תת-רשתות

רשתות של ענן וירטואלי פרטי (VPC) הן משאבים גלובליים. כל רשת VPC מורכבת מטווח אחד או יותר של כתובות IP שנקראות תת-רשתות. תת-רשתות הן משאבים אזוריים, ויש להן טווחי כתובות IP שמשויכים אליהן.

ב- Google Cloud, המונחים subnet ו-subnetwork הם מילים נרדפות. המונחים האלה משמשים לסירוגין במסוף Google Cloud , בפקודות של Google Cloud CLI ובמאמרי העזרה של ה-API.

רשתות ורשתות משנה

כדי להשתמש ברשת, היא צריכה לכלול לפחות רשת משנה אחת. במצב אוטומטי, רשתות VPC יוצרות רשתות משנה בכל אזור באופן אוטומטי. רשתות VPC במצב מותאם אישית מתחילות ללא רשתות משנה, כך שיש לכם שליטה מלאה על יצירת רשתות משנה. אפשר ליצור יותר מרשת משנה אחת לכל אזור. מידע על ההבדלים בין רשתות VPC במצב אוטומטי לבין רשתות VPC במצב מותאם אישית זמין במאמר בנושא סוגים של רשתות VPC.

כשיוצרים משאב ב- Google Cloud, בוחרים רשת ותת-רשת. למשאבים אחרים מלבד תבניות של מכונות, בוחרים גם אזור או תחום. כשבוחרים אזור, האזור הראשי שלו נבחר באופן אוטומטי. מכיוון שתת-רשתות הן אובייקטים אזוריים, האזור שבוחרים עבור משאב קובע את תת-הרשתות שבהן הוא יכול להשתמש:

כשיוצרים מכונה וירטואלית (VM), צריך לבחור תחום למכונה. אם לא בוחרים רשת למכונה הווירטואלית, נעשה שימוש ברשת ה-VPC שמוגדרת כברירת מחדל, שיש לה רשת משנה בכל אזור. אם בוחרים רשת למכונה הווירטואלית, צריך לבחור רשת שמכילה רשת משנה באזור האב של האזור שנבחר.
כשיוצרים קבוצה של מופעי מכונה מנוהלים, בוחרים אזור או אזור זמינות, בהתאם לסוג הקבוצה, ותבנית של הגדרות מכונה. תבנית של הגדרות מכונה מגדירה באיזו רשת VPC להשתמש. לכן, כשיוצרים קבוצת מופעי מכונה מנוהלים, צריך לבחור תבנית של הגדרות מכונה עם הגדרה מתאימה. בתבנית צריך לציין רשת VPC שיש לה רשתות משנה באזור או באזור שנבחרו. לרשתות VPC במצב אוטומטי תמיד יש רשת משנה בכל אזור.
במהלך יצירת אשכול של קונטיינרים של Kubernetes, צריך לבחור אזור או תחום (בהתאם לסוג האשכול), רשת ורשת משנה. צריך לבחור רשת משנה שזמינה באזור או בתחום שנבחרו.

סוגים של רשתות משנה

רשתות VPC תומכות ברשתות משנה עם סוגי המערכים הבאים. רשת VPC אחת יכולה להכיל כל שילוב של רשתות משנה כאלה.

סוג הערימה	טווחים של רשתות משנה	ממשקי רשת תואמים של מכונות וירטואליות
IPv4 בלבד (single-stack)	רק טווחי תת-רשת של IPv4	ממשקי IPv4 בלבד
‫IPv4 ו-IPv6 (מערך כפול)	טווחי רשתות משנה של IPv4 ו-IPv6	ממשקי IPv4 בלבד, ממשקי dual-stack וממשקי IPv6 בלבד
IPv6 בלבד (single-stack)	רק טווחי רשתות משנה של IPv6	ממשקי IPv6 בלבד

כשיוצרים רשת משנה, מציינים באיזה סוג מחסנית להשתמש. אפשר גם לשנות את סוג ה-stack של רשת משנה בתרחישים הבאים:

אם רשת המשנה היא IPv4 בלבד, אפשר לשנות אותה ל-dual-stack.
אם רשת המשנה היא בעלת מחסנית כפולה ויש לה טווח כתובות IPv6 חיצוניות, אפשר לשנות אותה ל-IPv4 בלבד.

יש תמיכה ברשתות משנה עם טווחי כתובות IPv6 רק ברשתות VPC במצב מותאם אישית. לא ניתן להשתמש בתת-רשתות עם טווחי כתובות IPv6 ברשתות VPC במצב אוטומטי או ברשתות מדור קודם.

כשיוצרים טווח של רשת משנה IPv4, צריך לספק את הפרטים הבאים:

הגדרת רשת משנה	ערכים אפשריים	פרטים
טווח IPv4	טווח תקין שאתם בוחרים	חובה
טווח IPv4 משני	טווח תקין שאתם בוחרים	אופציונלי

כשיוצרים טווח של תת-רשתות IPv6, מציינים את סוג הגישה ואת המקור של כתובות ה-IP:

סוג הגישה	סוג הכתובת והמקור
פנימי (לא ניתן לניתוב באינטרנט)	כתובות ULA: מוקצות באופן אוטומטי מטווח כתובות ה-ULA של רשת ה-VPC‏ `/48`.
פנימי (לא ניתן לניתוב באינטרנט)	אם אתם משתמשים בכתובות IP משלכם (BYOIP), אתם יכולים להשתמש באופן פרטי בכתובות IPv6 GUA משלכם.
חיצוני (ניתן לניתוב באינטרנט)	GUAs: מוקצות באופן אוטומטי מתוך כתובות IPv6 חיצוניות אזוריות של Google.
חיצוני (ניתן לניתוב באינטרנט)	אם אתם משתמשים ב-BYOIP, אתם יכולים להשתמש בכתובות GUA משלכם ב-IPv6.

