Planejamento de endereços IP

Este guia oferece uma visão geral do planejamento de endereços IP para ambientes isolados do Google Distributed Cloud (GDC). O gerenciamento eficaz de endereços IP é crucial para a implantação, operação e escalonamento bem-sucedidos da sua solução isolada do GDC.

Este documento é destinado a:

  • Operadores de infraestrutura (IOs): pessoas ou equipes responsáveis pelo planejamento, implantação e operação gerais de uma zona isolada do GDC, incluindo a infraestrutura de rede subjacente e a criação de organizações locatárias.

Visão geral do produto

O isolamento físico do Google Distributed Cloud (GDC) é uma solução integrada de hardware e software que permite executar tecnologias de nuvem em ambientes com restrições rigorosas de segurança ou soberania, completamente desconectados de nuvens públicas. O GDC 1.14 apresenta melhorias significativas no design e na rede de clusters, incluindo um único cluster de infraestrutura por organização e recursos avançados de rede de nuvem privada virtual (VPC).

Um planejamento cuidadoso do endereço IP é essencial no GDC air-gapped para o seguinte:

  • Isolamento:segmentação de rede adequada entre diferentes locatários (organizações) e entre planos de gerenciamento e de dados.
  • Escalabilidade:espaço de endereço IP suficiente para cargas de trabalho atuais e futuras, incluindo VMs, contêineres e serviços.
  • Conectividade:roteamento e acessibilidade corretos para todos os componentes no ambiente isolado do GDC e para redes externas, conforme necessário.
  • Conformidade:adesão a esquemas de endereçamento de rede ou restrições específicas exigidas pelo seu ambiente.

A arquitetura do GDC usa instâncias de roteamento e encaminhamento virtual (VRF, na sigla em inglês) para alcançar isolamento e segmentação de rede. Entender quais espaços de endereços IP são gerenciados pelo IO e pelo PA é fundamental para um planejamento bem-sucedido. Planejamento de endereços de rede no escopo de E/S

Planejamento de IP da zona

Como operador de infraestrutura, você é responsável por planejar o espaço de endereços IP fundamentais para toda a zona isolada do GDC. Isso inclui redes para a infraestrutura principal, serviços compartilhados e segmentos de rede iniciais necessários para inicializar novas organizações.

Redes de infraestrutura de zona

As redes de infraestrutura de zona são provisionadas pelo IO durante a inicialização da zona e são essenciais para o funcionamento do ambiente isolado do GDC. O endereçamento precisa ser globalmente exclusivo no universo isolado do GDC e geralmente usa o espaço de endereço particular RFC 1918. Essas redes se tornam reservadas globalmente e não podem ser usadas por nenhuma rede de organização locatária.

Para ver a referência/especificações completas, consulte o modelo de coleta de requisitos .

Esses endereços IP são fornecidos pelo IO ao inicializar uma zona usando o questionário de entrada do cliente (CIQ) e outras etapas de inicialização da zona.

Redes de infraestrutura da organização

Quando um IO cria uma organização, algumas redes fundamentais são provisionadas. Eles fazem parte do espaço de endereços da infraestrutura isolada do GDC e precisam ser globalmente exclusivos. Os endereços são alocados automaticamente da rede de infraestrutura da zona fornecida no bootstrap da zona. Os administradores e usuários de uma organização não têm conhecimento dessas redes.

Planejamento de IP da organização

Ao criar uma organização, o IO precisa trabalhar com o PA para planejar o endereçamento IP da organização como parte do processo do Questionário de entrada da organização (OIQ, na sigla em inglês). Esses CIDRs são usados para inicializar o cluster de infraestrutura da organização em cada zona e não podem se sobrepor entre si nem a nenhuma rede reservada globalmente, como as redes de infraestrutura de zona. Zona As redes de infraestrutura podem ser recuperadas da CIQ ou consultando o cluster de administrador raiz.

