Planeamento de endereços IP

Este guia fornece uma vista geral do planeamento de endereços IP para ambientes isolados do Google Distributed Cloud (GDC). A gestão eficaz dos endereços IP é fundamental para a implementação, o funcionamento e o dimensionamento bem-sucedidos da sua solução com isolamento de ar do GDC.

Este documento destina-se a:

  • Operadores de infraestrutura (OIs): indivíduos ou equipas responsáveis pelo planeamento, implementação e funcionamento gerais de uma zona isolada do GDC, incluindo a infraestrutura de rede subjacente e a criação de organizações de inquilinos.

Vista geral do produto

O Google Distributed Cloud (GDC) air-gapped é uma solução integrada de hardware e software que lhe permite executar tecnologias de nuvem em ambientes com restrições de segurança ou soberania rigorosas, completamente desligados das nuvens públicas. O GDC 1.14 introduz melhorias significativas na conceção e nas redes de clusters, incluindo um único cluster de infraestrutura por organização e capacidades avançadas de redes da nuvem virtual privada (VPC).

O planeamento cuidadoso dos endereços IP é essencial no GDC air-gapped para o seguinte:

  • Isolamento: segmentação adequada da rede entre diferentes inquilinos (organizações) e entre os planos de gestão e de dados.
  • Escalabilidade: espaço de endereço IP suficiente para cargas de trabalho atuais e futuras, incluindo VMs, contentores e serviços.
  • Conetividade: encaminhamento e acessibilidade corretos para todos os componentes no ambiente isolado do GDC e para redes externas, conforme necessário.
  • Conformidade: adesão a esquemas de endereçamento de rede específicos ou restrições impostas pelo seu ambiente.

A arquitetura do GDC usa instâncias de encaminhamento e encaminhamento virtuais (VRF) para alcançar o isolamento e a segmentação da rede. Compreender que espaços de endereços IP são geridos pela IO em comparação com a PA é fundamental para um planeamento bem-sucedido. Planeamento de endereços de rede com âmbito de IO

Planeamento de IPs de zona

Enquanto operador de infraestrutura, é responsável pelo planeamento do espaço de endereços IP fundamental para toda a zona isolada do GDC. Isto inclui redes para a infraestrutura principal da zona, serviços partilhados e os segmentos de rede iniciais necessários para iniciar novas organizações.

Redes de infraestrutura de zonas

As redes de infraestrutura de zonas são aprovisionadas pelo IO durante o arranque inicial da zona e são essenciais para o funcionamento do ambiente isolado do GDC. O respetivo endereçamento tem de ser globalmente único no universo isolado do GDC e, normalmente, usa o espaço de endereços privados RFC 1918. Estas redes ficam reservadas globalmente e não podem ser usadas por redes de organizações inquilinas.

Para ver referências/especificações completas, consulte o modelo de recolha de requisitos .

Estes endereços IP são fornecidos pelo IO quando inicia uma zona através do questionário de recolha de dados do cliente (CIQ) e de outros passos de arranque da zona.

Redes de infraestrutura da organização

Quando uma IO cria uma nova organização, são aprovisionadas determinadas redes fundamentais. Estes fazem parte do espaço de endereços da infraestrutura isolada do GDC e têm de ser globalmente únicos. Os endereços são atribuídos automaticamente a partir da rede de infraestrutura da zona fornecida no arranque da zona. Os administradores e os utilizadores de uma organização não têm conhecimento destas redes.

Planeamento de IPs da organização

Ao criar uma organização, a IO tem de trabalhar com o PA para planear o endereçamento IP da organização como parte do processo do Questionário de dados de entrada da organização (OIQ). Estes CIDRs são usados para iniciar o cluster de infraestrutura da organização em cada zona e não podem sobrepor-se entre si nem a nenhuma rede reservada globalmente, como as redes de infraestrutura de zona. Zone As redes de infraestrutura podem ser obtidas a partir do CIQ ou consultando o cluster de administrador raiz.