מטרות השימוש בתת-רשתות

אפשר להשתמש בתת-רשתות למטרות שונות:

תת-רשתות רגילות: זהו סוג ברירת המחדל של תת-רשתות. תת-רשתות רגילות נוצרות על ידי משתמשים או באופן אוטומטי ברשתות VPC במצב אוטומטי, לשימוש עם מכונות וירטואליות. לרשתות משנה רגילות יש מטרה של PRIVATE ב-CLI של gcloud או ב-API. המטרה היא ללא במסוףGoogle Cloud .
תת-רשתות של Private Service Connect: תת-רשת שמשמשת לפרסום שירות מנוהל באמצעות Private Service Connect.
תת-רשתות של שרת proxy בלבד: תת-רשת של שרת proxy בלבד לשימוש עם מאזני עומסים אזוריים שמבוססים על Envoy.
תת-רשתות NAT פרטיות: תת-רשת ששמורה לשימוש כטווח המקור עבור NAT פרטי.
תת-רשתות להעברת נתונים בין רשתות: תת-רשת שמשמשת להעברת שירות VPC משותף ל-Private Service Connect.
תת-רשתות היברידיות: תת-רשת שמתרחבת באופן לוגי לרשת מקומית או לרשת מקורית, ומאפשרת להעביר עומסי עבודה אל Google Cloud בלי לשנות כתובות IP.

ברוב המקרים, אי אפשר לשנות את הייעוד של רשת משנה אחרי שהיא נוצרה. מידע נוסף זמין במאמר בנושא הפקודה gcloud compute networks subnets update.

מגבלות על שמות של רשתות משנה

יש מגבלות על השמות של רשתות המשנה:

בתוך Google Cloud פרויקט, לרשת משנה לא יכול להיות שם זהה לשם של רשת VPC, אלא אם היא חברה ברשת הזו. בפרויקט, לשמות של רשתות משנה באותו אזור צריכים להיות שמות ייחודיים. לדוגמה, לרשת בשם production יכולות להיות כמה רשתות משנה שגם נקראות production, כל עוד כל אחת מהרשתות האלה נמצאת באזור ייחודי.
אי אפשר לשנות את השם או האזור של רשת משנה אחרי שיוצרים אותה. עם זאת, אפשר למחוק רשת משנה ולהחליף אותה כל עוד לא נעשה בה שימוש במשאבים.

טווחי רשתות משנה של IPv4

לכל תת-רשת עם IPv4 בלבד או עם מחסנית כפולה חייב להיות טווח כתובות IPv4 ראשי. כשהמטרה של רשת משנה היא PRIVATE או NONE, אפשר להשתמש בטווח ה-IPv4 הראשי למטרות הבאות:

כתובות IPv4 פנימיות ראשיות של ממשקי רשת של מכונות וירטואליות ב-Compute Engine, כולל צמתים של GKE.
טווחים של כתובות IP של כינויים של ממשקי רשת של מכונות וירטואליות.
כללי העברה שמשמשים להעברת פרוטוקול פנימית.
כללי העברה שמשמשים מאזני עומסים פנימיים של אפליקציות, מאזני עומסי רשת פנימיים לשרת proxy ומאזני עומסי רשת פנימיים להעברת סיגנל ללא שינוי.
‫Cloud DNS inbound server policy entry points.
נקודות קצה של Private Service Connect לשירותים שפורסמו.

אפשר להגדיר לרשתות משנה טווחים משניים של כתובות IPv4, שאפשר להשתמש בהם רק בטווחים של כתובות IP של כינויים. טווח כתובות IP של כינוי יכול להיות מטווח IPv4 ראשי או מטווח IPv4 משני של תת-רשת.

לא צריך שבלוקי ה-CIDR של תת-רשתות IPv4 יהיו רציפים ומוגדרים מראש, אבל אפשר לעשות את זה אם רוצים. לדוגמה, רשתות VPC במצב אוטומטי יוצרות רשתות משנה שמתאימות לטווח IP מוגדר מראש במצב אוטומטי. עם זאת, הטווח הראשי של רשת משנה יכול להיות 10.0.0.0/24, בעוד שהטווח הראשי של רשת משנה אחרת באותה רשת יכול להיות 192.168.0.0/16.

