Pianificazione e architettura degli indirizzi IP

Questa pagina descrive il processo di pianificazione e le considerazioni da tenere presenti quando allochi indirizzi IP per il tuo universo air-gap di Google Distributed Cloud (GDC).

La pianificazione efficace dell'architettura degli indirizzi IP può mitigare eventuali interruzioni future del networking per i tuoi workload e servizi man mano che vengono scalati in base ai requisiti in evoluzione. Per una panoramica concettuale di subnet e indirizzi IP in GDC, consulta Subnet e indirizzi IP.

Questa pagina è rivolta agli amministratori di rete all'interno del gruppo di amministratori della piattaforma, che sono responsabili della gestione del traffico di rete per i propri servizi all'interno di un'organizzazione. Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.

Vantaggi di una pianificazione accurata degli indirizzi IP

Una pianificazione accurata degli indirizzi IP offre i seguenti vantaggi:

  • Isolamento: segmentazione di rete appropriata tra diverse organizzazioni e tra i piani di gestione e dati.
  • Scalabilità: spazio di indirizzi IP sufficiente per i servizi e i carichi di lavoro attuali e futuri, inclusi i servizi amministrativi a cui non è possibile allocare spazio di indirizzi IP aggiuntivo dopo il provisioning di un'organizzazione.
  • Connettività: routing e raggiungibilità corretti per tutti i componenti all'interno dell'universo air-gap di GDC e per le reti esterne, se necessario.
  • Conformità: rispetto di schemi di indirizzamento di rete specifici o limitazioni imposte dal tuo ambiente.

L'architettura GDC utilizza istanze di Virtual Routing and Forwarding (VRF) per ottenere l'isolamento e la segmentazione della rete. Comprendere gli spazi di indirizzi IP che gestisci e quelli di proprietà esclusiva della tua IO è fondamentale per una pianificazione efficace.

Best practice per l'architettura degli indirizzi IP

Devi tenere conto dei seguenti consigli per eseguire il provisioning in modo efficace di un'architettura di indirizzi IP durevole in grado di adattarsi quando cambiano i requisiti di rete della tua organizzazione:

  • Indirizzi IP sovrapposti e non sovrapposti:
    • Le reti Virtual Private Cloud (VPC) possono sovrapporsi tra organizzazioni diverse, ma devono essere univoche all'interno di un'organizzazione in tutte le relative zone e univoche rispetto a qualsiasi rete con cui sono in peering.
    • I segmenti di rete esterni possono sovrapporsi tra organizzazioni diverse se queste utilizzano interconnessioni separate. Se condividono un interconnessione, gli indirizzi IP devono essere univoci all'interno della stessa organizzazione in tutte le sue zone e univoci rispetto a qualsiasi rete con cui esegue il peering.
  • Dimensioni CIDR minime: rispetta le lunghezze minime del prefisso CIDR specificate per ogni segmento di rete per allocare spazio di indirizzi sufficiente per i componenti di sistema e la crescita futura.
  • Preferenza RFC 1918:anche se gli indirizzi IP pubblici possono essere utilizzati nella maggior parte delle reti gestite, se la zona non si connette a internet, gli indirizzi privati RFC 1918 sono generalmente consigliati per le reti interne GDC air-gapped.
  • Accuratezza del questionario di raccolta delle informazioni dell'organizzazione (OIQ): le informazioni che fornisci al tuo IO nel questionario di raccolta delle informazioni dell'organizzazione (OIQ) sono fondamentali. Intervalli di indirizzi IP imprecisi o pianificati male possono portare a problemi di deployment significativi.
  • Multizona:i VPC dell'organizzazione e i segmenti di rete esterni si estendono su un'organizzazione globale, ma richiedono allocazioni di indirizzi IP univoci per zona che non si sovrappongono all'interno di questa organizzazione globale. Utilizza le subnet globali per allocare intervalli di indirizzi IP univoci per zona per una determinata organizzazione.

Per un esempio di architettura degli indirizzi IP, vedi il seguente diagramma:

Gli interconnessioni nel tuo universo determinano la configurazione dell'architettura degli indirizzi IP.

