Pianificazione e architettura degli indirizzi IP

Questa pagina descrive il processo di pianificazione e le considerazioni da tenere presenti quando allochi indirizzi IP per il tuo universo Google Distributed Cloud (GDC) con air gap.

Pianificare in modo efficace l'architettura degli indirizzi IP può mitigare eventuali interruzioni future del networking per i tuoi workload e servizi man mano che vengono scalati in base ai requisiti in evoluzione. Per una panoramica concettuale di subnet e indirizzi IP in GDC, consulta Subnet e indirizzi IP.

Questa pagina è rivolta agli amministratori di rete all'interno del gruppo di amministratori della piattaforma, che sono responsabili della gestione del traffico di rete per i propri servizi all'interno di un'organizzazione. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Vantaggi di una pianificazione accurata degli indirizzi IP

Una pianificazione accurata degli indirizzi IP offre i seguenti vantaggi:

  • Isolamento: segmentazione di rete appropriata tra diverse organizzazioni e tra i piani di gestione e dati.
  • Scalabilità: spazio di indirizzi IP sufficiente per i carichi di lavoro e i servizi attuali e futuri, inclusi i servizi amministrativi a cui non è possibile allocare spazio di indirizzi IP aggiuntivo dopo il provisioning di un'organizzazione.
  • Connettività: routing e raggiungibilità corretti per tutti i componenti all'interno dell'universo air-gap di GDC e per le reti esterne, se necessario.
  • Conformità: rispetto di schemi di indirizzamento di rete specifici o limitazioni imposte dal tuo ambiente.

L'architettura GDC utilizza istanze Virtual Routing and Forwarding (VRF) per ottenere l'isolamento e la segmentazione della rete. Comprendere gli spazi di indirizzi IP che gestisci e quelli di proprietà esclusiva della tua IO è fondamentale per una pianificazione efficace.

Best practice per l'architettura degli indirizzi IP

Devi tenere conto dei seguenti consigli per eseguire il provisioning efficace di un'architettura di indirizzi IP durevole in grado di adattarsi quando cambiano i requisiti di rete della tua organizzazione:

  • Indirizzi IP sovrapposti e non sovrapposti:
    • Le reti Virtual Private Cloud (VPC) possono sovrapporsi tra organizzazioni diverse, ma devono essere univoche all'interno di un'organizzazione in tutte le relative zone e univoche rispetto a qualsiasi rete con cui eseguono il peering.
    • I segmenti di rete esterni possono sovrapporsi tra organizzazioni diverse se queste utilizzano interconnessioni separate. Se condividono un interconnessione, gli indirizzi IP devono essere univoci all'interno della stessa organizzazione in tutte le sue zone e univoci rispetto a qualsiasi rete con cui eseguono il peering.
  • Dimensioni CIDR minime:rispetta le lunghezze minime del prefisso CIDR specificate per ogni segmento di rete per allocare uno spazio di indirizzi sufficiente per i componenti di sistema e la crescita futura.
  • Preferenza RFC 1918: anche se gli indirizzi IP pubblici possono essere utilizzati nella maggior parte delle reti gestite, se la zona non si connette a internet, gli indirizzi privati RFC 1918 sono generalmente consigliati per le reti interne GDC air-gapped.
  • Accuratezza del questionario di acquisizione dell'organizzazione (OIQ): le informazioni che fornisci al tuo IO nel questionario di acquisizione dell'organizzazione (OIQ) sono fondamentali. Intervalli di indirizzi IP imprecisi o pianificati male possono portare a sfide di deployment significative.
  • Multizona:i VPC dell'organizzazione e i segmenti di rete esterni si estendono a un'organizzazione globale, ma richiedono allocazioni di indirizzi IP univoci per zona che non si sovrappongono all'interno di questa organizzazione globale. Utilizza le subnet globali per allocare intervalli di indirizzi IP univoci per zona per una determinata organizzazione.

Per un esempio di architettura degli indirizzi IP, vedi il seguente diagramma:

Gli interconnessioni nel tuo universo determinano la configurazione dell'architettura degli indirizzi IP.