מגבלות על טווחי רשתות משנה של IPv4

יש מגבלות על טווחי רשתות משנה של IPv4:

כל טווח כתובות IPv4 ראשי או משני לכל תת-הרשתות ברשת VPC חייב להיות בלוק CIDR חוקי וייחודי.
מספר טווחי כתובות ה-IP המשניות שאפשר להגדיר מפורט במגבלות לכל רשת.
אחרי שיוצרים רשת משנה, אפשר להרחיב את טווח ה-IPv4 הראשי של רשת המשנה, אבל אי אפשר להחליף אותו או לצמצם אותו.
אפשר להסיר ולהחליף את טווח כתובות ה-IPv4 המשני של תת-רשת רק אם אף מכונה לא משתמשת בטווח הזה.
הגודל המינימלי של טווח ראשי או משני הוא שמונה כתובות IPv4. במילים אחרות, מסכה של רשת משנה הכי ארוכה שבה אפשר להשתמש היא /29.
מסכה של רשת משנה הקצרה ביותר שאפשר להשתמש בה היא /4. עם זאת, ברוב /4 טווחי כתובות ה-IP, יש אימותים נוספים שמונעים יצירה של רשת משנה בגודל הזה. לדוגמה, טווח של רשת משנה לא יכול לחפוף לטווח פרטי של IPv4 או לטווח שמור אחר. כדי לצמצם את הסיכוי לבחור טווח לא תקין של רשתות משנה, מומלץ להגביל את הגודל המקסימלי של רשת המשנה ל-/8.
אי אפשר ליצור טווחים ראשיים ומשניים לתת-רשתות שחופפים לטווח שהוקצה, לטווח ראשי או משני של תת-רשת אחרת באותה רשת, או לטווחים של IPv4 של תת-רשתות ברשתות מקושרות. Google Cloud מונעת יצירה של טווחי תת-רשתות חופפים בתרחישים האלה.
Google Cloud יוצר מסלולי רשת משנה תואמים לשני טווחי כתובות ה-IP, הראשי והמשני. ההגדרה של נתיבי תת-רשת, ולכן גם של טווחי כתובות IP של תת-רשתות, מחייבת שהם יהיו הכי ספציפיים.
- אם חיברתם את רשת ה-VPC לרשת אחרת באמצעות Cloud VPN,‏ Dedicated Interconnect או Partner Interconnect, צריך לוודא שאין התנגשות בין הטווחים הראשיים והמשניים לבין טווחי ה-IP ברשת המקומית. מידע נוסף זמין במאמר בנושא בדיקת טווחי רשתות משנה חופפים.
- טווח כתובות ה-IPv4 של תת-הרשת לא יכול להתנגש עם יעדים של מסלולים סטטיים.
- מומלץ להימנע משימוש בכתובות IPv4 מהבלוק 10.128.0.0/9 לטווחים הראשיים או המשניים של כתובות IPv4 ברשת משנה. תת-רשתות שנוצרות באופן אוטומטי ברשתות VPC במצב אוטומטי משתמשות בכתובות IPv4 מהבלוק הזה. אם אתם משתמשים בכתובות IP בבלוק 10.128.0.0/9, לא תוכלו לקשר את הרשת שלכם לרשת VPC במצב אוטומטי באמצעות קישור (peering) בין רשתות VPC שכנות או באמצעות מנהרות Cloud VPN.
טווחים של רשתות משנה לא יכולים להיות זהים לטווח מוגבל, צרים ממנו או רחבים ממנו. לדוגמה, 169.0.0.0/8 הוא טווח לא תקין של רשת משנה כי הוא חופף לטווח המקומי של הקישור 169.254.0.0/16 (RFC 3927), שהוא טווח מוגבל.
טווחים של רשתות משנה לא יכולים לכלול גם טווח RFC (כפי שמתואר בטבלה הקודמת) וגם טווח כתובות IP ציבוריות שמשמשות לשימוש פרטי. לדוגמה, 172.0.0.0/10 הוא טווח לא תקין של רשת משנה כי הוא כולל גם את טווח כתובות ה-IP הפרטיות 172.16.0.0/12 וגם כתובות IP ציבוריות.
טווחים של רשתות משנה לא יכולים לכלול טווחים מרובים של RFC. לדוגמה, 192.0.0.0/8 הוא לא טווח רשתות משנה תקין כי הוא כולל גם את 192.168.0.0/16 (מ-RFC 1918) וגם את 192.0.0.0/24 (מ-RFC 6890). עם זאת, אפשר ליצור שתי רשתות משנה עם טווחי כתובות ראשיים שונים, אחת עם 192.168.0.0/16 ואחת עם 192.0.0.0/24. אפשר גם להשתמש בשני הטווחים האלה באותה רשת משנה, אם הופכים את אחד מהם לטווח משני.

טווחי IPv4 תקינים

טווח כתובות ה-IPv4 הראשי והמשני של רשת משנה הם כתובות IPv4 פנימיות אזוריות. בטבלה הבאה מתוארים טווחים תקינים.

