Interne Bereiche – Übersicht
Mit internen Bereichen können Sie Blöcke interner IP-Adressen reservieren und angeben, wie diese Adressen verwendet werden können. Mit internen Bereichen können Sie die VPC-Netzwerktopologie (Virtual Private Cloud) verwalten, wenn Netzwerke mit Funktionen wie VPC-Netzwerk-Peering, Freigegebene VPC, Cloud VPN und Cloud Interconnect immer komplexer werden.
Spezifikationen
- Eine interne Bereichsressource stellt einen internen IPv4- oder IPv6-CIDR-Block dar, der aus einem VPC-Netzwerk zugewiesen wird.
- Beim Reservieren eines internen Bereichs können Sie Folgendes konfigurieren:
- Ob der Bereich von Cloud de Confiance Ressourcen im VPC-Netzwerk verwendet werden kann oder für die externe Nutzung reserviert ist.
- Wie der Bereich verwendet werden kann, wenn VPC-Netzwerk-Peering konfiguriert ist
- Ob sich der Bereich mit Subnetzen oder Routen im übergeordneten VPC-Netzwerk überschneiden kann
- Ob der Adressblock oder das Überschneidungsverhalten des Bereichs geändert werden kann.
- Standardmäßig können Sie keinen internen Bereich reservieren, der IP-Adressen enthält, die von anderen Cloud de Confiance by S3NS Ressourcen im VPC-Netzwerk des Bereichs verwendet werden.
- Wenn Sie Überschneidungen mit Subnetzen, Routen oder beidem zulassen, können Sie interne Bereiche mit CIDR-Blöcken erstellen, die sich mit dem IP-Adressbereich der angegebenen Ressourcentypen überschneiden.
- Sie können keine Cloud de Confiance Ressourcen erstellen, die IP-Adressen aus einem vorhandenen internen Bereich verwenden, es sei denn, Sie ordnen die Ressource explizit dem internen Bereich zu (für Subnetze) oder lassen Überschneidungen zu (für Routen).
- Wenn ein interner Bereich unveränderlich ist, können Sie nur die Beschreibung des Bereichs ändern. Wenn der Bereich unveränderlich ist (Standardeinstellung), können Sie den CIDR-Block, das Überschneidungsverhalten und die Beschreibung des Bereichs ändern. Die Unveränderlichkeit kann nach dem Erstellen des Bereichs nicht mehr geändert werden.
Angenommen, Sie haben einen veränderlichen internen Bereich für 10.0.0.0/24 ohne Angabe von Überschneidungen.
Wenn Sie versuchen, ein Subnetz im selben VPC-Netzwerk zu erstellen, das den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung des Subnetzes fehl, es sei denn, Sie verknüpfen das Subnetz mit dem internen Bereich.
Wenn Sie versuchen, eine Route im selben VPC-Netzwerk zu erstellen, die den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung der Route fehl, es sei denn, Sie aktualisieren den internen Bereich, indem Sie die Eigenschaft overlaps auf OVERLAP_ROUTE_RANGE festlegen.
Peering-Typen
Der Peering-Typ eines internen Bereichs gibt das Verhalten des Bereichs in Bezug auf VPC-Netzwerk-Peering an. Der Peering-Typ kann einer der folgenden sein:
FOR_SELF: Der interne Bereich kann nur in dem VPC-Netzwerk verwendet werden, in dem er erstellt wurde. Der Bereich ist über das zugehörige VPC-Netzwerk und die Peers dieses VPC-Netzwerks zugänglich. Peers von Peer-Netzwerke können diesen Bereich jedoch nicht verwenden. Dies ist die Standardeinstellung.FOR_PEER: Der interne Bereich kann nur mit Ressourcen in Peer-Netzwerken verknüpft werden. Mit dem Bereich kann keine Ressource im übergeordneten VPC-Netzwerk des Bereichs verknüpft werden, Ressourcen in Peer-Netzwerken jedoch schon.NOT_SHARED: Der interne Bereich kann nur mit Ressourcen in dem Netzwerk verknüpft werden, in dem der Bereich erstellt wurde, ohne den Bereich für seine Peers freizugeben. Ein Peering-Netzwerk kann den internen Bereich nicht in einer Weise verwenden, die für das übergeordnete VPC-Netzwerk sichtbar ist. Ein Peering-Netzwerk kann denselben Bereich verwenden, wenn der Peering-Typ in beiden NetzwerkenNOT_SHAREDist.
