Interne Bereiche – Übersicht
Mit internen Bereichen können Sie Blöcke interner IP-Adressen reservieren und angeben, wie diese Adressen verwendet werden können. Mit internen Bereichen können Sie die VPC-Netzwerktopologie (Virtual Private Cloud) verwalten, wenn Netzwerke mit Funktionen wie VPC-Netzwerk-Peering, Freigegebene VPC, Cloud VPN und Cloud Interconnect immer komplexer werden.
Spezifikationen
- Eine interne Bereichsressource stellt einen internen IPv4- oder IPv6-CIDR-Block dar, der aus einem VPC-Netzwerk zugewiesen wird.
- Beim Reservieren eines internen Bereichs können Sie Folgendes konfigurieren:
- Ob der Bereich von Cloud de Confiance Ressourcen im VPC-Netzwerk verwendet werden kann oder für die externe Nutzung reserviert ist.
- Wie der Bereich verwendet werden kann, wenn VPC-Netzwerk-Peering konfiguriert ist
- Ob sich der Bereich mit Subnetzen oder Routen im übergeordneten VPC-Netzwerk überschneiden kann
- Ob der Adressblock oder das Überschneidungsverhalten des Bereichs geändert werden kann.
- Standardmäßig können Sie keinen internen Bereich reservieren, der IP-Adressen enthält, die von anderen Cloud de Confiance by S3NS Ressourcen im VPC-Netzwerk des Bereichs verwendet werden.
- Wenn Sie Überschneidungen mit Subnetzen, Routen oder beidem zulassen, können Sie interne Bereiche mit CIDR-Blöcken erstellen, die sich mit dem IP-Adressbereich der angegebenen Ressourcentypen überschneiden.
- Sie können keine Cloud de Confiance Ressourcen erstellen, die IP-Adressen aus einem vorhandenen internen Bereich verwenden, es sei denn, Sie ordnen die Ressource explizit dem internen Bereich zu (für Subnetze) oder lassen Überschneidungen zu (für Routen).
- Wenn ein interner Bereich unveränderlich ist, können Sie nur die Beschreibung des Bereichs ändern. Wenn der Bereich veränderbar ist (Standardeinstellung), können Sie den CIDR-Block, das Überschneidungsverhalten und die Beschreibung des Bereichs ändern. Die Unveränderlichkeit kann nach dem Erstellen des Bereichs nicht mehr geändert werden.
Angenommen, Sie haben einen veränderlichen internen Bereich für 10.0.0.0/24 ohne Angabe von Überschneidungen.
Wenn Sie versuchen, ein Subnetz im selben VPC-Netzwerk zu erstellen, das den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung des Subnetzes fehl, es sei denn, Sie verknüpfen das Subnetz mit dem internen Bereich.
Wenn Sie versuchen, eine Route im selben VPC-Netzwerk zu erstellen, die den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung der Route fehl, es sei denn, Sie aktualisieren den internen Bereich, indem Sie die Eigenschaft overlaps auf OVERLAP_ROUTE_RANGE festlegen.
Peering-Typen
Der Peering-Typ eines internen Bereichs gibt das Verhalten des Bereichs in Bezug auf VPC-Netzwerk-Peering an. Damit wird festgelegt, welche VPC-Netzwerke (das übergeordnete Netzwerk, die Peer-Netzwerke oder beide) IP-Adressen aus dem CIDR-Block eines internen Bereichs verwenden können und wie diese Adressen zugewiesen werden müssen.
Die folgenden Peering-Typen sind möglich:
FOR_SELF: Der CIDR-Block des internen Bereichs kann nur in dem VPC-Netzwerk verwendet werden, in dem er erstellt wurde (dem übergeordneten Netzwerk).- Im übergeordneten VPC-Netzwerk weisen Sie IP-Adressen zu, indem Sie auf die interne Bereichsressource verweisen.
- In Peering-VPC-Netzwerken können Ressourcen keine IP-Adressen aus dem CIDR-Block des Bereichs zugewiesen werden.
FOR_PEER: Der CIDR-Block des internen Bereichs kann nur in Peer-Netzwerken verwendet werden.- Im übergeordneten VPC-Netzwerk können Ressourcen keine IP-Adressen aus dem CIDR-Block des Bereichs zugewiesen werden.
- In VPC-Netzwerken mit Peering können Sie IP-Adressen aus dem CIDR-Block des Bereichs zuweisen, ohne auf den internen Bereich zu verweisen.
NOT_SHARED: Der CIDR-Block des internen Bereichs kann sowohl vom übergeordneten VPC-Netzwerk als auch von Peer-Netzwerken verwendet werden.- Im übergeordneten VPC-Netzwerk weisen Sie IP-Adressen zu, indem Sie auf den internen Bereich verweisen.
