本页介绍了在为 Google Distributed Cloud (GDC) 气隙环境分配 IP 地址时必须采取的规划流程和注意事项。
有效规划 IP 地址架构有助于在工作负载和服务根据不断变化的要求进行扩缩时,缓解未来可能出现的任何网络中断问题。如需简要了解 GDC 中的子网和 IP 地址,请参阅子网和 IP 地址。
本页面适用于平台管理员群组中的网络管理员,他们负责管理组织内服务的网络流量。如需了解详情,请参阅 GDC 气隙环境文档的受众群体。
仔细规划 IP 地址的好处
仔细规划 IP 地址可带来以下好处:
- 隔离:在不同组织之间以及管理平面和数据平面之间进行适当的网络分段。
- 可伸缩性:为当前和未来的工作负载和服务(包括在组织完成配置后无法分配额外 IP 地址空间的管理服务)提供充足的 IP 地址空间。
- 连接性:GDC 气隙环境中的所有组件以及外部网络(如需要)的正确路由和可达性。
- 合规性:遵守您的环境所要求的特定网络寻址方案或限制。
GDC 架构使用虚拟路由和转发 (VRF) 实例来实现网络隔离和分段。了解您管理的 IP 地址空间以及您的 IO 独有的 IP 地址空间对于成功规划至关重要。
IP 地址架构最佳实践
您必须考虑以下建议,才能有效地配置持久 IP 地址架构,以便在组织的网络要求发生变化时进行调整:
- 重叠和非重叠 IP 地址:
- 虚拟私有云 (VPC) 网络在不同组织之间可以重叠,但在一个组织内必须在所有可用区中保持唯一性,并且不能与任何对等互连的网络重叠。
- 如果不同组织使用单独的互连,则外部网段可以在这些组织之间重叠。如果它们共享一个互连,则 IP 地址在同一组织的所有可用区内必须是唯一的,并且与它们对等互连的任何网络中的 IP 地址都不能相同。
- 最小 CIDR 大小:遵循为每个网段指定的最小 CIDR 前缀长度,以便为系统组件和未来增长分配足够的地址空间。
- RFC 1918 偏好设置:虽然公共 IP 地址可用于大多数受管网络,但如果可用区未连接到互联网,则通常建议将 RFC 1918 专用地址用于内部 GDC 气隙网络。
- OIQ 准确性:您在组织初始评估问卷 (OIQ) 中向 IO 提供的信息至关重要。不准确或规划不周的 IP 地址范围可能会导致严重的部署问题。
- 多可用区:组织 VPC 和外部网段遍布全球组织,但要求每个可用区分配的 IP 地址不重叠在该全球组织内。使用全球子网为指定组织的每个可用区分配唯一的 IP 地址范围。
以下图表展示了一个示例 IP 地址架构:
在此图中,有两种不同的互连跨越了多可用区宇宙:专用互连和共享互连。 此宇宙中定义了多个组织。组织 1 位于专用互联网络中,因此其外部范围的子网可以与宇宙中的其他组织重叠。不过,共享互连中的组织不能彼此拥有重叠的外部范围子网,因为它们都位于同一互连中。
每个组织都会定义 VPC 网络和外部网段。在此示例中,任播 IP 地址用于在地区外部网段之间路由流量,以便最近或性能最佳的可用区服务于网络请求。如需详细了解任播 IP 地址,请参阅 GDC 中的 IP 地址。
规划流程
在 IO 预配组织之前,您必须确定组织的 IP 地址架构。IO 会引导您完成这些步骤。
规划和预配组织的网络 IP 地址的总体流程如下:
定义 CIDR 范围:与您的网络团队合作,为默认 VPC、Infra VPC、管理网络段和数据网络段确定合适的非重叠 CIDR 地址块。
向 IO 提供 CIDR 范围:在申请新组织时,请在 OIQ 中向 IO 提供这些 CIDR。IO 使用 CIDR 在相应的 API 服务器中配置必要的全局子网。
在 IO 为您的组织完成配置后,您需要负责管理组织内的特定 IP 地址空间,主要用于工作负载部署和外部服务公开。
如需详细了解每个网络以及如何为每个网络选择 CIDR 范围,请参阅组织中的 IP 地址注意事项。
组织的 IP 地址注意事项
在完成 OIQ 以定义 CIDR 范围之前,请查看每个网络以及设置这些网络的最佳实践:
- 默认 VPC:托管内部工作负载的内部 IP 地址。组织预配完毕后,您可以为此网络分配额外的 IP 地址。
- Infra VPC:托管第一方 GDC 气隙服务的内部 IP 地址。组织完成配置后,您无法再为此网络分配其他 IP 地址。
