IP 位址規劃和架構

本頁面說明為 Google Distributed Cloud (GDC) 氣隙環境分配 IP 位址時,必須採取的規劃程序和考量事項。

有效規劃 IP 位址架構,可因應不斷變化的需求,在工作負載和服務擴展時,減少未來網路中斷的風險。如要瞭解 GDC 中的子網路和 IP 位址概念,請參閱「子網路和 IP 位址」。

本頁面適用於平台管理員群組中的網路管理員,負責管理機構內服務的網路流量。詳情請參閱 GDC air-gapped 說明文件適用對象

仔細規劃 IP 位址的好處

審慎規劃 IP 位址可帶來下列優點:

  • 隔離:在不同機構之間,以及管理和資料層之間,適當區隔網路。
  • 可擴充性:為目前和未來的服務與工作負載提供充足的 IP 位址空間,包括機構佈建後無法分配額外 IP 位址空間的管理服務。
  • 連線:確保 GDC 氣隙宇宙中的所有元件,以及外部網路 (視需要) 的正確路徑和可連線性。
  • 法規遵循:遵守環境規定的特定網路定址架構或限制。

GDC 架構使用虛擬路由和轉送 (VRF) 執行個體,達到網路隔離和區隔效果。瞭解您管理的 IP 位址空間,以及 IO 專屬的 IP 位址空間,是成功規劃的關鍵。

IP 位址架構的最佳做法

您必須考量下列建議,才能有效佈建可適應貴機構網路需求的耐用 IP 位址架構:

  • 重疊和非重疊 IP 位址:
    • 虛擬私有雲 (VPC) 網路可以在不同機構之間重疊,但必須在機構內的所有區域中保持獨一無二,且不得與任何對等互連的網路重複。
    • 如果不同機構使用個別的互連,外部網路區隔可能會重疊。如果共用互連網路,則所有區域的 IP 位址在相同機構中不得重複,且不得與任何對等互連網路重複。
  • CIDR 大小下限:請遵守為每個網路區隔指定的 CIDR 前置碼長度下限,為系統元件和未來成長分配足夠的位址空間。
  • RFC 1918 偏好設定:雖然您可以在大部分受管理網路中使用公開 IP 位址,但如果區域未連上網際網路,一般建議使用 RFC 1918 私人位址,用於內部 GDC 氣隙網路。
  • OIQ 準確度:您在機構填寫問卷 (OIQ) 時提供的資訊至關重要。如果 IP 位址範圍不正確或規劃不當,可能會導致重大部署問題。
  • 多區域:機構組織虛擬私有雲和外部網路區隔會跨越全球機構組織,但每個區域都需要不重疊的專屬 IP 位址分配 (在該全球機構組織內)。使用全域子網路,為特定機構的每個區域分配不重複的 IP 位址範圍。

如需 IP 位址架構範例,請參閱下圖:

您宇宙中的互連決定了 IP 位址架構的設定方式。

在這張圖中,有兩個不同的互連網路,涵蓋多個可用區:專屬互連網路和共用互連網路。這個世界中定義了多個機構。機構 1 位於專屬互連中,因此其外部範圍的子網路可以與宇宙中的其他機構重疊。不過,共用互連網路中的機構不能有重疊的外部範圍子網路,因為這些子網路都位於同一個互連網路中。

每個機構都會定義虛擬私有雲網路和外部網路區隔。在這個範例中,任播 IP 位址用於在區域外部網路區隔之間轉送流量,因此最近或效能最佳的區域會為網路要求提供服務。如要進一步瞭解任播 IP 位址,請參閱「GDC 中的 IP 位址」。

規劃程序

在 IO 佈建貴機構之前,您必須先決定貴機構的 IP 位址架構。IO 會引導您完成這些步驟。

規劃及佈建機構網路 IP 位址的大致流程如下:

  1. 定義 CIDR 範圍:與網路團隊合作,為預設虛擬私有雲、基礎架構虛擬私有雲、管理網路區隔和資料網路區隔,決定適當的非重疊 CIDR 區塊。

  2. 向 IO 提供 CIDR 範圍:要求新機構時,請在 OIQ 中提供這些 CIDR。IO 會使用 CIDR 在適當的 API 伺服器中設定必要的全域子網路。

IO 為貴機構佈建資源後,您必須管理機構內的特定 IP 位址空間,主要用於工作負載部署和外部服務曝光。

如要進一步瞭解各個網路,以及如何為每個網路選取 CIDR 範圍,請參閱「機構的 IP 位址注意事項」。

機構的 IP 位址考量事項

完成 OIQ 來定義 CIDR 範圍前,請先查看各個網路和設定這些網路的最佳做法:

  • 預設虛擬私有雲:用於內部工作負載的內部 IP 位址。機構佈建完成後,您可以為這個網路分配其他 IP 位址。
  • 基礎架構虛擬私有雲:為第一方 GDC 氣隙服務代管內部 IP 位址。機構佈建完成後,您就無法為這個網路分配額外的 IP 位址。
  • 管理網路區隔:管理服務的外部 IP 位址主機。機構佈建完成後,您就無法為這個網路分配其他 IP 位址。
  • 資料網路區隔:主機的外部 IP 位址適用於外部服務。機構佈建完成後,您可以為這個網路分配額外的 IP 位址。

如要進一步瞭解網路說明和使用的 IP 位址,請參閱「GDC 中的網路」。

虛擬私有雲網路

請準備好每種虛擬私有雲網路類型的下列資訊,並提供給 IO,以便在貴機構的虛擬私有雲網路中佈建 IP 位址空間。

預設虛擬私有雲

您可以從預設 VPC 部署及管理內部工作負載,例如虛擬機器 (VM) 和容器。

預設 VPC 中的 IP 位址不得與您宇宙所有區域中的其他 VPC,以及任何對等互連網路 IP 位址重複。這個虛擬私有雲中的 IP 位址可能會在不同機構之間重疊,且可以是 RFC 1918 私人 IP 位址或公開 IP 位址。機構佈建完成後,您可以建立額外的 Default VPC 子網路。

與 IO 合作處理預設 VPC 根 IP 位址範圍時,請注意以下資訊。請注意,對應的 OIQ 欄位和全域根子網路名稱是固定值,無法變更。

  • OIQ 欄位defaultVPCCIDR
  • 全域根子網路名稱default-vpc-root-cidr
  • 全球 API 伺服器:全球機構
  • 子網路大小下限:每個區域 /16
  • 建議子網路大小:每個可用區 /16

基礎架構虛擬私有雲

您不會直接將工作負載部署至基礎架構 VPC,但必須提供 IP 位址範圍,供系統管理的 GDC 氣隙服務使用。

基礎架構虛擬私有雲中的 IP 位址不得與您所在宇宙的所有區域中其他虛擬私有雲的 IP 位址重複,也不得與任何對等互連網路的 IP 位址重複。這個 VPC 中的 IP 位址可能會在不同機構之間重疊,且可以是 RFC 1918 私人 IP 位址或公開 IP 位址。機構佈建完成後,您就無法建立其他基礎架構虛擬私有雲子網路。

與 IO 合作處理基礎架構 VPC 根 IP 位址範圍時,請注意下列資訊。請注意,對應的 OIQ 欄位和全域根子網路名稱是固定值,無法變更。

  • OIQ 欄位infraVPCCIDR
  • 全域根子網路名稱infra-vpc-root-cidr
  • 全域 API 伺服器:全域根層級
  • 子網路大小下限:每個區域 /16
  • 建議子網路大小:每個可用區 /16

外部網路區隔

請準備好各個外部網路區隔類型的下列資訊,並提供給 IO,以便在貴機構的外部網路中佈建 IP 位址空間。

管理網路區隔

您不會直接將外部服務部署到管理網路區隔,但必須提供 IP 位址範圍,供機構中執行的管理服務使用,例如 GDC 控制台和管理 API。機構佈建完成後,您就無法為這個網路分配額外的 IP 位址。

如果不同機構使用不同的互連附件群組,管理網路區隔中的 IP 位址可能會重疊。如果共用連結群組,IP 位址在相同機構的所有區域中不得重複,且不得與對等互連的任何網路重複。機構佈建完成後,您就無法建立其他管理網路區隔子網路。

與 IO 合作處理管理網路區隔根 IP 位址範圍時,請注意以下資訊。請注意,對應的 OIQ 欄位和全域根子網路名稱是固定值,無法變更。

  • OIQ 欄位orgAdminExternalCIDR
  • 全域根子網路名稱admin-external-root-cidr
  • 全域 API 伺服器:全域根層級
  • 子網路大小下限:每個區域 /26
  • 建議子網路大小:每個可用區 /26

資料網路區隔

您可以在資料網路區隔中,部署及管理在貴機構外部運作的外部服務,例如輸出網路位址轉譯 (NAT)外部負載平衡器。機構佈建完成後,您可以為這個網路分配額外的 IP 位址。

如果不同機構使用不同的互連附件群組,資料網路區隔中的 IP 位址可能會重疊。如果共用連結群組,IP 位址在相同機構的所有區域中不得重複,且不得與對等互連的任何網路重複。佈建機構後,您可以建立其他資料網路區隔子網路。

與 IO 合作處理資料網路區隔根 IP 位址範圍時,請注意下列事項。請注意,對應的 OIQ 欄位和全域根子網路名稱是固定值,無法變更。

  • OIQ 欄位orgDataExternalCIDR
  • 全域根子網路名稱data-external-root-cidr
  • 全域 API 伺服器:全域根層級
  • 子網路大小下限:每個區域 /26
  • 建議子網路大小:每個可用區 /23

後續步驟