Consulte o modelo de recolha de requisitos para ver os detalhes completos das restrições.

Estes detalhes são recolhidos pelo PA a partir da IO e usados para aprovisionar a organização. Os principais campos de OIQ relacionados com o planeamento de endereços IP para organizações são os seguintes:

  • infraVPCCIDR:
    • Descrição: usado para cargas de trabalho do sistema na organização, incluindo a consola da organização, as APIs de gestão e os serviços originais.
    • Nome da sub-rede raiz global: infra-vpc-root-cidr
    • Servidor de API global: raiz global
  • defaultVPCCIDR
    • Descrição: usado para cargas de trabalho do utilizador na organização, incluindo VMs do utilizador, CIDRs de pods e nós do cluster Kubernetes.
    • Nome da sub-rede raiz global: default-vpc-root-cidr
    • Servidor de API global: API global da organização
  • orgAdminExternalCIDR:
    • Descrição: para cargas de trabalho e pontos finais no cluster de perímetro que processam o tráfego administrativo entre redes externas e a organização.
    • Nome da sub-rede raiz global: admin-external-root-cidr
    • Servidor de API global: raiz global
  • orgDataExternalCIDR:
    • Descrição: para cargas de trabalho e pontos finais acessíveis externamente pelos utilizadores, como equilibradores de carga externos e NATs de saída.
    • Nome da sub-rede raiz global: data-external-root-cidr
    • Servidor de API global: raiz global

Processo de planeamento

O processo de alto nível para planear e aprovisionar o endereçamento de rede de uma organização é o seguinte:

  1. Colabore com os PAs para definir CIDRs: colabore com os PAs da organização para determinar blocos CIDR não sobrepostos adequados para a respetiva VPC de infraestrutura, VPC predefinida, segmento de rede de administrador da organização e segmento de rede de dados da organização.

  2. Crie sub-redes globais no servidor da API de administrador principal global: crie recursos (Subnet, admin-external-root-cidr, data-external-root-cidr) no espaço de nomes da organização no servidor da API de administrador principal global através dos CIDRs definidos.infra-vpc-root-cidr

  3. Divida as sub-redes raiz para zonas: estas sub-redes raiz globais são, em seguida, divididas automaticamente ou manualmente em sub-redes mais pequenas para cada zona a consumir.

    • Divisão automática: por predefinição, um controlador divide automaticamente a sub-rede raiz global.
    • Divisão manual: se for necessário o controlo manual da atribuição de CIDR zonal, defina a anotação ipam.gdc.goog/pause-auto-division: true nos recursos Subnet e defina manualmente as sub-redes zonais.

Para ver passos mais detalhados sobre a criação destas sub-redes e da organização, consulte o artigo Crie uma organização de clientes.

Modelo de recolha de requisitos

Esta secção fornece um modelo das informações de endereçamento IP que os operadores de infraestrutura (IOs) têm de recolher para o arranque da zona e da organização.

Inicialização da zona

Antes de iniciar o Zone Bootstrap, os SOs devem ter os seguintes endereços IP AttachmentGroup.

Detalhes da sub-rede Dimensionamento da sub-rede Notas/restrições
Nome IPv6 Supp. Min Rec
OOBMgmtCIDR
Opcional
Expansível		 Não /19
por zona		 - Usado numa única zona
TEM de ser único em todas as zonas num universo
TEM de ser único em todas as redes com peering externo
Torna-se reservado globalmente e inutilizável por qualquer organização
ZoneInfraCIDR
Opcional
Não expansível na versão 1.14		 Sim /16
por zona		 - Usado numa única zona
TEM de ser exclusivo em todas as zonas num universo
TEM de ser exclusivo em todas as redes com peering externo
Torna-se reservado globalmente e inutilizável por qualquer organização
Se não for fornecido, a predefinição é 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
Obrigatório
Expansível		 Sim /24
por universo		 - Usado em todas as zonas
TEM de ser exclusivo em todas as zonas de um universo
TEM de ser exclusivo em todas as redes com peering externo
Torna-se reservado globalmente e inutilizável por qualquer organização

Organização Bootstrap

Antes de iniciar o aprovisionamento de uma organização, os IOs devem trabalhar com os PAs de integração para planear as seguintes informações de endereçamento IP.

