Planification des adresses IP

Ce guide présente la planification des adresses IP pour les environnements Google Distributed Cloud (GDC) sous air gap. Une gestion efficace des adresses IP est essentielle pour déployer, exploiter et faire évoluer votre solution GDC air-gapped.

Ce document est destiné aux :

  • Opérateurs d'infrastructure : personnes ou équipes responsables de la planification, du déploiement et du fonctionnement global d'une zone isolée GDC, y compris de l'infrastructure réseau sous-jacente et de la création d'organisations locataires.

Présentation du produit

Google Distributed Cloud (GDC) sous air gap est une solution matérielle et logicielle intégrée qui vous permet d'exécuter des technologies cloud dans des environnements soumis à des restrictions strictes en termes de sécurité ou de souveraineté, complètement déconnectés des clouds publics. GDC 1.14 apporte des améliorations importantes à la conception et à la mise en réseau des clusters, y compris un seul cluster d'infrastructure par organisation et des fonctionnalités avancées de mise en réseau du cloud privé virtuel (VPC).

Une planification minutieuse des adresses IP est essentielle dans GDC air-gapped pour les raisons suivantes :

  • Isolation : segmentation réseau appropriée entre les différents locataires (organisations) et entre les plans de gestion et de données.
  • Évolutivité : espace d'adresses IP suffisant pour les charges de travail actuelles et futures, y compris les VM, les conteneurs et les services.
  • Connectivité : routage et accessibilité corrects pour tous les composants de l'environnement GDC isolé et vers les réseaux externes, selon les besoins.
  • Conformité : respect des restrictions ou des schémas d'adressage réseau spécifiques imposés par votre environnement.

L'architecture GDC utilise des instances VRF (Virtual Routing and Forwarding) pour isoler et segmenter le réseau. Pour planifier efficacement, il est essentiel de comprendre quels espaces d'adresses IP sont gérés par l'IO et lesquels le sont par l'AP. Planification des adresses réseau à portée IO

Planification des adresses IP de la zone

En tant qu'opérateur d'infrastructure, vous êtes responsable de la planification de l'espace d'adresses IP de base pour l'ensemble de la zone isolée GDC. Cela inclut les réseaux pour l'infrastructure de base de la zone, les services partagés et les segments de réseau initiaux requis pour amorcer de nouvelles organisations.

Réseaux d'infrastructure de zone

Les réseaux d'infrastructure de zone sont provisionnés par l'IO lors de l'amorçage initial de la zone et sont essentiels au fonctionnement de l'environnement GDC isolé. Leur adressage doit être unique au niveau mondial dans l'univers GDC isolé et utilise généralement l'espace d'adressage privé RFC 1918. Ces réseaux deviennent réservés au niveau mondial et ne peuvent pas être utilisés par les réseaux d'organisations locataires.

Pour obtenir la documentation de référence/les spécifications complètes, consultez le modèle de collecte des exigences .

Ces adresses IP sont fournies par l'IO lors de l'amorçage d'une zone à l'aide du questionnaire d'intégration client (CIQ) et d'autres étapes d'amorçage de zone.

Réseaux d'infrastructure de l'organisation

Lorsqu'un IO crée une organisation, certains réseaux fondamentaux sont provisionnés. Elles font partie de l'espace d'adressage de l'infrastructure GDC isolée et doivent être uniques. Les adresses sont automatiquement allouées à partir du réseau d'infrastructure de zone indiqué lors de l'amorçage de la zone. Les administrateurs et les utilisateurs d'une organisation ne sont pas au courant de l'existence de ces réseaux.

Planification des adresses IP de l'organisation

Lors de la création d'une organisation, l'IO doit collaborer avec le PA pour planifier l'adressage IP de l'organisation dans le cadre du processus du questionnaire d'entrée de l'organisation (OIQ). Ces CIDR permettent d'amorcer le cluster d'infrastructure de l'organisation dans chaque zone. Ils ne doivent pas se chevaucher entre eux ni avec un réseau réservé au niveau mondial, tel que les réseaux d'infrastructure de zone. Les réseaux d'infrastructure de zone peuvent être récupérés à partir du CIQ ou en interrogeant le cluster d'administrateur racine.

