Perencanaan alamat IP

Panduan ini memberikan ringkasan perencanaan alamat IP untuk lingkungan Google Distributed Cloud (GDC) dengan air gap. Pengelolaan alamat IP yang efektif sangat penting untuk keberhasilan deployment, pengoperasian, dan penskalaan solusi air-gapped GDC Anda.

Dokumen ini ditujukan untuk:

  • Operator Infrastruktur (IO): Individu atau tim yang bertanggung jawab atas perencanaan, deployment, dan pengoperasian keseluruhan zona air-gapped GDC, termasuk infrastruktur jaringan yang mendasarinya dan pembuatan organisasi tenant.

Ringkasan produk

Google Distributed Cloud (GDC) dengan air gap adalah solusi hardware dan software terintegrasi yang memungkinkan Anda menjalankan teknologi cloud di lingkungan dengan batasan keamanan atau kedaulatan yang ketat, yang sepenuhnya terputus dari cloud publik. GDC 1.14 memperkenalkan peningkatan signifikan pada desain dan jaringan cluster, termasuk satu cluster infrastruktur per organisasi dan kemampuan jaringan Virtual Private Cloud (VPC) tingkat lanjut.

Perencanaan alamat IP yang cermat sangat penting dalam GDC yang terisolasi untuk hal berikut:

  • Isolasi: Segmentasi jaringan yang tepat antara berbagai tenant (organisasi) dan antara bidang pengelolaan dan data.
  • Skalabilitas: Ruang alamat IP yang memadai untuk beban kerja saat ini dan mendatang, termasuk VM, container, dan layanan.
  • Konektivitas: Perutean dan aksesibilitas yang benar untuk semua komponen dalam lingkungan air-gapped GDC dan ke jaringan eksternal sesuai kebutuhan.
  • Kepatuhan: Kepatuhan terhadap skema pengalamatan jaringan atau pembatasan tertentu yang diwajibkan oleh lingkungan Anda.

Arsitektur GDC memanfaatkan instance Virtual Routing and Forwarding (VRF) untuk mencapai isolasi dan segmentasi jaringan. Memahami ruang alamat IP mana yang dikelola oleh IO versus PA adalah kunci untuk perencanaan yang berhasil. Perencanaan Alamat Jaringan yang Tercakup dalam IO

Perencanaan IP zona

Sebagai Operator Infrastruktur, Anda bertanggung jawab untuk merencanakan ruang alamat IP dasar untuk seluruh zona air gap GDC. Hal ini mencakup jaringan untuk infrastruktur inti zona, layanan bersama, dan segmen jaringan awal yang diperlukan untuk mem-bootstrap organisasi baru.

Jaringan infrastruktur zona

Jaringan infrastruktur zona disediakan oleh IO selama bootstrap zona awal dan sangat penting untuk berfungsinya lingkungan GDC yang terisolasi. Pengalamatan mereka harus unik secara global dalam semesta air-gapped GDC dan biasanya menggunakan ruang alamat pribadi RFC 1918. Jaringan ini menjadi dicadangkan secara global dan tidak dapat digunakan oleh jaringan organisasi tenant mana pun.

Untuk referensi/spesifikasi lengkap, lihat Template Pengumpulan Persyaratan .

Alamat IP ini disediakan oleh IO saat melakukan bootstrapping zona menggunakan kuesioner penerimaan pelanggan (CIQ) dan langkah-langkah bootstrap zona lainnya.

Jaringan infrastruktur organisasi

Saat IO membuat organisasi baru, jaringan dasar tertentu akan disediakan. Alamat ini adalah bagian dari ruang alamat infrastruktur air-gapped GDC dan harus unik secara global. Alamat akan dialokasikan secara otomatis dari Jaringan Infrastruktur Zona yang diberikan saat bootstrap zona. Administrator dan pengguna organisasi tidak mengetahui jaringan ini.

Perencanaan IP organisasi

Saat membuat organisasi, IO harus bekerja sama dengan PA untuk merencanakan pengalamatan IP organisasi sebagai bagian dari proses Kuesioner Input Organisasi (OIQ). CIDR ini digunakan untuk mem-bootstrap cluster infrastruktur organisasi di setiap zona dan tidak boleh tumpang-tindih satu sama lain atau jaringan yang dicadangkan secara global seperti jaringan Infrastruktur Zona. Jaringan infrastruktur zona dapat diambil dari CIQ atau dengan membuat kueri cluster admin root.

