Interne Bereiche – Übersicht
Mit internen Bereichen können Sie Blöcke interner IP-Adressen reservieren und angeben, wie diese Adressen verwendet werden können. Mit internen Bereichen können Sie die VPC-Netzwerktopologie (Virtual Private Cloud) verwalten, wenn Netzwerke mit Funktionen wie VPC-Netzwerk-Peering, Freigegebene VPC, Cloud VPN und Cloud Interconnect immer komplexer werden.
Spezifikationen
- Eine interne Bereichsressource stellt einen internen IPv4- oder IPv6-CIDR-Block dar, der aus einem VPC-Netzwerk zugewiesen wird.
- Beim Reservieren eines internen Bereichs können Sie Folgendes konfigurieren:
- Ob der Bereich von Trusted Cloud Ressourcen im VPC-Netzwerk verwendet werden kann oder für die externe Nutzung reserviert ist.
- Wie der Bereich verwendet werden kann, wenn VPC-Netzwerk-Peering konfiguriert ist
- Ob sich der Bereich mit Subnetzen oder Routen im übergeordneten VPC-Netzwerk überschneiden kann
- Ob der Adressblock oder das Überschneidungsverhalten des Bereichs geändert werden kann.
- Standardmäßig können Sie keinen internen Bereich reservieren, der IP-Adressen enthält, die von anderen Trusted Cloud by S3NS Ressourcen im VPC-Netzwerk des Bereichs verwendet werden.
- Wenn Sie Überschneidungen mit Subnetzen, Routen oder beidem zulassen, können Sie interne Bereiche mit CIDR-Blöcken erstellen, die sich mit dem IP-Adressbereich der angegebenen Ressourcentypen überschneiden.
- Sie können keine Trusted Cloud Ressourcen erstellen, die IP-Adressen aus einem vorhandenen internen Bereich verwenden, es sei denn, Sie ordnen die Ressource explizit dem internen Bereich zu (für Subnetze) oder lassen Überschneidungen zu (für Routen).
- Wenn ein interner Bereich unveränderlich ist, können Sie nur die Beschreibung des Bereichs ändern. Wenn der Bereich unveränderlich ist (Standardeinstellung), können Sie den CIDR-Block, das Überschneidungsverhalten und die Beschreibung des Bereichs ändern. Die Unveränderlichkeit kann nach dem Erstellen des Bereichs nicht mehr geändert werden.
Angenommen, Sie haben einen veränderlichen internen Bereich für 10.0.0.0/24 ohne Angabe von Überschneidungen.
Wenn Sie versuchen, ein Subnetz im selben VPC-Netzwerk zu erstellen, das den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung des Subnetzes fehl, es sei denn, Sie verknüpfen das Subnetz mit dem internen Bereich.
Wenn Sie versuchen, eine Route im selben VPC-Netzwerk zu erstellen, die den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung der Route fehl, es sei denn, Sie aktualisieren den internen Bereich, indem Sie die Eigenschaft overlaps auf OVERLAP_ROUTE_RANGE festlegen.
Peering-Typen
Der Peering-Typ eines internen Bereichs gibt das Verhalten des Bereichs in Bezug auf VPC-Netzwerk-Peering an. Der Peering-Typ kann einer der folgenden sein:
FOR_SELF: Der interne Bereich kann nur in dem VPC-Netzwerk verwendet werden, in dem er erstellt wurde. Der Bereich ist über das zugehörige VPC-Netzwerk und die Peers dieses VPC-Netzwerks zugänglich. Peers von Peer-Netzwerke können diesen Bereich jedoch nicht verwenden. Dies ist die Standardeinstellung.FOR_PEER: Der interne Bereich kann nur mit Ressourcen in Peer-Netzwerken verknüpft werden. Mit dem Bereich kann keine Ressource im übergeordneten VPC-Netzwerk des Bereichs verknüpft werden, Ressourcen in Peer-Netzwerken jedoch schon.NOT_SHARED: Der interne Bereich kann nur mit Ressourcen in dem Netzwerk verknüpft werden, in dem der Bereich erstellt wurde, ohne den Bereich für seine Peers freizugeben. Ein Peering-Netzwerk kann den internen Bereich nicht in einer Weise verwenden, die für das übergeordnete VPC-Netzwerk sichtbar ist. Ein Peering-Netzwerk kann denselben Bereich verwenden, wenn der Peering-Typ in beiden NetzwerkenNOT_SHAREDist.
