תת-רשתות

רשתות של ענן וירטואלי פרטי (VPC) הן משאבים גלובליים. כל רשת VPC מורכבת מטווח אחד או יותר של כתובות IP שנקראות תת-רשתות. תת-רשתות הן משאבים אזוריים, ויש להן טווחי כתובות IP שמשויכים אליהן.

ב- Cloud de Confiance by S3NS, המונחים subnet ו-subnetwork הם מילים נרדפות. המונחים האלה משמשים לסירוגין במסוף Cloud de Confiance , בפקודות של Google Cloud CLI ובמאמרי העזרה של ה-API.

רשתות ורשתות משנה

כדי להשתמש ברשת, היא צריכה לכלול לפחות רשת משנה אחת. רשתות VPC במצב אוטומטי יוצרות רשתות משנה בכל אזור באופן אוטומטי. רשתות VPC במצב מותאם אישית מתחילות ללא רשתות משנה, כך שאתם מקבלים שליטה מלאה על יצירת רשתות משנה. אפשר ליצור יותר מרשת משנה אחת לכל אזור. מידע על ההבדלים בין רשתות VPC במצב אוטומטי לבין רשתות VPC במצב מותאם אישית זמין במאמר בנושא סוגים של רשתות VPC.

כשיוצרים משאב ב- Cloud de Confiance, בוחרים רשת ותת-רשת. לגבי משאבים אחרים מלבד תבניות של מכונות, בוחרים גם אזור או תחום. כשבוחרים אזור, נבחר באופן אוטומטי האזור הראשי שלו. מכיוון שתת-רשתות הן אובייקטים אזוריים, האזור שבוחרים עבור משאב קובע את תת-הרשתות שבהן הוא יכול להשתמש:

  • כשיוצרים מכונה וירטואלית (VM), צריך לבחור את התחום שבו היא תפעל. אם לא בוחרים רשת למכונה הווירטואלית, נעשה שימוש ברשת ה-VPC שמוגדרת כברירת מחדל, שיש לה רשת משנה בכל אזור. אם בוחרים רשת למכונה הווירטואלית, צריך לבחור רשת שמכילה רשת משנה באזור האב של האזור שנבחר.

  • כשיוצרים קבוצה של מופעי מכונה מנוהלים, בוחרים אזור או אזור זמינות, בהתאם לסוג הקבוצה, ותבנית של הגדרות מכונה. תבנית של הגדרות מכונה מגדירה באיזו רשת VPC להשתמש. לכן, כשיוצרים קבוצת מופעי מכונה מנוהלים, צריך לבחור תבנית של הגדרות מכונה עם הגדרה מתאימה. בתבנית צריך לציין רשת VPC שיש בה תת-רשתות באזור או בתחום (zone) שנבחרו. לרשתות VPC במצב אוטומטי תמיד יש רשת משנה בכל אזור.

  • במהלך יצירת אשכול של קונטיינרים של Kubernetes, צריך לבחור אזור או תחום (בהתאם לסוג האשכול), רשת ורשת משנה. צריך לבחור רשת משנה שזמינה באזור או בתחום שנבחרו.

סוגים של רשתות משנה

רשתות VPC תומכות ברשתות משנה עם סוגי המערכים הבאים. רשת VPC אחת יכולה להכיל כל שילוב של רשתות משנה כאלה.

סוג המקבץ טווחים של רשתות משנה ממשקי רשת תואמים של מכונות וירטואליות
IPv4 בלבד (single-stack) רק טווחי תת-רשתות IPv4 ממשקי IPv4 בלבד
‫IPv4 ו-IPv6 (dual-stack) טווחי רשתות משנה של IPv4 ו-IPv6 ממשקים עם IPv4 בלבד, עם dual-stack ועם IPv6 בלבד
IPv6 בלבד (single-stack) רק טווחי רשתות משנה של IPv6 ממשקים עם IPv6 בלבד

כשיוצרים רשת משנה, מציינים באיזה סוג מחסנית להשתמש. אפשר גם לשנות את סוג ה-stack של רשת משנה בתרחישים הבאים:

יש תמיכה ברשתות משנה עם טווחי כתובות IPv6 רק ברשתות VPC במצב מותאם אישית. לא ניתן להשתמש בתת-רשתות עם טווחי כתובות IPv6 ברשתות VPC במצב אוטומטי או ברשתות מדור קודם.