In questo diagramma sono presenti due diverse interconnessioni che si estendono su un universo multizona: l'interconnessione dedicata e l'interconnessione condivisa. In questo universo sono definite più organizzazioni. L'organizzazione 1 si trova all'interno di un'interconnessione dedicata, quindi le sue subnet con ambito esterno possono sovrapporsi ad altre organizzazioni nell'universo. Tuttavia, le organizzazioni nell'interconnessione condivisa non possono avere subnet con ambito esterno sovrapposte tra loro in quanto si trovano tutte all'interno della stessa interconnessione.

Ogni organizzazione definisce le reti VPC e i segmenti di rete esterni. In questo esempio, gli indirizzi IP anycast vengono utilizzati per instradare il traffico tra i segmenti di rete esterni zonali, in modo che la zona più vicina o con il rendimento migliore gestisca la richiesta di rete. Per saperne di più sugli indirizzi IP anycast, vedi Indirizzi IP in GDC.

Procedura di pianificazione

Prima che la tua organizzazione venga sottoposta al provisioning dall'IO, devi determinare l'architettura degli indirizzi IP per la tua organizzazione. L'IO ti guiderà in questi passaggi.

La procedura generale per pianificare e eseguire il provisioning degli indirizzi IP di rete di un'organizzazione è la seguente:

  1. Definisci intervalli CIDR: collabora con il tuo team di rete per determinare blocchi CIDR non sovrapposti appropriati per il VPC predefinito, il VPC dell'infrastruttura, il segmento di rete amministrativa e il segmento di rete di dati.

  2. Fornisci intervalli CIDR all'IO: fornisci questi CIDR all'IO nell'ambito dell'OIQ quando richiedi una nuova organizzazione. L'operatore di intent utilizza i CIDR per configurare le subnet globali necessarie nei server API appropriati.

Dopo che la tua organizzazione è stata sottoposta al provisioning dal tuo IO, sei responsabile della gestione di determinati spazi di indirizzi IP all'interno dell'organizzazione, principalmente per il deployment dei carichi di lavoro e l'esposizione dei servizi esterni.

Per ulteriori informazioni su ciascuna rete e su come selezionare gli intervalli CIDR per rete, consulta Considerazioni sugli indirizzi IP per un'organizzazione.

Considerazioni sull'indirizzo IP per un'organizzazione

Esamina ogni rete e le best practice per la configurazione prima di completare il questionario OIQ per definire gli intervalli CIDR:

  • VPC predefinita: ospita indirizzi IP interni per carichi di lavoro interni. Puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.
  • VPC dell'infrastruttura: ospita indirizzi IP interni per servizi GDC air-gapped proprietari. Non puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.
  • Segmento di rete amministrativa: ospita indirizzi IP esterni per i servizi amministrativi. Non puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.
  • Segmento di rete di dati: ospita indirizzi IP esterni per servizi esterni. Puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.

Per ulteriori informazioni sulle descrizioni delle reti e sugli indirizzi IP che utilizzano, consulta Reti in GDC.

Reti VPC

Prepara le seguenti informazioni per ogni tipo di rete VPC da fornire al tuo IO per il provisioning degli spazi di indirizzi IP all'interno delle reti VPC della tua organizzazione.

VPC predefinito

Esegui il deployment e la gestione dei tuoi workload interni, come macchine virtuali (VM) e container, da VPC predefinito.

Gli indirizzi IP nel VPC predefinito devono essere univoci rispetto ad altri VPC in tutte le zone del tuo universo e a tutti gli indirizzi IP di rete in peering. Gli indirizzi IP in questo VPC possono sovrapporsi tra diverse organizzazioni e possono essere indirizzi IP privati RFC 1918 o indirizzi IP pubblici. Puoi creare subnet VPC predefinite aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO all'intervallo di indirizzi IP radice VPC predefinito. Tieni presente che il campo OIQ corrispondente e il nome della subnet root globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: defaultVPCCIDR
  • Nome subnet radice globale: default-vpc-root-cidr
  • Server API globale: organizzazione globale
  • Dimensioni minime della subnet: /16 per zona
  • Dimensione consigliata della subnet: /16 per zona

VPC dell'infrastruttura

Non esegui il deployment dei carichi di lavoro direttamente nel VPC dell'infrastruttura, ma devi fornire l'intervallo di indirizzi IP per l'utilizzo da parte dei servizi GDC air-gapped gestiti dal sistema.