Nutzungstypen
Der Nutzungstyp einer internen Bereichsressource gibt an, ob der zugewiesene CIDR-Block anderen Trusted Cloud Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden kann. Der Nutzungstyp für einen internen Bereich kann einer der folgenden sein:
FOR_VPC: Der Bereich kann anderen Trusted Cloud-Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden. Dies ist die Standardeinstellung.EXTERNAL_TO_VPC: Der Bereich kann keinem anderenTrusted Cloud -Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden.FOR_MIGRATION: Der Bereich kann verwendet werden, um einen Subnetzwerkbereich zu migrieren, auch von einem per Peering verbundenen VPC-Netzwerk zu einem anderen.
IPv4-Subnetzbereiche migrieren
Wenn Sie einen CIDR-Bereich von einem Subnetz in ein anderes migrieren möchten, müssen Sie das Subnetz löschen und dann neu erstellen. Wenn Sie ein Subnetz löschen, wird sein CIDR-Bereich normalerweise freigegeben und kann von jeder anderen Ressource verwendet werden. Wenn Sie den CIDR-Bereich während einer Migration reservieren möchten – nachdem das ursprüngliche Subnetz gelöscht, aber bevor das neue Subnetz erstellt wird – können Sie einen internen IPv4-Bereich mit dem Nutzungstyp FOR_MIGRATION reservieren.
Ein interner Bereich für die Migration gibt einen CIDR-Bereich, ein Quellsubnetz und ein Zielsubnetz an.
- Der IPv4-CIDR-Bereich muss mit dem Quellsubnetzbereich übereinstimmen oder ihn enthalten.
- Die Quell- und Zielsubnetze können sich im selben oder in verschiedenen Projekten befinden.
- Das Quellsubnetz muss sich im selben Projekt wie die interne Bereichsressource befinden.
- Das Zielsubnetz muss nicht vorhanden sein, wenn Sie den internen Bereich erstellen.
Wenn Sie das Quellsubnetz löschen, kann der CIDR-Bereich nur einem Subnetz zugewiesen werden, das dem Zielsubnetz entspricht.
Nachdem Sie das Subnetz migriert haben, können Sie den internen Bereich löschen.
Interne Bereiche mit dem Nutzungstyp FOR_MIGRATION müssen den Peering-Typ FOR_SELF haben.
Beispielanwendungsfälle
In der folgenden Tabelle werden Anwendungsfälle für interne Bereiche mit verschiedenen Nutzungs- und Peering-Kombinationen beschrieben. Für interne IPv6-Bereiche gelten bestimmte Nutzungs- und Peering-Anforderungen. Sie unterstützen nicht alle hier aufgeführten Anwendungsfälle.
| Zweck | Nutzungstyp | Peering-Typ | IP-Version |
|---|---|---|---|
| Reservieren Sie einen Bereich, der nur im VPC-Netzwerk des Bereichs verwendet werden kann. | FOR_VPC |
NOT_SHARED |
IPv4 |
| Reservieren Sie einen Bereich speziell für Peer-VPC-Netzwerke, um zu verhindern, dass Ressourcen im lokalen VPC-Netzwerk ihn verwenden. | FOR_VPC |
FOR_PEER |
IPv4 |
| Reservieren Sie einen Bereich für die Verwendung außerhalb des VPC-Netzwerks des Bereichs, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. Bei IPv6-Bereichen wird die automatische Zuweisung der IP-Adressen des Bereichs an neue IPv6- oder Dual-Stack-Subnetze verhindert. | EXTERNAL_TO_VPC |
FOR_SELF |
IPv4 oder IPv6 |
| Reservieren Sie einen Bereich nur für die lokale Verwendung, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. | EXTERNAL_TO_VPC |
NOT_SHARED |
IPv4 |
| Reservieren Sie einen Bereich vorübergehend, um ein Subnetz von einem VPC-Netzwerk in ein anderes zu migrieren. | FOR_MIGRATION |
FOR_SELF |
IPv4 |
Strategien zur Zuweisung von IPv4-Adressen
Wenn Sie einen internen IPv4-Bereich reservieren, können Sie entweder einen CIDR-Block angeben oder Trusted Cloud einen automatisch zuweisen lassen. Bei der automatischen Zuweisung geben Sie eine Präfixlänge und optionale Ziel-CIDR-Blöcke an. Trusted Cloudberücksichtigt vorhandene IP-Adresszuweisungen und weist dem internen Bereich einen freien CIDR-Block der ausgewählten Größe aus den Ziel- oder Standard-CIDR-Blöcken zu.
