IP 位址規劃

本指南提供 Google Distributed Cloud (GDC) 實體隔離環境的 IP 位址規劃總覽。有效管理 IP 位址是成功部署、運作及擴充 GDC 氣隙解決方案的關鍵。

這份文件適用於:

  • 基礎架構操作人員 (IO):負責規劃、部署及運作 GDC 氣隙區域的個人或團隊,包括基礎網路基礎架構和建立租戶機構。

產品總覽

Google Distributed Cloud (GDC) 實體隔離方案是整合式軟硬體解決方案,可讓您在安全或主權限制嚴格的環境中執行雲端技術,完全與公有雲中斷連線。GDC 1.14 大幅強化了叢集設計和網路功能,包括每個機構可使用單一基礎架構叢集,以及進階虛擬私有雲 (VPC) 網路功能。

在 GDC air-gapped 中,仔細規劃 IP 位址至關重要,原因如下:

  • 隔離:在不同房客 (機構) 之間,以及管理和資料層之間,適當區隔網路。
  • 可擴充性:為目前和日後的工作負載 (包括 VM、容器和服務) 提供充足的 IP 位址空間。
  • 連線:確保 GDC 實體隔離環境內所有元件的路由和可連線性,以及視需要連線至外部網路。
  • 法規遵循:遵守環境規定的特定網路定址架構或限制。

GDC 架構會使用虛擬路由和轉送 (VRF) 執行個體,達到網路隔離和區隔效果。瞭解 IO 和 PA 管理的 IP 位址空間,是成功規劃的關鍵。IO 範圍網路位址 規劃

可用區 IP 規劃

基礎架構營運人員負責規劃整個 GDC 實體隔離區域的基礎 IP 位址空間。包括區域核心基礎架構、共用服務,以及啟動新機構所需的初始網路區隔。

區域基礎架構網路

IO 會在初始區域啟動期間佈建區域基礎架構網路,這對 GDC 氣隙環境的運作至關重要。這些位址在 GDC 氣隙宇宙中必須是全域唯一,且通常使用 RFC 1918 私人位址空間。這些網路會成為全球保留網路,任何租戶機構網路都無法使用。

如需完整參考資料/規格,請參閱需求收集範本

使用客戶問卷調查 (CIQ) 和其他區域啟動步驟啟動區域時,IO 會提供這些 IP 位址。

機構基礎架構網路

IO 建立新機構時,系統會佈建某些基礎網路。這些位址屬於 GDC 氣隙式基礎架構位址空間,且不得重複。這些位址會從區域基礎架構網路自動分配,並在區域啟動時提供。機構管理員和使用者並不知道這些網路。

機構 IP 規劃

建立機構時,IO 必須與 PA 合作,在機構輸入問卷 (OIQ) 程序中規劃機構的 IP 位址。這些 CIDR 用於在每個區域中啟動機構的基礎架構叢集,且不得相互重疊,也不得與任何全域保留網路 (例如區域基礎架構網路) 重疊。您可以從 CIQ 擷取區域基礎架構網路,也可以查詢根管理員叢集。

如需完整的限制詳細資料,請參閱「需求收集範本」。

這些詳細資料是由 IO 從 PA 收集而來,用於佈建機構。以下是與機構 IP 位址規劃相關的主要 OIQ 欄位:

  • infraVPCCIDR
    • 說明:用於機構內的系統工作負載,包括機構控制台、管理 API 和第一方服務。
    • 全域根子網路名稱infra-vpc-root-cidr
    • 全球 API 伺服器:全球根層級
  • defaultVPCCIDR
    • 說明:用於機構內的使用者工作負載,包括使用者 VM、Pod CIDR 和 Kubernetes 叢集節點。
    • 全域根子網路名稱default-vpc-root-cidr
    • 全球 API 伺服器:全球機構 API
  • orgAdminExternalCIDR
    • 說明:適用於周邊叢集中的工作負載和端點,可處理外部網路與機構之間的管理流量。
    • 全域根子網路名稱admin-external-root-cidr
    • 全球 API 伺服器:全球根層級
  • orgDataExternalCIDR
    • 說明:適用於使用者可從外部連線的工作負載和端點,例如外部負載平衡器和輸出 NAT。
    • 全域根子網路名稱data-external-root-cidr
    • 全球 API 伺服器:全球根層級