Consulte o Modelo de coleta de requisitos para ver todos os detalhes das restrições.

Esses detalhes são coletados do PA pelo IO e usados para provisionar a organização. Os principais campos da OIQ relacionados ao planejamento de endereços IP para organizações são os seguintes:

  • infraVPCCIDR:
    • Descrição: usado para cargas de trabalho do sistema na organização, incluindo o console da organização, APIs de gerenciamento e serviços próprios.
    • Nome da sub-rede raiz global: infra-vpc-root-cidr
    • Servidor de API global: raiz global
  • defaultVPCCIDR
    • Descrição: usado para cargas de trabalho do usuário na organização, incluindo VMs do usuário, CIDRs de pod e nós de cluster do Kubernetes.
    • Nome da sub-rede raiz global: default-vpc-root-cidr
    • Servidor de API global: API global da organização
  • orgAdminExternalCIDR:
    • Descrição: para cargas de trabalho e endpoints no cluster de perímetro que processam o tráfego administrativo entre redes externas e a organização.
    • Nome da sub-rede raiz global: admin-external-root-cidr
    • Servidor de API global: raiz global
  • orgDataExternalCIDR:
    • Descrição: para cargas de trabalho e endpoints que podem ser acessados externamente por usuários, como balanceadores de carga externos e NATs de saída.
    • Nome da sub-rede raiz global: data-external-root-cidr
    • Servidor de API global: raiz global

Processo de planejamento

O processo de alto nível para planejar e provisionar o endereçamento de rede de uma organização é:

  1. Trabalhe com PAs para definir CIDRs:trabalhe com os PAs da organização para determinar blocos de CIDR não sobrepostos adequados para a VPC de infraestrutura, a VPC padrão, o segmento de rede do administrador da organização e o segmento de rede de dados da organização.

  2. Crie sub-redes globais no servidor da API de administrador raiz global:crie recursos Subnet (infra-vpc-root-cidr, admin-external-root-cidr, data-external-root-cidr) no namespace da organização no servidor da API de administrador raiz global usando os CIDRs definidos.

  3. Dividir sub-redes raiz para zonas:essas sub-redes raiz globais são divididas automaticamente ou manualmente em sub-redes menores para cada zona consumir.

    • Divisão automática:por padrão, um controlador divide automaticamente a sub-rede raiz global.
    • Divisão manual:se for necessário controle manual sobre a alocação de CIDR zonal, defina a anotação ipam.gdc.goog/pause-auto-division: true nos recursos Subnet e defina manualmente as sub-redes zonais.

Para etapas mais detalhadas sobre como criar essas sub-redes e a organização, consulte Criar organização do cliente.

Modelo de coleta de requisitos

Esta seção fornece um modelo das informações de endereçamento IP que os operadores de infraestrutura (IOs) precisam coletar para o bootstrap da zona e da organização.

Inicialização da zona

Antes de iniciar a inicialização por bootstrap da zona, os IOs precisam ter os seguintes endereços IP AttachmentGroup.

Detalhes da sub-rede Dimensionamento de sub-rede Observações/restrições
Nome IPv6 Supp. Min Rec
OOBMgmtCIDR
Opcional
Expansível		 Não /19
por zona		 - Usado em uma única zona
PRECISA ser exclusivo em todas as zonas de um universo
PRECISA ser exclusivo em todas as redes com peering externo
Se torna reservado globalmente e inutilizável por qualquer organização
ZoneInfraCIDR
Opcional
Não expansível na versão 1.14		 Sim /16
por zona		 - Usado em uma única zona
PRECISA ser exclusivo em todas as zonas de um universo
PRECISA ser exclusivo em todas as redes com peering externo
Se torna reservado globalmente e não pode ser usado por nenhuma organização
Se não for fornecido, o padrão será 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
Obrigatório
Expansível		 Sim /24
por universo		 - Usado em todas as zonas
PRECISA ser exclusivo em todas as zonas de um universo
PRECISA ser exclusivo em todas as redes externas com peering
Se torna reservado globalmente e inutilizável por qualquer organização

Inicialização da organização

Antes de iniciar o provisionamento de uma organização, os IOs precisam trabalhar com os PAs de integração para planejar as seguintes informações de endereçamento IP.