כשיוצרים טווח של תת-רשת IPv4, צריך לספק את הפרטים הבאים:

הגדרת תת-רשת ערכים תקינים פרטים
טווח IPv4 טווח תקין שאתם בוחרים חובה
טווח IPv4 משני טווח תקין שאתם בוחרים אופציונלי

כשיוצרים טווח של תת-רשתות IPv6, מציינים את סוג הגישה ואת המקור של כתובות ה-IP:

סוג הגישה סוג הכתובת והמקור
פנימי
(לא ניתן לניתוב באינטרנט)		 כתובות ULA: מוקצות באופן אוטומטי מטווח כתובות ה-ULA של /48רשת ה-VPC.
אם אתם משתמשים בכתובות IP משלכם (BYOIP), אתם יכולים להשתמש באופן פרטי בכתובות IPv6 GUA משלכם.
חיצוני
(ניתן לניתוב באינטרנט)		 GUAs: מוקצות באופן אוטומטי מתוך כתובות IPv6 חיצוניות אזוריות של Google.
אם אתם משתמשים ב-BYOIP, אתם יכולים להשתמש בכתובות GUA משלכם ב-IPv6.

מטרות השימוש בתת-רשתות

כשיוצרים תת-רשת, בוחרים מטרה לתת-הרשת:

  • תת-רשתות רגילות (PRIVATE): זהו סוג תת-הרשת שמוגדר כברירת מחדל. תת-רשתות רגילות נוצרות על ידי משתמשים או באופן אוטומטי ברשתות VPC במצב אוטומטי, כדי להשתמש בהן עם מכונות וירטואליות. הייעוד מוצג כNone במסוף Cloud de Confiance .
    • Hybrid Subnets הן תת-רשתות רגילות שמוגדרות עם התנהגות שונה של ניתוב (--allow-cidr-routes-overlap). תת-רשתות היברידיות מתרחבות באופן לוגי לרשת מקומית או לרשת מקור, ומאפשרות להעביר עומסי עבודה אל Cloud de Confianceבלי לשנות כתובות IP. אפשר להפעיל או להשבית את הניתוב ההיברידי עבור רשת משנה בכל שלב.
  • תת-רשתות של Private Service Connect (PRIVATE_SERVICE_CONNECT): תת-רשת שמשמשת לפרסום שירות מנוהל באמצעות Private Service Connect.
  • תת-רשתות של שרת proxy בלבד (GLOBAL_MANAGED_PROXY ו-REGIONAL_MANAGED_PROXY): תת-רשת של שרת proxy בלבד שבה משתמשים עם מאזני עומסים מבוססי Envoy ועם Secure Web Proxy.
  • תת-רשתות NAT פרטיות (PRIVATE_NAT): תת-רשת ששמורה לשימוש כטווח המקור של NAT פרטי.
  • תת-רשתות להעברת קישור בין רשתות VPC שכנות (PEER_MIGRATION): תת-רשת שמשמשת להעברת שירות של VPC משותף ל-Private Service Connect. אחרי שהמיגרציה תושלם, תוכלו להמיר את רשת המשנה של המיגרציה בין רשתות משנה לרשת משנה רגילה.

ברוב המקרים, אי אפשר לשנות את הגדרת הייעוד של רשת משנה אחרי שהיא נוצרה. מידע נוסף זמין במאמר בנושא הפקודה gcloud compute networks subnets update.

מגבלות על שמות של רשתות משנה

יש מגבלות על השמות של רשתות המשנה:

  • בתוך Cloud de Confiance פרויקט, לתת-רשת לא יכול להיות שם זהה לשם של רשת VPC, אלא אם היא חברה ברשת הזו. בפרויקט, לשמות של רשתות משנה באותו אזור צריכים להיות שמות ייחודיים. לדוגמה, לרשת בשם production יכולות להיות כמה רשתות משנה שגם נקראות production, כל עוד כל אחת מהרשתות האלה נמצאת באזור ייחודי.

  • אי אפשר לשנות את השם או האזור של רשת משנה אחרי שיוצרים אותה. עם זאת, אפשר למחוק רשת משנה ולהחליף אותה כל עוד לא נעשה בה שימוש במשאבים.