規劃程序

規劃及佈建機構網路位址的高階程序如下:

  1. 與 PA 合作定義 CIDR:與機構的 PA 合作,為基礎架構 VPC、預設 VPC、機構管理員網路區隔和機構資料網路區隔,判斷適當的不重疊 CIDR 區塊。

  2. 在全域根管理 API 伺服器中建立全域子網路:使用定義的 CIDR,在全域根管理 API 伺服器上,於機構的命名空間中建立 Subnet 資源 (infra-vpc-root-cidradmin-external-root-cidrdata-external-root-cidr)。

  3. 分割區域的根子網路:這些全域根子網路會自動或手動分割成較小的子網路,供每個區域使用。

    • 自動拆分:根據預設,控制器會自動分割全域根子網路。
    • 手動分割:如需手動控制區域 CIDR 分配,請在 Subnet 資源上設定 ipam.gdc.goog/pause-auto-division: true 註解,並手動定義區域子網路。

如需建立這些子網路和機構的詳細步驟,請參閱「建立客戶機構」。

需求收集範本

本節提供 IP 位址資訊範本,基礎架構作業人員 (IO) 需要收集這些資訊,才能啟動區域和機構。

區域啟動

開始區域 Bootstrap 前,IO 應具有下列 IP 位址AttachmentGroup

子網路詳細資料 子網路大小 注意事項/限制
名稱 IPv6 支援 Min Rec
OOBMgmtCIDR
選填
可擴充		 /19
每個區域		 - 在單一可用區中使用
必須在宇宙的所有可用區中不得重複
必須在任何外部對等互連網路中不得重複
成為全域保留項目,任何機構都無法使用
ZoneInfraCIDR
選填
1.14 版無法展開		 /16
每個區域		 - 在單一可用區中使用
必須在宇宙的所有可用區中都是唯一值
必須在任何外部對等互連網路中都是唯一值
成為全域保留值,任何機構都無法使用
如未提供,預設為 172.17+{zoneID}.0/16
ZoneInfraAnycastCIDR
必填
可展開		 /24
每個宇宙		 - 適用於所有可用區
必須在宇宙的所有可用區中保持不重複
必須在任何外部對等互連網路中保持不重複
成為全域保留項目,任何機構都無法使用

機構啟動

開始佈建機構前,IO 應與導入 PA 合作,規劃下列 IP 位址資訊。

子網路詳細資料 子網路大小 注意事項/限制
名稱 IPv6 支援 Min Rec
defaultVPCCIDR
必填
可展開		 /16 每個區域 /16 每個區域 在多個區域中使用
必須在所有區域的全球機構中保持不重複
可與其他機構重疊
不得使用任何全球保留的子網路
infraVPCCIDR
必填
可展開		 /16 每個區域 /16 每個區域 在多個區域中使用
必須在所有區域的全球機構中保持不重複
可與其他機構重疊
不得使用任何全球保留的子網路
orgAdminExternalCIDR
必填
可展開		 每個區域 /26 每個區域 /26 不得使用任何全域保留子網路
在單一可用區中使用
必須在所有可用區的全球機構中保持不重複
必須在任何外部對等互連網路中保持不重複
不得使用任何全域保留子網路
orgAdminAnycastCIDR
必填
可展開		 /28 per universe /28 per universe 不得使用任何全域保留子網路
在多個區域中使用必須在全域機構的各個區域中保持不重複必須在任何外部對等互連網路中保持不重複不得使用任何全域保留子網路
orgDataExternalCIDR
必填
可展開		 /26 每個區域 每個可用區 /23 不得使用任何全域保留子網路。用於單一可用區
必須在全域機構的所有可用區中保持不重複
必須在任何外部對等互連網路中保持不重複
不得使用任何全域保留子網路
orgDataAnycastCIDR
必填
可展開		 /28 per universe /26 per universe 不得使用任何全域保留子網路
在多個區域中使用
必須在所有區域的全球機構中保持不重複
必須在任何外部對等互連網路中保持不重複
不得使用任何全域保留子網路