טווח	תיאור
טווחי כתובות IPv4 פרטיות
`10.0.0.0/8` `172.16.0.0/12` `192.168.0.0/16`	כתובות IP פרטיות RFC 1918 מידע על השימוש ב-`172.17.0.0/16` זמין בקטע שיקולים נוספים.
`100.64.0.0/10`	מרחב כתובות משותף RFC 6598
`192.0.0.0/24`	הקצאות פרוטוקולים של IETF‏ RFC 6890
‫`192.0.2.0/24` (TEST-NET-1) `198.51.100.0/24` (TEST-NET-2) `203.0.113.0/24` (TEST-NET-3)	מסמכי תיעוד RFC 5737
`192.88.99.0/24`	ממסר מ-IPv6 ל-IPv4 (הוצא משימוש) RFC 7526
`198.18.0.0/15`	בדיקת ביצועים בהשוואה לשוק RFC 2544
`240.0.0.0/4`	שמור לשימוש עתידי (Class E) כמו שמצוין ב-RFC 5735 וב-RFC 1112. מערכות הפעלה מסוימות לא תומכות בשימוש בטווח הזה, לכן חשוב לוודא שמערכת ההפעלה שלכם תומכת בו לפני שיוצרים רשתות משנה שמשתמשות בטווח הזה.
טווחי כתובות IP ציבוריות שמשמשות לשימוש פרטי
כתובות IPv4 ציבוריות לשימוש פרטי	כתובות IPv4 ציבוריות לשימוש פרטי: כתובות IPv4 שאפשר בדרך כלל לנתב באינטרנט, אבל נעשה בהן שימוש פרטי ברשת VPC לא יכול להיות שייך לטווח של רשת משנה אסורה כשמשתמשים בכתובות האלה כטווחי רשתות משנה, Google Cloud לא מכריז על המסלולים האלה באינטרנט ולא מנתב אליהם תעבורה מהאינטרנט. אם ייבאתם כתובות IP ציבוריות ל-Google באמצעות העברת כתובות IP משלכם (BYOIP), טווחי ה-BYOIP וטווחי כתובות ה-IP הציבוריות שמשמשות לשימוש פרטי באותה רשת VPC לא יכולים להיות חופפים. בVPC Network Peering, לא מתבצעת החלפה אוטומטית של מסלולי תת-רשתות לכתובות IP ציבוריות. כברירת מחדל, הנתיבים של רשת המשנה מיוצאים אוטומטית, אבל כדי להשתמש בהם צריך להגדיר במפורש את הרשתות המקבילות לייבא אותם.

טווחי תת-רשתות של כתובות IPv4 שאסורות לשימוש

טווחים אסורים של רשתות משנה כוללים כתובות IP ציבוריות של Google וטווחים שמורים נפוצים של RFC, כמו שמתואר בטבלה הבאה. אי אפשר להשתמש בטווחי הכתובות האלה לטווחי כתובות של רשתות משנה.

טווח	תיאור
כתובות IP ציבוריות של שירותים ו-Google APIs, כולל Google Cloud בלוקים של כתובות IP.	כתובות ה-IP האלה מופיעות בכתובת https://gstatic.com/ipranges/goog.txt.
`199.36.153.4/30` וגם `199.36.153.8/30`	כתובות IP וירטואליות ספציפיות לגישה פרטית ל-Google
`0.0.0.0/8`	הרשת הנוכחית (המקומית) RFC 1122
`127.0.0.0/8`	מארח מקומי RFC 1122
`169.254.0.0/16`	קישור מקומי RFC 3927
`224.0.0.0/4`	Multicast (Class D) RFC 5771
`255.255.255.255/32`	כתובת יעד של שידור מוגבל RFC 8190 ו-RFC 919

כתובות שלא ניתן להשתמש בהן בטווחים של תת-רשתות IPv4

‫Google Cloud משתמש בשתי כתובות ה-IPv4 הראשונות ובשתי כתובות ה-IPv4 האחרונות בכל טווח של כתובות IPv4 ראשיות של רשת משנה כדי לארח את רשת המשנה.‫Google Cloud מאפשר להשתמש בכל הכתובות בטווחים משניים של כתובות IPv4.

כתובת IPv4 שלא ניתן להשתמש בה	תיאור	דוגמה
כתובת רשת	הכתובת הראשונה בטווח ה-IPv4 הראשי	`10.1.2.0` מתוך הטווח `10.1.2.0/24`
כתובת שער ברירת המחדל	הכתובת השנייה בטווח ה-IPv4 הראשי	`10.1.2.1` מתוך הטווח `10.1.2.0/24`
הכתובת הלפני האחרונה	הכתובת הלפני האחרונה בטווח ה-IPv4 הראשי הטווח הזה שמור על ידי Google Cloud לשימוש פוטנציאלי בעתיד.	`10.1.2.254` מתוך הטווח `10.1.2.0/24`
כתובת שידור	הכתובת האחרונה בטווח הראשי של IPv4	`10.1.2.255` מתוך הטווח `10.1.2.0/24`

הערה: Google Cloud שירותי Networking מוגדרי-תוכנה שומרים כתובת IP של שער וירטואלי לטווחים הראשיים של כתובות ה-IP של כל רשת משנה ברשת VPC. עם זאת, שערים וירטואליים לא מגיבים לתעבורת ICMP או מקטינים את כותרות ה-TTL של כתובות ה-IP.

לתת-רשתות של טווחי כתובות IP משניות אין כתובת IP וירטואלית שמורה של שער. לכן, שער ברירת מחדל לא מגיב ל-ping ולא מופיע כשמריצים את traceroute ממופע של מכונה וירטואלית.

צריך להגדיר כלים ששולחים פינג לכתובת ה-IP של השער כבדיקת קישוריות כך שהם לא יתייחסו למצב שבו אי אפשר לשלוח פינג לשער וירטואלי כאל תנאי של כשל.