טווחי רשתות משנה של IPv4

לכל תת-רשת עם IPv4 בלבד או עם מחסנית כפולה חייב להיות טווח כתובות IPv4 ראשי. כשהמטרה של רשת משנה היא PRIVATE או NONE, אפשר להשתמש בטווח ה-IPv4 הראשי למטרות הבאות:

אפשר להגדיר לרשתות משנה טווחים משניים של כתובות IPv4, שאפשר להשתמש בהם רק בטווחים של כתובות IP של כינויים. טווח כתובות IP של כינוי יכול להיות מטווח IPv4 ראשי או מטווח IPv4 משני של תת-רשת.

לא צריך שכתובות ה-IPv4 בתת-הרשתות שלכם יהיו רצופות ומוגדרות מראש בבלוק CIDR, אבל אתם יכולים לעשות את זה אם אתם מעדיפים. לדוגמה, רשתות VPC במצב אוטומטי יוצרות רשתות משנה שמתאימות לטווח IP מוגדר מראש במצב אוטומטי. עם זאת, הטווח הראשי של רשת משנה יכול להיות 10.0.0.0/24, בעוד שהטווח הראשי של רשת משנה אחרת באותה רשת יכול להיות 192.168.0.0/16.

מגבלות על טווחי רשתות משנה של IPv4

יש מגבלות על טווחי רשתות משנה של IPv4:

  • כל טווח כתובות IPv4 ראשי או משני לכל תת-הרשתות ברשת VPC חייב להיות בלוק CIDR חוקי וייחודי.

  • מספר טווחי כתובות ה-IP המשניות שאפשר להגדיר מפורט במגבלות לכל רשת.

  • אחרי שיוצרים תת-רשת, אפשר להרחיב את טווח ה-IPv4 הראשי של תת-הרשת, אבל אי אפשר להחליף אותו או לצמצם אותו.

  • אפשר להסיר ולהחליף את טווח כתובות ה-IPv4 המשני של תת-רשת רק אם אף מכונה לא משתמשת בטווח הזה.

  • הגודל המינימלי של טווח ראשי או משני הוא שמונה כתובות IPv4. במילים אחרות, מסכה של רשת משנה הכי ארוכה שאפשר להשתמש בה היא /29.

  • מסכת רשת המשנה הקצרה ביותר שאפשר להשתמש בה היא /4. עם זאת, ברוב /4 טווחי כתובות ה-IP, יש אימותים נוספים שמונעים יצירה של רשת משנה בגודל הזה. לדוגמה, טווח של תת-רשת לא יכול לחפוף לטווח פרטי של IPv4 או לטווח שמור אחר. כדי לצמצם את הסיכוי לבחור טווח לא תקין של רשתות משנה, מומלץ להגביל את הגודל המקסימלי של רשת המשנה ל-/8.

  • אי אפשר ליצור טווחים ראשיים ומשניים לתת-רשתות שחופפים לטווח שהוקצה, לטווח ראשי או משני של תת-רשת אחרת באותה רשת, או לטווחים של IPv4 של תת-רשתות ברשתות מקושרות. Cloud de Confiance מונעת יצירה של טווחי תת-רשתות חופפים בתרחישים האלה.

  • Cloud de Confiance יוצר מסלולי רשת משנה תואמים לשני טווחי כתובות ה-IP, הראשי והמשני. ההגדרה של נתיבי תת-רשת, ולכן גם של טווחי כתובות IP של תת-רשת, מחייבת שהם יהיו הכי ספציפיים.

  • טווחים של רשתות משנה לא יכולים להיות זהים לטווח מוגבל, צרים ממנו או רחבים ממנו. לדוגמה, 169.0.0.0/8 הוא לא טווח תקף של רשת משנה כי הוא חופף לטווח המקומי של הקישור 169.254.0.0/16 (RFC 3927), שהוא טווח מוגבל.

  • טווחים של רשתות משנה לא יכולים לכלול גם טווח RFC (כפי שמתואר בטבלה הקודמת) וגם טווח כתובות IP ציבוריות שמשמשות לשימוש פרטי. לדוגמה, 172.0.0.0/10 הוא טווח לא תקין של רשת משנה כי הוא כולל גם את טווח כתובות ה-IP הפרטיות 172.16.0.0/12 וגם כתובות IP ציבוריות.