Gli indirizzi IP nel VPC dell'infrastruttura devono essere univoci rispetto ad altri VPC in tutte le zone del tuo universo e a qualsiasi indirizzo IP di rete in peering. Gli indirizzi IP in questo VPC possono sovrapporsi tra diverse organizzazioni e possono essere indirizzi IP privati RFC 1918 o indirizzi IP pubblici. Non puoi creare subnet VPC dell'infrastruttura aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO sull'intervallo di indirizzi IP root VPC dell'infrastruttura. Tieni presente che il campo OIQ corrispondente e il nome della subnet root globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: infraVPCCIDR
  • Nome subnet radice globale: infra-vpc-root-cidr
  • Server API globale: root globale
  • Dimensioni minime della subnet: /16 per zona
  • Dimensione consigliata della subnet: /16 per zona

Segmenti di rete esterni

Prepara le seguenti informazioni per ogni tipo di segmento di rete esterno da fornire al tuo IO per il provisioning degli spazi di indirizzi IP all'interno delle reti esterne della tua organizzazione.

Segmento di rete amministrativa

Non esegui il deployment diretto dei servizi esterni nel segmento di rete amministrativa, ma devi fornire l'intervallo di indirizzi IP per l'utilizzo da parte dei servizi amministrativi che verranno eseguiti nella tua organizzazione, come la console GDC e le API di gestione. Non puoi allocare altri indirizzi IP a questa rete dopo il provisioning della tua organizzazione.

Gli indirizzi IP nel segmento di rete di amministrazione possono sovrapporsi tra diverse organizzazioni se queste utilizzano gruppi di collegamenti di interconnessione separati. Se condividono un gruppo di allegati, gli indirizzi IP devono essere univoci all'interno della stessa organizzazione in tutte le sue zone e univoci rispetto a qualsiasi rete con cui esegue il peering. Non puoi creare subnet del segmento di rete amministrativa aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO sull'intervallo di indirizzi IP root del segmento di rete dell'amministratore. Tieni presente che il campo OIQ corrispondente e il nome della subnet root globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: orgAdminExternalCIDR
  • Nome subnet radice globale: admin-external-root-cidr
  • Server API globale: root globale
  • Dimensioni minime della subnet: /26 per zona
  • Dimensione consigliata della subnet: /26 per zona

Segmento di rete di dati

Esegui il deployment e la gestione dei tuoi servizi esterni che operano al di fuori della tua organizzazione, ad esempio Network Address Translation (NAT) in uscita e bilanciatori del carico esterni, all'interno del segmento di rete dati. Puoi allocare indirizzi IP aggiuntivi a questa rete dopo il provisioning della tua organizzazione.

Gli indirizzi IP nel segmento di rete dati possono sovrapporsi tra diverse organizzazioni se queste utilizzano gruppi di collegamenti di interconnessione separati. Se condividono un gruppo di allegati, gli indirizzi IP devono essere univoci all'interno della stessa organizzazione in tutte le sue zone e univoci rispetto a qualsiasi rete con cui esegue il peering. Puoi creare subnet di segmenti di rete di dati aggiuntive dopo il provisioning dell'organizzazione.

Tieni presente le seguenti informazioni quando collabori con il tuo IO sull'intervallo di indirizzi IP root del segmento di rete di dati. Tieni presente che il campo OIQ corrispondente e il nome della subnet root globale sono valori fissi e non possono essere modificati.

  • Campo OIQ: orgDataExternalCIDR
  • Nome subnet radice globale: data-external-root-cidr
  • Server API globale: root globale
  • Dimensioni minime della subnet: /26 per zona
  • Dimensione consigliata della subnet: /23 per zona

Passaggi successivi