Wenn Sie die automatische Zuweisung verwenden, können Sie die Zuweisungsstrategie angeben, die Trusted Cloud zum Auswählen eines freien Blocks verwendet. Zuweisungsstrategien sind nur für automatisch zugewiesene interne IPv4-Bereiche verfügbar. In der folgenden Tabelle werden die Zuweisungsstrategien beschrieben, die Sie auswählen können:
| Strategie | Beschreibung | Vor- und Nachteile |
|---|---|---|
RANDOM |
Einen freien CIDR-Block zufällig zuweisen. Das ist die Standardstrategie. |
Am schnellsten, wenn mehrere CIDR-Blöcke mit derselben Präfixlänge gleichzeitig reserviert werden. Kann zu einer Fragmentierung Ihres IP-Adressbereichs führen. |
FIRST_AVAILABLE |
Weisen Sie den freien CIDR-Block mit der numerisch niedrigsten Start-IP-Adresse zu. |
Die IP-Bereichszuweisung ist am besten vorhersagbar. Maximiert den verbleibenden zusammenhängenden, nicht verwendeten IP-Adressbereich in Ihren Ziel-CIDR-Blöcken. Führt zu Konflikten, wenn gleichzeitig interne Bereiche reserviert werden, was zu längeren Zuweisungszeiten führt. |
RANDOM_FIRST_N_AVAILABLE |
Sie geben eine Zahl N an. Trusted Cloud findet N freie CIDR-Blöcke mit der angeforderten Präfixlänge und priorisiert Blöcke mit den niedrigsten Start-IP-Adressen. Weisen Sie einen zufälligen CIDR-Block aus dieser Gruppe zu. |
Am besten geeignet, um Konflikte bei gleichzeitigen Zuweisungen zu reduzieren und gleichzeitig den zusammenhängenden ungenutzten IP-Adressbereich beizubehalten. Sie können die Leistung für gleichzeitige Zuweisungen verbessern, indem Sie N erhöhen. Dies kann jedoch zu einer stärkeren Fragmentierung des IP-Adressraums führen. |
FIRST_SMALLEST_FITTING |
Suchen Sie nach den kleinsten freien CIDR-Blöcken (längste Präfixlänge), die die angeforderte Präfixlänge enthalten können. Weisen Sie aus dieser Gruppe den Block mit der niedrigsten Start-IP-Adresse zu. |
Am besten geeignet, um die Fragmentierung von IP-Adressen zu minimieren. Hier gibt es die meisten Konflikte bei gleichzeitigen Reservierungen, was zu längeren Zuweisungszeiten führt. |
Angenommen, Sie möchten einen /24-CIDR-Block aus dem Zielblock 10.0.0.0/8 reservieren. Im Zielblock sind nur die folgenden IP-Adressbereiche verfügbar: 10.1.0.0/25, 10.2.0.0/16 und 10.3.0.0/23. In der folgenden Liste werden die Blöcke beschrieben, die für die einzelnen Zuweisungsstrategien ausgewählt werden können:
RANDOM: Trusted Cloud wählt zufällig einen verfügbaren/24-Block aus, z. B.10.2.179.0/24.FIRST_AVAILABLE: Trusted Cloud findet den niedrigsten verfügbaren/24-Block, der10.2.0.0/24ist.RANDOM_FIRST_N_AVAILABLE: Angenommen, Sie geben3für N an.Trusted Cloud erstellt eine Gruppe der drei niedrigsten verfügbaren/24-Blöcke:10.2.0.0/24,10.2.1.0/24und10.2.2.0/24. Aus dieser Menge wähltTrusted Cloud einen der drei Blöcke nach dem Zufallsprinzip aus, z. B.10.2.2.0/24.FIRST_SMALLEST_FITTING: Trusted Cloud findet die kleinsten verfügbaren Blöcke (höchstes Präfix), die das angegebene Präfix von/24enthalten können. Der kleinste verfügbare Block ist10.3.0.0/23. Trusted Cloudweist den niedrigsten Block aus diesem Bereich zu, nämlich10.3.0.0/24.
Kontingent
Die Anzahl der internen Bereichsressourcen, die Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.