Detalhes da sub-rede Dimensionamento da sub-rede Notas/restrições
Nome IPv6 Supp. Min Rec
defaultVPCCIDR
Obrigatório
Expansível		 Sim /16 por zona /16 por zona Usado em várias zonas
TEM DE ser exclusivo na organização global em todas as zonas
Pode sempre sobrepor-se entre outras organizações
NÃO PODE usar nenhuma sub-rede reservada globalmente
infraVPCCIDR
Obrigatório
Expansível		 Sim /16 por zona /16 por zona Usado em várias zonas
TEM DE ser exclusivo na organização global em todas as zonas
Pode sempre sobrepor-se entre outras organizações
NÃO PODE usar nenhuma sub-rede reservada globalmente
orgAdminExternalCIDR
Obrigatório
Expansível		 Sim /26 por zona /26 por zona NÃO PODE usar nenhuma sub-rede reservada globalmente
Usada numa única zona
TEM DE ser única na organização global em todas as zonas
TEM DE ser única em todas as redes com peering externo
NÃO PODE usar nenhuma sub-rede reservada globalmente
orgAdminAnycastCIDR
Obrigatório
Expansível		 Sim /28 por universo /28 por universo NÃO DEVE usar nenhuma sub-rede reservada globalmente
Usada em várias zonas TEM DE ser única na organização global em todas as zonas TEM DE ser única em todas as redes com peering externo NÃO DEVE usar nenhuma sub-rede reservada globalmente
orgDataExternalCIDR
Obrigatório
Expansível		 Sim /26 por zona /23 por zona NÃO PODE usar nenhuma sub-rede reservada globalmente.
TEM de ser única na organização global em todas as zonas.
TEM de ser única em todas as redes com peering externo.
NÃO PODE usar nenhuma sub-rede reservada globalmente.
orgDataAnycastCIDR
Obrigatório
Expansível		 Sim /28 por universo /26 por universo NÃO DEVE usar nenhuma sub-rede reservada globalmente
Usada em várias zonas
TEM DE ser única na organização global em todas as zonas
TEM DE ser única em todas as redes com peering externo
NÃO DEVE usar nenhuma sub-rede reservada globalmente

Exemplos

Os diagramas seguintes ilustram como os conceitos de planeamento de endereços IP abordados neste documento se aplicam a cenários comuns com isolamento de ar da GDC.

Exemplo 1: arranque da zona

IO Scoped Network Address Planning - Zone Bootstrap Example

Exemplo 2: integração de organizações com interconexão partilhada

Planeamento de endereços de rede com âmbito de IO: integração de organizações com interconexão partilhada. Exemplo

Exemplo 3: integração de organizações com interconexões dedicadas

IO Scoped Network Address Planning - Organization Onboarding with Dedicated Interconnect Example

