Esta página foi traduzida pela API Cloud Translation.

Sub-redes e endereços IP no GDC

Esta página de visão geral explica o modelo operacional para endereços IP em um universo isolado do Google Distributed Cloud (GDC). Os endereços IP são divididos em sub-redes para fornecer segmentos gerenciáveis que podem ser alocados aos seus serviços. É possível definir sub-redes com intervalos de endereços IP específicos ou configurá-las para alocação dinâmica.

Esta página é destinada a administradores de rede no grupo de administradores de plataforma e desenvolvedores de aplicativos no grupo de operadores de aplicativos, que são responsáveis por gerenciar o tráfego de rede dos serviços em um universo do GDC. Para mais informações, consulte Públicos-alvo para documentação isolada do GDC.

Redes no GDC

Há dois tipos de rede distintos disponíveis em uma organização do GDC para alocar endereços IP:

Nuvem privada virtual (VPC): uma rede que recebe endereços IP internos acessíveis apenas por cargas de trabalho dentro da sua organização.
Segmento de rede externa: uma rede que recebe endereços IP externo acessíveis por redes externas conectadas à sua organização.

É possível alocar sub-redes em cada tipo de rede para alcançar metas específicas. Uma sub-rede é uma subdivisão lógica de uma rede de endereços IP, definida por intervalos de roteamento entre domínios sem classe (CIDR, na sigla em inglês). Com os intervalos CIDR, é possível representar endereços IP e as redes correspondentes para uso de um serviço. Cada rede dentro desses tipos tem uma árvore de sub-rede independente.

As sub-redes em uma VPC são acessíveis na rede do GDC e não podem ser acessadas fora do GDC. As sub-redes VPC estão disponíveis para alocar endereços IP internos na sua organização. As sub-redes de segmento de rede são expostas a redes externas conectadas a uma organização e permitem fornecer endereços IP externos disponíveis para redes fora da sua organização.

Rede VPC

Uma rede VPC usa endereços IP internos que só podem ser acessados dentro da sua organização e não podem ser alcançados por redes fora dela.

Há duas redes VPC disponíveis no seu universo do GDC:

VPC padrão: uma VPC que recebe endereços IP para cargas de trabalho internas, como contêineres e máquinas virtuais (VMs), em várias zonas.
VPC de infraestrutura: uma VPC gerenciada pelo sistema que hospeda serviços isolados do GDC de terceiros, como Vertex AI, APIs de observabilidade e o console do GDC. Você só define endereços IP nessa VPC ao planejar a arquitetura de endereços IP da organização.

Os endereços IP na VPC padrão e na VPC de infraestrutura não podem se sobrepor na mesma organização. Para mais informações, consulte Uso e limitações do IPv4.

Crie uma sub-rede em uma rede VPC para alocar mais endereços IP para cargas de trabalho internas.

Segmento de rede externa

Um segmento de rede externa recebe endereços IP externo acessíveis por redes externas conectadas à sua organização. Os segmentos de rede no GDC são apenas endereços IP externo alocados.

O GDC oferece os seguintes segmentos de rede logicamente isolados:

Segmento de rede do administrador: uma rede que recebe endereços IP externo para serviços administrativos durante a criação da organização, como o console do GDC e as APIs de gerenciamento. Você só define endereços IP dentro desse segmento de rede ao planejar a arquitetura de endereços IP da sua organização.
Segmento de rede de dados: uma rede que recebe endereços IP externo alocados para serviços como conversão de endereços de rede (NAT) de saída e balanceadores de carga externos.

É possível usar interconexões distintas para conectar segmentos de rede a outras redes externas. Os endereços IP nos segmentos de rede não podem se sobrepor. Para mais informações, consulte Uso e limitações do IPv4.

Crie uma sub-rede em um segmento de rede para alocar outros endereços IP externo para serviços que precisam se conectar a redes fora da sua organização do GDC.

Hierarquia de sub-redes

As sub-redes são categorizadas por tipo:

Raiz: sub-redes de nível superior de que outras sub-redes podem ser derivadas. Uma sub-rede raiz global é criada em cada rede durante o provisionamento da organização.
Ramificação: sub-redes derivadas de uma sub-rede raiz ou de outra ramificação, usadas para subdividir ainda mais o espaço de endereços IP.
Folha: a menor subdivisão, normalmente usada para alocar endereços IP para um serviço ou recurso específico.

