Panoramica degli intervalli IP alias

Gli intervalli IP alias di Google Cloud consentono di assegnare intervalli di indirizzi IP interni come alias alle interfacce di rete delle macchine virtuali (VM). Questo è utile se hai più servizi in esecuzione su una VM e vuoi assegnare a ogni servizio un indirizzo IP diverso. Anche gli intervalli IP alias funzionano con i pod GKE.

Panoramica

Se hai un solo servizio in esecuzione su una VM, puoi farvi riferimento utilizzando l'indirizzo IP principale dell'interfaccia. Se hai più servizi in esecuzione su una VM, puoi assegnare a ciascuno un indirizzo IP interno diverso. Puoi farlo con gli intervalli IP alias.

Intervalli CIDR primari e secondari della subnet

Tutte le subnet hanno un intervallo CIDR principale, ovvero l'intervallo di indirizzi IP interni che definiscono la subnet. Ogni istanza VM riceve il proprio indirizzo IP interno principale da questo intervallo. Puoi anche allocare intervalli IP alias dall'intervallo principale oppure aggiungere un intervallo secondario alla subnet e allocare intervalli IP alias dall'intervallo secondario. L'utilizzo di intervalli IP alias non richiede intervalli di subnet secondari. Questi intervalli di subnet secondari si limitano a fornire uno strumento organizzativo.

Intervalli IP alias definiti in un'interfaccia di rete VM

Utilizzando l'alias IP, puoi configurare più indirizzi IP interni, che rappresentano container o applicazioni ospitate in una VM, senza dover definire un'interfaccia di rete separata. Puoi assegnare intervalli IP alias VM dagli intervalli principali o secondari della subnet.

Configurazione di intervalli IP alias descrive i comandi per la configurazione di una subnet con intervalli secondari e l'assegnazione di indirizzi IP alias alle VM.

Il seguente diagramma fornisce un'illustrazione di base degli intervalli CIDR e secondari dell'alias IP dell'interfaccia principale della VM:

Intervalli CIDR principali e secondari e intervalli IP alias VM (fai clic per
    ingrandire)
Intervalli CIDR principali e secondari e intervalli IP alias VM (fai clic per ingrandire)
  • Un intervallo CIDR principale 10.1.0.0/16 è configurato come parte di una subnet.
  • Un intervallo CIDR secondario 10.2.0.0/20 è configurato come parte di una subnet.
  • L'IP principale della VM 10.1.0.2 viene allocato dall'intervallo CIDR principale, 10.1.0.0/16, mentre un intervallo IP alias, 10.2.1.0/24, viene allocato nella VM dall'intervallo CIDR secondario, 10.2.0.0/20.
  • Gli indirizzi nell'intervallo IP alias vengono utilizzati come indirizzi IP dei container ospitati nella VM.

Vantaggi principali degli intervalli IP alias

Se sono configurati intervalli IP alias, Google Cloud installa automaticamente route di rete Virtual Private Cloud (VPC) per gli intervalli IP principali e alias per la subnet dell'interfaccia di rete principale. L'agente di orchestrazione di container non ha bisogno di specificare la connettività di rete VPC per queste route. Questo semplifica il routing del traffico e la gestione dei container. Devi eseguire la configurazione in-guest come descritto nelle proprietà delle chiavi degli intervalli IP alias.

Quando gli indirizzi IP dei container vengono allocati da Google Cloud, le procedure di convalida in Google Cloud assicurano che gli indirizzi IP dei pod non siano in conflitto con gli indirizzi IP delle VM.

Quando sono configurati indirizzi IP alias, vengono eseguiti controlli anti-spoofing per evitare che il traffico in uscita dalle VM utilizzi indirizzi IP VM e indirizzi IP pod come indirizzi di origine. I controlli anti-spoofing verificano che le VM non inviino traffico con indirizzi IP di origine arbitrari. L'utilizzo delle route statiche per il networking di container sarebbe un approccio meno sicuro rispetto all'alias IP perché richiederebbe la disattivazione dei controlli anti-spoofing sulle VM host dei container (i controlli anti-spoofing sono disattivati se viene attivato l'inoltro IP).