טווחי IPv4 במצב אוטומטי

בטבלה הזו מפורטים טווחי כתובות IPv4 של תת-הרשתות שנוצרו באופן אוטומטי ברשת VPC במצב אוטומטי. טווח כתובות ה-IP של תתי הרשתות האלה מתאים לבלוק ה-CIDR‏ 10.128.0.0/9. רשתות VPC במצב אוטומטי נוצרות עם רשת משנה אחת לכל אזור בזמן היצירה, ומקבלות אוטומטית רשתות משנה חדשות באזורים חדשים. החלקים שלא נוצלו מתוך 10.128.0.0/9 שמורים לשימוש עתידי ב-Google Cloud .

אזור	טווח כתובות IP‏ (CIDR)	שער ברירת מחדל	כתובות שניתן להשתמש בהן (כולל)
africa-south1	10.218.0.0/20	10.218.0.1	‫10.218.0.2 עד 10.218.15.253
asia-east1	10.140.0.0/20	10.140.0.1	‫10.140.0.2 עד 10.140.15.253
‫asia-east2	10.170.0.0/20	‫10.170.0.1	‫10.170.0.2 עד 10.170.15.253
‫asia-northeast1	10.146.0.0/20	10.146.0.1	‫10.146.0.2 עד 10.146.15.253
‫asia-northeast2	10.174.0.0/20	10.174.0.1	‫10.174.0.2 עד 10.174.15.253
‫asia-northeast3	10.178.0.0/20	10.178.0.1	‫10.178.0.2 עד 10.178.15.253
‫asia-south1	10.160.0.0/20	‫10.160.0.1	‫10.160.0.2 עד 10.160.15.253
‫asia-south2	10.190.0.0/20	10.190.0.1	‫10.190.0.2 עד 10.190.15.253
asia-southeast1	10.148.0.0/20	10.148.0.1	‫10.148.0.2 עד 10.148.15.253
‫asia-southeast2	10.184.0.0/20	‫10.184.0.1	‫10.184.0.2 עד 10.184.15.253
asia-southeast3	10.232.0.0/20	10.232.0.1	‫10.232.0.2 עד 10.232.15.253
‫australia-southeast1	10.152.0.0/20	10.152.0.1	‫10.152.0.2 עד 10.152.15.253
‫australia-southeast2	10.192.0.0/20	10.192.0.1	‫10.192.0.2 עד 10.192.15.253
europe-central2	10.186.0.0/20	10.186.0.1	‫10.186.0.2 עד 10.186.15.253
europe-north1	10.166.0.0/20	10.166.0.1	‫10.166.0.2 עד 10.166.15.253
europe-north2	10.226.0.0/20	10.226.0.1	‫10.226.0.2 עד 10.226.15.253
europe-west1	10.132.0.0/20	10.132.0.1	‫10.132.0.2 עד 10.132.15.253
‫europe-west2	10.154.0.0/20	10.154.0.1	‫10.154.0.2 עד 10.154.15.253
europe-west3	10.156.0.0/20	‫10.156.0.1	‫10.156.0.2 עד 10.156.15.253
europe-west4	10.164.0.0/20	‫10.164.0.1	‫10.164.0.2 עד 10.164.15.253
europe-west6	10.172.0.0/20	10.172.0.1	‫10.172.0.2 עד 10.172.15.253
europe-west8	10.198.0.0/20	10.198.0.1	‫10.198.0.2 עד 10.198.15.253
europe-west9	10.200.0.0/20	10.200.0.1	‫10.200.0.2 עד 10.200.15.253
europe-west10	10.214.0.0/20	10.214.0.1	‫10.214.0.2 עד 10.214.15.253
europe-west12	10.210.0.0/20	10.210.0.1	‫10.210.0.2 עד 10.210.15.253
europe-southwest1	10.204.0.0/20	10.204.0.1	‫10.204.0.2 עד 10.204.15.253
me-central1	10.212.0.0/20	‫10.212.0.1	‫10.212.0.2 עד 10.212.15.253
me-central2	10.216.0.0/20	10.216.0.1	‫10.216.0.2 עד 10.216.15.253
me-west1	10.208.0.0/20	10.208.0.1	‫10.208.0.2 עד 10.208.15.253
northamerica-northeast1	10.162.0.0/20	10.162.0.1	‫10.162.0.2 עד 10.162.15.253
northamerica-northeast2	10.188.0.0/20	10.188.0.1	‫10.188.0.2 עד 10.188.15.253
northamerica-south1	10.224.0.0/20	10.224.0.1	‫10.224.0.2 עד 10.224.15.253
southamerica-east1	10.158.0.0/20	‫10.158.0.1	‫10.158.0.2 עד 10.158.15.253
southamerica-west1	10.194.0.0/20	10.194.0.1	‫10.194.0.2 עד 10.194.15.253
us-central1	10.128.0.0/20	10.128.0.1	‫10.128.0.2 עד 10.128.15.253
us-east1	10.142.0.0/20	10.142.0.1	‫10.142.0.2 עד 10.142.15.253
us-east4	10.150.0.0/20	‫10.150.0.1	‫10.150.0.2 עד 10.150.15.253
us-east5	10.202.0.0/20	‪10.202.0.1	‫10.202.0.2 עד 10.202.15.253
us-south1	10.206.0.0/20	10.206.0.1	‫10.206.0.2 עד 10.206.15.253
us-west1	10.138.0.0/20	10.138.0.1	‫10.138.0.2 עד 10.138.15.253
us-west2	10.168.0.0/20	‪10.168.0.1	‫10.168.0.2 עד 10.168.15.253
us-west3	10.180.0.0/20	10.180.0.1	‫10.180.0.2 עד 10.180.15.253
us-west4	10.182.0.0/20	10.182.0.1	‫10.182.0.2 עד 10.182.15.253

