IP 주소 계획 및 아키텍처

이 페이지에서는 Google Distributed Cloud (GDC) 오프라인 유니버스에 IP 주소를 할당할 때 따라야 하는 계획 프로세스와 고려사항을 설명합니다.

IP 주소 아키텍처를 효과적으로 계획하면 변화하는 요구사항에 따라 확장되는 워크로드 및 서비스의 향후 네트워킹 중단을 완화할 수 있습니다. GDC의 서브넷 및 IP 주소에 대한 개념 개요는 서브넷 및 IP 주소를 참고하세요.

이 페이지는 조직 내 서비스의 네트워크 트래픽 관리를 담당하는 플랫폼 관리자 그룹 내 네트워크 관리자를 대상으로 합니다. 자세한 내용은 GDC 오프라인 문서 대상을 참고하세요.

신중한 IP 주소 계획의 이점

신중한 IP 주소 계획은 다음과 같은 이점을 제공합니다.

  • 격리: 여러 조직 간 및 관리 영역과 데이터 영역 간의 적절한 네트워크 세분화
  • 확장성: 조직이 프로비저닝된 후 추가 IP 주소 공간을 할당할 수 없는 관리 서비스를 비롯한 현재 및 향후 워크로드와 서비스를 위한 충분한 IP 주소 공간
  • 연결: GDC 에어갭 유니버스 내의 모든 구성요소와 필요한 경우 외부 네트워크에 대한 올바른 라우팅 및 도달 가능성
  • 규정 준수: 환경에서 요구하는 특정 네트워크 주소 지정 체계 또는 제한사항을 준수합니다.

GDC 아키텍처는 가상 라우팅 및 전달 (VRF) 인스턴스를 사용하여 네트워크 격리 및 세분화를 구현합니다. 관리하는 IP 주소 공간과 IO가 독점적으로 소유한 IP 주소 공간을 파악하는 것이 성공적인 계획의 핵심입니다.

IP 주소 아키텍처 권장사항

조직의 네트워킹 요구사항이 변경될 때 적응할 수 있는 지속 가능한 IP 주소 아키텍처를 효과적으로 프로비저닝하려면 다음 권장사항을 고려해야 합니다.

  • 중복 및 비중복 IP 주소:
    • 가상 프라이빗 클라우드 (VPC) 네트워크는 서로 다른 조직 간에 중복될 수 있지만, 조직 내에서는 모든 영역에서 고유해야 하며 피어링하는 네트워크와도 고유해야 합니다.
    • 조직에서 별도의 인터커넥트를 사용하는 경우 서로 다른 조직 간에 외부 네트워크 세그먼트가 중복될 수 있습니다. 상호 연결을 공유하는 경우 IP 주소는 모든 영역에서 동일한 조직 내에서 고유해야 하며 피어링하는 네트워크와는 달라야 합니다.
  • 최소 CIDR 크기: 각 네트워크 세그먼트에 지정된 최소 CIDR 접두사 길이를 준수하여 시스템 구성요소와 향후 성장에 충분한 주소 공간을 할당합니다.
  • RFC 1918 기본 설정: 관리 네트워크 대부분에서 공개 IP 주소를 사용할 수 있지만, 영역이 인터넷에 연결되지 않는 경우 일반적으로 내부 GDC 에어갭 네트워크에는 RFC 1918 비공개 주소가 권장됩니다.
  • OIQ 정확성: 조직 인입 설문지 (OIQ)에서 IO에 제공하는 정보는 매우 중요합니다. 부정확하거나 잘못 계획된 IP 주소 범위는 심각한 배포 문제를 야기할 수 있습니다.
  • 다중 영역: 조직 VPC와 외부 네트워크 세그먼트는 전역 조직에 걸쳐 있지만 해당 전역 조직 내에서 중복되지 않는 영역별 고유 IP 주소 할당이 필요합니다. 전역 서브넷을 사용하여 특정 조직의 영역별로 고유한 IP 주소 범위를 할당합니다.

IP 주소 아키텍처의 예는 다음 다이어그램을 참고하세요.

유니버스의 상호 연결에 따라 IP 주소 아키텍처를 설정하는 방법이 결정됩니다.