É possível subdividir as sub-redes para alocar endereços IP às suas redes.

Este diagrama de exemplo mostra como os diferentes tipos de sub-rede se conectam:

Uma sub-rede raiz de 10.0.0.0/16 que serve como o bloco de nível superior para as principais alocações de endereços IP.
Da sub-rede raiz, são derivadas duas sub-redes ramificadas com valores de 10.0.1.0/24 e 10.0.2.0/24. Essas sub-redes de ramificação representam subdivisões do espaço de endereço da raiz, destinadas a fins mais específicos.
As sub-redes de ramificação são subdivididas em sub-redes de folha com valores como 10.0.1.10/32, 10.0.1.11/32 e 10.0.2.12/24. Essas sub-redes secundárias geralmente são as menores subdivisões, muitas vezes alocando endereços IP únicos para serviços ou recursos específicos.

Essa estrutura hierárquica de sub-redes permite delegar e organizar sua rede de maneira eficiente em todas as cargas de trabalho e serviços que dependem dos endereços IP na sua rede.

Sub-redes globais e zonais

No GDC, é possível provisionar sub-redes em dois escopos diferentes: zonal e global. As sub-redes zonais e globais são definidas e operam em servidores de API distintos e oferecem recursos diferentes.

Depois que sua organização é provisionada, cada rede tem uma sub-rede raiz global hospedada no servidor de API global da organização. Para provisionar endereços IP da sub-rede raiz global, crie um recurso Subnet global no servidor de API global que provisiona um bloco CIDR para uma zona ou em várias zonas. Na sub-rede global, defina o campo propagationStrategy para indicar como você quer alocar o bloco CIDR nas zonas. Esse intervalo de endereços IP é provisionado para uma zona como uma sub-rede raiz zonal.

Depois que uma zona tem sua própria sub-rede raiz zonal, é possível criar recursos Subnet zonais no servidor da API de gerenciamento da zona para dividir ainda mais o intervalo de endereços IP da sub-rede em outras sub-redes de ramificação dentro da zona ou sub-redes folha disponíveis para cargas de trabalho e serviços individuais dentro da zona.

Sub-redes globais

É necessário criar uma sub-rede global para alocar endereços IP da sub-rede raiz hospedada no servidor de API global para uma ou várias zonas no seu universo do GDC.

As sub-redes globais são criadas no servidor da API global usando o grupo de APIs ipam.global.gdc.goog/v1 e incluem campos opcionais, como zone e propagationStrategy, para definir a interação com zonas específicas.

As sub-redes globais hospedam um bloco CIDR como um intervalo de sub-rede ramificada que é consumido por zonas em um universo do GDC. Para mais informações sobre onde criar suas sub-redes globais, consulte Redes no GDC.

Sub-redes zonais

Uma sub-rede zonal está vinculada a uma zona operacional específica, geralmente incluindo configurações de rede diretas. As sub-redes zonais operam estritamente em uma única zona e são fornecidas principalmente para cargas de trabalho de máquina virtual e contêineres nessa zona. Uma sub-rede zonal aloca ainda mais endereços IP que já foram provisionados para a zona e que serão usados por uma sub-rede global.

Para que a comunicação VPC para VPC entre zonas funcione corretamente, é necessário usar sub-redes não sobrepostas em cada zona.

As sub-redes zonais são criadas no servidor da API de gerenciamento usando o grupo de APIs ipam.gdc.goog/v1 e incluem um campo networkSpec opcional na especificação. Assim, é possível definir elementos de rede específicos da zona, como gateways e IDs de VLAN.

Regras de agrupamento de sub-redes

As sub-redes são agrupadas em diferentes categorias por rótulos no recurso personalizado Subnet:

Rede	Rótulo
VPC padrão	`ipam.gdc.goog/vpc: default-vpc`
VPC de infraestrutura	`ipam.gdc.goog/vpc: infra-vpc`
Segmento de rede do administrador	`ipam.gdc.goog/network-segment: admin`
Segmento de rede de dados	`ipam.gdc.goog/network-segment: data`

Os quatro intervalos de CIDR foram definidos na sua organização como parte do processo de bootstrap. As quatro sub-redes globais correspondentes residem no servidor de API global. Essas sub-redes globais são o intervalo CIDR de nível raiz para cada rede em todas as zonas de uma organização. Todas as sub-redes globais de nível raiz têm o rótulo ipam.gdc.goog/usage: network-root-range.