Gli intervalli IP alias sono instradabili all'interno della rete virtuale di Google Cloud senza richiedere route aggiuntive. Non è necessario aggiungere una route per ogni alias IP e non è necessario tenere in considerazione le quote di route.

Gli indirizzi IP alias possono essere annunciati dal router Cloud a una rete on-premise connessa tramite VPN o interconnessione.

L'allocazione di intervalli IP alias da un intervallo CIDR secondario presenta vantaggi. Assegnando un intervallo separato da quello utilizzato per gli indirizzi IP principali, potrai separare le infrastrutture (VM) dai servizi (container). Quando configuri spazi di indirizzi separati per infrastrutture e servizi, puoi configurare controlli firewall per gli indirizzi IP alias di VM separatamente dai controlli firewall per gli indirizzi IP principali di una VM. Ad esempio, puoi consentire determinato traffico per i pod dei container e negare un traffico simile per l'indirizzo IP principale della VM.

Architettura dei container in Google Cloud

Considera uno scenario in cui vuoi configurare servizi containerizzati su Google Cloud. Devi creare le VM che ospitano i servizi e, inoltre, i container.

In questo scenario, vuoi instradare il traffico da e verso i container da e verso località on-premise connesse tramite una VPN. Tuttavia, non vuoi che gli indirizzi IP principali della VM siano raggiungibili tramite la VPN. Per creare questa configurazione, l'intervallo IP del container deve essere instradabile tramite la VPN, ma non l'intervallo IP principale della VM. Al momento della creazione della VM, vuoi anche assegnare automaticamente un pool di indirizzi IP utilizzati per il container.

Per creare questa configurazione:

  • Quando crei la subnet, devi configurare
    • Un intervallo CIDR principale, ad esempio 10.128.0.0/16
    • Un intervallo CIDR secondario, ad esempio 172.16.0.0/16
  • Utilizza un modello di istanza per creare VM e assegna automaticamente ognuna delle seguenti opzioni:
    • Un IP principale nell'intervallo 10.128.0.0/16
    • Un intervallo di alias /24 dallo spazio CIDR secondario di 172.16.0.0/16, in modo da poter assegnare a ciascun container una VM su un IP dall'intervallo di CIDR secondario di /24
  • Crea due regole firewall.
    • Una regola che impedisce al traffico in transito sulla VPN di raggiungere l'intervallo CIDR principale della subnet.
    • Una regola che consente al traffico di rete VPN on-premise di raggiungere l'intervallo CIDR secondario della subnet.

Esempio: configurazione dei container con intervalli IP alias

Utilizzando gli intervalli IP alias, gli indirizzi IP dei container possono essere assegnati da un intervallo CIDR secondario e configurati come indirizzi IP alias nella VM che ospita il container.

Configurazione dei container con indirizzi IP alias (fai clic per ingrandire)
Configurazione dei container con indirizzi IP alias (fai clic per ingrandire)

Per creare la configurazione illustrata sopra:

  1. Crea una subnet con un intervallo CIDR 10.128.0.0/16, da cui sono allocati gli indirizzi IP VM e un intervallo CIDR secondario 172.16.0.0/20 per l'uso esclusivo dei container, che verrà configurato come intervalli IP alias nella VM che li ospita:

    gcloud compute networks subnets create subnet-a \
        --network network-a \
        --range 10.128.0.0/16 \
        --secondary-range container-range=172.16.0.0/20
    
  2. Crea VM con un IP principale nell'intervallo 10.128.0.0/16 e un intervallo IP alias 172.16.0.0/24 dall'intervallo CIDR secondario 172.16.0.0/20 per l'utilizzo dei container nella VM:

    gcloud compute instances create vm1 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.0.0/24
    gcloud compute instances create vm2 [...] \
        --network-interface subnet=subnet-a,aliases=container-range:172.16.1.0/24
    