이 다이어그램에는 다중 영역 유니버스를 포괄하는 두 가지 서로 다른 상호 연결(전용 상호 연결 및 공유 상호 연결)이 있습니다. 이 유니버스에 여러 조직이 정의되어 있습니다. 조직 1은 전용 인터커넥트 내에 있으므로 외부 범위 서브넷이 유니버스 내 다른 조직과 겹칠 수 있습니다. 하지만 공유 인터커넥트의 조직은 모두 동일한 인터커넥트 내에 있으므로 서로 외부 범위 서브넷이 중복될 수 없습니다.

각 조직은 VPC 네트워크와 외부 네트워크 세그먼트를 정의합니다. 이 예에서는 애니캐스트 IP 주소를 사용하여 영역 외부 네트워크 세그먼트 간에 트래픽을 라우팅하므로 가장 가까운 영역 또는 성능이 가장 우수한 영역에서 네트워킹 요청을 처리합니다. 애니캐스트 IP 주소에 대한 자세한 내용은 GDC의 IP 주소를 참고하세요.

계획 프로세스

IO에서 조직을 프로비저닝하기 전에 조직의 IP 주소 아키텍처를 결정해야 합니다. IO에서 이러한 단계를 안내합니다.

조직의 네트워크 IP 주소를 계획하고 프로비저닝하는 대략적인 프로세스는 다음과 같습니다.

  1. CIDR 범위 정의: 네트워크팀과 협력하여 기본 VPC, 인프라 VPC, 관리 네트워크 세그먼트, 데이터 네트워크 세그먼트에 적합한 중복되지 않는 CIDR 블록을 결정합니다.

  2. IO에 CIDR 범위 제공: 새 조직을 요청할 때 OIQ의 일부로 이러한 CIDR을 IO에 제공합니다. IO는 CIDR을 사용하여 적절한 API 서버에서 필요한 전역 서브넷을 구성합니다.

IO에서 조직을 프로비저닝한 후에는 주로 워크로드 배포 및 외부 서비스 노출을 위해 조직 내 특정 IP 주소 공간을 관리해야 합니다.

각 네트워크 및 네트워크별 CIDR 범위 선택 방법에 대한 자세한 내용은 조직의 IP 주소 고려사항을 참고하세요.

조직의 IP 주소 고려사항

CIDR 범위를 정의하기 위한 OIQ를 완료하기 전에 각 네트워크와 네트워크 설정 권장사항을 검토하세요.

  • 기본 VPC: 내부 워크로드의 내부 IP 주소를 호스팅합니다. 조직이 프로비저닝된 후 이 네트워크에 추가 IP 주소를 할당할 수 있습니다.
  • 인프라 VPC: 퍼스트 파티 GDC 에어갭 서비스의 내부 IP 주소를 호스팅합니다. 조직이 프로비저닝된 후에는 이 네트워크에 추가 IP 주소를 할당할 수 없습니다.
  • 관리 네트워크 세그먼트: 관리 서비스의 외부 IP 주소를 호스팅합니다. 조직이 프로비저닝된 후에는 이 네트워크에 IP 주소를 추가로 할당할 수 없습니다.
  • 데이터 네트워크 세그먼트: 외부 서비스의 외부 IP 주소를 호스팅합니다. 조직이 프로비저닝된 후 이 네트워크에 추가 IP 주소를 할당할 수 있습니다.

네트워크 설명 및 네트워크에서 사용하는 IP 주소에 대한 자세한 내용은 GDC의 네트워크를 참고하세요.

VPC 네트워크

조직의 VPC 네트워크 내에서 IP 주소 공간을 프로비저닝하기 위해 IO에 제공할 각 VPC 네트워크 유형에 대한 다음 정보를 준비합니다.

기본 VPC

기본 VPC에서 가상 머신 (VM) 및 컨테이너와 같은 내부 워크로드를 배포하고 관리합니다.

기본 VPC의 IP 주소는 유니버스의 모든 영역에 있는 다른 VPC 및 피어링된 네트워크 IP 주소와 달라야 합니다. 이 VPC의 IP 주소는 조직 간에 중복될 수 있으며 RFC 1918 비공개 IP 주소 또는 공개 IP 주소일 수 있습니다. 조직이 프로비저닝된 후 기본 VPC 서브넷을 추가로 만들 수 있습니다.

기본 VPC 루트 IP 주소 범위에 관해 IO와 협업할 때는 다음 정보를 고려하세요. 해당 OIQ 필드와 전역 루트 서브넷 이름은 고정된 값이며 변경할 수 없습니다.

