IP 주소 계획

이 가이드에서는 Google Distributed Cloud (GDC) 에어 갭 환경의 IP 주소 계획을 간략하게 설명합니다. 효과적인 IP 주소 관리는 GDC 오프라인 솔루션의 성공적인 배포, 운영, 확장성에 매우 중요합니다.

이 문서는 다음을 대상으로 합니다.

  • 인프라 운영자 (IO): 기본 네트워크 인프라 및 테넌트 조직 생성을 포함하여 GDC 에어갭 영역의 전반적인 계획, 배포, 운영을 담당하는 개인 또는 팀입니다.

제품 개요

에어갭이 적용된 Google Distributed Cloud (GDC)는 엄격한 보안 또는 주권 제한이 있는 환경에서 퍼블릭 클라우드와 완전히 연결이 끊긴 상태로 클라우드 기술을 실행할 수 있는 통합 하드웨어 및 소프트웨어 솔루션입니다. GDC 1.14에서는 조직당 단일 인프라 클러스터, 고급 Virtual Private Cloud (VPC) 네트워킹 기능 등 클러스터 설계 및 네트워킹이 크게 개선되었습니다.

다음과 같은 이유로 GDC 에어 갭에서는 신중한 IP 주소 계획이 필수입니다.

  • 격리: 여러 테넌트(조직) 간 및 관리 영역과 데이터 영역 간의 적절한 네트워크 세분화
  • 확장성: VM, 컨테이너, 서비스 등 현재 및 향후 워크로드를 위한 충분한 IP 주소 공간
  • 연결: GDC 에어갭 환경 내의 모든 구성요소와 필요한 경우 외부 네트워크에 대한 올바른 라우팅 및 도달 가능성
  • 규정 준수: 환경에서 요구하는 특정 네트워크 주소 지정 체계 또는 제한사항을 준수합니다.

GDC 아키텍처는 가상 라우팅 및 전달 (VRF) 인스턴스를 활용하여 네트워크 격리 및 세분화를 구현합니다. IO와 PA가 관리하는 IP 주소 공간을 파악하는 것이 성공적인 계획의 핵심입니다. IO 범위 지정 네트워크 주소 계획

영역 IP 계획

인프라 운영자는 전체 GDC 에어갭 영역의 기본 IP 주소 공간을 계획해야 합니다. 여기에는 영역의 핵심 인프라, 공유 서비스, 새 조직을 부트스트랩하는 데 필요한 초기 네트워크 세그먼트가 포함됩니다.

영역 인프라 네트워크

영역 인프라 네트워크는 초기 영역 부트스트랩 중에 IO에 의해 프로비저닝되며 GDC 에어갭 환경의 작동에 매우 중요합니다. 주소는 GDC 에어갭 유니버스 내에서 전역적으로 고유해야 하며 일반적으로 RFC 1918 비공개 주소 공간을 사용합니다. 이러한 네트워크는 전역으로 예약되어 테넌트 조직 네트워크에서 사용할 수 없습니다.

전체 참조/사양은 요구사항 수집 템플릿을 참고하세요 .

이러한 IP 주소는 고객 수집 설문지 (CIQ) 및 기타 영역 부트스트랩 단계를 사용하여 영역을 부트스트랩할 때 IO에서 제공합니다.

조직 인프라 네트워크

IO가 새 조직을 만들면 특정 기본 네트워크가 프로비저닝됩니다. 이는 GDC 에어 갭 인프라 주소 공간의 일부이며 전역적으로 고유해야 합니다. 주소는 영역 부트스트랩에서 제공된 영역 인프라 네트워크에서 자동으로 할당됩니다. 조직의 관리자와 사용자는 이러한 네트워크를 알지 못합니다.

조직 IP 계획

조직을 만들 때 IO는 PA와 협력하여 조직 입력 설문지(OIQ) 프로세스의 일환으로 조직의 IP 주소 지정을 계획해야 합니다. 이러한 CIDR은 각 영역에서 조직의 인프라 클러스터를 부트스트랩하는 데 사용되며 서로 겹치거나 영역 인프라 네트워크와 같은 전역적으로 예약된 네트워크와 겹치지 않아야 합니다. 영역 인프라 네트워크는 CIQ에서 가져오거나 루트 관리자 클러스터를 쿼리하여 가져올 수 있습니다.

