תכנון של שימוש בכתובות IP משלכם

התכונה 'העברת כתובות IP משלכם' (BYOIP) מאפשרת להקצות ולהשתמש בכתובות IPv4 ציבוריות משלכם עבור משאבים. Google Cloud אחרי שמייבאים את כתובות ה-IP, מערכתGoogle Cloud מנהלת אותן באותו אופן שבו היא מנהלת כתובות IP שסופקו על ידי Google, עם היוצאים מן הכלל הבאים:

  • כתובות ה-IP זמינות רק ללקוח שהביא אותן.

  • אין חיובים על כתובות IP בלי פעילות או בשימוש.

תכנון הפריסה

חשוב לתכנן את הפריסה, כי תהליכי ההקצאה והמחיקה נמשכים כמה שבועות. מידע נוסף על ציר הזמן של הקצאת המספרים ועל גדלי הקידומות המותרים זמין במאמר בנושא מגבלות.

אלה כמה החלטות שכדאי לקבל כשמתכננים את הפריסה:

  • מי אחראי לניהול כתובות BYOIP? בדרך כלל מדובר באדמין או בקבוצה, אבל לא באותם משתמשים שמנהלים פרויקטים ספציפיים. משתמשים בהרשאות ובתפקידים ב-IAM כדי להבחין בין מי שיש לו הרשאות לקידומות ציבוריות שמוכרזות ולקידומות ציבוריות שהוקצו, שאתם מתכננים להקצות.

  • איך מנהלים קידומות? סביר להניח שתרצו להשתמש בכתובות ה-IP שלכם ב-BYOIP בפרויקטים שונים. אתם יכולים לנהל קידומות באופן מרכזי בפרויקט ששונה מיעדי היעד הסופיים של כתובות ה-IP. מומלץ לבודד את ניהול הקידומת בפרויקט משלו, כולל משתמשים וקבוצות משלו עם הרשאות אדמין של כתובות IP ציבוריות. הבידוד הזה עוזר למנוע בלבול לגבי ניהול הקידומות ושימוש לא מכוון או לא מורשה בקידומות. מידע נוסף זמין במאמר ארכיטקטורת פרויקט.

  • איך נותנים שמות לקידומות? לכל משאב BYOIP (קידומת ציבורית שפורסמה, קידומת ציבורית שהוקצתה, קידומת משנה) נדרש שם, והשם משמש לניהול כל משאב. אתם מקצים את השם במהלך יצירת המשאב, ואי אפשר לשנות את השמות בלי למחוק את המשאב וליצור אותו מחדש. לכן, מומלץ ליצור שמות כלליים שלא יהיה צורך לשנות – לדוגמה, pap-203-0-113-0-24, pdp-203-0-113-0-25, sub-203-0-113-0-28, כאשר האותיות מציינות את סוג המשאב והמספרים מציינים את הקידומת הספציפית ואת אורך הקידומת.

  • איפה מוקצות כתובות ה-IP? כדאי לחשוב על תהליך ההקצאה כעל 'אחסון' של כתובות IP באזורים (או בהיקף הגלובלי). תהליך ההקצאה של כתובות IP למלאי נמשך כמה שבועות, ולכן מומלץ לתכנן ולפרוס קידומות ציבוריות מוקצות הרבה לפני שזקוקים להן.

    לא חייבים להשתמש בכל כתובות ה-IP בקידומת ציבורית מוקצית באופן מיידי. אם אתם לא בטוחים איפה צריך להשתמש בהם, כדאי להקצות רק את הקידומות הציבוריות המוקצות שאתם בטוחים שאתם צריכים להשתמש בהן. כדי להעביר קידומת ציבורית שהוקצתה, צריך למחוק אותה לגמרי ואז ליצור אותה מחדש. התהליך הזה יכול להימשך כשמונה שבועות.

    אחרי שהקצאת קידומת ציבורית מוקצית מסתיימת, אפשר להקצות קידומות משנה לפרויקטים וליצור כתובות לשימוש עם משאבים. אם אתם צופים שתצטרכו כתובות BYOIP באזור מסוים, כדאי להשלים מראש את תהליך ההקצאה של קידומת ציבורית שהוקצתה, כדי שתוכלו לספק את צורכי הכתובות לפי דרישה.

    לדוגמה, אם אתם צריכים כמה כתובות IP ב-us-central1 וכמה כתובות IP למאזני עומסים גלובליים, ואתם רוצים לשריין כמה כתובות IP לעתיד, כדאי ליצור את התוכנית הבאה.

    סוג התחילית תחילית היקף
    קידומת שפורסמה לציבור 203.0.113.0/24
    קידומת ציבורית מוקצית 203.0.113.0/28 us-central1
    קידומת ציבורית מוקצית 203.0.113.16/28 us-east-4
    קידומת גלובלית שפורסמה למאזני עומסים גלובליים 192.0.2.0/24
    קידומת ציבורית מוקצית 192.0.2.0/28 גלובלי

    כתובות ה-IP שנותרו שמורות לשימוש עתידי.

ארכיטקטורת הפרויקט

מומלץ להשתמש בארגונים כדי ליהנות מתכונות כמו הרשאות IAM ברמת הארגון וVPC משותף. מידע נוסף על השימוש בארגון מופיע במאמר יצירה וניהול של ארגונים.

ניהול כתובות BYOIP בארגון

בדוגמה הזו של פרויקט ששייך לארגון, יש פרויקט ייעודי, Public IP project, שמשמש לניהול כתובות BYOIP. האדמין של הארגון יצר את הקידומת הציבורית שמתפרסמת ואת הקידומות הציבוריות שהוקצו ב-Public IP project.

כש-VPC project צריך כתובות IP ציבוריות, האדמין של כתובות ה-IP הציבוריות בארגון יוצר את כתובות ה-IP ב-VPC project.

הארגון יכול להכיל כמה פרויקטים, והאדמין של כתובות ה-IP הציבוריות יכול להקצות כתובות IP לכולם מ-Public IP project.

איור 1. אפשר להשתמש בארגונים ובפרויקטים כדי לנהל כתובות BYOIP.

ניהול כתובות BYOIP באמצעות VPC משותף

בדוגמה הזו של ארגון שמכיל VPC משותף, יש פרויקט ייעודי, Public IP project, שמשמש לניהול כתובות BYOIP. האדמין של כתובות ה-IP הציבוריות בארגון יצר את הקידומת הציבורית שפורסמה ואת הקידומות הציבוריות שהוקצו ב-Public IP project.

אם נדרשות כתובות IP ציבוריות ל-Shared VPC host project או לפרויקטים קשורים של שירותים, האדמין של כתובות IP ציבוריות בארגון יוצר את כתובות ה-IP ב-Shared VPC host project. הפרויקט המארח ופרויקטי השירות יכולים לגשת לכתובות ה-BYOIP מהפרויקט המארח.

יצירת כתובות IP בפרויקט שירות של VPC משותף אינה אפשרית.

איור 2. אפשר להקצות כתובות BYOIP לפרויקט מארח של VPC משותף, אבל לא לפרויקט שירות של VPC משותף. עם זאת, פרויקט שירות יכול להשתמש בכתובות BYOIP שהוקצו לפרויקט המארח.

ניהול כתובות BYOIP ללא ארגון

אם אתם משתמשים בפרויקט שלא שייך לארגון, לא תוכלו ליצור פרויקט נפרד לניהול כתובות BYOIP. יוצרים את הקידומת הציבורית שמוכרזת ואת הקידומות הציבוריות שהוקצו באותו פרויקט שבו נדרשות כתובות BYOIP.

המאמרים הבאים