Lihat Template Pengumpulan Persyaratan untuk mengetahui detail batasan selengkapnya.

Detail ini dikumpulkan dari PA oleh IO dan digunakan untuk menyediakan organisasi. Kolom OIQ utama yang terkait dengan perencanaan alamat IP untuk organisasi adalah sebagai berikut:

  • infraVPCCIDR:
    • Deskripsi: Digunakan untuk beban kerja sistem dalam organisasi, termasuk konsol organisasi, API pengelolaan, dan layanan pihak pertama.
    • Nama Subnet Root Global: infra-vpc-root-cidr
    • Server API Global: Root global
  • defaultVPCCIDR
    • Deskripsi: Digunakan untuk workload pengguna dalam organisasi, termasuk VM pengguna, CIDR pod, dan node cluster Kubernetes.
    • Nama Subnet Root Global: default-vpc-root-cidr
    • Server API Global: Global Org API
  • orgAdminExternalCIDR:
    • Deskripsi: Untuk workload dan endpoint di cluster perimeter yang menangani traffic administratif antara jaringan eksternal dan organisasi.
    • Nama Subnet Root Global: admin-external-root-cidr
    • Server API Global: Root global
  • orgDataExternalCIDR:
    • Deskripsi: Untuk workload dan endpoint yang dapat dijangkau secara eksternal oleh pengguna, seperti load balancer eksternal dan NAT egress.
    • Nama Subnet Root Global: data-external-root-cidr
    • Server API Global: Root global

Proses perencanaan

Proses tingkat tinggi untuk merencanakan dan menyediakan alamat jaringan organisasi adalah:

  1. Bekerja sama dengan PA untuk menentukan CIDR: Bekerja sama dengan PA organisasi untuk menentukan blok CIDR yang sesuai dan tidak tumpang-tindih untuk Infra VPC, VPC Default, segmen jaringan admin org, dan segmen jaringan data org.

  2. Buat subnet global di server API admin root global: Buat resource Subnet (infra-vpc-root-cidr, admin-external-root-cidr, data-external-root-cidr) di namespace organisasi di server API admin root global menggunakan CIDR yang ditentukan.

  3. Membagi subnet root untuk zona: Subnet root global ini kemudian dibagi secara otomatis atau manual menjadi subnet yang lebih kecil untuk setiap zona yang akan digunakan.

    • Pemisahan Otomatis: Secara default, pengontrol akan otomatis membagi subnet root global.
    • Pemisahan Manual: Jika kontrol manual atas alokasi CIDR zona diperlukan, tetapkan anotasi ipam.gdc.goog/pause-auto-division: true pada resource Subnet dan tentukan subnet zona secara manual.

Untuk mengetahui langkah-langkah yang lebih mendetail tentang cara membuat subnet dan organisasi ini, lihat Membuat organisasi pelanggan.

Template pengumpulan persyaratan

Bagian ini menyediakan template informasi pengalamatan IP yang perlu dikumpulkan oleh Operator Infrastruktur (IO) untuk bootstrap zona dan organisasi.

Bootstrap Zona

Sebelum memulai Zone Bootstrap, IO harus memiliki alamat IP berikut AttachmentGroup.

Detail Subnet Pengukuran Subnet Catatan/Batasan
Nama IPv6 Supp. Min Rec
OOBMgmtCIDR
Opsional
Dapat diperluas		 Tidak /19
per zona		 - Digunakan dalam satu zona
HARUS unik di semua zona dalam semesta
HARUS unik di semua jaringan yang di-peering secara eksternal
Menjadi dicadangkan secara global dan tidak dapat digunakan oleh organisasi mana pun
ZoneInfraCIDR
Opsional
Tidak Dapat Diperluas di 1.14		 Ya /16
per zona		 - Digunakan dalam satu zona
HARUS unik di semua zona dalam semesta
HARUS unik di semua jaringan yang di-peering secara eksternal
Menjadi dicadangkan secara global dan tidak dapat digunakan oleh organisasi mana pun
Jika tidak diberikan, defaultnya adalah 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
Wajib
Dapat diperluas		 Ya /24
per universe		 - Digunakan di semua zona
HARUS unik di semua zona dalam semesta
HARUS unik di semua jaringan yang di-peering secara eksternal
Menjadi dicadangkan secara global dan tidak dapat digunakan oleh organisasi mana pun

Bootstrap Organisasi

Sebelum memulai penyediaan Organisasi, IO harus bekerja sama dengan PA aktivasi untuk merencanakan informasi pengalamatan IP berikut.

