IP 地址规划

本指南概述了 Google Distributed Cloud (GDC) 网闸隔离环境的 IP 地址规划。有效的 IP 地址管理对于成功部署、运行和伸缩 GDC 气隙解决方案至关重要。

本文档适用于:

  • 基础设施运维人员 (IO):负责 GDC 气隙区域的总体规划、部署和运营的个人或团队,包括底层网络基础设施和租户组织的创建。

产品概览

经过网闸隔离的 Google Distributed Cloud (GDC) 是一种集成式硬件和软件解决方案,可让您在具有严格安全或主权限制的环境中运行云技术,完全与公有云断开连接。GDC 1.14 对集群设计和网络功能进行了重大改进,包括每个组织一个基础架构集群和高级 Virtual Private Cloud (VPC) 网络功能。

在 GDC 空气隔离环境中,仔细规划 IP 地址对于以下方面至关重要:

  • 隔离:在不同租户(组织)之间以及管理平面和数据平面之间进行适当的网络分段。
  • 可伸缩性:为当前和未来的工作负载(包括虚拟机、容器和服务)提供充足的 IP 地址空间。
  • 连接性:GDC 气隙环境内所有组件以及外部网络的正确路由和可达性(如需要)。
  • 合规性:遵守您的环境所要求的特定网络寻址方案或限制。

GDC 架构利用虚拟路由和转发 (VRF) 实例来实现网络隔离和分段。了解哪些 IP 地址空间由 IO 管理,哪些由 PA 管理,对于成功规划至关重要。IO 范围的网络地址规划

可用区 IP 规划

作为基础设施运维者,您负责为整个 GDC 气隙隔离区规划基础 IP 地址空间。这包括区域的核心基础架构、共享服务以及启动新组织所需的初始网段的网络。

地区基础架构网络

区域基础架构网络由 IO 在初始区域引导期间进行配置,对于 GDC 气隙环境的正常运行至关重要。其寻址必须在 GDC 气隙环境中具有全局唯一性,并且通常使用 RFC 1918 专用地址空间。这些网络会变为全局预留,任何租户组织网络都无法使用。

如需查看完整的参考资料/规范,请参阅“需求收集”模板

在通过客户意见征询问卷 (CIQ) 和其他地区引导步骤引导地区时,IO 会提供这些 IP 地址。

组织基础架构网络

当 IO 创建新组织时,系统会预配某些基础网络。这些地址属于 GDC 气隙式基础架构地址空间,必须是全局唯一的。这些地址是在可用区引导时从给定的可用区基础架构网络自动分配的。组织的管理员和用户不知道这些网络。

组织 IP 规划

创建组织时,IO 必须与 PA 合作,在组织输入问卷 (OIQ) 流程中规划组织的 IP 地址。这些 CIDR 用于在每个可用区中引导组织的基础架构集群,并且不得相互重叠,也不得与任何全局预留网络(例如可用区基础架构网络)重叠。可从 CIQ 或通过查询根管理员集群检索区域基础架构网络。

如需了解完整的限制详情,请参阅需求收集模板

这些详细信息由 IO 从 PA 收集,并用于配置组织。与组织 IP 地址规划相关的关键 OIQ 字段如下:

  • infraVPCCIDR
    • 说明:用于组织内的系统工作负载,包括组织控制台、管理 API 和第一方服务。
    • 全局根子网名称infra-vpc-root-cidr
    • 全局 API 服务器:全局根
  • defaultVPCCIDR
    • 说明:用于组织内的用户工作负载,包括用户虚拟机、Pod CIDR 和 Kubernetes 集群节点。
    • 全局根子网名称default-vpc-root-cidr
    • 全局 API 服务器:全局组织 API
  • orgAdminExternalCIDR
    • 说明:适用于处理外部网络与组织之间管理流量的周边集群中的工作负载和端点。
    • 全局根子网名称admin-external-root-cidr
    • 全局 API 服务器:全局根
  • orgDataExternalCIDR
    • 说明:适用于用户可从外部访问的工作负载和端点,例如外部负载平衡器和出站流量 NAT。
    • 全局根子网名称data-external-root-cidr
    • 全局 API 服务器:全局根