- In einem VPC-Netzwerk mit Peering weisen Sie IP-Adressen zu, ohne auf den internen Bereich zu verweisen. Die Adressen müssen jedoch so verwendet werden, dass sie für das übergeordnete VPC-Netzwerk nicht sichtbar sind.
Beispielsweise können in zwei VPC-Netzwerken mit Peering ein interner Bereich mit demselben CIDR-Block erstellt werden, sofern der Peering-Typ in beiden Netzwerken
NOT_SHAREDist.
Nutzungstypen
Der Nutzungstyp einer internen Bereichsressource gibt an, ob der zugewiesene CIDR-Block anderen Cloud de Confiance Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden kann. Der Nutzungstyp für einen internen Bereich kann einer der folgenden sein:
FOR_VPC: Der Bereich kann anderen Cloud de Confiance-Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden. Dies ist die Standardeinstellung.EXTERNAL_TO_VPC: Der Bereich kann keinem anderenCloud de Confiance -Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden.FOR_MIGRATION: Der Bereich kann verwendet werden, um einen Subnetzwerkbereich zu migrieren, auch von einem per Peering verbundenen VPC-Netzwerk zu einem anderen.
IPv4-Subnetzbereiche migrieren
Wenn Sie einen CIDR-Bereich von einem Subnetz in ein anderes migrieren möchten, müssen Sie das Subnetz löschen und dann neu erstellen. Wenn Sie ein Subnetz löschen, wird sein CIDR-Bereich normalerweise freigegeben und kann von jeder anderen Ressource verwendet werden. Wenn Sie den CIDR-Bereich während einer Migration reservieren möchten – nachdem das ursprüngliche Subnetz gelöscht, aber bevor das neue Subnetz erstellt wird –, können Sie einen internen IPv4-Bereich mit dem Nutzungstyp FOR_MIGRATION reservieren.
Ein interner Bereich für die Migration gibt einen CIDR-Bereich, ein Quellsubnetz und ein Zielsubnetz an.
- Der IPv4-CIDR-Bereich muss mit dem Quellsubnetzbereich übereinstimmen oder ihn enthalten.
- Die Quell- und Zielsubnetze können sich im selben oder in verschiedenen Projekten befinden.
- Das Quellsubnetz muss sich im selben Projekt wie die interne Bereichsressource befinden.
- Das Zielsubnetz muss nicht vorhanden sein, wenn Sie den internen Bereich erstellen.
Wenn Sie das Quellsubnetz löschen, kann der CIDR-Bereich nur einem Subnetz zugewiesen werden, das dem Zielsubnetz entspricht.
Nachdem Sie das Subnetz migriert haben, können Sie den internen Bereich löschen.
Interne Bereiche mit dem Nutzungstyp FOR_MIGRATION müssen den Peering-Typ FOR_SELF haben.
Beispielanwendungsfälle
In der folgenden Tabelle werden Anwendungsfälle für interne Bereiche mit verschiedenen Nutzungs- und Peering-Kombinationen beschrieben. Für interne IPv6-Bereiche gelten bestimmte Nutzungs- und Peering-Anforderungen. Sie unterstützen nicht alle hier aufgeführten Anwendungsfälle.
| Zweck | Nutzungstyp | Peering-Typ | IP-Version |
|---|---|---|---|
| Reservieren Sie einen Bereich, der nur im VPC-Netzwerk des Bereichs verwendet werden kann. | FOR_VPC |
NOT_SHARED |
IPv4 |
| Reservieren Sie einen Bereich speziell für Peer-VPC-Netzwerke, um zu verhindern, dass Ressourcen im lokalen VPC-Netzwerk ihn verwenden. In Peer-Netzwerken können Sie IP-Adressen aus dem CIDR-Block des Bereichs zuweisen, ohne auf die interne Bereichsressource zu verweisen. | FOR_VPC |
FOR_PEER |
IPv4 |
| Reservieren Sie einen Bereich für die Verwendung außerhalb des VPC-Netzwerks des Bereichs, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. Bei IPv6-Bereichen verhindern Sie die automatische Zuweisung der IP-Adressen des Bereichs zu neuen Nur-IPv6- oder Dual-Stack-Subnetzen. | EXTERNAL_TO_VPC |
FOR_SELF |
IPv4 oder IPv6 |
| Reservieren Sie einen Bereich nur für die lokale Verwendung, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. | EXTERNAL_TO_VPC |
NOT_SHARED |
IPv4 |
| Reservieren Sie einen Bereich vorübergehend, um ein Subnetz von einem VPC-Netzwerk in ein anderes zu migrieren. | FOR_MIGRATION |
FOR_SELF |
IPv4 |
Strategien zur Zuweisung von IPv4-Adressen
Wenn Sie einen internen IPv4-Bereich reservieren, können Sie entweder einen CIDR-Block angeben oder Cloud de Confiance einen automatisch zuweisen lassen. Bei der automatischen Zuweisung geben Sie eine Präfixlänge und optionale Ziel-CIDR-Blöcke an. Cloud de Confianceberücksichtigt vorhandene IP-Adresszuweisungen und weist dem internen Bereich einen freien CIDR-Block der ausgewählten Größe aus den Ziel- oder Standard-CIDR-Blöcken zu.