Para cada zona, uma sub-rede raiz de rede zonal fica disponível inicialmente no servidor de API global que se origina do provisionamento da organização. É possível criar sub-redes raiz adicionais para expandir seu espaço de endereço IP. Cada sub-rede raiz hospeda um intervalo CIDR para uma rede na zona específica e serve logicamente como a sub-rede raiz com escopo zonal e o rótulo ipam.gdc.goog/usage: zone-network-root-range. Essa sub-rede raiz precisa ser criada inicialmente no servidor da API global e é propagada automaticamente para uma zona especificada. Para mais informações sobre escopos de sub-rede, consulte Sub-redes globais e zonais.

Use os rótulos definidos ao criar um recurso personalizado Subnet para aplicá-lo à rede do GDC apropriada. O diagrama a seguir ilustra redes globais e zonais em um universo do GDC:

As sub-redes residem em uma zona e no servidor de API global.

Neste diagrama, há duas organizações que abrangem um universo multizonal. Cada organização define as redes VPC e os segmentos de rede externa. Neste exemplo, os endereços IP anycast são usados para rotear o tráfego entre os segmentos de rede externa zonais. Assim, a zona mais próxima ou com melhor desempenho atende à solicitação de rede. Para mais informações sobre endereços IP anycast, consulte Endereços IP no GDC.

Configuração estática e dinâmica de CIDR

Ao definir sub-redes, é possível usar uma configuração estática ou dinâmica para atribuir os blocos CIDR.

Com a configuração estática de CIDR, é possível especificar explicitamente o bloco CIDR exato da sub-rede. Alocar estaticamente seu bloco CIDR quando você precisar de controle preciso sobre o espaço de endereço IP. Use o campo spec.ipv4Request.cidr no recurso personalizado Subnet para especificar o intervalo de endereços IP exato e predefinido.

A configuração dinâmica de CIDR oferece mais flexibilidade, permitindo que o sistema aloque automaticamente um bloco de CIDR para sua sub-rede. Em vez de fornecer um CIDR completo, especifique o tamanho do prefixo necessário no campo spec.ipv4Request.prefixLength. Alocar dinamicamente seu bloco CIDR se você preferir que o sistema delegue automaticamente endereços IP às suas sub-redes, simplificando o planejamento da rede e reduzindo o risco de conflitos de endereços IP. O sistema seleciona um bloco CIDR disponível do tamanho especificado na rede principal.

Para mais informações, consulte a API SubnetRequest.

Endereços IP no GDC

Recursos como VMs e balanceadores de carga têm endereços IP no GDC. Esses endereços IP permitem que os recursos do GDC se comuniquem com outros recursos dentro de uma organização ou com redes externas conectadas a ela. Os seguintes tipos de endereços IP estão disponíveis em um universo do GDC:

Endereço IP externo

Os endereços IP externos são anunciados para redes externas conectadas a uma organização. Recursos com endereços IP externo, como balanceadores de carga e NAT, podem se comunicar com redes externas. Com o GDC, é possível usar endereços IP privados ou públicos como externos. Forneça endereços IPv4 externos para recursos das seguintes maneiras:

Traga seus próprios endereços IP externo (BYOIP): você fornece esses endereços IP externo para sua organização. Os endereços IP externo do BYOIP podem se sobrepor a outras organizações, desde que não se conectem à mesma rede externa.
Endereços IP externo fornecidos pelo IO: as organizações podem usar os endereços IP externos fornecidos pelo grupo de operadores de infraestrutura ao se conectar a uma rede externa. O grupo de operadores de infraestrutura é o provedor da conectividade com essa rede.

Endereço IP interno

Os endereços IP internos não podem ser acessados diretamente de fora do GDC e não são roteáveis publicamente. Os endereços IP internos são locais para uma rede VPC, uma rede VPC conectada usando o peering de rede VPC ou uma rede local conectada a uma rede VPC usando o Cloud VPN. Recursos com endereços IP internos se comunicam com outros recursos como se pertencentes à mesma rede privada.