Detalhes da sub-rede Dimensionamento de sub-rede Observações/restrições
Nome IPv6 Supp. Min Rec
defaultVPCCIDR
Obrigatório
Expansível		 Sim /16 por zona /16 por zona Usado em várias zonas
PRECISA ser exclusivo na organização global em todas as zonas
Sempre pode haver sobreposição entre outras organizações
NÃO PODE usar sub-redes reservadas globalmente
infraVPCCIDR
Obrigatório
Expansível		 Sim /16 por zona /16 por zona Usado em várias zonas
PRECISA ser exclusivo na organização global em todas as zonas
Sempre pode haver sobreposição entre outras organizações
NÃO PODE usar sub-redes reservadas globalmente
orgAdminExternalCIDR
Obrigatório
Expansível		 Sim /26 por zona /26 por zona NÃO PODE usar nenhuma sub-rede reservada globalmente
Usada em uma única zona
PRECISA ser exclusiva na organização global em todas as zonas
PRECISA ser exclusiva em todas as redes com peering externo
NÃO PODE usar nenhuma sub-rede reservada globalmente
orgAdminAnycastCIDR
Obrigatório
Expansível		 Sim /28 por universo /28 por universo NÃO PODE usar sub-redes reservadas globalmente
Usadas em várias zonas PRECISA ser exclusivas na organização global em todas as zonas PRECISA ser exclusivas em todas as redes com peering externo NÃO PODE usar sub-redes reservadas globalmente
orgDataExternalCIDR
Obrigatório
Expansível		 Sim /26 por zona /23 por zona NÃO PODE usar sub-redes reservadas globalmente.Usado em uma única zona
PRECISA ser exclusivo na organização global em todas as zonas
PRECISA ser exclusivo em todas as redes com peering externo
NÃO PODE usar sub-redes reservadas globalmente.
orgDataAnycastCIDR
Obrigatório
Expansível		 Sim /28 por universo /26 por universo NÃO PODE usar sub-redes reservadas globalmente
Usadas em várias zonas
PRECISA ser exclusiva na organização global em todas as zonas
PRECISA ser exclusiva em todas as redes com peering externo
NÃO PODE usar sub-redes reservadas globalmente

Exemplos

Os diagramas a seguir ilustram como os conceitos de planejamento de endereços IP discutidos neste documento se aplicam a cenários comuns de GDC isolados por ar.

Exemplo 1: inicialização da zona

Planejamento de endereços de rede com escopo de E/S: exemplo de inicialização da zona

Exemplo 2: integração da organização com interconexão compartilhada

Planejamento de endereços de rede no escopo de E/S: integração da organização com interconexão compartilhada. Exemplo

Exemplo 3: integração de uma organização com interconexões dedicadas

Planejamento de endereços de rede com escopo de E/S: integração da organização com interconexão dedicada. Exemplo