- 管理网络段:托管管理服务的外部 IP 地址。组织预配完毕后,您无法再为此网络分配其他 IP 地址。
- 数据网络段:托管外部服务的外部 IP 地址。预配组织后,您可以为此网络分配额外的 IP 地址。
如需详细了解网络说明及其使用的 IP 地址,请参阅 GDC 中的网络。
VPC 网络
准备好以下信息,以便为每种 VPC 网络类型提供给您的 IO,从而在您组织的 VPC 网络中预配 IP 地址空间。
默认 VPC
您可以从默认 VPC 部署和管理内部工作负载,例如虚拟机 (VM) 和容器。
默认 VPC 中的 IP 地址必须与您所在全球网络的所有可用区中的其他 VPC 和任何对等网络 IP 地址不同。此 VPC 中的 IP 地址可以在不同组织之间重叠,并且可以是 RFC 1918 专用 IP 地址或公共 IP 地址。组织配置完毕后,您可以创建其他默认 VPC 子网。
在与 IO 协作处理默认 VPC 根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。
- OIQ 字段:
defaultVPCCIDR
- 全局根子网名称:
default-vpc-root-cidr
- 全球 API 服务器:全球组织
- 子网最小大小:每个可用区
/16
- 建议的子网大小:每个可用区
/16
基础设施 VPC
您不会直接将工作负载部署到 Infra VPC,但必须提供 IP 地址范围以供系统管理的 GDC 隔离服务使用。
Infra VPC 中的 IP 地址必须与您所在宇宙的所有可用区中的其他 VPC 和任何对等网络 IP 地址不同。此 VPC 中的 IP 地址可以在不同组织之间重叠,并且可以是 RFC 1918 专用 IP 地址或公共 IP 地址。组织完成配置后,您无法创建其他 Infra VPC 子网。
在与 IO 协作处理 Infra VPC 根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。
- OIQ 字段:
infraVPCCIDR
- 全局根子网名称:
infra-vpc-root-cidr
- 全球 API 服务器:全球根
- 子网最小大小:每个可用区
/16
- 建议的子网大小:每个可用区
/16
外部网段
请为每种外部网段类型准备以下信息,以便在组织外部网络中预配 IP 地址空间时提供给您的 IO。
管理网络段
您不会直接将外部服务部署到管理网络段,但必须提供 IP 地址范围,供组织中将运行的管理服务(例如 GDC 控制台和管理 API)使用。组织预配完毕后,您无法再为该网络分配其他 IP 地址。
如果不同组织使用单独的互连附件组,则管理网络段中的 IP 地址可以重叠。如果它们共享一个附件组,则 IP 地址在同一组织的所有可用区内必须是唯一的,并且不能与它们对等互连的任何网络中的 IP 地址相同。组织完成配置后,您无法再创建其他管理网络段子网。
在与 IO 协作处理管理网络段根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。
- OIQ 字段:
orgAdminExternalCIDR
- 全局根子网名称:
admin-external-root-cidr
- 全球 API 服务器:全球根
- 子网最小大小:每个可用区
/26
- 建议的子网大小:每个可用区
/26
数据网络细分
您可以在数据网络段中部署和管理在组织外部运行的外部服务,例如出站网络地址转换 (NAT) 和外部负载平衡器。预配组织后,您可以为此网络分配额外的 IP 地址。
如果不同组织使用单独的互连附件组,则数据网络段中的 IP 地址可能会重叠。如果它们共享一个附件组,则 IP 地址在同一组织的所有可用区内必须是唯一的,并且不能与它们对等互连的任何网络中的 IP 地址相同。组织完成配置后,您可以创建其他数据网络段子网。
在与 IO 协作处理数据网络段根 IP 地址范围时,请考虑以下信息。请注意,相应的 OIQ 字段和全局根子网名称是固定值,无法更改。
- OIQ 字段:
orgDataExternalCIDR
- 全局根子网名称:
data-external-root-cidr
- 全球 API 服务器:全球根
- 子网最小大小:每个可用区
/26
- 建议的子网大小:每个可用区
/23