规划流程

规划和预配组织的网络寻址的简要流程如下:

  1. 与 PA 协作定义 CIDR:与组织的 PA 协作,确定其基础设施 VPC、默认 VPC、组织管理网络段和组织数据网络段的适当非重叠 CIDR 地址块。

  2. 在全局根管理员 API 服务器中创建全局子网:使用定义的 CIDR 在组织命名空间中的全局根管理员 API 服务器上创建 Subnet 资源(infra-vpc-root-cidradmin-external-root-cidrdata-external-root-cidr)。

  3. 拆分可用区的根子网:这些全局根子网随后会自动或手动拆分为更小的子网,供每个可用区使用。

    • 自动拆分:默认情况下,控制器会自动拆分全局根子网。
    • 手动拆分:如果需要手动控制可用区 CIDR 分配,请在 Subnet 资源上设置 ipam.gdc.goog/pause-auto-division: true 注解,并手动定义可用区子网。

如需详细了解如何创建这些子网和组织,请参阅创建客户组织

需求收集模板

本部分提供了一个 IP 地址信息模板,基础设施运营商 (IO) 需要收集这些信息以进行区域和组织引导。

区域引导

在开始区域引导之前,IO 应具有以下 IP 地址 AttachmentGroup

子网详情 子网大小调整 备注/限制条件
名称 IPv6 支持 最小值 Rec
OOBMgmtCIDR
可选
可扩展		 /19
每个可用区		 - 在单个可用区中使用时
必须在整个宇宙中保持唯一性
必须在任何外部对等互连的网络中保持唯一性
成为全局预留地址,任何组织都无法使用
ZoneInfraCIDR
可选
在 1.14 中不可展开		 /16
每个可用区		 - 在单个可用区中使用时
必须在整个宇宙中是唯一的
必须在任何外部对等网络中是唯一的
成为全局预留,任何组织都无法使用
如果未提供,则默认为 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
必需
可扩展		 /24
每个宇宙		 - 在所有可用区中使用
必须在整个宇宙中的所有可用区中具有唯一性
必须在任何外部对等网络中具有唯一性
成为全局预留 IP 地址,任何组织都无法使用

组织初始配置

在开始预配组织之前,IO 应与初始配置 PA 合作,规划以下 IP 地址信息。

子网详情 子网大小调整 备注/限制条件
名称 IPv6 支持 最小值 Rec
defaultVPCCIDR
必需
可扩展		 每个可用区 16 个 每个可用区 16 个 在多个可用区中使用
必须在全球组织内的所有可用区中保持唯一
始终可以在不同组织之间重叠
不得使用任何全局预留子网
infraVPCCIDR
必需
可扩展		 每个可用区 16 个 每个可用区 16 个 在多个可用区中使用
必须在全球组织内的所有可用区中保持唯一
始终可以在不同组织之间重叠
不得使用任何全局预留子网
orgAdminExternalCIDR
必需
可扩展		 每个可用区 26 个 每个可用区 26 个 不得使用任何全局预留子网
在单个可用区中使用
必须在整个组织中(包括所有可用区)保持唯一
必须在任何外部对等互联的网络中保持唯一
不得使用任何全局预留子网
orgAdminAnycastCIDR
必需
可扩展		 /28 个(每个媒体资源) /28 个(每个媒体资源) 不得使用任何全局预留子网
在多个可用区中使用必须在全局组织内跨所有可用区保持唯一必须在任何外部对等互联的网络中保持唯一不得使用任何全局预留子网
orgDataExternalCIDR
必需
可扩展		 /26 每个可用区 每个可用区 23 个 不得使用任何全局预留子网在单个可用区中使用
必须在全球组织内所有可用区中保持唯一
必须在任何外部对等互连的网络中保持唯一
不得使用任何全局预留子网
orgDataAnycastCIDR
必需
可扩展		 /28 个(每个媒体资源) /26 个宇宙 不得使用任何全局预留子网
在多个可用区中使用
必须在整个组织中(包括所有可用区)保持唯一
必须在所有外部对等互连的网络中保持唯一
不得使用任何全局预留子网