Pour en savoir plus sur les contraintes, consultez le modèle de collecte des exigences.

Ces informations sont recueillies auprès de l'administrateur principal par l'administrateur de l'organisation et utilisées pour provisionner l'organisation. Les principaux champs de l'OIQ liés à la planification des adresses IP pour les organisations sont les suivants :

  • infraVPCCIDR :
    • Description : utilisé pour les charges de travail système au sein de l'organisation, y compris la console d'organisation, les API de gestion et les services propriétaires.
    • Nom du sous-réseau racine global : infra-vpc-root-cidr
    • Serveur d'API mondial : racine globale
  • defaultVPCCIDR
    • Description : utilisé pour les charges de travail utilisateur au sein de l'organisation, y compris les VM utilisateur, les CIDR de pod et les nœuds de cluster Kubernetes.
    • Nom du sous-réseau racine global : default-vpc-root-cidr
    • Serveur d'API mondial : API d'organisation mondiale
  • orgAdminExternalCIDR :
    • Description : pour les charges de travail et les points de terminaison du cluster de périmètre qui gèrent le trafic administratif entre les réseaux externes et l'organisation.
    • Nom du sous-réseau racine global : admin-external-root-cidr
    • Serveur d'API mondial : racine globale
  • orgDataExternalCIDR :
    • Description : pour les charges de travail et les points de terminaison accessibles aux utilisateurs en externe, tels que les équilibreurs de charge externes et les NAT de sortie.
    • Nom du sous-réseau racine global : data-external-root-cidr
    • Serveur d'API mondial : racine globale

Processus de planification

Voici le processus général de planification et de provisionnement de l'adressage réseau d'une organisation :

  1. Définissez les CIDR avec les AP : collaborez avec les AP de l'organisation pour déterminer les blocs CIDR non chevauchants appropriés pour leur VPC d'infrastructure, leur VPC par défaut, leur segment de réseau d'administrateur de l'organisation et leur segment de réseau de données de l'organisation.

  2. Créez des sous-réseaux mondiaux dans le serveur d'API d'administrateur racine mondial : créez des ressources Subnet (infra-vpc-root-cidr, admin-external-root-cidr, data-external-root-cidr) dans l'espace de noms de l'organisation sur le serveur d'API d'administrateur racine mondial à l'aide des CIDR définis.

  3. Diviser les sous-réseaux racine pour les zones : ces sous-réseaux racine mondiaux sont ensuite divisés automatiquement ou manuellement en sous-réseaux plus petits pour chaque zone à consommer.

    • Répartition automatique : par défaut, un contrôleur divise automatiquement le sous-réseau racine global.
    • Répartition manuelle : si vous avez besoin de contrôler manuellement l'attribution des CIDR zonaux, définissez l'annotation ipam.gdc.goog/pause-auto-division: true sur les ressources Subnet et définissez manuellement les sous-réseaux zonaux.

Pour obtenir des instructions plus détaillées sur la création de ces sous-réseaux et de l'organisation, consultez Créer une organisation client.

Modèle de collecte des exigences

Cette section fournit un modèle des informations d'adressage IP que les opérateurs d'infrastructure (IO) doivent collecter pour le bootstrap de zone et d'organisation.

Amorçage de zone

Avant de commencer l'amorçage de zone, les IO doivent disposer des adresses IP suivantes : AttachmentGroup.

Détails du sous-réseau Dimensionnement du sous-réseau Remarques/Contraintes
Nom IPv6 Supp. Min Rec
OOBMgmtCIDR
Facultatif
Extensible		 Non /19
par zone		 - Utilisé dans une seule zone
DOIT être unique dans toutes les zones d'un univers
DOIT être unique dans tous les réseaux appairés en externe
Devient réservé au niveau mondial et inutilisable par les organisations
ZoneInfraCIDR
Facultatif
Non extensible dans la version 1.14		 Oui /16
par zone		 - Utilisé dans une seule zone
DOIT être unique dans toutes les zones d'un univers
DOIT être unique dans tous les réseaux appairés en externe
Devient réservé au niveau mondial et inutilisable par les organisations
Si aucune valeur n'est fournie, la valeur par défaut est 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
Obligatoire
Extensible		 Oui /24
par univers		 - Utilisé dans toutes les zones
DOIT être unique dans toutes les zones d'un univers
DOIT être unique dans tous les réseaux appairés en externe
Devient réservé au niveau mondial et inutilisable par les organisations

Amorçage de l'organisation

Avant de commencer le provisionnement d'une organisation, les IO doivent collaborer avec les PA d'intégration pour planifier les informations d'adressage IP suivantes.

