Esta página descreve o processo de planejamento e as considerações que você precisa fazer ao alocar endereços IP para seu universo isolado do Google Distributed Cloud (GDC).
Planejar a arquitetura dos seus endereços IP de forma eficaz pode reduzir possíveis interrupções futuras na rede para suas cargas de trabalho e serviços à medida que eles são escalonados para requisitos em constante mudança. Para uma visão geral conceitual das sub-redes e dos endereços IP no GDC, consulte Sub-redes e endereços IP.
Esta página é destinada a administradores de rede no grupo de administradores da plataforma, que são responsáveis por gerenciar o tráfego de rede dos serviços em uma organização. Para mais informações, consulte Públicos-alvo para documentação isolada do GDC.
Benefícios de um planejamento cuidadoso de endereços IP
Um planejamento cuidadoso de endereços IP oferece os seguintes benefícios:
- Isolamento: segmentação de rede adequada entre diferentes organizações e entre planos de gerenciamento e de dados.
- Escalonabilidade: espaço de endereço IP suficiente para cargas de trabalho e serviços atuais e futuros, incluindo serviços administrativos que não podem receber espaço de endereço IP adicional depois que uma organização é provisionada.
- Conectividade: roteamento e acessibilidade corretos para todos os componentes no universo isolado do GDC e para redes externas, conforme necessário.
- Conformidade: adesão a esquemas ou restrições específicos de endereçamento de rede exigidos pelo seu ambiente.
A arquitetura do GDC usa instâncias de roteamento e encaminhamento virtual (VRF) para isolamento e segmentação de rede. Entender quais espaços de endereços IP você gerencia e quais são de propriedade exclusiva da sua IO é fundamental para um planejamento bem-sucedido.
Práticas recomendadas para arquitetura de endereços IP
Considere as recomendações a seguir para provisionar uma arquitetura de endereço IP durável que possa se adaptar quando os requisitos de rede da sua organização mudarem:
- Endereços IP sobrepostos e não sobrepostos:
- As redes de nuvem privada virtual (VPC) podem se sobrepor entre diferentes organizações, mas precisam ser exclusivas dentro de uma organização em todas as zonas e exclusivas de qualquer rede com que fazem peering.
- Os segmentos de rede externa podem se sobrepor entre diferentes organizações se elas usarem interconexões separadas. Se eles compartilharem uma interconexão, os endereços IP precisarão ser exclusivos na mesma organização em todas as zonas e exclusivos de qualquer rede com que eles fazem peering.
- Tamanhos mínimos de CIDR:siga os tamanhos mínimos de prefixo CIDR especificados para cada segmento de rede e aloque espaço de endereço suficiente para componentes do sistema e crescimento futuro.
- Preferência pela RFC 1918:embora os endereços IP públicos possam ser usados na maioria das redes gerenciadas, se a zona não se conectar à Internet, os endereços privados RFC 1918 geralmente são recomendados para redes internas isoladas do GDC.
- Precisão do OIQ:as informações fornecidas ao IO no questionário de admissão da organização (OIQ) são essenciais. Intervalos de endereços IP imprecisos ou mal planejados podem causar desafios significativos de implantação.
- Multizona:as VPCs da organização e os segmentos de rede externa abrangem uma organização global, mas exigem alocações de endereços IP exclusivas por zona que não se sobrepõem nessa organização global. Use sub-redes globais para alocar intervalos de endereços IP exclusivos por zona para uma determinada organização.
Como exemplo de arquitetura de endereço IP, consulte o diagrama a seguir:
Neste diagrama, há duas interconexões diferentes que abrangem um universo multizona: interconexão dedicada e interconexão compartilhada. Várias organizações estão definidas neste universo. A organização 1 está em uma interconexão dedicada, então as sub-redes com escopo externo podem se sobrepor a outras organizações no universo. No entanto, as organizações na interconexão compartilhada não podem ter sub-redes externas sobrepostas entre si, já que todas residem na mesma interconexão.
Cada organização define as redes VPC e os segmentos de rede externa. Neste exemplo, os endereços IP anycast são usados para rotear o tráfego entre os segmentos de rede externa zonais. Assim, a zona mais próxima ou com melhor desempenho atende à solicitação de rede. Para mais informações sobre endereços IP anycast, consulte Endereços IP no GDC.
Processo de planejamento
Antes que sua organização seja provisionada pelo IO, é preciso determinar a arquitetura de endereços IP dela. O IO vai orientar você nessas etapas.
O processo de alto nível para planejar e provisionar endereços IP de rede de uma organização é o seguinte:
Defina intervalos CIDR: trabalhe com sua equipe de rede para determinar blocos CIDR adequados e não sobrepostos para sua VPC padrão, VPC de infraestrutura, segmento de rede de administrador e segmento de rede de dados.
Forneça intervalos CIDR ao IO: informe esses CIDRs ao IO como parte da OIQ ao solicitar uma nova organização. O IO usa os CIDRs para configurar as sub-redes globais necessárias nos servidores de API apropriados.
Depois que sua organização é provisionada pelo IO, você é responsável por gerenciar determinados espaços de endereços IP dentro dela, principalmente para implantação de carga de trabalho e exposição de serviços externos.
Para mais informações sobre cada rede e como selecionar os intervalos CIDR por rede, consulte Considerações sobre endereços IP para uma organização.
Considerações sobre endereços IP para uma organização
Revise cada rede e as práticas recomendadas para configurá-las antes de concluir o OIQ para definir intervalos de CIDR:
- VPC padrão: hospeda endereços IP internos para cargas de trabalho internas. É possível alocar outros endereços IP para essa rede depois que sua organização for provisionada.
