Interne Bereiche – Übersicht

Mit internen Bereichen können Sie Blöcke interner IP-Adressen reservieren und angeben, wie diese Adressen verwendet werden können. Mit internen Bereichen können Sie die VPC-Netzwerktopologie (Virtual Private Cloud) verwalten, wenn Netzwerke mit Funktionen wie VPC-Netzwerk-Peering, Freigegebene VPC, Cloud VPN und Cloud Interconnect immer komplexer werden.

Spezifikationen

  • Eine interne Bereichsressource stellt einen internen IPv4- oder IPv6-CIDR-Block dar, der aus einem VPC-Netzwerk zugewiesen wird.
  • Beim Reservieren eines internen Bereichs können Sie Folgendes konfigurieren:
    • Ob der Bereich von Trusted Cloud Ressourcen im VPC-Netzwerk verwendet werden kann oder für die externe Nutzung reserviert ist.
    • Wie der Bereich verwendet werden kann, wenn VPC-Netzwerk-Peering konfiguriert ist
    • Ob sich der Bereich mit Subnetzen oder Routen im übergeordneten VPC-Netzwerk überschneiden kann
    • Ob der Adressblock oder das Überschneidungsverhalten des Bereichs geändert werden kann.
  • Standardmäßig können Sie keinen internen Bereich reservieren, der IP-Adressen enthält, die von anderen Trusted Cloud by S3NS Ressourcen im VPC-Netzwerk des Bereichs verwendet werden.
  • Wenn Sie Überschneidungen mit Subnetzen, Routen oder beidem zulassen, können Sie interne Bereiche mit CIDR-Blöcken erstellen, die sich mit dem IP-Adressbereich der angegebenen Ressourcentypen überschneiden.
  • Sie können keine Trusted Cloud Ressourcen erstellen, die IP-Adressen aus einem vorhandenen internen Bereich verwenden, es sei denn, Sie ordnen die Ressource explizit dem internen Bereich zu (für Subnetze) oder lassen Überschneidungen zu (für Routen).
  • Wenn ein interner Bereich unveränderlich ist, können Sie nur die Beschreibung des Bereichs ändern. Wenn der Bereich unveränderlich ist (Standardeinstellung), können Sie den CIDR-Block, das Überschneidungsverhalten und die Beschreibung des Bereichs ändern. Die Unveränderlichkeit kann nach dem Erstellen des Bereichs nicht mehr geändert werden.

Angenommen, Sie haben einen veränderlichen internen Bereich für 10.0.0.0/24 ohne Angabe von Überschneidungen.

Wenn Sie versuchen, ein Subnetz im selben VPC-Netzwerk zu erstellen, das den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung des Subnetzes fehl, es sei denn, Sie verknüpfen das Subnetz mit dem internen Bereich.

Wenn Sie versuchen, eine Route im selben VPC-Netzwerk zu erstellen, die den Bereich 10.0.0.0/25 verwendet, schlägt die Erstellung der Route fehl, es sei denn, Sie aktualisieren den internen Bereich, indem Sie die Eigenschaft overlaps auf OVERLAP_ROUTE_RANGE festlegen.

Peering-Typen

Der Peering-Typ eines internen Bereichs gibt das Verhalten des Bereichs in Bezug auf VPC-Netzwerk-Peering an. Der Peering-Typ kann einer der folgenden sein:

  • FOR_SELF: Der interne Bereich kann nur in dem VPC-Netzwerk verwendet werden, in dem er erstellt wurde. Der Bereich ist über das zugehörige VPC-Netzwerk und die Peers dieses VPC-Netzwerks zugänglich. Peers von Peer-Netzwerke können diesen Bereich jedoch nicht verwenden. Dies ist die Standardeinstellung.

  • FOR_PEER: Der interne Bereich kann nur mit Ressourcen in Peer-Netzwerken verknüpft werden. Mit dem Bereich kann keine Ressource im übergeordneten VPC-Netzwerk des Bereichs verknüpft werden, Ressourcen in Peer-Netzwerken jedoch schon.

  • NOT_SHARED: Der interne Bereich kann nur mit Ressourcen in dem Netzwerk verknüpft werden, in dem der Bereich erstellt wurde, ohne den Bereich für seine Peers freizugeben. Ein Peering-Netzwerk kann den internen Bereich nicht in einer Weise verwenden, die für das übergeordnete VPC-Netzwerk sichtbar ist. Ein Peering-Netzwerk kann denselben Bereich verwenden, wenn der Peering-Typ in beiden Netzwerken NOT_SHARED ist.

