IP administra el IO y cuáles el PA es clave para una planificación exitosa. Planificación de direcciones de red con alcance de E/S

Planificación de IP de la zona

Como operador de infraestructura, eres responsable de planificar el espacio de direcciones IP fundamental para toda la zona aislada del GDC. Esto incluye las redes para la infraestructura principal de la zona, los servicios compartidos y los segmentos de red iniciales necesarios para iniciar nuevas organizaciones.

Redes de infraestructura de zonas

El IO aprovisiona las redes de infraestructura de la zona durante el arranque inicial de la zona, y son fundamentales para el funcionamiento del entorno aislado de GDC. Su direccionamiento debe ser único a nivel global dentro del universo aislado de GDC y, por lo general, usa el espacio de direcciones privadas de RFC 1918. Estas redes se vuelven reservadas de forma global y no pueden ser utilizadas por ninguna red de organización de inquilinos.

Para obtener especificaciones y referencias completas, consulta la plantilla de recopilación de requisitos .

El IO proporciona estas direcciones IP cuando se inicializa una zona con el cuestionario de admisión del cliente (CIQ) y otros pasos de inicialización de la zona.

Redes de infraestructura de la organización

Cuando un IO crea una organización nueva, se aprovisionan ciertas redes básicas. Forman parte del espacio de direcciones de la infraestructura aislada de GDC y deben ser únicos a nivel global. Las direcciones se asignan automáticamente desde la red de infraestructura de la zona proporcionada en el arranque de la zona. Los administradores y los usuarios de una organización no conocen estas redes.

Planificación de IP de la organización

Cuando se crea una organización, el IO debe trabajar con el PA para planificar el direccionamiento IP de la organización como parte del proceso del Cuestionario de entrada de la organización (OIQ). Estos CIDR se usan para iniciar el clúster de infraestructura de la organización en cada zona y no deben superponerse entre sí ni con ninguna red reservada de forma global, como las redes de infraestructura de zona. Zona: Las redes de infraestructura se pueden recuperar del CIQ o consultando el clúster de administrador raíz.

Consulta la Plantilla de recopilación de requisitos para obtener todos los detalles sobre las restricciones.

El IO recopila estos detalles del PA y los usa para aprovisionar la organización. Los campos clave de OIQ relacionados con la planificación de direcciones IP para organizaciones son los siguientes:

  • infraVPCCIDR:
    • Descripción: Se usa para las cargas de trabajo del sistema dentro de la organización, incluidas la consola de la organización, las APIs de administración y los servicios propios.
    • Nombre de la subred raíz global: infra-vpc-root-cidr
    • Servidor de la API global: Es la raíz global.
  • defaultVPCCIDR
    • Descripción: Se usa para las cargas de trabajo del usuario dentro de la organización, incluidas las VMs del usuario, los CIDR de Pods y los nodos del clúster de Kubernetes.
    • Nombre de la subred raíz global: default-vpc-root-cidr
    • Servidor de la API global: API de la organización global
  • orgAdminExternalCIDR:
    • Descripción: Para cargas de trabajo y extremos en el clúster perimetral que controlan el tráfico administrativo entre redes externas y la organización.
    • Nombre de la subred raíz global: admin-external-root-cidr
    • Servidor de la API global: Es la raíz global.
  • orgDataExternalCIDR:
    • Descripción: Para cargas de trabajo y extremos a los que los usuarios pueden acceder de forma externa, como balanceadores de cargas externos y NAT de salida.
    • Nombre de la subred raíz global: data-external-root-cidr
    • Servidor de la API global: Es la raíz global.

Proceso de planificación

El proceso de alto nivel para planificar y aprovisionar el direccionamiento de red de una organización es el siguiente:

  1. Trabaja con las PA para definir los CIDR: Trabaja con las PA de la organización para determinar los bloques CIDR adecuados que no se superpongan para su VPC de infraestructura, la VPC predeterminada, el segmento de red del administrador de la organización y el segmento de red de datos de la organización.

  2. Crea subredes globales en el servidor de la API del administrador raíz global: Crea recursos Subnet (infra-vpc-root-cidr, admin-external-root-cidr, data-external-root-cidr) en el espacio de nombres de la organización en el servidor de la API del administrador raíz global con los CIDR definidos.

  3. Subredes raíz divididas para zonas: Estas subredes raíz globales se dividen automáticamente o de forma manual en subredes más pequeñas para que cada zona las consuma.

    • División automática: De forma predeterminada, un controlador divide automáticamente la subred raíz global.
    • División manual: Si se necesita control manual sobre la asignación de CIDR zonales, establece la anotación ipam.gdc.goog/pause-auto-division: true en los recursos Subnet y define manualmente las subredes zonales.