Nutzungstypen
Der Nutzungstyp einer internen Bereichsressource gibt an, ob der zugewiesene CIDR-Block anderen Cloud de Confiance Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden kann. Der Nutzungstyp für einen internen Bereich kann einer der folgenden sein:
FOR_VPC: Der Bereich kann anderen Cloud de Confiance-Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden. Dies ist die Standardeinstellung.EXTERNAL_TO_VPC: Der Bereich kann keinem anderenCloud de Confiance -Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden.FOR_MIGRATION: Der Bereich kann verwendet werden, um einen Subnetzwerkbereich zu migrieren, auch von einem per Peering verbundenen VPC-Netzwerk zu einem anderen.
IPv4-Subnetzbereiche migrieren
Wenn Sie einen CIDR-Bereich von einem Subnetz in ein anderes migrieren möchten, müssen Sie das Subnetz löschen und dann neu erstellen. Wenn Sie ein Subnetz löschen, wird sein CIDR-Bereich normalerweise freigegeben und kann von jeder anderen Ressource verwendet werden. Wenn Sie den CIDR-Bereich während einer Migration reservieren möchten – nachdem das ursprüngliche Subnetz gelöscht, aber bevor das neue Subnetz erstellt wird – können Sie einen internen IPv4-Bereich mit dem Nutzungstyp FOR_MIGRATION reservieren.
Ein interner Bereich für die Migration gibt einen CIDR-Bereich, ein Quellsubnetz und ein Zielsubnetz an.
- Der IPv4-CIDR-Bereich muss mit dem Quellsubnetzbereich übereinstimmen oder ihn enthalten.
- Die Quell- und Zielsubnetze können sich im selben oder in verschiedenen Projekten befinden.
- Das Quellsubnetz muss sich im selben Projekt wie die interne Bereichsressource befinden.
- Das Zielsubnetz muss nicht vorhanden sein, wenn Sie den internen Bereich erstellen.
Wenn Sie das Quellsubnetz löschen, kann der CIDR-Bereich nur einem Subnetz zugewiesen werden, das dem Zielsubnetz entspricht.
Nachdem Sie das Subnetz migriert haben, können Sie den internen Bereich löschen.
Interne Bereiche mit dem Nutzungstyp FOR_MIGRATION müssen den Peering-Typ FOR_SELF haben.
Beispielanwendungsfälle
In der folgenden Tabelle werden Anwendungsfälle für interne Bereiche mit verschiedenen Nutzungs- und Peering-Kombinationen beschrieben. Für interne IPv6-Bereiche gelten bestimmte Nutzungs- und Peering-Anforderungen. Sie unterstützen nicht alle hier aufgeführten Anwendungsfälle.
| Zweck | Nutzungstyp | Peering-Typ | IP-Version |
|---|---|---|---|
| Reservieren Sie einen Bereich, der nur im VPC-Netzwerk des Bereichs verwendet werden kann. | FOR_VPC |
NOT_SHARED |
IPv4 |
| Reservieren Sie einen Bereich speziell für Peer-VPC-Netzwerke, um zu verhindern, dass Ressourcen im lokalen VPC-Netzwerk ihn verwenden. | FOR_VPC |
FOR_PEER |
IPv4 |
| Reservieren Sie einen Bereich für die Verwendung außerhalb des VPC-Netzwerks des Bereichs, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. Bei IPv6-Bereichen wird die automatische Zuweisung der IP-Adressen des Bereichs an neue IPv6- oder Dual-Stack-Subnetze verhindert. | EXTERNAL_TO_VPC |
FOR_SELF |
IPv4 oder IPv6 |
| Reservieren Sie einen Bereich nur für die lokale Verwendung, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. | EXTERNAL_TO_VPC |
NOT_SHARED |
IPv4 |
| Reservieren Sie einen Bereich vorübergehend, um ein Subnetz von einem VPC-Netzwerk in ein anderes zu migrieren. | FOR_MIGRATION |
FOR_SELF |
IPv4 |
Strategien zur Zuweisung von IPv4-Adressen
Wenn Sie einen internen IPv4-Bereich reservieren, können Sie entweder einen CIDR-Block angeben oder Cloud de Confiance einen automatisch zuweisen lassen. Bei der automatischen Zuweisung geben Sie eine Präfixlänge und optionale Ziel-CIDR-Blöcke an. Cloud de Confianceberücksichtigt vorhandene IP-Adresszuweisungen und weist dem internen Bereich einen freien CIDR-Block der ausgewählten Größe aus den Ziel- oder Standard-CIDR-Blöcken zu.