範例

下圖說明本文討論的 IP 位址規劃概念,如何套用至常見的 GDC 氣隙情境。

範例 1:區域啟動程序

IO 範圍網路位址規劃 - 區域啟動 範例

範例 2:透過共用互連網路加入機構

IO 範圍網路位址規劃 - 透過共用互連服務加入機構的範例

範例 3:透過專屬互連網路完成機構的導入程序

IO 範圍網路位址規劃 - 透過專屬互連加入機構的範例

重要概念和最佳做法

  • VRF 隔離:VRF 是 GDC 氣隙網路區隔的基礎。瞭解每個 VRF (區域基礎架構、機構基礎架構、機構管理員、機構資料等) 的用途,規劃可維持必要隔離界限的 IP 位址空間。
  • 重疊與非重疊 IP:
    • GDCag 基礎架構位址空間 (IO 管理):在整個 GDC 氣隙部署 (所有區域、所有機構) 中,必須是全域唯一的。這個位址空間基本上會變成全域保留
    • 機構地址空間 (PA 管理/定義):
      • 虛擬私有雲網路 (基礎架構虛擬私有雲、預設虛擬私有雲):可與不同機構重疊,但必須在機構內的所有區域中保持獨一無二,且不得與任何對等互連的網路重複。
      • 機構管理員/資料 VRF:如果不同機構使用不同的互連網路附件群組,則這些機構之間可以重疊。如果他們共用附件群組,IP 位址不得重複。在相同機構的所有區域中不得重複,且不得與任何對等互連網路重複。
  • 建議的 CIDR 大小:請遵守為每個網路區隔指定的建議 CIDR 前置碼長度,確保系統元件有足夠的位址空間,並因應未來的成長需求。
  • RFC 1918 偏好設定:如果區域未連上網際網路,則在大多數 PA 管理的空間中,都可以使用公用 IP 位址,但一般來說,內部 GDC 氣隙網路建議使用 RFC 1918 私人位址。
  • OIQ 準確度:CIQ (適用於 IO) 和 OIQ (適用於 PA 對 IO) 中提供的資訊至關重要。如果 IP 位址範圍不準確或規劃不當,可能會導致部署作業面臨重大挑戰。
  • 多區域:
    • IO:區域基礎架構 VRF 是以區域為單位。
    • 對於 PA:機構 VPC (基礎架構和預設) 和機構管理員與機構資料網路區隔,在概念上是機構範圍,但每個區域都需要不重疊的專屬 IP 配置,不得與該全球機構內重疊。全球子網路會劃分,為特定機構的每個區域提供專屬範圍。

支援性、診斷、疑難排解和常見問題

  • 常見陷阱:
    • CIDR 區塊大小不足,導致 IP 位址耗盡。
    • IP 範圍重疊 (不得重複)。例如,IO 管理的基礎架構網路,或單一機構的虛擬私有雲和跨區域的外部 VRF。
    • 誤解哪個實體 (IO 或 PA) 負責規劃特定 IP 範圍。
    • zone-infra-cidr 或對等互連網路衝突的 CIDR 範圍。
  • 驗證 (高階):
    • iOS:可驗證根管理員叢集中的 CIDRClaim 資源,以及全域根管理員 API 伺服器中的 Subnet 資源。
    • PA:可與 IO 協調,瞭解分配給機構基礎架構和 VPC 的 IP 範圍。Subnet 資源,您可以在全域機構 API 伺服器中查看預設虛擬私有雲。
  • 常見問題:
    • 問:部署後可以變更 IP CIDR 嗎?
      • 答:部署後修改核心基礎架構 IP 範圍相當複雜,可能需要投入大量心力或重新部署。面向客戶的 CIDR (例如預設 VPC、機構管理員和機構資料網路區隔) 建立後可修改,但變更時需要仔細規劃及協調。
    • 問:我該在哪裡為應用程式的負載平衡器或輸出 NAT 定義 IP?
      • 答:這些通常是從 Org Data VRF CIDR 分配,由 PA 規劃,並在建立機構時提供給 IO。
    • 問:什麼是 zone-infra-cidr?為什麼我的 OIQ CIDR 無法與其重疊?
      • 答:zone-infra-cidr 是區域內部基礎架構元件的基礎 IP 範圍。如果與其重疊,就會導致路由衝突和不穩定。

如需建立機構和設定子網路的詳細程序,IO 應參閱「建立客戶機構」說明文件。