In questo diagramma sono presenti due diverse interconnessioni che coprono un universo multizona: l'interconnessione dedicata e l'interconnessione condivisa. In questo universo sono definite più organizzazioni. L'organizzazione 1 si trova all'interno di un'interconnessione dedicata, quindi le relative subnet con ambito esterno possono sovrapporsi ad altre organizzazioni nell'universo. Tuttavia, le organizzazioni nell'interconnessione condivisa non possono avere subnet con ambito esterno sovrapposte tra loro, poiché si trovano tutte all'interno della stessa interconnessione.

Ogni organizzazione definisce le reti VPC e i segmenti di rete esterni. In questo esempio, gli indirizzi IP anycast vengono utilizzati per instradare il traffico tra i segmenti di rete esterni zonali, in modo che la zona più vicina o con le prestazioni migliori gestisca la richiesta di rete. Per saperne di più sugli indirizzi IP anycast, vedi Indirizzi IP in GDC.

Procedura di pianificazione

Prima che la tua organizzazione venga sottoposta al provisioning dall'IO, devi determinare l'architettura degli indirizzi IP per la tua organizzazione. L'IO ti guiderà in questi passaggi.

La procedura generale per pianificare e eseguire il provisioning degli indirizzi IP di rete di un'organizzazione è la seguente:

  1. Definisci intervalli CIDR: collabora con il tuo team di rete per determinare blocchi CIDR non sovrapposti appropriati per il VPC predefinito, il VPC dell'infrastruttura, il segmento di rete amministrativa e il segmento di rete di dati.

  2. Fornisci intervalli CIDR all'IO: fornisci questi CIDR all'IO nell'ambito dell'OIQ quando richiedi una nuova organizzazione. L'operatore di intent utilizza i CIDR per configurare le subnet globali necessarie nei server API appropriati.

Dopo che la tua organizzazione è stata sottoposta al provisioning dal tuo IO, sei responsabile della gestione di determinati spazi di indirizzi IP all'interno dell'organizzazione, principalmente per il deployment dei carichi di lavoro e l'esposizione dei servizi esterni.

Per saperne di più su ciascuna rete e su come selezionare gli intervalli CIDR per rete, consulta Considerazioni sugli indirizzi IP per un'organizzazione.

Considerazioni sull'indirizzo IP per un'organizzazione

Esamina ogni rete e le best practice per la configurazione prima di completare il questionario OIQ per definire gli intervalli CIDR:

  • VPC predefinita: ospita indirizzi IP interni per carichi di lavoro interni. Puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.
  • VPC dell'infrastruttura: ospita indirizzi IP interni per servizi GDC air-gapped proprietari. Non puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.
  • Segmento di rete amministrativa: ospita indirizzi IP esterni per i servizi amministrativi. Non puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.
  • Segmento di rete di dati: ospita indirizzi IP esterni per servizi esterni. Puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.

Per ulteriori informazioni sulle descrizioni delle reti e sugli indirizzi IP che utilizzano, vedi Reti in GDC.

Reti VPC

Prepara le seguenti informazioni per ogni tipo di rete VPC da fornire al tuo IO per il provisioning degli spazi di indirizzi IP all'interno delle reti VPC della tua organizzazione.

VPC predefinito

Esegui il deployment e la gestione dei tuoi workload interni, come macchine virtuali (VM) e container, da VPC predefinito.

Gli indirizzi IP nel VPC predefinito devono essere univoci rispetto ad altri VPC in tutte le zone del tuo universo e a tutti gli indirizzi IP di rete in peering. Gli indirizzi IP in questo VPC possono sovrapporsi tra diverse organizzazioni e possono essere indirizzi IP privati RFC 1918 o indirizzi IP pubblici. Puoi creare subnet VPC predefinite aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO all'intervallo di indirizzi IP root VPC predefinito. Tieni presente che il campo OIQ corrispondente e il nome della subnet radice globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: defaultVPCCIDR
  • Nome subnet radice globale: default-vpc-root-cidr
  • Server API globale: organizzazione globale
  • Dimensioni minime della subnet: /16 per zona
  • Dimensione consigliata della subnet: /16 per zona

VPC dell'infrastruttura

Non esegui il deployment dei carichi di lavoro direttamente nel VPC dell'infrastruttura, ma devi fornire l'intervallo di indirizzi IP per l'utilizzo da parte dei servizi GDC air-gapped gestiti dal sistema.

