本頁說明如何管理機構資料網路區隔中的 IP 資源,以支援外部網路需求。您必須新增子網路,確保輸出網路位址轉譯 (NAT) 和外部負載平衡器等外部服務有足夠的 IP 位址,可連線至貴機構外部的網路。如果資料網路區隔 IP 用盡,請與 IO 聯絡,以擴充資料網路區隔。
本頁列出幾種可能的 IP 管理作業,這些作業不一定要依序完成:
- 為個別服務建立葉子子網路: 如果您有尚未使用 IP 位址的新服務,這項工作就非常實用。
如要先瞭解子網路及其概念,再完成本頁面的工作,請參閱「子網路和 IP 位址」。
本頁面適用於平台管理員群組中的網路管理員,以及應用程式運算子群組中的應用程式開發人員,他們負責管理所屬機構的網路流量。詳情請參閱 GDC air-gapped 說明文件適用對象。
事前準備
如要取得建立子網路所需的權限,請要求機構 IAM 管理員授予您子網路機構管理員 (subnet-org-admin) IAM 角色。這個角色不會繫結至命名空間。
為個別服務建立葉子子網路
您必須建立葉子子網路,為服務分配單一 IP 位址。這個葉子子網路必須有 type: Leaf 欄位值,且必須與外部服務 (例如外部負載平衡器或輸出 NAT) 位於相同的專案命名空間。
葉子子網路必須設定 prefixLength 值為 32,因為這是為了分配單一 IP 位址。parentReference 值會參照先前分配的子網路,例如您在「為工作負載建立區域分支子網路」中建立的父項區域子網路。
在終端機視窗中,於管理 API 伺服器中建立葉子子網路:
kubectl --kubeconfig MANAGEMENT_API_SERVER_KUBECONFIG apply -f - <<EOF apiVersion: ipam.gdc.goog/v1 kind: Subnet metadata: labels: ipam.gdc.goog/allocation-preference: default ipam.gdc.goog/network-segment: data name: SUBNET_NAME namespace: PROJECT_NAMESPACE spec: ipv4Request: prefixLength: 32 parentReference: name: PARENT_SUBNET namespace: platform type: Leaf EOF更改下列內容:
MANAGEMENT_API_SERVER_KUBECONFIG:管理 API 伺服器的 kubeconfig 檔案路徑。詳情請參閱「區域管理 API 伺服器資源」。SUBNET_NAME:葉子網路的名稱。PROJECT_NAMESPACE:專案命名空間,對應於服務所在的專案。PARENT_SUBNET:父項子網路的名稱,這個葉子子網路會從該子網路取得 IP 位址。
現在,外部服務可以使用您的個別 IP 位址。如要進一步瞭解如何為服務設定 IP 位址,請參閱相關服務說明文件,例如「設定外部負載平衡器」。