Para obtener pasos más detallados sobre la creación de estas subredes y la organización, consulta Crea una organización del cliente.

Plantilla de recopilación de requisitos

En esta sección, se proporciona una plantilla de la información de direcciones IP que los operadores de infraestructura (IO) deben recopilar para el inicio de la zona y la organización.

Arranque de zona

Antes de comenzar el arranque de zona, los IO deben tener las siguientes direcciones IPAttachmentGroup.

Detalles de la subred Tamaño de la subred Notas/Restricciones
Nombre IPv6 Supp. Min Rec
OOBMgmtCIDR
Opcional
Expandible		 No /19
por zona		 - Se usa en una sola zona
DEBE ser único en todas las zonas de un universo
DEBE ser único en todas las redes externas con intercambio de tráfico
Se reserva a nivel global y no puede ser usado por ninguna organización
ZoneInfraCIDR
Opcional
No se expande en la versión 1.14		 /16
por zona		 - Se usa en una sola zona
DEBE ser único en todas las zonas de un universo
DEBE ser único en todas las redes externas con intercambio de tráfico
Se reserva de forma global y no puede ser usado por ninguna organización
Si no se proporciona, el valor predeterminado es 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
Obligatorio
Expandible		 /24
por universo		 - Se usa en todas las zonas
DEBE ser único en todas las zonas de un universo
DEBE ser único en todas las redes externas con intercambio de tráfico
Se reserva a nivel global y ninguna organización puede usarlo

Organización de arranque

Antes de comenzar el aprovisionamiento de una organización, los IO deben trabajar con los PA de incorporación para planificar la siguiente información de direcciones IP.

Detalles de la subred Tamaño de la subred Notas/Restricciones
Nombre IPv6 Supp. Min Rec
defaultVPCCIDR
Obligatorio
Expandible		 /16 por zona /16 por zona Se usa en varias zonas
DEBE ser único dentro de la organización global en todas las zonas
Siempre puede superponerse entre otras organizaciones
NO DEBE usar ninguna subred reservada de forma global
infraVPCCIDR
Obligatorio
Expandible		 /16 por zona /16 por zona Se usa en varias zonas
DEBE ser único dentro de la organización global en todas las zonas
Siempre puede superponerse entre otras organizaciones
NO DEBE usar ninguna subred reservada de forma global
orgAdminExternalCIDR
Obligatorio
Expandible		 /26 por zona /26 por zona NO DEBE usar ninguna subred reservada a nivel global
Se usa en una sola zona
DEBE ser única dentro de la organización global en todas las zonas
DEBE ser única en todas las redes externas con intercambio de tráfico
NO DEBE usar ninguna subred reservada a nivel global
orgAdminAnycastCIDR
Obligatorio
Expandible		 /28 por universo /28 por universo NO DEBE usar ninguna subred reservada de forma global
Se usa en varias zonas DEBE ser única dentro de la organización global en todas las zonas DEBE ser única en todas las redes externas con intercambio de tráfico NO DEBE usar ninguna subred reservada de forma global
orgDataExternalCIDR
Obligatorio
Expandible		 /26 por zona /23 por zona NO DEBE usar ninguna subred reservada a nivel global.Se usa en una sola zona
DEBE ser única dentro de la organización global en todas las zonas
DEBE ser única en todas las redes externas con intercambio de tráfico
NO DEBE usar ninguna subred reservada a nivel global
orgDataAnycastCIDR
Obligatorio
Expandible		 /28 por universo USD 0.26 por universo NO DEBE usar ninguna subred reservada a nivel global
Se usa en varias zonas
DEBE ser única dentro de la organización global en todas las zonas
DEBE ser única en todas las redes con peering externo
NO DEBE usar ninguna subred reservada a nivel global

Ejemplos

En los siguientes diagramas, se ilustra cómo los conceptos de planificación de direcciones IP que se analizan en este documento se aplican a situaciones comunes de aislamiento físico de GDC.