Detail Subnet Pengukuran Subnet Catatan/Batasan
Nama IPv6 Supp. Min Rec
defaultVPCCIDR
Wajib
Dapat diperluas		 Ya /16 per zona /16 per zona Digunakan di beberapa zona
HARUS unik dalam organisasi global di semua zona
Dapat selalu tumpang-tindih dengan organisasi lain
TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
infraVPCCIDR
Wajib
Dapat diperluas		 Ya /16 per zona /16 per zona Digunakan di beberapa zona
HARUS unik dalam organisasi global di semua zona
Dapat selalu tumpang-tindih dengan organisasi lain
TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
orgAdminExternalCIDR
Wajib
Dapat diperluas		 Ya /26 per zona /26 per zona TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
HARUS unik dalam organisasi global di semua zona
HARUS unik di seluruh jaringan yang di-peering secara eksternal
TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
orgAdminAnycastCIDR
Wajib
Dapat diperluas		 Ya /28 per semesta /28 per semesta TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
Digunakan di beberapa zona HARUS unik dalam organisasi global di semua zona HARUS unik di seluruh jaringan yang di-peering secara eksternal TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
orgDataExternalCIDR
Wajib
Dapat diperluas		 Ya /26 per zona /23 per zona TIDAK BOLEH menggunakan subnet yang dicadangkan secara globalDigunakan dalam satu zona
HARUS unik dalam organisasi global di semua zona
HARUS unik di seluruh jaringan yang di-peering secara eksternal
TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
orgDataAnycastCIDR
Wajib
Dapat diperluas		 Ya /28 per semesta /26 per semesta TIDAK BOLEH menggunakan subnet yang dicadangkan secara global
Digunakan di beberapa zona
HARUS unik dalam organisasi global di semua zona
HARUS unik di seluruh jaringan yang di-peering secara eksternal
TIDAK BOLEH menggunakan subnet yang dicadangkan secara global

Contoh

Diagram berikut menggambarkan cara konsep perencanaan alamat IP yang dibahas dalam dokumen ini diterapkan pada skenario air-gapped GDC umum.

Contoh 1: Bootstrap zona

Perencanaan Alamat Jaringan dengan Cakupan IO - Bootstrap Zona Contoh

Contoh 2: Onboarding organisasi dengan interkoneksi bersama

Perencanaan Alamat Jaringan yang Tercakup dalam IO - Pengaktifan Organisasi dengan Interkoneksi Bersama Contoh

Contoh 3: Onboarding organisasi dengan Dedicated Interconnect

Perencanaan Alamat Jaringan yang Tercakup dalam IO - Aktivasi Organisasi dengan Interkoneksi Khusus Contoh