전체 제약 조건 세부정보는 요구사항 수집 템플릿을 참고하세요.

이러한 세부정보는 IO가 PA에서 수집하고 조직을 프로비저닝하는 데 사용됩니다. 조직의 IP 주소 계획과 관련된 주요 OIQ 필드는 다음과 같습니다.

  • infraVPCCIDR:
    • 설명: 조직 콘솔, 관리 API, 서드 파티 서비스를 비롯한 조직 내 시스템 워크로드에 사용됩니다.
    • 전역 루트 서브넷 이름: infra-vpc-root-cidr
    • 전역 API 서버: 전역 루트
  • defaultVPCCIDR
    • 설명: 사용자 VM, 포드 CIDR, Kubernetes 클러스터 노드 등 조직 내 사용자 워크로드에 사용됩니다.
    • 전역 루트 서브넷 이름: default-vpc-root-cidr
    • 전역 API 서버: 전역 조직 API
  • orgAdminExternalCIDR:
    • 설명: 외부 네트워크와 조직 간의 관리 트래픽을 처리하는 경계 클러스터의 워크로드 및 엔드포인트
    • 전역 루트 서브넷 이름: admin-external-root-cidr
    • 전역 API 서버: 전역 루트
  • orgDataExternalCIDR:
    • 설명: 외부 부하 분산기 및 이그레스 NAT와 같이 사용자가 외부에서 도달할 수 있는 워크로드 및 엔드포인트
    • 전역 루트 서브넷 이름: data-external-root-cidr
    • 전역 API 서버: 전역 루트

계획 프로세스

조직의 네트워크 주소 지정을 계획하고 프로비저닝하는 대략적인 프로세스는 다음과 같습니다.

  1. PA와 협력하여 CIDR 정의: 조직의 PA와 협력하여 인프라 VPC, 기본 VPC, 조직 관리자 네트워크 세그먼트, 조직 데이터 네트워크 세그먼트에 적합한 중복되지 않는 CIDR 블록을 결정합니다.

  2. 전역 루트 관리자 API 서버에서 전역 서브넷 만들기: 정의된 CIDR을 사용하여 전역 루트 관리자 API 서버의 조직 네임스페이스에서 Subnet 리소스 (infra-vpc-root-cidr, admin-external-root-cidr, data-external-root-cidr)를 만듭니다.

  3. 영역의 루트 서브넷 분할: 이러한 전역 루트 서브넷은 각 영역에서 사용할 수 있도록 자동으로 또는 수동으로 더 작은 서브넷으로 분할됩니다.

    • 자동 분할: 기본적으로 컨트롤러는 전역 루트 서브넷을 자동으로 분할합니다.
    • 수동 분할: 영역 CIDR 할당을 수동으로 제어해야 하는 경우 Subnet 리소스에 ipam.gdc.goog/pause-auto-division: true 주석을 설정하고 영역 서브넷을 수동으로 정의합니다.

이러한 서브넷과 조직을 만드는 방법에 관한 자세한 단계는 고객 조직 만들기를 참고하세요.

요구사항 수집 템플릿

이 섹션에서는 인프라 운영자 (IO)가 영역 및 조직 부트스트랩 모두를 위해 수집해야 하는 IP 주소 지정 정보의 템플릿을 제공합니다.

영역 부트스트랩

영역 부트스트랩을 시작하기 전에 IO에 다음 IP 주소 AttachmentGroup가 있어야 합니다.

서브넷 세부정보 서브넷 크기 조정 참고/제약사항
이름 IPv6 지원 최소 Rec
OOBMgmtCIDR
선택사항
확장 가능		 아니요 /19
개(영역당)		 - 단일 영역에서 사용됩니다.
유니버스의 모든 영역에서 고유해야 합니다(
MUST). 외부적으로 피어링된 모든 네트워크에서 고유해야 합니다(
MUST). 전역적으로 예약되어 어떤 조직에서도 사용할 수 없게 됩니다.
ZoneInfraCIDR
선택사항
1.14에서 확장 불가		 /16
영역당		 - 단일 영역에서 사용됩니다.
유니버스의 모든 영역에서 고유해야 합니다(
MUST). 외부 피어링 네트워크에서 고유해야 합니다(
MUST).
전역적으로 예약되어 어떤 조직에서도 사용할 수 없게 됩니다.
제공되지 않으면 172.17+{zoneID}.0/16로 기본 설정됩니다.
ZoneInfraAnycastCIDR
필수
확장 가능		 /24
유니버스당		 - 모든 영역에서 사용됩니다.
유니버스 내의 모든 영역에서 고유해야 합니다(MUST).
외부적으로 피어링된 모든 네트워크에서 고유해야 합니다(MUST).
전역적으로 예약되어 어떤 조직에서도 사용할 수 없습니다.