שיקולים נוספים

מוודאים שאין התנגשות בין כל טווחי כתובות ה-IPv4 הראשיים והמשניים של רשתות המשנה לבין טווחי כתובות ה-IPv4 שתוכנה שפועלת בתוך המכונות הווירטואליות צריכה להשתמש בהם. חלק ממוצרי Google ומוצרים של צד שלישי משתמשים ב-172.17.0.0/16 לניתוב בתוך מערכת ההפעלה של האורח. לדוגמה, טווח כתובות ה-IP הזה משמש כברירת מחדל ברשת גשר Docker. אם אתם מסתמכים על מוצר שמשתמש ב-172.17.0.0/16, אל תשתמשו בו כטווח כתובות IPv4 ראשי ומשני של רשת משנה.

טווחי רשתות משנה של IPv6

כשיוצרים תת-רשת עם טווח כתובות IPv6 או מפעילים IPv6 בתת-רשת קיימת ברשת VPC, בוחרים סוג גישה ל-IPv6 עבור תת-הרשת. סוג הגישה ל-IPv6 קובע אם רשת המשנה מוגדרת עם כתובות IPv6 פנימיות או עם כתובות IPv6 חיצוניות.

כתובות IPv6 פנימיות משמשות לתקשורת בין מכונות וירטואליות ברשתות VPC. אפשר לנתב אותם רק במסגרת רשתות VPC, ואי אפשר לנתב אותם לאינטרנט.
אפשר להשתמש בכתובות IPv6 חיצוניות לתקשורת בין מכונות וירטואליות ברשתות VPC, והן ניתנות לניתוב באינטרנט.

אם ממשק של מכונה וירטואלית מחובר לרשת משנה עם טווח כתובות IPv6, אפשר להגדיר כתובות IPv6 במכונה הווירטואלית. סוג הגישה ל-IPv6 של רשת המשנה קובע אם למכונה הווירטואלית מוקצית כתובת IPv6 פנימית או כתובת IPv6 חיצונית.

מפרטים של IPv6

תת-רשתות עם טווחי כתובות IPv6 זמינות בכל האזורים, והן תומכות בטווחי תת-רשתות IPv6 חיצוניים ופנימיים.

לרשתות משנה עם טווחי כתובות IPv6 יש את המגבלות הבאות:

אי אפשר לשנות את סוג הגישה ל-IPv6 (פנימית או חיצונית) של רשת משנה.
אי אפשר לשנות רשת משנה עם כתובות כפולות ל-IPv4 בלבד אם סוג הגישה ל-IPv6 הוא פנימי.
אי אפשר לשנות רשת משנה עם פרוטוקול כפול או עם IPv4 בלבד ל-IPv6 בלבד. לעומת זאת, אי אפשר לשנות רשת משנה עם IPv6 בלבד לרשת משנה עם IPv4 בלבד או לרשת משנה עם פרוטוקול כפול.

מפרטים של IPv6 חיצוני

טווחים של כתובות IPv6 חיצוניות הם כתובות unicast גלובליות (GUAs). כתובות IPv6 חיצוניות זמינות רק במסלול פרימיום.

טווח כתובות ה-IPv6 החיצוניות של רשת משנה מגיע מאחד מהמקורות הבאים:

כברירת מחדל: Google Cloud מוקצה טווח GUA לא בשימוש מתוך /64 כתובות IPv6 חיצוניות אזוריות של Google.
אם אתם משתמשים ב-BYOIP: אתם יכולים להקצות טווח של /64 GUA מתוך קידומת משנה של BYOIP.

המשאבים שיכולים להשתמש בטווח כתובות IPv6 חיצוניות של רשת משנה תלויים במקור של טווח הכתובות.

אפשר להשתמש בטווחים של תת-רשתות IPv6 חיצוניות שסופקו על ידי BYOIP רק לטווחים של כתובות IPv6 חיצוניות של ממשקי רשת של מכונות וירטואליות./96 אפשר להקצות כתובות IPv6 BYOIP לכללי העברה, אבל הכתובות האלה לא נכללות ברשת משנה.
אפשר להשתמש בטווחים של רשתות משנה חיצוניות של IPv6 שסופקו על ידי Google באופן הבא:
- בממשקי רשת של מכונות וירטואליות, אפשר להשתמש בכתובות IPv6 חיצוניות בטווח /96 של המחצית הראשונה (/65) של טווח כתובות ה-IP של רשת המשנה /64.
- בהעברת פרוטוקול חיצוני או במאזני עומסים חיצוניים של רשת להעברת סיגנל ללא שינוי שמבוססים על שירות backend, אפשר להשתמש בחצי השני (/65) של טווח /64 תת-הרשת לטווחים של כתובות IPv6 חיצוניות של כללי העברה./96
צריך ליצור את המשאבים שלמעלה באמצעות כתובות IP מטווח /65 המתאים שהוקצה למשאב. אחרת,הפקודה Google Cloudתחזיר שגיאה.