  3. Gli indirizzi IP dei container vengono configurati in Google Cloud come indirizzi IP alias. In questa configurazione, saranno raggiungibili sia l'IP principale che l'alias tramite il tunnel VPN. Se è configurato, il router Cloud pubblicizza automaticamente l'intervallo di subnet secondario 172.16.0.0/20. Per ulteriori informazioni sull'utilizzo di VPN con router Cloud, consulta Creazione di un tunnel VPN mediante routing dinamico.

Per ulteriori informazioni sui comandi utilizzati per creare questa configurazione, fai riferimento a Configurazione di indirizzi e intervalli IP alias.

Esempio: diversi intervalli IP alias configurati in una singola istanza VM

Gli intervalli IP alias consentono di gestire l'allocazione degli indirizzi IP per le applicazioni in esecuzione all'interno delle VM, inclusi i container.

Potresti avere un deployment in cui alcuni container possono essere migrati da VM e altri no. I container migrabili possono essere configurati utilizzando intervalli /32, semplificando la migrazione singola. I container non migrabili possono essere configurati utilizzando un intervallo più ampio, poiché rimarranno insieme.

In questi tipi di deployment, potrebbero essere necessari più intervalli IP alias per ogni istanza VM, ad esempio un intervallo /27 per i container non migrabili e diversi /32 per i container di cui è possibile eseguire la migrazione.

Configurazione di VM con più intervalli IP alias (fai clic per ingrandire)
Configurazione di VM con più intervalli IP alias (fai clic per ingrandire)

Per configurare questo esempio, utilizza i seguenti comandi gcloud:

gcloud compute networks create vpc1 --subnet-mode custom
gcloud compute networks subnets create subnet1 --region us-central1 --network vpc1 --range 10.128.0.0/16 --secondary-range secondaryrange1=172.16.0.0/20
gcloud compute instances create vm1 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.0/27;secondaryrange1:172.16.1.0/32"
gcloud compute instances create vm2 --zone us-central1-a --network-interface "subnet=subnet1,aliases=secondaryrange1:172.16.0.32/27;secondaryrange1:172.16.1.1/32"

Indirizzi IP alias nelle reti e subnet VPC in modalità automatica

Nelle reti VPC in modalità automatica, esiste una subnet in ogni area geografica. Queste subnet create automaticamente hanno ognuna un intervallo CIDR principale, ma non un intervallo secondario. Per utilizzare l'IP alias con una rete VPC in modalità automatica, puoi allocare intervalli IP alias dall'intervallo CIDR principale creato automaticamente o aggiungere un intervallo secondario alla subnet creata automaticamente e allocare intervalli IP alias dal nuovo intervallo secondario.

In alternativa, puoi creare una nuova subnet con intervalli secondari nella rete VPC in modalità automatica purché nessuno dei suoi intervalli si sovrapponga a 10.128.0.0/9. Puoi quindi creare istanze VM nella nuova subnet e allocare intervalli IP alias di qualsiasi intervallo della subnet.

Vedi Aggiunta di intervalli CIDR secondari a una subnet esistente per aggiungere intervalli secondari alla subnet.

Indirizzi IP alias in reti e subnet in modalità personalizzata

Nelle reti in modalità personalizzata:

  • Tutte le subnet vengono create manualmente
  • È obbligatorio un intervallo CIDR principale.
  • Facoltativamente, puoi creare intervalli CIDR secondari.