Endereço IP anycast

Os endereços IP anycast são um tipo especial de endereço externo que sempre tem escopo em todo o universo do GDC. O GDC usa endereços IP anycast com o Border Gateway Protocol (BGP) para rotear o tráfego para a zona mais próxima ou com melhor desempenho. Cada serviço global da camada 4 em execução em duas ou mais zonas recebe um endereço IP de anycast da sub-rede de anycast, uma sub-rede externa. Cada zona anuncia o mesmo endereço IP anycast, mas sua rede escolhe o melhor com base nas regras de roteamento. Se uma zona falhar, ela vai retirar o endereço IP, e sua rede vai redirecionar automaticamente o tráfego para outra zona. Esse roteamento automático oferece conectividade perfeita, mesmo durante interrupções.

Endereço IP particular

Endereços IP particulares são endereços que não podem ser roteados na Internet. Para ver uma lista de intervalos de IPv4 particulares, consulte as entradas de intervalos de endereços IP particulares na tabela Intervalos IPv4 válidos.

Endereço IP público

Endereços IP públicos são roteáveis pela Internet. No GDC, os endereços IP externo podem ser públicos ou particulares. É possível usar endereços IPv4 públicos como internos ao configurar o intervalo de endereços IPv4 principal de uma sub-rede na rede VPC. Esses endereços são chamados de endereços IP públicos de uso particular.

Uso e limitações do IPv4

Cada rede no seu universo do GDC tem algumas limitações de uso de intervalo de endereços IPv4 que você precisa considerar ao alocar endereços IP. Os intervalos de endereços IPv6 não são compatíveis com a VPC padrão e o segmento de rede de dados. Entre em contato com seu grupo de operadores de infraestrutura para conhecer as possibilidades de intervalo IPv6 em outras redes.

Limitações para todas as sub-redes IPv4

Essas limitações se aplicam a sub-redes de rede VPC e sub-redes de segmento de rede externa.

Todas as sub-redes precisam ser um bloco CIDR válido exclusivo.
Depois de criar uma sub-rede, não é possível aumentar, substituir ou reduzir a escala dela.
O GDC não impõe um limite para o tamanho de um CIDR que pode ser criado. No entanto, para a maioria dos intervalos de endereços IP maiores que /8, outras validações impedem que você crie uma sub-rede desse tamanho. Por exemplo, uma sub-rede não pode se sobrepor a uma sub-rede proibida. Para minimizar a chance de escolher uma sub-rede inválida, recomendamos que você limite o tamanho máximo da sub-rede para /8.
Não é possível criar sub-redes que se sobreponham a sub-redes proibidas, a qualquer outra sub-rede na mesma rede VPC, a qualquer sub-rede em um segmento de rede externa anexado ou a qualquer sub-rede em uma rede com peering. Trabalhe com seu grupo de operadores de infraestrutura para garantir que você não crie sub-redes sobrepostas nesses cenários.

Observação: uma rede com peering é qualquer rede que troca rotas com outra. Isso inclui redes externas de clientes, segmentos de rede externos de organizações em um grupo de interconexão comum e redes VPC pareadas. Por exemplo, a VPC de infraestrutura e a VPC padrão são redes de peering entre si.
O GDC cria rotas correspondentes para sub-redes. As sub-redes da rede VPC têm rotas criadas na pilha de rede virtual da sua organização, e as sub-redes de segmento de rede externa têm rotas criadas na tabela de rotas da rede externa com peering.
Verifique se as sub-redes não entram em conflito com o endereçamento IP local se você conectou sua rede VPC a outra rede usando VPN gerenciada ou uma interconexão compartilhada ou dedicada.
As sub-redes não podem corresponder, ser mais estreitas ou mais amplas que um intervalo proibido. Por exemplo, 169.0.0.0/8 não é uma sub-rede válida porque se sobrepõe ao intervalo de link local 169.254.0.0/16 (RFC 3927), que é restrito.
As sub-redes não podem abranger um intervalo RFC, conforme descrito em Intervalos IPv4 válidos, e um intervalo de endereços IP públicos usado de maneira privada. Por exemplo, 172.0.0.0/10 não é uma sub-rede válida porque inclui o intervalo de endereços IP privados 172.16.0.0/12 e os endereços IP públicos.
As sub-redes não podem abranger vários intervalos de RFC. Por exemplo, 192.0.0.0/8 não é uma sub-rede válida porque inclui 192.168.0.0/16 (RFC 1918) e 192.0.0.0/24 (RFC 6890). No entanto, é possível criar duas sub-redes, uma com 192.168.0.0/16 e outra com 192.0.0.0/24.