ניקח לדוגמה את טווח כתובות ה-IPv6 החיצוניות של רשת משנה 2001:db8:981:4:0:0:0:0/64:
- טווח הכתובות /65 שהוקצה לשימוש על ידי מכונות וירטואליות הוא 2001:db8:981:4:0:0:0:0/65.
- טווח ה-IP /65 שהוקצה לשימוש על ידי Cloud Load Balancing הוא 2001:db8:981:4:8000:0.

כדי לבדוק את המקור של טווח כתובות ה-IPv6 החיצוניות של תת-רשת, אפשר לתאר את תת-הרשת. אם הנכס ipv6AccessType הוא EXTERNAL והנכס ipCollection לא ריק, נוצרה רשת משנה עם טווח כתובות IPv6 BYOIP.

אפשר להקצות טווחים של כתובות IPv6 חיצוניות /96 בדרכים הבאות:

אם לא מציינים, Google Cloud מוקצה באופן אוטומטי טווח כתובות IPv6 חיצוניות ארעיות /96.
אתם יכולים לציין טווח כתובות IPv6 חיצוניות אזוריות סטטיות שמורות /96. אם שומרים טווח של כתובות IPv6 חיצוניות סטטיות אזוריות /96 מטווח של תת-רשתות IPv6 שסופק על ידי BYOIP, צריך לציין VM כסוג נקודת הקצה.
במכונות וירטואליות ובכללי העברה אזוריים, אפשר לציין טווח מותאם אישית של כתובות IPv6 חיצוניות זמניות /96.

מפרטי IPv6 פנימיים

אי אפשר לנתב באופן ציבורי טווחי רשתות משנה פנימיות של IPv6, ואי אפשר להגיע אליהם מהאינטרנט. טווח כתובות ה-IPv6 הפנימי של תת-רשת מגיע מאחד מהמקורות הבאים:

כברירת מחדל: Google Cloud המערכת מקצה טווח /64 לא בשימוש מתוך טווח ה-ULA של /48 ברשת ה-VPC.
אם אתם משתמשים ב-BYOIP: אתם יכולים להקצות טווח של /64 GUA מתוך קידומת משנה של BYOIP. למרות שכתובות GUA הן בדרך כלל כתובות ציבוריות, בהגדרה הזו הן משמשות ככתובות פרטיות ופועלות באותו אופן כמו כתובות ULA שהוקצו על ידיGoogle Cloud.

כדי להשתמש בכתובות ULA שסופקו על ידי Google כטווח של רשת משנה פנימית של IPv6, קודם צריך להקצות טווח ULA של /48 לרשת ה-VPC. כשמקצים טווח ULA פנימי לרשת משנה,מערכת Google Cloudבוחרת באופן אוטומטי טווח IPv6 לא בשימוש /64 מתוך טווח ה-ULA IPv6 של רשת ה-VPC /48. אם רוצים למנוע הקצאה של טווח ULA ספציפי ברשת VPC, אפשר ליצור משאב של טווח פנימי עבור החלק השמור של טווח כתובות ה-IPv6.

כשמקצים טווח כתובות IPv6 פרטיות (ULA) לרשת VPC, חשוב לזכור את הנקודות הבאות:/48

טווח כתובות ה-ULA IPv6 לכל רשת VPC צריך להיות ייחודי./48 Google Cloudכך נמנעת האפשרות של חפיפה בין טווחי רשתות משנה של IPv6 כשמשתמשים בקישור בין רשתות שכנות (peering) של VPC.
אפשר לאפשר ל- Google Cloud להקצות באופן אוטומטי את טווח ה-ULA IPv6 של רשת ה-VPC, או לספק טווח ULA IPv6 לשימוש./48 /48 אם טווח ה-ULA IPv6 שסיפקתם כבר נמצא בשימוש ברשת VPC אחרת, תוצג שגיאה./48Google Cloud
האפשרות לספק טווח של כתובות IPv6 מסוג ULA שימושית כדי למנוע התנגשויות בין רשת ה-VPC לבין רשתות מקומיות מחוברות או רשתות אצל ספקי ענן אחרים./48
אחרי שמקצים לרשת VPC טווח כתובות IPv6 מסוג /48 ULA, אי אפשר להסיר או לשנות את טווח כתובות ה-IPv6 מסוג /48 ULA.

אפשר להשתמש בטווחים של כתובות IPv6 ברשת משנה פנימית /64 לצרכים הבאים, בלי קשר לסוג הכתובות:

טווחי כתובות IPv6 פנימיות של ממשקי רשת של מכונות וירטואליות/96
/96 טווחי כתובות IPv6 פנימיות של כללי העברה עבור:

אפשר להקצות טווחים פנימיים של כתובות IPv6 בדרכים הבאות:/96

אם לא מציינים טווח כתובות,המערכת מקצה אוטומטית טווח כתובות IPv6 פנימיות ארעיות /96. Google Cloud
אפשר לציין טווח כתובות IPv6 פנימיות אזוריות סטטיות שמורות /96.
למכונות וירטואליות ולכללי העברה אזוריים, אפשר לציין טווח מותאם אישית של כתובות IPv6 פנימיות זמניות /96.

הקצאת טווח IPv6

טווחים של כתובות IPv6 מוקצים לרשתות, לתת-רשתות, למכונות וירטואליות (VM) ולכללי העברה.