Nutzungstypen

Der Nutzungstyp einer internen Bereichsressource gibt an, ob der zugewiesene CIDR-Block anderen Trusted Cloud Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden kann. Der Nutzungstyp für einen internen Bereich kann einer der folgenden sein:

  • FOR_VPC: Der Bereich kann anderen Trusted Cloud-Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden. Dies ist die Standardeinstellung.

  • EXTERNAL_TO_VPC: Der Bereich kann keinem anderenTrusted Cloud -Ressourcen im übergeordneten VPC-Netzwerk zugeordnet werden.

  • FOR_MIGRATION: Der Bereich kann verwendet werden, um einen Subnetzwerkbereich zu migrieren, auch von einem per Peering verbundenen VPC-Netzwerk zu einem anderen.

IPv4-Subnetzbereiche migrieren

Wenn Sie einen CIDR-Bereich von einem Subnetz in ein anderes migrieren möchten, müssen Sie das Subnetz löschen und dann neu erstellen. Wenn Sie ein Subnetz löschen, wird sein CIDR-Bereich normalerweise freigegeben und kann von jeder anderen Ressource verwendet werden. Wenn Sie den CIDR-Bereich während einer Migration reservieren möchten – nachdem das ursprüngliche Subnetz gelöscht, aber bevor das neue Subnetz erstellt wird – können Sie einen internen IPv4-Bereich mit dem Nutzungstyp FOR_MIGRATION reservieren.

Ein interner Bereich für die Migration gibt einen CIDR-Bereich, ein Quellsubnetz und ein Zielsubnetz an.

  • Der IPv4-CIDR-Bereich muss mit dem Quellsubnetzbereich übereinstimmen oder ihn enthalten.
  • Die Quell- und Zielsubnetze können sich im selben oder in verschiedenen Projekten befinden.
  • Das Quellsubnetz muss sich im selben Projekt wie die interne Bereichsressource befinden.
  • Das Zielsubnetz muss nicht vorhanden sein, wenn Sie den internen Bereich erstellen.

Wenn Sie das Quellsubnetz löschen, kann der CIDR-Bereich nur einem Subnetz zugewiesen werden, das dem Zielsubnetz entspricht.

Nachdem Sie das Subnetz migriert haben, können Sie den internen Bereich löschen.

Interne Bereiche mit dem Nutzungstyp FOR_MIGRATION müssen den Peering-Typ FOR_SELF haben.

Beispielanwendungsfälle

In der folgenden Tabelle werden Anwendungsfälle für interne Bereiche mit verschiedenen Nutzungs- und Peering-Kombinationen beschrieben. Für interne IPv6-Bereiche gelten bestimmte Nutzungs- und Peering-Anforderungen. Sie unterstützen nicht alle hier aufgeführten Anwendungsfälle.

Zweck Nutzungstyp Peering-Typ IP-Version
Reservieren Sie einen Bereich, der nur im VPC-Netzwerk des Bereichs verwendet werden kann. FOR_VPC NOT_SHARED IPv4
Reservieren Sie einen Bereich speziell für Peer-VPC-Netzwerke, um zu verhindern, dass Ressourcen im lokalen VPC-Netzwerk ihn verwenden. FOR_VPC FOR_PEER IPv4
Reservieren Sie einen Bereich für die Verwendung außerhalb des VPC-Netzwerks des Bereichs, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. Bei IPv6-Bereichen wird die automatische Zuweisung der IP-Adressen des Bereichs an neue IPv6- oder Dual-Stack-Subnetze verhindert. EXTERNAL_TO_VPC FOR_SELF IPv4 oder IPv6
Reservieren Sie einen Bereich nur für die lokale Verwendung, um zu verhindern, dass Ressourcen im VPC-Netzwerk des Bereichs diese IP-Adressen verwenden. EXTERNAL_TO_VPC NOT_SHARED IPv4
Reservieren Sie einen Bereich vorübergehend, um ein Subnetz von einem VPC-Netzwerk in ein anderes zu migrieren. FOR_MIGRATION FOR_SELF IPv4

Strategien zur Zuweisung von IPv4-Adressen

Wenn Sie einen internen IPv4-Bereich reservieren, können Sie entweder einen CIDR-Block angeben oder Trusted Cloud einen automatisch zuweisen lassen. Bei der automatischen Zuweisung geben Sie eine Präfixlänge und optionale Ziel-CIDR-Blöcke an. Trusted Cloudberücksichtigt vorhandene IP-Adresszuweisungen und weist dem internen Bereich einen freien CIDR-Block der ausgewählten Größe aus den Ziel- oder Standard-CIDR-Blöcken zu.