Wenn Sie die automatische Zuweisung verwenden, können Sie die Zuweisungsstrategie angeben, die Cloud de Confiance zum Auswählen eines freien Blocks verwendet. Zuweisungsstrategien sind nur für automatisch zugewiesene interne IPv4-Bereiche verfügbar. In der folgenden Tabelle werden die Zuweisungsstrategien beschrieben, die Sie auswählen können:
| Strategie | Beschreibung | Vor- und Nachteile |
|---|---|---|
RANDOM |
Einen freien CIDR-Block zufällig zuweisen. Das ist die Standardstrategie. |
Am schnellsten, wenn mehrere CIDR-Blöcke mit derselben Präfixlänge gleichzeitig reserviert werden. Kann zu einer Fragmentierung Ihres IP-Adressbereichs führen. |
FIRST_AVAILABLE |
Weisen Sie den freien CIDR-Block mit der numerisch niedrigsten Start-IP-Adresse zu. |
Die IP-Bereichszuweisung ist am besten vorhersagbar. Maximiert den verbleibenden zusammenhängenden, nicht verwendeten IP-Adressbereich in Ihren Ziel-CIDR-Blöcken. Führt zu Konflikten, wenn gleichzeitig interne Bereiche reserviert werden, was zu längeren Zuweisungszeiten führt. |
RANDOM_FIRST_N_AVAILABLE |
Sie geben eine Zahl N an. Cloud de Confiance findet N freie CIDR-Blöcke mit der angeforderten Präfixlänge und priorisiert Blöcke mit den niedrigsten Start-IP-Adressen. Weisen Sie einen zufälligen CIDR-Block aus dieser Gruppe zu. |
Am besten geeignet, um Konflikte bei gleichzeitigen Zuweisungen zu reduzieren und gleichzeitig den zusammenhängenden ungenutzten IP-Adressbereich beizubehalten. Sie können die Leistung für gleichzeitige Zuweisungen verbessern, indem Sie N erhöhen. Dies kann jedoch zu einer stärkeren Fragmentierung des IP-Adressraums führen. |
FIRST_SMALLEST_FITTING |
Suchen Sie nach den kleinsten freien CIDR-Blöcken (längste Präfixlänge), die die angeforderte Präfixlänge enthalten können. Weisen Sie aus dieser Gruppe den Block mit der niedrigsten Start-IP-Adresse zu. |
Am besten geeignet, um die Fragmentierung von IP-Adressen zu minimieren. Hier gibt es die meisten Konflikte bei gleichzeitigen Reservierungen, was zu längeren Zuweisungszeiten führt. |
Angenommen, Sie möchten einen /24-CIDR-Block aus dem Zielblock 10.0.0.0/8 reservieren. Im Zielblock sind nur die folgenden IP-Adressbereiche verfügbar: 10.1.0.0/25, 10.2.0.0/16 und 10.3.0.0/23. In der folgenden Liste werden die Blöcke beschrieben, die für die einzelnen Zuweisungsstrategien ausgewählt werden können:
RANDOM: Cloud de Confiance wählt zufällig einen verfügbaren/24-Block aus, z. B.10.2.179.0/24.FIRST_AVAILABLE: Cloud de Confiance findet den niedrigsten verfügbaren/24-Block, der10.2.0.0/24ist.RANDOM_FIRST_N_AVAILABLE: Angenommen, Sie geben3für N an.Cloud de Confiance erstellt eine Gruppe der drei niedrigsten verfügbaren/24-Blöcke:10.2.0.0/24,10.2.1.0/24und10.2.2.0/24. Aus dieser Menge wähltCloud de Confiance einen der drei Blöcke nach dem Zufallsprinzip aus, z. B.10.2.2.0/24.FIRST_SMALLEST_FITTING: Cloud de Confiance findet die kleinsten verfügbaren Blöcke (höchstes Präfix), die das angegebene Präfix von/24enthalten können. Der kleinste verfügbare Block ist10.3.0.0/23. Cloud de Confianceweist den niedrigsten Block aus diesem Bereich zu, nämlich10.3.0.0/24.
Kontingent
Die Anzahl der internen Bereichsressourcen, die Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.