Wenn Sie die automatische Zuweisung verwenden, können Sie die Zuweisungsstrategie angeben, die Cloud de Confiance zum Auswählen eines freien Blocks verwendet. Zuweisungsstrategien sind nur für automatisch zugewiesene interne IPv4-Bereiche verfügbar. In der folgenden Tabelle werden die Zuweisungsstrategien beschrieben, die Sie auswählen können:
| Strategie | Beschreibung | Vor- und Nachteile |
|---|---|---|
RANDOM |
Einen freien CIDR-Block zufällig zuweisen. Das ist die Standardstrategie. |
Am schnellsten, wenn mehrere CIDR-Blöcke mit derselben Präfixlänge gleichzeitig reserviert werden. Kann zu einer Fragmentierung Ihres IP-Adressbereichs führen. |
FIRST_AVAILABLE |
Weisen Sie den freien CIDR-Block mit der numerisch niedrigsten Start-IP-Adresse zu. |
Vorhersehbarste Zuweisung von IP-Bereichen. Maximiert den verbleibenden zusammenhängenden, nicht verwendeten IP-Adressbereich in Ihren Ziel-CIDR-Blöcken. Führt zu Konflikten, wenn gleichzeitig interne Bereiche reserviert werden, was zu längeren Zuweisungszeiten führt. |
RANDOM_FIRST_N_AVAILABLE |
Sie geben eine Zahl N an. Cloud de Confiance findet N freie CIDR-Blöcke mit der angeforderten Präfixlänge und priorisiert Blöcke mit den niedrigsten Start-IP-Adressen. Weisen Sie einen zufälligen CIDR-Block aus dieser Gruppe zu. |
Am besten geeignet, um Konflikte bei gleichzeitigen Zuweisungen zu reduzieren und gleichzeitig den zusammenhängenden, nicht verwendeten IP-Adressbereich beizubehalten. Sie können die Leistung für gleichzeitige Zuweisungen verbessern, indem Sie N erhöhen. Dies kann jedoch zu einer stärkeren Fragmentierung des IP-Adressraums führen. |
FIRST_SMALLEST_FITTING |
Sucht die kleinsten freien CIDR-Blöcke (längste Präfixlänge), die die angeforderte Präfixlänge enthalten können. Weisen Sie aus dieser Gruppe den Block mit der niedrigsten Start-IP-Adresse zu. |
Am besten geeignet, um die Fragmentierung von IP-Adressen zu minimieren. Hier kommt es am häufigsten zu Konflikten bei gleichzeitigen Reservierungen, was zu längeren Zuweisungszeiten führt. |
Angenommen, Sie möchten einen /24-CIDR-Block aus dem Zielblock 10.0.0.0/8 reservieren. Im Zielblock sind nur die folgenden IP-Adressbereiche verfügbar: 10.1.0.0/25, 10.2.0.0/16 und 10.3.0.0/23. In der folgenden Liste werden die Blöcke beschrieben, die für die einzelnen Zuweisungsstrategien ausgewählt werden können:
RANDOM: Cloud de Confiance bestimmt zufällig einen verfügbaren/24-Block, z. B.10.2.179.0/24.FIRST_AVAILABLE: Cloud de Confiance findet den niedrigsten verfügbaren/24-Block, der10.2.0.0/24ist.RANDOM_FIRST_N_AVAILABLE: Angenommen, Sie geben3für N an. MitCloud de Confiance wird ein Satz der drei niedrigsten verfügbaren/24-Blöcke erstellt:10.2.0.0/24,10.2.1.0/24und10.2.2.0/24. Aus dieser Menge wähltCloud de Confiance nach dem Zufallsprinzip einen der drei Blöcke aus, z. B.10.2.2.0/24.FIRST_SMALLEST_FITTING: Cloud de Confiance findet die kleinsten verfügbaren Blöcke (höchstes Präfix), die das angegebene Präfix von/24enthalten können. Der kleinste verfügbare Block ist10.3.0.0/23. Cloud de Confianceweist den niedrigsten Block aus diesem Bereich zu, nämlich10.3.0.0/24.
Kontingent
Die Anzahl der internen Bereichsressourcen, die Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.