조직 부트스트랩

조직 프로비저닝을 시작하기 전에 IO는 온보딩 PA와 협력하여 다음 IP 주소 정보를 계획해야 합니다.

서브넷 세부정보 서브넷 크기 조정 참고/제약사항
이름 IPv6 지원 최소 Rec
defaultVPCCIDR
필수
확장 가능		 /16 영역당 /16 영역당 여러 영역에서 사용됩니다.
모든 영역에서 전역 조직 내에서 고유해야
합니다(MUST).
다른 조직 간에는 항상 중복될 수 있습니다.
전역적으로 예약된 서브넷을 사용하면
안 됩니다(MUST NOT).
infraVPCCIDR
필수
확장 가능		 /16 영역당 /16 영역당 여러 영역에서 사용됩니다.
모든 영역에서 전역 조직 내에서 고유해야
합니다(MUST).
다른 조직 간에는 항상 중복될 수 있습니다.
전역적으로 예약된 서브넷을 사용하면
안 됩니다(MUST NOT).
orgAdminExternalCIDR
필수
확장 가능		 /26 영역당 /26 영역당 전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT).
단일 영역에서 사용됩니다.
모든 영역에서 전역 조직 내에서 고유해야 합니다(MUST).
외부적으로 피어링된 네트워크에서 고유해야 합니다(MUST).
전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT).
orgAdminAnycastCIDR
필수
확장 가능		 /28개(유니버스당) /28개(유니버스당) 전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT). 여러 영역에서 사용되는 서브넷은 전역 조직 내에서 모든 영역에 걸쳐 고유해야 합니다(MUST). 외부적으로 피어링된 네트워크에서 고유해야 합니다(MUST). 전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT).
orgDataExternalCIDR
필수
확장 가능		 /26 영역당 /23 영역당 전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT). 단일 영역에서 사용됩니다.
모든 영역에서 전역 조직 내에서 고유해야 합니다(MUST). 외부적으로 피어링된 네트워크에서 고유해야 합니다(MUST). 전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT).
orgDataAnycastCIDR
필수
확장 가능		 /28개(유니버스당) /26개(유니버스당) 전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT).
여러 영역에서 사용됩니다.
모든 영역에서 전역 조직 내에서 고유해야 합니다(MUST).
외부 피어링 네트워크에서 고유해야 합니다(MUST).
전역적으로 예약된 서브넷을 사용하면 안 됩니다(MUST NOT).

예시

다음 다이어그램은 이 문서에서 설명한 IP 주소 계획 개념이 일반적인 GDC 오프라인 시나리오에 적용되는 방식을 보여줍니다.

