IP 地址规划和架构

有效的 IP 地址规划有助于在工作负载和服务扩缩时缓解未来的网络中断问题。

本文档适用于平台管理员组中的网络管理员,他们负责规划组织的 IP 地址范围。如需了解详情,请参阅 GDC 气隙环境文档的受众

谨慎规划 IP 地址的优势

谨慎规划 IP 地址具有以下优势:

  • 隔离:在不同组织之间 以及管理平面和数据平面之间进行适当的网络细分。
  • 可伸缩性:为当前和未来的 工作负载和服务提供充足的 IP 地址空间,包括在组织预配后无法 分配额外 IP 地址空间的管理服务。
  • 连接性:确保 GDC 经过网闸隔离环境中的所有组件以及外部网络(如需要)的正确路由和可达性。
  • 合规性:遵守环境规定的特定网络寻址方案或 限制。

GDC 架构使用 虚拟路由和转发 (VRF) 实例来实现网络隔离和细分。了解您管理的 IP 地址空间以及 IO 专有的 IP 地址空间是成功规划的关键。

规划流程

在 IO 预配您的组织之前,您必须确定组织的 IP 地址架构。IO 会引导您完成这些步骤。

规划和预配组织的网络 IP 地址的简要流程如下:

  1. 定义 CIDR 范围:与您的网络团队合作,为您的默认 VPC、基础架构 VPC、管理网络 段和数据网络段确定适当的 非重叠 CIDR 地址块。

  2. 向 IO 提供 CIDR 范围:在请求新组织时,将这些 CIDR 地址块作为组织接收问卷 (OIQ) 的一部分提供给 IO。IO 使用 CIDR 地址块在相应的 API 服务器中配置必要的全局子网。

IO 预配您的组织后,您负责管理组织内的某些 IP 地址空间,主要用于工作负载部署和外部服务公开。

如需详细了解 IP 地址架构规划,请参阅本文档的 IP 地址架构注意事项部分。

如需详细了解每个网络以及如何为每个 网络选择 CIDR 范围,请参阅本文档的组织的 IP 地址注意事项 部分。

IP 地址架构注意事项

如需预配一个持久的 IP 地址架构,以便在组织的联网要求发生变化时进行调整,请考虑 GDC 中的以下 IP 地址特征:

  • 重叠和非重叠 IP 地址
    • Virtual Private Cloud (VPC) 网络在不同组织之间可以重叠,但在一个组织的所有可用区内必须是唯一的,并且与它们对等互连的任何网络都必须是唯一的。
    • 如果外部网络段使用单独的 互连,则可以在不同组织 之间重叠。如果它们共享一个互连,则 IP 地址在同一组织的所有可用区内必须是唯一的,并且与它们对等互连的任何网络都必须是唯一的。
  • 最小 CIDR 地址块大小:遵守为每个网络段指定的最小 CIDR 前缀长度 ,以便为系统组件和未来增长分配足够的地址空间 。
  • RFC 1918 偏好:虽然公共 IP 地址可以在大多数 代管式网络中使用,但如果可用区未连接到互联网, RFC 1918 专用地址通常建议用于内部 GDC 气隙环境 网络。
  • OIQ 准确性:您在 OIQ 中向广告订单提供的信息至关重要。不准确或规划不当的 IP 地址范围可能会导致严重的部署挑战。
  • 多可用区:组织 VPC 和外部网络段跨越 全局组织,但需要为每个可用区分配唯一的 IP 地址 ,这些 IP 地址在 全局组织内不得重叠。使用全局子网为给定组织的每个可用区分配唯一的 IP 地址范围。

如需查看 IP 地址架构示例,请参阅下图:

您所在宇宙中的互联决定了您如何设置 IP 地址架构。

在此图中,有两个不同的 互连 跨越多可用区宇宙:专用互连和共享互连。在此宇宙中定义了多个组织。组织 1 位于专用互连中,因此其外部范围的子网可以与宇宙中的其他组织重叠。但是,共享互连中的组织不能相互重叠外部范围的子网,因为它们都位于同一互连中。

每个组织都定义了 VPC 网络和外部网络段。在此示例中,任播 IP 地址用于在可用区外部网络段之间路由流量,以便最近或性能最佳的可用区服务处理网络请求。如需详细了解任播 IP 地址,请参阅 GDC 中的 IP 地址