  • טווחים של רשתות משנה לא יכולים לכלול כמה טווחים של RFC. לדוגמה, 192.0.0.0/8 הוא לא טווח תת-רשתות תקין כי הוא כולל גם את 192.168.0.0/16 (מ-RFC 1918) וגם את 192.0.0.0/24 (מ-RFC 6890). עם זאת, אפשר ליצור שתי רשתות משנה עם טווחי כתובות ראשיים שונים, אחת עם 192.168.0.0/16 ואחת עם 192.0.0.0/24. אפשר גם להשתמש בשני הטווחים האלה באותה רשת משנה אם מגדירים את אחד מהם כטווח משני.

טווחים תקינים של IPv4

טווח כתובות ה-IPv4 הראשי והמשני של רשת משנה הם כתובות IPv4 פנימיות אזוריות. בטבלה הבאה מתוארים טווחים תקינים.

טווח תיאור
טווחי כתובות IPv4 פרטיות
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

כתובות IP פרטיות RFC 1918

מידע על השימוש ב-172.17.0.0/16 זמין במאמר שיקולים נוספים.

100.64.0.0/10 מרחב כתובות משותף RFC 6598
192.0.0.0/24 הקצאות פרוטוקולים של IETF‏ RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)		 מסמכי תיעוד RFC 5737
192.88.99.0/24 ממסר מ-IPv6 ל-IPv4 (הוצא משימוש) RFC 7526
198.18.0.0/15 בדיקת ביצועים בהשוואה לשוק RFC 2544
240.0.0.0/4

שמור לשימוש בעתיד (Class E) כמו שמצוין ב-RFC 5735 וב-RFC 1112.

מערכות הפעלה מסוימות לא תומכות בשימוש בטווח הזה, לכן חשוב לוודא שמערכת ההפעלה שלכם תומכת בו לפני שיוצרים רשתות משנה שמשתמשות בטווח הזה.
טווחי כתובות IP ציבוריות שמשמשות באופן פרטי
כתובות IPv4 ציבוריות שמשמשות לשימוש פרטי כתובות IPv4 ציבוריות לשימוש פרטי:

כשמשתמשים בכתובות האלה כטווחי רשתות משנה, Cloud de Confiance לא מתבצעת הכרזה על המסלולים האלה באינטרנט, ולא מתבצע ניתוב של תעבורת נתונים מהאינטרנט אליהם.

אם ייבאתם כתובות IP ציבוריות ל-Google באמצעות העברת כתובות IP משלכם (BYOIP), טווחי ה-BYOIP וטווחי כתובות ה-IP הציבוריות שמשמשות לשימוש פרטי באותה רשת VPC לא יכולים להיות חופפים.

בVPC Network Peering, לא מתבצעת החלפה אוטומטית של מסלולי תת-רשתות לכתובות IP ציבוריות. כברירת מחדל, הנתיבים של תת-הרשת מיוצאים אוטומטית, אבל כדי להשתמש בהם צריך להגדיר במפורש את הרשתות המקבילות לייבוא שלהם.

טווחי תת-רשתות IPv4 אסורים

טווחים אסורים של רשתות משנה כוללים כתובות IP ציבוריות של Google וטווחים שמורים נפוצים של RFC, כמו שמתואר בטבלה הבאה. אי אפשר להשתמש בטווחי הכתובות האלה לטווחי כתובות של רשתות משנה.

טווח תיאור
כתובות IP ציבוריות של שירותים ו-Google APIs, כולל Cloud de Confiance בלוקים של כתובות IP. כתובות ה-IP האלה מופיעות בכתובת https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30
and
199.36.153.8/30		 כתובות IP וירטואליות ספציפיות לגישה פרטית ל-Google
0.0.0.0/8 רשת נוכחית (מקומית) RFC 1122
127.0.0.0/8 מארח מקומי RFC 1122
169.254.0.0/16 קישור מקומי RFC 3927
224.0.0.0/4 Multicast (Class D) RFC 5771
255.255.255.255/32 כתובת יעד של שידור מוגבל RFC 8190 ו-RFC 919

כתובות שלא ניתן להשתמש בהן בטווחי תת-רשתות של IPv4

‫Cloud de Confiance משתמש בשתי כתובות ה-IPv4 הראשונות ובשתי כתובות ה-IPv4 האחרונות בכל טווח של כתובות IPv4 ראשיות ברשת משנה כדי לארח את רשת המשנה.‫Cloud de Confiance מאפשר להשתמש בכל הכתובות בטווחים משניים של כתובות IPv4.