예 1: 영역 부트스트랩

IO 범위 네트워크 주소 계획 - 영역 부트스트랩 예

예 2: 공유 인터커넥트를 사용한 조직 온보딩

IO 범위 네트워크 주소 계획 - 공유 인터커넥트가 있는 조직 온보딩 예

예 3: 전용 인터커넥트를 사용한 조직 온보딩

IO 범위 네트워크 주소 계획 - 전용 상호 연결을 사용한 조직 온보딩 예시

주요 개념 및 권장사항

  • VRF 격리: VRF는 GDC 에어갭의 네트워크 세분화에 기본적입니다. 필요한 격리 경계를 유지하는 IP 주소 공간을 계획하려면 각 VRF(영역 인프라, 조직 인프라, 조직 관리자, 조직 데이터 등)의 목적을 이해합니다.
  • 중복 IP와 비중복 IP:
    • GDCag 인프라 주소 공간 (IO 관리): 전체 GDC 에어갭 배포 (모든 영역, 모든 조직)에서 전역적으로 고유해야 합니다. 이 주소 공간은 기본적으로 전역적으로 예약됩니다.
    • 조직 주소 공간 (PA 관리/정의):
      • VPC 네트워크 (인프라 VPC, 기본 VPC): 서로 다른 조직 간에는 중복될 수 있지만 조직 내에서는 모든 영역에서 고유해야 하며 피어링하는 네트워크와도 고유해야 합니다.
      • 조직 관리자/데이터 VRF: 조직에서 별도의 Interconnect Attachment Group을 사용하는 경우 서로 다른 조직 간에 중복될 수 있습니다. 첨부파일 그룹을 공유하는 경우 IP 주소가 고유해야 합니다. 모든 영역에서 동일한 조직 내에서 고유해야 하며 피어링하는 네트워크와 달라야 합니다.
  • 권장 CIDR 크기: 시스템 구성요소와 향후 성장에 충분한 주소 공간을 확보하려면 각 네트워크 세그먼트에 지정된 권장 CIDR 접두사 길이를 준수하세요.
  • RFC 1918 기본 설정: 영역이 인터넷에 연결되지 않는 경우 대부분의 PA 관리 공간에서 공개 IP 주소를 사용할 수 있지만, 일반적으로 내부 GDC 에어갭 네트워크에는 RFC 1918 비공개 주소가 권장됩니다.
  • OIQ 정확성: CIQ (IO용) 및 OIQ (PA에서 IO로)에 제공된 정보는 매우 중요합니다. IP 주소 범위가 부정확하거나 계획이 잘못되면 심각한 배포 문제가 발생할 수 있습니다.
  • 다중 영역:
    • IO의 경우 영역 인프라 VRF는 영역별입니다.
    • PA의 경우: 조직 VPC (인프라 및 기본)와 조직 관리자 및 조직 데이터 네트워크 세그먼트는 개념적으로 조직 전체에 적용되지만 전역 조직 내에서 중복되지 않는 영역별 고유한 IP 할당이 필요합니다. 전역 서브넷은 특정 조직의 영역별 고유한 범위를 제공하기 위해 분할됩니다.

지원 가능성, 진단, 문제 해결, FAQ

  • 일반적인 문제:
    • CIDR 블록의 크기가 충분하지 않아 IP가 소진됩니다.
    • 고유성이 필요한 IP 범위가 중복됩니다. 예를 들어 IO 관리 인프라 네트워크 또는 영역 간 단일 조직의 VPC 및 외부 VRF 내에서
    • 특정 IP 범위 계획을 담당하는 주체 (IO 대 PA)에 대한 오해
    • zone-infra-cidr 또는 피어링된 네트워크와 충돌하는 CIDR 범위
  • 확인 (개략적):
    • IO: 루트 관리자 클러스터의 CIDRClaim 리소스와 전역 루트 관리자 API 서버의 Subnet 리소스를 확인할 수 있습니다.
    • PA: IO와 협력하여 조직의 인프라 및 VPC에 할당된 IP 범위를 파악할 수 있습니다. 기본 VPC의 Subnet 리소스는 전역 조직 API 서버에서 확인할 수 있습니다.
  • FAQ:
    • Q: 배포 후 IP CIDR을 변경할 수 있나요?
      • A: 배포 후 핵심 인프라 IP 범위를 수정하는 것은 복잡하며 상당한 노력이나 재배포가 필요할 수 있습니다. 고객 대상 CIDR (예: 기본 VPC, 조직 관리자 및 조직 데이터 네트워크 세그먼트)은 생성 후 수정할 수 있도록 설계되었지만 변경하려면 신중한 계획과 조정이 필요합니다.
    • Q: 애플리케이션의 부하 분산기 또는 이그레스 NAT의 IP를 어디에서 정의하나요?
      • A: 이는 일반적으로 조직 데이터 VRF CIDR에서 할당되며, 조직 생성 중에 PA가 계획하고 IO에 제공합니다.
    • Q: zone-infra-cidr란 무엇이며 내 OIQ CIDR이 zone-infra-cidr와 중복될 수 없는 이유는 무엇인가요?
      • A: zone-infra-cidr는 영역의 내부 인프라 구성요소의 기본 IP 범위입니다. 이와 겹치면 라우팅 충돌과 불안정성이 발생합니다.

조직을 만들고 서브넷을 구성하는 자세한 절차는 고객 조직 만들기 문서를 참고하세요.