Wenn Sie die automatische Zuweisung verwenden, können Sie die Zuweisungsstrategie angeben, die Trusted Cloud zum Auswählen eines freien Blocks verwendet. Zuweisungsstrategien sind nur für automatisch zugewiesene interne IPv4-Bereiche verfügbar. In der folgenden Tabelle werden die Zuweisungsstrategien beschrieben, die Sie auswählen können:

Strategie Beschreibung Vor- und Nachteile
RANDOM Einen freien CIDR-Block zufällig zuweisen. Das ist die Standardstrategie.

Am schnellsten, wenn mehrere CIDR-Blöcke mit derselben Präfixlänge gleichzeitig reserviert werden.

Kann zu einer Fragmentierung Ihres IP-Adressbereichs führen.

FIRST_AVAILABLE Weisen Sie den freien CIDR-Block mit der numerisch niedrigsten Start-IP-Adresse zu.

Die IP-Bereichszuweisung ist am besten vorhersagbar. Maximiert den verbleibenden zusammenhängenden, nicht verwendeten IP-Adressbereich in Ihren Ziel-CIDR-Blöcken.

Führt zu Konflikten, wenn gleichzeitig interne Bereiche reserviert werden, was zu längeren Zuweisungszeiten führt.

RANDOM_FIRST_N_AVAILABLE Sie geben eine Zahl N an. Trusted Cloud findet N freie CIDR-Blöcke mit der angeforderten Präfixlänge und priorisiert Blöcke mit den niedrigsten Start-IP-Adressen. Weisen Sie einen zufälligen CIDR-Block aus dieser Gruppe zu.

Am besten geeignet, um Konflikte bei gleichzeitigen Zuweisungen zu reduzieren und gleichzeitig den zusammenhängenden ungenutzten IP-Adressbereich beizubehalten.

Sie können die Leistung für gleichzeitige Zuweisungen verbessern, indem Sie N erhöhen. Dies kann jedoch zu einer stärkeren Fragmentierung des IP-Adressraums führen.

FIRST_SMALLEST_FITTING Suchen Sie nach den kleinsten freien CIDR-Blöcken (längste Präfixlänge), die die angeforderte Präfixlänge enthalten können. Weisen Sie aus dieser Gruppe den Block mit der niedrigsten Start-IP-Adresse zu.

Am besten geeignet, um die Fragmentierung von IP-Adressen zu minimieren.

Hier gibt es die meisten Konflikte bei gleichzeitigen Reservierungen, was zu längeren Zuweisungszeiten führt.

Angenommen, Sie möchten einen /24-CIDR-Block aus dem Zielblock 10.0.0.0/8 reservieren. Im Zielblock sind nur die folgenden IP-Adressbereiche verfügbar: 10.1.0.0/25, 10.2.0.0/16 und 10.3.0.0/23. In der folgenden Liste werden die Blöcke beschrieben, die für die einzelnen Zuweisungsstrategien ausgewählt werden können:

  • RANDOM: Trusted Cloud wählt zufällig einen verfügbaren /24-Block aus, z. B. 10.2.179.0/24.
  • FIRST_AVAILABLE: Trusted Cloud findet den niedrigsten verfügbaren /24-Block, der 10.2.0.0/24 ist.
  • RANDOM_FIRST_N_AVAILABLE: Angenommen, Sie geben 3 für N an.Trusted Cloud erstellt eine Gruppe der drei niedrigsten verfügbaren /24-Blöcke: 10.2.0.0/24, 10.2.1.0/24 und 10.2.2.0/24. Aus dieser Menge wähltTrusted Cloud einen der drei Blöcke nach dem Zufallsprinzip aus, z. B. 10.2.2.0/24.
  • FIRST_SMALLEST_FITTING: Trusted Cloud findet die kleinsten verfügbaren Blöcke (höchstes Präfix), die das angegebene Präfix von /24 enthalten können. Der kleinste verfügbare Block ist 10.3.0.0/23. Trusted Cloudweist den niedrigsten Block aus diesem Bereich zu, nämlich 10.3.0.0/24.

Kontingent

Die Anzahl der internen Bereichsressourcen, die Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.

Nächste Schritte