Principais conceitos e práticas recomendadas

  • Isolamento de VRF:as VRFs são fundamentais para a segmentação de rede no GDC isolado por air-gap. Entenda a finalidade de cada VRF (infraestrutura de zona, infraestrutura da organização, administrador da organização, dados da organização etc.) para planejar espaços de endereços IP que mantenham os limites de isolamento necessários.
  • IPs sobrepostos x não sobrepostos:
    • Espaço de endereços da infraestrutura do GDCag (gerenciado por E/S): precisa ser globalmente exclusivo em toda a implantação isolada do GDC (todas as zonas e organizações). Esse espaço de endereço se torna reservado globalmente.
    • Espaço de endereço da organização (gerenciado/definido pela PA):
      • Redes VPC (VPC de infraestrutura, VPC padrão): podem se sobrepor entre diferentes organizações, mas precisam ser exclusivas dentro de uma organização em todas as zonas e exclusivas de qualquer rede com que fazem peering.
      • Administrador da organização/VRFs de dados:podem se sobrepor entre diferentes organizações se elas usarem grupos de anexos de interconexão separados. Se eles compartilharem um grupo de anexos, os endereços IP precisarão ser exclusivos. Precisa ser exclusivo na mesma organização em todas as zonas e exclusivo de todas as redes com que ela faz peering.
  • Tamanhos de CIDR recomendados:siga os tamanhos de prefixo de CIDR recomendados especificados para cada segmento de rede para ter espaço de endereço suficiente para componentes do sistema e crescimento futuro.
  • Preferência do RFC 1918:embora os endereços IP públicos possam ser usados na maioria dos espaços gerenciados pelo PA se a zona não se conectar à Internet, os endereços privados do RFC 1918 geralmente são recomendados para redes internas isoladas do GDC.
  • Precisão do OIQ:as informações fornecidas no CIQ (para IOs) e no OIQ (para PAs para IOs) são essenciais. Intervalos de endereços IP imprecisos ou mal planejados podem causar desafios significativos de implantação.
  • Multizona:
    • Para IOs: as VRFs de infraestrutura de zona são por zona.
    • Para PAs: as VPCs da organização (infraestrutura e padrão) e os segmentos de rede de dados e administrador da organização são conceitualmente válidos para toda a organização, mas exigem alocações de IP exclusivas por zona que não se sobrepõem dentro dessa organização global. As sub-redes globais são divididas para fornecer intervalos exclusivos por zona para uma determinada organização.

Suporte, diagnóstico, solução de problemas e perguntas frequentes

  • Problemas comuns:
    • Blocos CIDR de tamanho insuficiente, o que leva ao esgotamento de IP.
    • Intervalos de IP sobrepostos em que a exclusividade é obrigatória. Por exemplo, redes de infraestrutura gerenciadas por E/S ou em VPCs e VRFs externos de uma única organização em várias zonas.
    • Mal-entendido sobre qual entidade (IO ou PA) é responsável por planejar intervalos de IP específicos.
    • Intervalos de CIDR em conflito com as redes zone-infra-cidr ou com peering.
  • Verificação (alto nível):
    • IOs:podem verificar recursos CIDRClaim no cluster de administrador raiz e recursos Subnet no servidor da API de administrador raiz global.
    • PAs:podem coordenar com IOs para entender os intervalos de IP alocados à infraestrutura e às VPCs da organização. Os recursos Subnet da VPC padrão podem ser verificados no servidor global da API da organização.
  • Perguntas frequentes:
    • P: Posso mudar os CIDRs de IP depois da implantação?
      • R: Modificar os intervalos de IP da infraestrutura principal após a implantação é complexo e pode exigir um esforço significativo ou uma nova implantação. Os CIDRs voltados ao cliente (por exemplo, para VPC padrão, administrador da organização e segmentos de rede de dados da organização) são projetados para serem modificáveis após a criação, mas as mudanças exigem planejamento e coordenação cuidadosos.
    • P: Onde defino os IPs para os balanceadores de carga ou o NAT de saída do meu aplicativo?
      • R: Normalmente, eles são alocados do CIDR do VRF de dados da organização, que é planejado pelo PA e fornecido ao IO durante a criação da organização.
    • P: O que é o zone-infra-cidr e por que meus CIDRs de OIQ não podem se sobrepor a ele?
      • R: O zone-infra-cidr é um intervalo de IP fundamental para os componentes internos da infraestrutura da zona. A sobreposição causaria conflitos de roteamento e instabilidade.

Para procedimentos detalhados sobre como criar organizações e configurar sub-redes, os IOs devem consultar a documentação Criar organização do cliente.