Ejemplo 1: Inicialización de la zona

Planificación de direcciones de red con alcance de IO: ejemplo de arranque de zona

Ejemplo 2: Incorporación de la organización con interconexión compartida

Planificación de direcciones de red con alcance de IO: Ejemplo de incorporación de la organización con Interconnect compartido

Ejemplo 3: Incorporación de la organización con interconexiones dedicadas

IO Scoped Network Address Planning - Organization Onboarding with Dedicated Interconnect Example

Conceptos clave y prácticas recomendadas

  • Aislamiento de VRF: Los VRF son fundamentales para la segmentación de red en GDC con aislamiento físico. Comprende el propósito de cada VRF (infraestructura de zona, infraestructura de organización, administrador de organización, datos de organización, etcétera) para planificar los espacios de direcciones IP que mantienen los límites de aislamiento necesarios.
  • IPs superpuestas y no superpuestas:
    • Espacio de direcciones de la infraestructura de GDCag (administrado por IO): Debe ser único a nivel global en toda la implementación aislada de GDC (todas las zonas y organizaciones). Este espacio de direcciones se convierte esencialmente en reservado a nivel global.
    • Espacio de direcciones de la organización (administrado o definido por PA):
      • Redes de VPC (VPC de infraestructura, VPC predeterminada): Pueden superponerse entre diferentes organizaciones, pero deben ser únicas dentro de una organización en todas sus zonas y únicas con respecto a las redes con las que se intercambia tráfico.
      • VRF de organización o de datos: Pueden superponerse entre diferentes organizaciones si estas usan grupos de adjuntos de interconexión separados. Si comparten un grupo de adjuntos, las direcciones IP deben ser únicas. Debe ser única dentro de la misma organización en todas sus zonas y única en comparación con las redes con las que se interconecta.
  • Tamaños de CIDR recomendados: Cumple con las longitudes de prefijo de CIDR recomendadas que se especifican para cada segmento de red para tener suficiente espacio de direcciones para los componentes del sistema y el crecimiento futuro.
  • Preferencia de RFC 1918: Si bien las direcciones IP públicas se pueden usar en la mayoría de los espacios administrados por PA si la zona no se conecta a Internet, generalmente se recomiendan las direcciones privadas RFC 1918 para las redes internas aisladas de GDC.
  • Precisión de la OIQ: La información proporcionada en la CIQ (para IO) y la OIQ (para las PA de las IO) es fundamental. Los rangos de direcciones IP imprecisos o mal planificados pueden generar problemas de implementación significativos.
  • Multizona:
    • Para IOs: Los VRF de infraestructura de zona son por zona.
    • Para los PA: Las VPC de la organización (infraestructura y predeterminada), el administrador de la organización y los segmentos de red de datos de la organización son conceptualmente para toda la organización, pero requieren asignaciones de IP únicas por zona que no se superpongan dentro de esa organización global. Las subredes globales se dividen para proporcionar rangos únicos por zona para una organización determinada.

Asistencia, diagnóstico, solución de problemas y preguntas frecuentes

  • Problemas comunes:
    • Bloques CIDR de tamaño insuficiente, lo que genera el agotamiento de las IPs
    • Son rangos de IP superpuestos en los que se requiere unicidad. Por ejemplo, redes de infraestructura administradas por IO, o dentro de las VPCs y los VRFs externos de una sola organización en todas las zonas.
    • Malentendido sobre qué entidad (IO o PA) es responsable de planificar rangos de IP específicos
    • Rangos de CIDR que entran en conflicto con las redes zone-infra-cidr o con intercambio de tráfico.
  • Verificación (a nivel general):
    • IOs: Pueden verificar los recursos CIDRClaim en el clúster de administrador raíz y los recursos Subnet en el servidor de la API de administrador raíz global.
    • PA: Puede coordinarse con los IO para comprender los rangos de IP asignados a la infraestructura y las VPC de su organización. Los recursos de Subnet para la VPC predeterminada se pueden verificar en el servidor de la API de la organización global.
  • Preguntas frecuentes:
    • P.: ¿Puedo cambiar los CIDR de IP después de la implementación?
      • R.: Modificar los rangos de IP de la infraestructura principal después de la implementación es complejo y puede requerir un esfuerzo significativo o una nueva implementación. Los CIDR orientados al cliente (p.ej., para la VPC predeterminada, el administrador de la organización y los segmentos de red de datos de la organización) están diseñados para que se puedan modificar después de la creación, pero los cambios requieren una planificación y coordinación cuidadosas.
    • P.: ¿Dónde defino las IPs para los balanceadores de cargas o la NAT de salida de mi aplicación?
      • R.: Por lo general, se asignan desde el CIDR de VRF de datos de la organización, que planifica la PA y se proporciona al IO durante la creación de la organización.
    • P.: ¿Qué es zone-infra-cidr y por qué mis CIDR de OIQ no pueden superponerse con él?
      • R.: El zone-infra-cidr es un rango de IP fundamental para los componentes de infraestructura internos de la zona. Si se superpone con él, se producirán conflictos de enrutamiento y problemas de estabilidad.

Para conocer los procedimientos detallados sobre cómo crear organizaciones y configurar subredes, los IO deben consultar la documentación sobre cómo crear una organización del cliente.