示例

以下图表展示了本文档中讨论的 IP 地址规划概念如何应用于常见的 GDC 气隙场景。

示例 1:区域引导

IO 范围的网络地址规划 - 区域引导示例

示例 2:组织通过共享互连进行初始配置

IO 范围的网络地址规划 - 组织通过共享互联进行初始配置示例

示例 3:通过专用互连进行组织初始配置

IO 范围的网络地址规划 - 组织通过专用互连进行初始配置示例

关键概念和最佳实践

  • VRF 隔离:VRF 是 GDC 气隙中网络分段的基础。了解每个 VRF(区域基础架构、组织基础架构、组织管理员、组织数据等)的用途,以便规划可保持必要隔离边界的 IP 地址空间。
  • 重叠 IP 与非重叠 IP
    • GDCag 基础架构地址空间(IO 管理):在整个 GDC 气隙部署(所有可用区、所有组织)中必须具有全局唯一性。此地址空间实际上会变成全局预留
    • 组织地址空间(PA 管理/定义)
      • VPC 网络(基础架构 VPC、默认 VPC):可以在不同组织之间重叠,但在一个组织内必须在所有可用区中保持唯一性,并且不能与任何对等互连的网络重叠。
      • 组织管理员/数据 VRF:如果不同的组织使用单独的互连附件组,则可以在这些组织之间重叠。如果它们共享一个附件组,则 IP 地址必须是唯一的。在同一组织的所有可用区中必须是唯一的,并且与对等互连的任何网络都不同。
  • 建议的 CIDR 大小:请遵循为每个网段指定的建议 CIDR 前缀长度,以便为系统组件和未来增长预留足够的地址空间。
  • RFC 1918 偏好设置:虽然在大多数 PA 管理的空间中,如果可用区未连接到互联网,则可以使用公共 IP 地址,但通常建议将 RFC 1918 专用地址用于内部 GDC 气隙网络。
  • OIQ 准确性:CIQ(针对 IO)和 OIQ(针对 PA 到 IO)中提供的信息至关重要。不准确或规划不周的 IP 地址范围可能会导致严重的部署问题。
  • 多可用区
    • 对于 IO:地区基础架构 VRF 是按地区划分的。
    • 对于 PA:组织 VPC(基础架构和默认)以及组织管理员和组织数据网段在概念上是组织范围的,但需要每个可用区具有不重叠的唯一 IP 分配(在该全局组织内)。全球子网经过划分,可为给定组织的每个可用区提供唯一的范围。

可支持性、诊断、问题排查和常见问题解答

  • 常见误区
    • CIDR 地址块大小不足,导致 IP 地址耗尽。
    • 需要保持唯一性的 IP 范围出现重叠。例如,IO 管理的基础设施网络,或者单个组织的 VPC 和跨区域的外部 VRF。
    • 误解了哪个实体(IO 与 PA)负责规划特定 IP 地址范围。
    • zone-infra-cidr 或对等互连网络冲突的 CIDR 范围。
  • 验证(高级)
    • IO:可以验证根管理员集群中的 CIDRClaim 资源和全局根管理员 API 服务器中的 Subnet 资源。
    • PA:可以与 IO 协调,了解分配给其组织的基础设施和 VPC 的 IP 范围。可以在全局组织 API 服务器中检查默认 VPC 的 Subnet 资源。
  • 常见问题解答
    • 问:部署后可以更改 IP CIDR 吗?
      • 答:在部署后修改核心基础架构 IP 范围非常复杂,可能需要花费大量精力或重新部署。面向客户的 CIDR(例如,默认 VPC、组织管理员和组织数据网段的 CIDR)在创建后可以修改,但更改需要仔细规划和协调。
    • 问:在哪里为应用的负载平衡器或出站 NAT 定义 IP?
      • 答:这些地址通常从组织数据 VRF CIDR 分配,由 PA 规划并在组织创建期间提供给 IO。
    • 问:什么是 zone-infra-cidr?为什么我的 OIQ CIDR 不能与其重叠?
      • 答:zone-infra-cidr 是可用区内部基础设施组件的基础 IP 范围。如果与其重叠,则会导致路由冲突和不稳定。

如需详细了解如何创建组织和配置子网,IO 应参阅创建客户组织文档。