Intervalos IPv4 válidos

A tabela a seguir descreve intervalos válidos.

Intervalo	Descrição
Intervalos de endereços IPv4 privados
`10.0.0.0/8` `172.16.0.0/12` `192.168.0.0/16`	Endereços IP privados RFC 1918 Para saber mais sobre o uso de `172.17.0.0/16`, consulte Outras considerações.
`100.64.0.0/10`	Espaço de endereços compartilhado RFC 6598
`192.0.0.0/24`	Atribuições do protocolo IETF RFC 6890
`192.0.2.0/24` (TEST-NET-1) `198.51.100.0/24` (TEST-NET-2) `203.0.113.0/24` (TEST-NET-3)	Documentação RFC 5737
`192.88.99.0/24`	Retransmissão IPv6 para IPv4 (descontinuado) RFC 7526
`198.18.0.0/15`	Teste de comparativo de mercado RFC 2544
`240.0.0.0/4`	Reservado para uso futuro (classe E) como indicado em RFC 5735 e RFC 1112. Alguns sistemas operacionais não aceitam o uso desse intervalo. Portanto, antes de criar sub-redes com ele, verifique se o SO que você usa é compatível.
Intervalos de endereços IP públicos usados de maneira privada
Endereços IPv4 públicos usados de modo privado	Endereços IPv4 públicos usados de maneira privada: São endereços IPv4 que normalmente são roteáveis na Internet, mas são usados de modo privado em uma rede VPC. Não pode pertencer a um intervalo de sub-rede proibido. O GDC com isolamento físico não pressupõe conectividade com a Internet. Como resultado, o GDC com isolamento físico anuncia todos os intervalos de endereços IP públicos como se fossem particulares da sua organização. Se os endereços IP do BYOIP importados forem intervalos de endereços IP públicos, verifique se eles não causam problemas de rede em redes externas. Os endereços BYOIP não podem se sobrepor a outras sub-redes na sua organização.

Sub-redes IPv4 proibidas

Os intervalos de sub-redes proibidos incluem intervalos RFC comumente reservados e sub-redes reservadas globalmente no seu universo específico do GDC, conforme descrito na tabela a seguir. Esses intervalos não podem ser usados para sub-redes.

Intervalo	Descrição
Intervalo de infraestrutura do GDC	Um CIDR reservado globalmente usado pelo sistema GDC. Se esse intervalo não for especificado para o campo `zone-infra-cidr` do questionário de admissão de clientes (CIQ, na sigla em inglês), o GDC usará `172.16.0.0/12` como o intervalo padrão da infraestrutura do GDC.
Intervalos específicos do universo	Intervalos adicionais reservados pelo grupo de operadores de infraestrutura.
`0.0.0.0/8`	Rede (local) atual RFC 1122
`127.0.0.0/8`	Host local RFC 1122
`169.254.0.0/16`	Link local RFC 3927
`224.0.0.0/4`	Multicast (Classe D) RFC 5771
`255.255.255.255/32`	Endereço de destino da transmissão limitada RFC 8190 e RFC 919

Endereços inutilizáveis em sub-redes IPv4

O GDC usa os dois primeiros e os dois últimos endereços IPv4 em cada sub-rede para hospedar a sub-rede.

Endereço IPv4 inutilizável	Descrição	Exemplo
endereço de rede	Primeiro endereço no intervalo IPv4 principal.	`10.1.2.0` no intervalo `10.1.2.0/24`
Endereço de gateway padrão	Segundo endereço no intervalo IPv4 principal.	`10.1.2.1` no intervalo `10.1.2.0/24`
Penúltimo endereço	Penúltimo endereço no intervalo IPv4 principal. Esse intervalo é reservado por Google Cloud para um possível uso futuro.	`10.1.2.254` no intervalo `10.1.2.0/24`
endereço de transmissão	Último endereço no intervalo IPv4 principal.	`10.1.2.255` no intervalo `10.1.2.0/24`

Outras considerações

Alguns produtos do Google e de terceiros usam 172.17.0.0/16 para roteamento no sistema operacional convidado. Por exemplo, a rede de ponte padrão do Docker usa esse intervalo. Se você depende de um produto que usa 172.17.0.0/16, não o utilize como intervalo de endereços IPv4 da sub-rede.