组织的 IP 地址注意事项

在完成 OIQ 以定义 CIDR 范围之前,请查看每个网络并了解其在组织内的用途:

  • 默认 VPC:托管内部工作负载的内部 IP 地址。您可以在组织预配后为此网络分配额外的 IP 地址。
  • 基础架构 VPC:托管第一方 GDC 气隙环境服务的内部 IP 地址。您无法在组织预配后为此网络分配额外的 IP 地址。
  • 管理网络段:托管管理服务的外部 IP 地址。您无法在组织预配后为此网络分配额外的 IP 地址。
  • 数据网络段:托管外部服务的外部 IP 地址。您可以在组织预配后为此网络分配额外的 IP 地址。

如需详细了解网络说明及其使用的 IP 地址,请参阅 GDC 中的网络

VPC 网络

准备好每种 VPC 网络类型的以下信息,以便提供给 IO,用于在组织的 VPC 网络中预配 IP 地址空间。

默认 VPC

您可以从默认 VPC 部署和管理内部工作负载,例如虚拟机 (VM) 和容器。

默认 VPC 中的 IP 地址必须与宇宙中所有可用区的其他 VPC 和任何对等网络 IP 地址不同。此 VPC 中的 IP 地址在不同组织之间可以重叠,并且可以是 RFC 1918 专用 IP 地址或公共 IP 地址。您可以在组织预配后创建额外的默认 VPC 子网。

在与 IO 协作处理默认 VPC 根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。

  • OIQ 字段defaultVPCCIDR
  • 全局根子网名称default-vpc-root-cidr
  • 全局 API 服务器:全局组织
  • 子网最小大小:每个可用区 /16
  • 子网建议大小:每个可用区 /16

基础架构 VPC

您不会直接将工作负载部署到基础架构 VPC,但必须提供 IP 地址范围,供系统管理的 GDC 气隙环境服务使用。

基础架构 VPC 中的 IP 地址必须与宇宙中所有可用区的其他 VPC 和任何对等网络 IP 地址不同。此 VPC 中的 IP 地址在不同组织之间可以 重叠,并且可以是 RFC 1918 专用 IP 地址或公共 IP 地址。您无法在组织预配后创建额外的基础架构 VPC 子网。

在与 IO 协作处理基础架构 VPC 根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。

  • OIQ 字段: infraVPCCIDR
  • 全局根子网名称: infra-vpc-root-cidr
  • 全局 API 服务器:全局根
  • 子网最小大小:每个可用区 /16
  • 子网建议大小:每个可用区 /16

外部网络段

准备好每种外部网络段类型的以下信息,以便提供给 IO,用于在组织的外部网络中预配 IP 地址空间。

管理网络段

您不会直接将外部服务部署到管理网络段,但必须提供 IP 地址范围,供将在组织中运行的管理服务(例如 GDC 控制台和管理 API)使用。您无法在组织预配后为此网络分配额外的 IP 地址。

如果管理网络段使用单独的互连连接组,则 IP 地址在不同组织之间可以重叠。 如果它们共享一个连接组,则 IP 地址在同一组织的所有可用区内必须是唯一的,并且与它们对等互连的任何网络都必须是唯一的。 您无法在组织预配后创建额外的管理网络段子网。

在与 IO 协作处理管理网络段根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。

  • OIQ 字段: orgAdminExternalCIDR
  • 全局根子网名称admin-external-root-cidr
  • 全局 API 服务器:全局根
  • 子网最小大小:每个可用区 /26
  • 子网建议大小:每个可用区 /26

数据网络段

您可以在数据网络段中部署和管理在组织外部运行的外部服务,例如 出站流量网络地址转换 (NAT)外部负载平衡器。您可以在组织预配后为此网络分配额外的 IP 地址。

如果数据网络段使用单独的互连连接组,则 IP 地址在不同组织之间可以重叠。 如果它们共享一个连接组,则 IP 地址在同一组织的所有可用区内必须是唯一的,并且与它们对等互连的任何网络都必须是唯一的。 您可以在组织预配后创建额外的数据网络段子网。

在与 IO 协作处理数据网络段根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。

  • OIQ 字段: orgDataExternalCIDR
  • 全局根子网名称data-external-root-cidr
  • 全局 API 服务器:全局根
  • 子网最小大小:每个可用区 /26
  • 子网建议大小:每个可用区 /23

后续步骤