Détails du sous-réseau Dimensionnement du sous-réseau Remarques/Contraintes
Nom IPv6 Supp. Min Rec
defaultVPCCIDR
Obligatoire
Extensible		 Oui /16 par zone /16 par zone Utilisé dans plusieurs zones
DOIT être unique dans l'organisation mondiale pour toutes les zones
Peut toujours se chevaucher entre les autres organisations
NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
infraVPCCIDR
Obligatoire
Extensible		 Oui /16 par zone /16 par zone Utilisé dans plusieurs zones
DOIT être unique dans l'organisation mondiale pour toutes les zones
Peut toujours se chevaucher entre les autres organisations
NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
orgAdminExternalCIDR
Obligatoire
Extensible		 Oui /26 par zone /26 par zone NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
Utilisé dans une seule zone
DOIT être unique dans l'organisation mondiale, dans toutes les zones
DOIT être unique dans tous les réseaux appairés en externe
NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
orgAdminAnycastCIDR
Obligatoire
Extensible		 Oui /28 par univers /28 par univers NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
Utilisé dans plusieurs zones DOIT être unique dans l'organisation mondiale pour toutes les zones DOIT être unique dans tous les réseaux appairés en externe NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
orgDataExternalCIDR
Obligatoire
Extensible		 Oui /26 par zone /23 par zone NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondialUtilisé dans une seule zone
DOIT être unique dans l'ensemble de l'organisation mondiale, dans toutes les zones
DOIT être unique dans tous les réseaux appairés en externe
NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
orgDataAnycastCIDR
Obligatoire
Extensible		 Oui /28 par univers /26 par univers NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial
Utilisé dans plusieurs zones
DOIT être unique dans l'organisation mondiale pour toutes les zones
DOIT être unique dans tous les réseaux appairés en externe
NE DOIT PAS utiliser de sous-réseaux réservés au niveau mondial

Exemples

Les schémas suivants illustrent comment les concepts de planification des adresses IP abordés dans ce document s'appliquent aux scénarios GDC isolés courants.

Exemple 1 : Amorçage de zone

Planification des adresses réseau à portée d'E/S : exemple d'amorçage de zone

Exemple 2 : Intégration d'une organisation avec une interconnexion partagée

Planification des adresses réseau à portée IO : exemple d'intégration d'une organisation avec interconnexion partagée

Exemple 3 : Intégration d'une organisation avec des interconnexions dédiées

Planification des adresses réseau à portée IO : exemple d'intégration d'une organisation avec interconnexion dédiée