Conceitos-chave e práticas recomendadas

  • Isolamento de VRF: os VRFs são fundamentais para a segmentação de rede no GDC com isolamento de ar. Compreenda a finalidade de cada VRF (infraestrutura de zona, infraestrutura de organização, administrador da organização, dados da organização, etc.) para planear espaços de endereços IP que mantenham os limites de isolamento necessários.
  • IPs sobrepostos vs. não sobrepostos:
    • Espaço de endereços da infraestrutura GDCag (gerido por IO): tem de ser globalmente único em toda a implementação com isolamento de ar do GDC (todas as zonas, todas as organizações). Este espaço de endereços torna-se essencialmente reservado globalmente.
    • Espaço de endereços da organização (gerido/definido pela PA):
      • Redes VPC (VPC de infraestrutura, VPC predefinida): podem sobrepor-se entre diferentes organizações, mas têm de ser únicas numa organização em todas as respetivas zonas e únicas em relação a quaisquer redes com as quais estabeleçam peering.
      • Administrador da organização/VRFs de dados: podem sobrepor-se entre diferentes organizações se essas organizações usarem grupos de anexos do Interconnect separados. Se partilharem um grupo de anexos, os endereços IP têm de ser únicos. Tem de ser exclusivo na mesma organização em todas as respetivas zonas e exclusivo de quaisquer redes com as quais tenha uma relação de intercâmbio.
  • Tamanhos de CIDR recomendados: respeite os comprimentos de prefixos CIDR recomendados especificados para cada segmento de rede de modo a ter espaço de endereço suficiente para os componentes do sistema e o crescimento futuro.
  • Preferência RFC 1918: embora os endereços IP públicos possam ser usados na maioria dos espaços geridos pela PA se a zona não se ligar à Internet, os endereços privados RFC 1918 são geralmente recomendados para redes isoladas do GDC internas.
  • Precisão do OIQ: as informações fornecidas no CIQ (para IOs) e no OIQ (para PAs para IOs) são essenciais. Os intervalos de endereços IP imprecisos ou mal planeados podem gerar desafios de implementação significativos.
  • Várias zonas:
    • Para iOS: os VRFs de infraestrutura de zona são por zona.
    • Para PAs: as VPCs da organização (infraestrutura e predefinição) e os segmentos de rede de dados da organização são conceptualmente abrangentes a toda a organização, mas requerem atribuições de IP únicas por zona que não se sobreponham nessa organização global. As sub-redes globais são divididas para fornecer intervalos únicos por zona para uma determinada organização.

Capacidade de apoio técnico, diagnóstico, resolução de problemas e perguntas frequentes

  • Erros comuns:
    • Blocos CIDR de tamanho insuficiente, o que leva à exaustão de IPs.
    • Intervalos de IP sobrepostos onde a exclusividade é necessária. Por exemplo, redes de infraestrutura geridas por IO, ou dentro das VPCs de uma única organização e VRFs externas em várias zonas.
    • Mal-entendido sobre que entidade (IO versus PA) é responsável pelo planeamento de intervalos de IP específicos.
    • Intervalos CIDR em conflito com as redes zone-infra-cidr ou com relações de parceria.
  • Validação (alto nível):
    • IOs: pode validar recursos CIDRClaim no cluster de administrador raiz e recursos Subnet no servidor da API de administrador raiz global.
    • PAs: podem coordenar com os IOs para compreender os intervalos de IP atribuídos à infraestrutura e às VPCs da respetiva organização. Os recursos Subnet para a VPC predefinida podem ser verificados no servidor da API da organização global.
  • Perguntas frequentes:
    • P: Posso alterar os CIDRs de IP após a implementação?
      • R: Modificar os intervalos de IP da infraestrutura principal após a implementação é complexo e pode exigir um esforço significativo ou uma nova implementação. Os CIDRs virados para o cliente (por exemplo, para a VPC predefinida, o administrador da organização e os segmentos de rede de dados da organização) foram concebidos para serem modificáveis após a criação, mas as alterações requerem um planeamento e uma coordenação cuidadosos.
    • P: Onde defino os IPs para os equilibradores de carga ou o NAT de saída da minha aplicação?
      • R: Normalmente, são atribuídos a partir do CIDR do VRF de dados da organização, que é planeado pelo PA e fornecido ao IO durante a criação da organização.
    • P: O que é o zone-infra-cidr e por que motivo os meus CIDRs de OIQ não podem sobrepor-se a ele?
      • R: O zone-infra-cidr é um intervalo de IP fundamental para os componentes de infraestrutura internos da zona. A sobreposição com o mesmo causaria conflitos de encaminhamento e instabilidade.

Para procedimentos detalhados sobre a criação de organizações e a configuração de sub-redes, os IOs devem consultar a documentação Crie uma organização de clientes.