Gli indirizzi IP nel VPC dell'infrastruttura devono essere univoci rispetto ad altri VPC in tutte le zone del tuo universo e a qualsiasi indirizzo IP di rete in peering. Gli indirizzi IP in questo VPC possono sovrapporsi tra diverse organizzazioni e possono essere indirizzi IP privati RFC 1918 o indirizzi IP pubblici. Non puoi creare subnet VPC dell'infrastruttura aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO sull'intervallo di indirizzi IP root VPC dell'infrastruttura. Tieni presente che il campo OIQ e il nome della subnet root globale corrispondenti sono valori fissi e non possono essere modificati.

  • Campo OIQ: infraVPCCIDR
  • Nome subnet radice globale: infra-vpc-root-cidr
  • Server API globale: root globale
  • Dimensioni minime della subnet: /16 per zona
  • Dimensione consigliata della subnet: /16 per zona

Segmenti di rete esterni

Prepara le seguenti informazioni per ogni tipo di segmento di rete esterno da fornire al tuo IO per il provisioning degli spazi di indirizzi IP all'interno delle reti esterne della tua organizzazione.

Segmento di rete amministrativa

Non esegui il deployment diretto dei servizi esterni nel segmento di rete amministrativa, ma devi fornire l'intervallo di indirizzi IP per l'utilizzo da parte dei servizi amministrativi che verranno eseguiti nella tua organizzazione, come la console GDC e le API di gestione. Non puoi allocare altri indirizzi IP a questa rete dopo il provisioning della tua organizzazione.

Gli indirizzi IP nel segmento di rete di amministrazione possono sovrapporsi tra diverse organizzazioni se queste utilizzano gruppi di collegamenti di interconnessione separati. Se condividono un gruppo di allegati, gli indirizzi IP devono essere univoci all'interno della stessa organizzazione in tutte le sue zone e univoci rispetto a qualsiasi rete con cui esegue il peering. Non puoi creare subnet del segmento di rete amministrativa aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO sull'intervallo di indirizzi IP root del segmento di rete dell'amministratore. Tieni presente che il campo OIQ corrispondente e il nome della subnet radice globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: orgAdminExternalCIDR
  • Nome subnet radice globale: admin-external-root-cidr
  • Server API globale: root globale
  • Dimensioni minime della subnet: /26 per zona
  • Dimensione consigliata della subnet: /26 per zona

Segmento di rete di dati

Devi eseguire il deployment e gestire i tuoi servizi esterni che operano al di fuori della tua organizzazione, ad esempio la traduzione degli indirizzi di rete (NAT) in uscita e i bilanciatori del carico esterni, all'interno del segmento di rete dati. Puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.

Gli indirizzi IP nel segmento di rete dati possono sovrapporsi tra diverse organizzazioni se queste utilizzano gruppi di collegamenti di interconnessione separati. Se condividono un gruppo di allegati, gli indirizzi IP devono essere univoci all'interno della stessa organizzazione in tutte le sue zone e univoci rispetto a qualsiasi rete con cui esegue il peering. Puoi creare subnet di segmenti di rete di dati aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO sull'intervallo di indirizzi IP root del segmento di rete di dati. Tieni presente che il campo OIQ corrispondente e il nome della subnet radice globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: orgDataExternalCIDR
  • Nome subnet radice globale: data-external-root-cidr
  • Server API globale: root globale
  • Dimensioni minime della subnet: /26 per zona
  • Dimensione consigliata della subnet: /23 per zona

Passaggi successivi