- VPC de infraestrutura: hospeda endereços IP internos para serviços de air-gap do GDC próprios. Não é possível alocar mais endereços IP a essa rede depois que a organização for provisionada.
- Segmento de rede do administrador: hospeda endereços IP externo para serviços administrativos. Não é possível alocar outros endereços IP a essa rede depois que a organização for provisionada.
- Segmento de rede de dados: hospeda endereços IP externo para serviços externos. É possível alocar outros endereços IP para essa rede depois que a organização for provisionada.
Para mais informações sobre descrições de rede e os endereços IP usados, consulte Redes no GDC.
Redes VPC
Prepare as seguintes informações para cada tipo de rede VPC e envie ao seu IO para o provisionamento dos espaços de endereço IP nas redes VPC da sua organização.
VPC padrão
Você implanta e gerencia suas cargas de trabalho internas, como máquinas virtuais (VM) e contêineres, na VPC padrão.
Os endereços IP na VPC padrão precisam ser exclusivos em relação a outras VPCs em todas as zonas do seu universo e a qualquer endereço IP de rede com peering. Os endereços IP nessa VPC podem se sobrepor entre diferentes organizações e podem ser endereços IP particulares RFC 1918 ou públicos. É possível criar outras sub-redes VPC padrão depois que a organização é provisionada.
Considere as seguintes informações ao colaborar com seu IO no intervalo de endereços IP raiz da VPC padrão. O campo OIQ correspondente e o nome da sub-rede raiz global são valores fixos e não podem ser alterados.
- Campo OIQ:
defaultVPCCIDR - Nome da sub-rede raiz global:
default-vpc-root-cidr - Servidor global de API: organização global
- Tamanho mínimo da sub-rede:
/16por zona - Tamanho recomendado da sub-rede:
/16por zona
VPC de infraestrutura
Não é possível implantar cargas de trabalho diretamente na VPC de infraestrutura, mas é necessário fornecer o intervalo de endereços IP para consumo pelos serviços isolados do GDC gerenciados pelo sistema.
Os endereços IP na VPC de infraestrutura precisam ser exclusivos de outras VPCs em todas as zonas do seu universo e de qualquer endereço IP de rede com peering. Os endereços IP nessa VPC podem se sobrepor entre diferentes organizações e podem ser endereços IP privados RFC 1918 ou públicos. Não é possível criar mais sub-redes VPC de infraestrutura depois que a organização é provisionada.
Considere as seguintes informações ao colaborar com seu IO no intervalo de endereços IP raiz da VPC de infraestrutura. O campo de OIQ correspondente e o nome da sub-rede raiz global são valores fixos e não podem ser alterados.
- Campo OIQ:
infraVPCCIDR - Nome da sub-rede raiz global:
infra-vpc-root-cidr - Servidor de API global: raiz global
- Tamanho mínimo da sub-rede:
/16por zona - Tamanho recomendado da sub-rede:
/16por zona
Segmentos de rede externa
Prepare as seguintes informações para cada tipo de segmento de rede externa e envie para sua IO para o provisionamento dos espaços de endereço IP nas redes externas da sua organização.
Segmento de rede do administrador
Não é possível implantar serviços externos diretamente no segmento de rede administrativa, mas é necessário fornecer o intervalo de endereços IP para consumo pelos serviços administrativos que serão executados na sua organização, como o console do GDC e as APIs de gerenciamento. Não é possível alocar mais endereços IP a essa rede depois que a organização é provisionada.
Os endereços IP no segmento de rede administrativa podem se sobrepor entre diferentes organizações se elas usarem grupos de anexos de interconexão separados. Se eles compartilharem um grupo de anexos, os endereços IP precisarão ser exclusivos na mesma organização em todas as zonas e exclusivos de todas as redes com que fazem peering. Não é possível criar mais sub-redes de segmento de rede de administrador depois que a organização é provisionada.
Considere as informações a seguir ao colaborar com seu IO no intervalo de endereços IP raiz do segmento de rede do administrador. O campo OIQ correspondente e o nome da sub-rede raiz global são valores fixos e não podem ser alterados.
- Campo OIQ:
orgAdminExternalCIDR - Nome da sub-rede raiz global:
admin-external-root-cidr - Servidor de API global: raiz global
- Tamanho mínimo da sub-rede:
/26por zona - Tamanho recomendado da sub-rede:
/26por zona
Segmento de rede de dados
Você implanta e gerencia seus serviços externos que operam fora da sua organização, como conversão de endereços de rede (NAT) de saída e balanceadores de carga externos, no segmento de rede de dados. É possível alocar outros endereços IP para essa rede depois que a organização for provisionada.
Os endereços IP no segmento de rede de dados podem se sobrepor entre diferentes organizações se elas usarem grupos de anexos de interconexão separados. Se eles compartilharem um grupo de anexos, os endereços IP precisarão ser exclusivos na mesma organização em todas as zonas e exclusivos de todas as redes com que fazem peering. É possível criar outras sub-redes de segmento de rede de dados depois que a organização é provisionada.
Considere as informações a seguir ao colaborar com seu IO no intervalo de endereços IP raiz do segmento de rede de dados. O campo OIQ correspondente e o nome da sub-rede raiz global são valores fixos e não podem ser alterados.
- Campo OIQ:
orgDataExternalCIDR - Nome da sub-rede raiz global:
data-external-root-cidr - Servidor de API global: raiz global
- Tamanho mínimo da sub-rede:
/26por zona - Tamanho recomendado da sub-rede:
/23por zona
A seguir
- Visão geral do Interconnect
- Criar um grupo de anexos
- Provisionar endereços IP para cargas de trabalho
- Traga seus próprios IP externo externos