Proprietà chiave degli intervalli IP alias

Le seguenti proprietà si applicano agli intervalli IP alias configurati nelle VM:

  • Dal punto di vista della VM del sistema operativo, l'indirizzo IP principale e il gateway predefinito vengono in genere assegnati utilizzando DHCP. Gli indirizzi IP alias possono essere configurati nel sistema operativo della VM, in genere Linux o Windows, manualmente o utilizzando script.
  • L'indirizzo IP principale e l'intervallo IP alias dell'interfaccia devono essere assegnati dagli intervalli CIDR configurati come parte della stessa subnet. Tieni presente i seguenti requisiti:
    • L'indirizzo IP principale deve essere assegnato dall'intervallo principale CIDR.
    • L'intervallo IP alias può essere assegnato dall'intervallo CIDR principale o da un intervallo CIDR secondario della stessa subnet.
    • Per un'interfaccia di rete VM, l'IP alias deve provenire dalla stessa risorsa della subnet che fornisce l'indirizzo IP dell'interfaccia di rete principale. Non puoi selezionare un intervallo CIDR principale o secondario da un'altra risorsa subnet.
    • L'indirizzo IP principale può essere configurato dall'utente con un indirizzo IP privato statico o un sistema assegnato automaticamente con un indirizzo IP statico temporaneo.
    • Gli intervalli IP alias sono facoltativi e non vengono aggiunti automaticamente. Un intervallo IP alias può essere configurato durante la creazione o la modifica dell'istanza.
    • Un intervallo IP alias può essere configurato come intervallo CIDR esplicito (ad esempio, 10.128.1.0/24), come singolo indirizzo IP (ad esempio 10.128.7.29) o come netmask (/24). Un intervallo IP alias può essere completamente specificato o assegnato automaticamente specificando la netmask.
    • Poiché tutte le subnet in una rete VPC condividono un singolo gateway predefinito, tutti gli indirizzi IP alias all'interno di un'interfaccia condividono lo stesso gateway predefinito dell'indirizzo IP principale.
Gli IP alias all'interno di un'interfaccia condividono lo stesso gateway predefinito dell'indirizzo IP principale (fai clic per ingrandire)
Gli IP alias all'interno di un'interfaccia condividono lo stesso gateway predefinito dell'indirizzo IP principale (fai clic per ingrandire)

DNS con indirizzi IP alias

Google Cloud configura automaticamente il DNS interno per l'IP principale dell'interfaccia principale di ogni istanza VM. In questo modo il nome dell'host dell'istanza viene associato all'indirizzo IP principale dell'interfaccia principale. Tuttavia, la ricerca DNS su quel nome host funziona solo nella rete che contiene l'interfaccia principale.

Google Cloud non associa automaticamente nessun altro indirizzo IP al nome host. Google Cloud non associa indirizzi IP alias dell'interfaccia principale al nome host e non associa alcun indirizzo IP delle interfacce secondarie al nome host.

Puoi configurare manualmente il DNS per associare altri indirizzi IP.

Firewall

Tutto il traffico in entrata o in uscita, incluso il traffico per gli intervalli IP alias, viene valutato da una regola firewall VPC per un tag di destinazione o un account di servizio di destinazione corrispondente. Per maggiori dettagli su target e IP alias, consulta Destinazioni e indirizzi IP.

Gli intervalli IP alias non sono inclusi quando imposti le origini per una regola firewall in entrata utilizzando tag di origine o account di servizio di origine.

Route statiche

In una route statica, l'indirizzo IP dell'hop successivo deve essere l'indirizzo IP principale dell'istanza della macchina virtuale. Un indirizzo IP alias non è supportato come indirizzo IP del hop successivo.

Peering di rete VPC

Il peering di rete VPC consente di stabilire in peering due reti VPC in modo che le VM nelle due reti possano comunicare tramite indirizzi IP privati interni.

Gli intervalli IP principali e secondari di una subnet sono raggiungibili dalle istanze VM in una rete in peering.

I controlli della sovrapposizione delle subnet in reti in peering garantiscono che gli intervalli principale e secondario non si sovrappongano a intervalli in peering.

Aliasing IP con peering di rete (fai clic per ingrandire)
Aliasing IP con peering di rete (fai clic per ingrandire)

Passaggi successivi