Concepts clés et bonnes pratiques

  • Isolation VRF : les VRF sont essentiels à la segmentation du réseau dans GDC air-gapped. Comprenez l'objectif de chaque VRF (infrastructure de zone, infrastructure d'organisation, administrateur d'organisation, données d'organisation, etc.) pour planifier des espaces d'adresses IP qui maintiennent les limites d'isolation nécessaires.
  • Adresses IP qui se chevauchent ou non :
    • Espace d'adresses de l'infrastructure GDCag (géré par IO) : doit être unique au niveau mondial dans l'ensemble du déploiement GDC air-gapped (toutes les zones, toutes les organisations). Cet espace d'adresses devient essentiellement réservé au niveau mondial.
    • Espace d'adressage de l'organisation (géré/défini par le fournisseur d'accès) :
      • Réseaux VPC (VPC d'infrastructure, VPC par défaut) : ils peuvent se chevaucher entre différentes organisations, mais doivent être uniques au sein d'une organisation dans toutes ses zones et uniques par rapport aux réseaux avec lesquels ils sont appairés.
      • VRF d'organisation/de données : ils peuvent se chevaucher entre différentes organisations si celles-ci utilisent des groupes d'attachements d'interconnexion distincts. Si elles partagent un groupe de pièces jointes, les adresses IP doivent être uniques. Doit être unique dans la même organisation, dans toutes ses zones, et unique par rapport à tous les réseaux avec lesquels elle établit un peering.
  • Tailles CIDR recommandées : respectez les longueurs de préfixe CIDR recommandées spécifiées pour chaque segment de réseau afin de disposer d'un espace d'adressage suffisant pour les composants système et la croissance future.
  • Préférence RFC 1918 : bien que les adresses IP publiques puissent être utilisées dans la plupart des espaces gérés par PA si la zone ne se connecte pas à Internet, les adresses privées RFC 1918 sont généralement recommandées pour les réseaux internes GDC isolés.
  • Précision de l'OIQ : les informations fournies dans le CIQ (pour les IO) et l'OIQ (pour les PA aux IO) sont essentielles. Des plages d'adresses IP inexactes ou mal planifiées peuvent entraîner des difficultés de déploiement importantes.
  • Multi-Zone :
    • Pour les IO, les VRF d'infrastructure de zone sont propres à chaque zone.
    • Pour les PA : les VPC d'organisation (Infrastructure et par défaut), ainsi que les segments de réseau de données et d'administrateur d'organisation sont conceptuellement à l'échelle de l'organisation, mais nécessitent des allocations d'adresses IP uniques par zone qui ne se chevauchent pas au sein de cette organisation mondiale. Les sous-réseaux mondiaux sont divisés pour fournir des plages uniques par zone pour une organisation donnée.

Compatibilité, diagnostic, dépannage et questions fréquentes

  • Écueils courants :
    • Blocs CIDR de taille insuffisante, entraînant une pénurie d'adresses IP.
    • Chevauchement de plages d'adresses IP alors qu'elles doivent être uniques Par exemple, les réseaux d'infrastructure gérés par IO ou les VRF externes et les VPC d'une même organisation dans différentes zones.
    • L'entité (IO ou PA) responsable de la planification de plages d'adresses IP spécifiques n'est pas clairement identifiée.
    • Plages CIDR en conflit avec zone-infra-cidr ou les réseaux appairés.
  • Validation (niveau élevé) :
    • IO : peut valider les ressources CIDRClaim dans le cluster d'administrateur racine et les ressources Subnet dans le serveur d'API d'administrateur racine global.
    • Administrateurs de projet : ils peuvent coordonner avec les IO pour comprendre les plages d'adresses IP attribuées à l'infrastructure et aux VPC de leur organisation. Les ressources Subnet pour le VPC par défaut peuvent être vérifiées sur le serveur d'API de l'organisation mondiale.
  • Questions fréquentes :
    • Q : Puis-je modifier les CIDR d'adresse IP après le déploiement ?
      • R : La modification des plages d'adresses IP de l'infrastructure principale après le déploiement est complexe et peut nécessiter un effort considérable ou un redéploiement. Les CIDR destinés aux clients (par exemple, pour les segments de réseau VPC par défaut, d'administrateur de l'organisation et de données de l'organisation) sont conçus pour être modifiables après leur création, mais les modifications nécessitent une planification et une coordination minutieuses.
    • Q : Où puis-je définir les adresses IP pour les équilibreurs de charge ou le NAT de sortie de mon application ?
      • R : Elles sont généralement allouées à partir du CIDR VRF des données de l'organisation, qui est planifié par l'administrateur de compte et fourni à l'IO lors de la création de l'organisation.
    • Q : Qu'est-ce que zone-infra-cidr et pourquoi les CIDR de mon OIQ ne peuvent-ils pas le chevaucher ?
      • R : zone-infra-cidr est une plage d'adresses IP de base pour les composants d'infrastructure internes de la zone. Tout chevauchement entraînerait des conflits de routage et une instabilité.

Pour connaître les procédures détaillées de création d'organisations et de configuration de sous-réseaux, les IO doivent consulter la documentation Créer une organisation client.