סוג המשאב	גודל הטווח	פרטים
רשת VPC	`/48`	כדי להפעיל טווח ULA פנימי ברשת משנה, קודם צריך להקצות טווח ULA פנימי של IPv6 לרשת ה-VPC. טווח ULA‏ `/48` מתוך `fd20::/20` מוקצה לרשת. כל טווחי רשתות המשנה של ULA הפנימיות ברשת מוקצים מתוך הטווח `/48` הזה. אפשר להקצות את טווח `/48` באופן אוטומטי, או לבחור טווח ספציפי מתוך `fd20::/20`.
תת-רשת	`/64`	ההגדרה של סוג הגישה ל-IPv6 קובעת אם כתובות ה-IPv6 הן פנימיות או חיצוניות. לתת-רשת יכולות להיות כתובות IPv6 פנימיות או חיצוניות, אבל לא שילוב של שתיהן. כשמפעילים את IPv6, קורים הדברים הבאים: אם מפעילים IPv6 פנימי ברשת משנה, מוקצה טווח של כתובות ULA פנימיות מתוך טווח `/48` של רשת ה-VPC.`/64` אם מפעילים IPv6 חיצוני ברשת משנה, מערכת `/64` מקצה באופן אוטומטי טווח של כתובות GUA חיצוניות. Google Cloud מחלקת את הטווח `/64` לשני חצאים ומקצה כל חצי למטרה ספציפית, באופן הבא: Google Cloud טווח `/65` שמייצג את המחצית הראשונה של רשת המשנה מוקצה למכונות וירטואליות. הטווח `/65` שמייצג את המחצית השנייה של רשת המשנה מוקצה ל-Cloud Load Balancing. לחלופין, אפשר להקצות טווח של רשת משנה פנימית או חיצונית מתוך קידומת משנה של IPv6 שהובאה באמצעות BYOIP. מידע נוסף זמין במאמר בנושא שימוש בכתובת IP משלכם.
מופע ב-VM	`/96`	כשמגדירים במכונה וירטואלית ממשק רשת עם תמיכה כפולה ב-IPv4 ו-IPv6 או ממשק רשת עם תמיכה ב-IPv6 בלבד, לממשק מוקצה `/96` טווח כתובות IP מרשת המשנה של הממשק. Google Cloud מספק את כתובת ה-IP הראשונה בטווח `/96` באמצעות DHCPv6. האם ממשק רשת של מכונה וירטואלית משתמש בטווח כתובות IPv6 פנימי או חיצוני תלוי בסוג הגישה ל-IPv6 של רשת המשנה של הממשק.`/96`
כלל העברה למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, למאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי או להעברת פרוטוקול	‫`/96` או שצוין על ידי קידומת משנה של BYOIP	טווח כתובות ה-IPv6 של כלל העברה להעברת פרוטוקול פנימית או למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי הוא טווח כתובות IP פנימיות `/96` מתוך טווח כתובות ה-IPv6 הפנימי של רשת המשנה. אפשר לבחור באופן אוטומטי טווחי כתובות IP פנימיות`/96` או להזמין טווח כתובות IPv6 פנימיות אזוריות סטטיות.`/96` Google Cloud טווח כתובות ה-IPv6 של כלל העברה להעברת פרוטוקולים חיצונית או למאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי הוא אחד מהבאים: אם משתמשים בכתובות IPv6 חיצוניות שסופקו על ידי Google, טווח כתובות ה-IPv6 הוא טווח כתובות חיצוניות `/96` שנבחר באופן אוטומטי על ידי Google Cloud מתוך טווח כתובות ה-IPv6 החיצוניות של תת-הרשת. אם משתמשים בכתובות IPv6 חיצוניות של BYOIP, טווח כתובות ה-IPv6 מגיע מקידומת משנה של כתובת IPv6 של BYOIP במצב יצירת כלל העברה. הגודל של טווח כתובות ה-IPv6 נקבע לפי אורך הקידומת שניתן להקצאה של קידומת המשנה.

כתובות שלא ניתן להשתמש בהן בטווחי רשתות משנה של IPv6

אי אפשר לציין באופן ידני את הטווח הראשון והאחרון של /96 בטווח הפנימי של רשת משנה, כי Google Cloud שומרת את הטווח הראשון והאחרון של /96 בטווח הפנימי של רשת משנה לשימוש המערכת./64/64 אתם יכולים לציין באופן ידני כל טווח /96 IPv6 תקף מתוך טווח /64 פנימי של רשת המשנה שיוקצה לממשקי הרשת של מכונת ה-VM.

כתובת IPv6 שלא ניתן להשתמש בה	תיאור	דוגמה
הטווח הראשון `/96` מתוך טווח ה-IPv6 הפנימי `/64` של תת-הרשת	שמור לשימוש המערכת	`fd20:db8::/96` מתוך הטווח `fd20:db8::/64`
הטווח האחרון של `/96` מתוך טווח ה-IPv6 הפנימי של רשת המשנה `/64`	שמור לשימוש המערכת	`fd20:db8:0:0:ffff:ffff::/96` מתוך הטווח `fd20:db8::/64`

המאמרים הבאים

נסו בעצמכם

אנחנו ממליצים למשתמשים חדשים ב-Google Cloud ליצור חשבון כדי שיוכלו להעריך את הביצועים של Cloud NAT בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300 $להרצה, לבדיקה ולפריסה של עומסי העבודה.

להתנסות ב-Cloud NAT בחינם