Konsep utama dan praktik terbaik

  • Isolasi VRF: VRF sangat penting untuk segmentasi jaringan dalam GDC yang terisolasi. Pahami tujuan setiap VRF (Zone Infra, Org Infra, Org Admin, Org Data, dll.) untuk merencanakan ruang alamat IP yang mempertahankan batas isolasi yang diperlukan.
  • IP yang Tumpang-Tindih vs. IP yang Tidak Tumpang-Tindih:
    • Ruang Alamat Infrastruktur GDCag (dikelola IO): Harus unik secara global di seluruh deployment air-gapped GDC (semua zona, semua organisasi). Ruang alamat ini pada dasarnya menjadi dicadangkan secara global.
    • Ruang Alamat Organisasi (dikelola/ditentukan oleh PA):
      • Jaringan VPC (VPC Infra, VPC Default): Dapat tumpang-tindih di antara organisasi yang berbeda, tetapi harus unik dalam organisasi di semua zonanya dan unik dari jaringan yang di-peering.
      • VRF Admin/Data Org: Dapat tumpang-tindih antara organisasi yang berbeda jika organisasi tersebut menggunakan Grup Lampiran Interkoneksi yang terpisah. Jika mereka membagikan Grup Lampiran, alamat IP harus unik. Harus unik dalam organisasi yang sama di semua zonanya dan unik dari jaringan yang terhubung dengannya.
  • Ukuran CIDR yang Direkomendasikan: Patuhi panjang awalan CIDR yang direkomendasikan yang ditentukan untuk setiap segmen jaringan agar memiliki ruang alamat yang cukup untuk komponen sistem dan pertumbuhan di masa mendatang.
  • Preferensi RFC 1918: Meskipun alamat IP publik dapat digunakan di sebagian besar ruang yang dikelola PA jika zona tidak terhubung ke Internet, alamat pribadi RFC 1918 umumnya direkomendasikan untuk jaringan internal GDC yang terisolasi.
  • Akurasi OIQ: Informasi yang diberikan dalam CIQ (untuk IO) dan OIQ (untuk PA ke IO) sangat penting. Rentang alamat IP yang tidak akurat atau direncanakan dengan buruk dapat menyebabkan tantangan deployment yang signifikan.
  • Multi-Zone:
    • Untuk IOs: VRF Infrastruktur Zona adalah per zona.
    • Untuk PA: VPC organisasi (Infra dan Default) serta segmen jaringan data organisasi dan admin org secara konseptual mencakup seluruh organisasi, tetapi memerlukan alokasi IP unik per zona yang tidak tumpang-tindih dalam organisasi global tersebut. Subnet global dibagi untuk menyediakan rentang unik per zona untuk organisasi tertentu.

Dukungan, diagnosis, pemecahan masalah, dan FAQ

  • Kesalahan Umum:
    • Blok CIDR yang ukurannya tidak memadai, sehingga menyebabkan kehabisan IP.
    • Rentang IP yang tumpang-tindih jika keunikan diperlukan. Misalnya, jaringan infrastruktur yang dikelola IO, atau dalam VPC satu organisasi dan VRF eksternal di seluruh zona.
    • Kesalahpahaman tentang entitas mana (IO vs. PA) yang bertanggung jawab untuk merencanakan rentang IP tertentu.
    • Rentang CIDR yang berkonflik dengan jaringan zone-infra-cidr atau jaringan yang di-peering.
  • Verifikasi (Tingkat Tinggi):
    • IOs: Dapat memverifikasi resource CIDRClaim di cluster admin root dan resource Subnet di server API admin root global.
    • PA: Dapat berkoordinasi dengan IO untuk memahami rentang IP yang dialokasikan ke infrastruktur dan VPC organisasi mereka. Resource Subnet untuk VPC Default dapat diperiksa di server API organisasi global.
  • FAQ:
    • T: Dapatkah saya mengubah CIDR IP setelah deployment?
      • J: Mengubah rentang IP infrastruktur inti setelah deployment bersifat kompleks dan mungkin memerlukan upaya yang signifikan atau deployment ulang. CIDR yang menghadap pelanggan (misalnya, untuk VPC Default, segmen jaringan data organisasi dan admin organisasi) dirancang agar dapat diubah setelah dibuat, tetapi perubahan memerlukan perencanaan dan koordinasi yang cermat.
    • T: Di mana saya menentukan IP untuk load balancer atau NAT keluar aplikasi saya?
      • J: CIDR ini biasanya dialokasikan dari CIDR VRF Data Org, yang direncanakan oleh PA dan diberikan kepada IO selama pembuatan organisasi.
    • T: Apa itu zone-infra-cidr dan mengapa CIDR OIQ saya tidak boleh tumpang-tindih dengan CIDR tersebut?
      • J: zone-infra-cidr adalah rentang IP dasar untuk komponen infrastruktur internal zona. Tumpang-tindih dengan rute tersebut akan menyebabkan konflik dan ketidakstabilan perutean.

Untuk mengetahui prosedur mendetail tentang cara membuat organisasi dan mengonfigurasi subnet, IO harus melihat dokumentasi Membuat organisasi pelanggan.