  • OIQ 필드: defaultVPCCIDR
  • 전역 루트 서브넷 이름: default-vpc-root-cidr
  • 글로벌 API 서버: 글로벌 조직
  • 서브넷 최소 크기: 영역당 /16
  • 서브넷 권장 크기: 영역당 /16

인프라 VPC

워크로드를 인프라 VPC에 직접 배포하지는 않지만 시스템 관리 GDC 에어갭 서비스에서 사용할 IP 주소 범위를 제공해야 합니다.

인프라 VPC의 IP 주소는 유니버스의 모든 영역에 있는 다른 VPC 및 피어링된 네트워크 IP 주소와 달라야 합니다. 이 VPC의 IP 주소는 조직 간에 중복될 수 있으며 RFC 1918 비공개 IP 주소 또는 공개 IP 주소일 수 있습니다. 조직이 프로비저닝된 후에는 인프라 VPC 서브넷을 추가로 만들 수 없습니다.

인프라 VPC 루트 IP 주소 범위에 관해 IO와 협업할 때 다음 정보를 고려하세요. 해당 OIQ 필드와 전역 루트 서브넷 이름은 고정된 값이며 변경할 수 없습니다.

  • OIQ 필드: infraVPCCIDR
  • 전역 루트 서브넷 이름: infra-vpc-root-cidr
  • 전역 API 서버: 전역 루트
  • 서브넷 최소 크기: 영역당 /16
  • 서브넷 권장 크기: 영역당 /16

외부 네트워크 세그먼트

조직의 외부 네트워크 내에서 IP 주소 공간을 프로비저닝하기 위해 IO에 제공할 각 외부 네트워크 세그먼트 유형에 대해 다음 정보를 준비합니다.

관리 네트워크 세그먼트

외부 서비스를 관리 네트워크 세그먼트에 직접 배포하지는 않지만 GDC 콘솔 및 관리 API와 같이 조직에서 실행되는 관리 서비스에서 사용할 IP 주소 범위를 제공해야 합니다. 조직이 프로비저닝된 후에는 이 네트워크에 추가 IP 주소를 할당할 수 없습니다.

조직에서 별도의 인터커넥트 연결 그룹을 사용하는 경우 서로 다른 조직 간에 관리 네트워크 세그먼트의 IP 주소가 중복될 수 있습니다. 첨부 파일 그룹을 공유하는 경우 IP 주소는 모든 영역에서 동일한 조직 내에서 고유해야 하며 피어링하는 네트워크와는 달라야 합니다. 조직이 프로비저닝된 후에는 관리 네트워크 세그먼트 서브넷을 추가로 만들 수 없습니다.

관리 네트워크 세그먼트 루트 IP 주소 범위에 관해 IO와 협업할 때는 다음 정보를 고려하세요. 해당 OIQ 필드와 전역 루트 서브넷 이름은 고정된 값이며 변경할 수 없습니다.

  • OIQ 필드: orgAdminExternalCIDR
  • 전역 루트 서브넷 이름: admin-external-root-cidr
  • 전역 API 서버: 전역 루트
  • 서브넷 최소 크기: 영역당 /26
  • 서브넷 권장 크기: 영역당 /26

데이터 네트워크 세그먼트

이그레스 네트워크 주소 변환 (NAT)외부 부하 분산기와 같이 조직 외부에서 작동하는 외부 서비스를 데이터 네트워크 세그먼트 내에서 배포하고 관리합니다. 조직이 프로비저닝된 후 이 네트워크에 추가 IP 주소를 할당할 수 있습니다.

조직에서 별도의 인터커넥트 연결 그룹을 사용하는 경우 서로 다른 조직 간에 데이터 네트워크 세그먼트의 IP 주소가 중복될 수 있습니다. 첨부 파일 그룹을 공유하는 경우 IP 주소는 모든 영역에서 동일한 조직 내에서 고유해야 하며 피어링하는 네트워크와는 달라야 합니다. 조직이 프로비저닝된 후 데이터 네트워크 세그먼트 서브넷을 추가로 만들 수 있습니다.

데이터 네트워크 세그먼트 루트 IP 주소 범위에 관해 IO와 공동작업할 때는 다음 정보를 고려하세요. 해당 OIQ 필드와 전역 루트 서브넷 이름은 고정된 값이며 변경할 수 없습니다.

  • OIQ 필드: orgDataExternalCIDR
  • 전역 루트 서브넷 이름: data-external-root-cidr
  • 전역 API 서버: 전역 루트
  • 서브넷 최소 크기: 영역당 /26
  • 서브넷 권장 크기: 영역당 /23

다음 단계