כתובת IPv4 שלא ניתן להשתמש בה תיאור דוגמה
כתובת רשת הכתובת הראשונה בטווח ה-IPv4 הראשי 10.1.2.0 מטווח 10.1.2.0/24
כתובת שער ברירת המחדל הכתובת השנייה בטווח ה-IPv4 הראשי 10.1.2.1 מטווח 10.1.2.0/24
הכתובת הלפני האחרונה הכתובת השנייה מהסוף בטווח ה-IPv4 הראשי

הטווח הזה שמור על ידי Cloud de Confiance לשימוש פוטנציאלי בעתיד.

 10.1.2.254 מטווח 10.1.2.0/24
כתובת שידור הכתובת האחרונה בטווח ה-IPv4 הראשי 10.1.2.255 מטווח 10.1.2.0/24

טווחי IPv4 במצב אוטומטי

בטבלה הזו מפורטים טווחי כתובות IPv4 של תת-הרשתות שנוצרו אוטומטית ברשת VPC במצב אוטומטי. טווח כתובות ה-IP של תתי הרשתות האלה מתאים לבלוק ה-CIDR‏ 10.128.0.0/9. רשתות VPC במצב אוטומטי נוצרות עם רשת משנה אחת לכל אזור בזמן היצירה, ומקבלות אוטומטית רשתות משנה חדשות באזורים חדשים. חלקים שלא נוצלו מתוך 10.128.0.0/9 שמורים לשימוש עתידי ב-Cloud de Confiance .

אזור טווח כתובות IP‏ (CIDR) שער ברירת המחדל כתובות שניתן להשתמש בהן (כולל)
u-france-east1 10.128.0.0/20 10.128.0.1 ‫10.128.0.2 עד 10.128.15.253

שיקולים נוספים

מוודאים שאין התנגשות בין כל טווחי כתובות ה-IPv4 הראשיים והמשניים של רשתות המשנה לבין טווחי כתובות ה-IPv4 שתוכנה שפועלת בתוך המכונות הווירטואליות צריכה להשתמש בהם. חלק ממוצרי Google ומוצרים של צד שלישי משתמשים ב-172.17.0.0/16 לניתוב בתוך מערכת ההפעלה של האורח. לדוגמה, טווח כתובות ה-IP הזה משמש כרשת ברירת המחדל של Docker bridge. אם אתם מסתמכים על מוצר שמשתמש ב-172.17.0.0/16, אל תשתמשו בו כטווח כתובות IPv4 ראשי ומשני של רשת משנה.

טווחי רשתות משנה של IPv6

כשיוצרים רשת משנה עם טווח כתובות IPv6 או מפעילים IPv6 ברשת משנה קיימת ברשת VPC, בוחרים סוג גישה ל-IPv6 עבור רשת המשנה. סוג הגישה IPv6 קובע אם תת-הרשת מוגדרת עם כתובות IPv6 פנימיות או עם כתובות IPv6 חיצוניות.

  • כתובות IPv6 פנימיות משמשות לתקשורת בין מכונות וירטואליות ברשתות VPC. אפשר לנתב אותם רק במסגרת רשתות VPC, ואי אפשר לנתב אותם לאינטרנט.

  • אפשר להשתמש בכתובות IPv6 חיצוניות לתקשורת בין מכונות וירטואליות ברשתות VPC, והן ניתנות לניתוב באינטרנט.

אם ממשק של מכונה וירטואלית מחובר לרשת משנה עם טווח כתובות IPv6, אפשר להגדיר כתובות IPv6 במכונה הווירטואלית. סוג הגישה ל-IPv6 של רשת המשנה קובע אם למכונה הווירטואלית מוקצית כתובת IPv6 פנימית או כתובת IPv6 חיצונית.

מפרטים של IPv6

תת-רשתות עם טווחי כתובות IPv6 זמינות בכל האזורים, והן תומכות בטווחי תת-רשתות IPv6 חיצוניים ופנימיים.

לרשתות משנה עם טווחי כתובות IPv6 יש את המגבלות הבאות:

  • אי אפשר לשנות את סוג הגישה ל-IPv6 (פנימית או חיצונית) של רשת משנה.

  • אי אפשר לשנות רשת משנה עם כתובות IPv4 ו-IPv6 לכתובות IPv4 בלבד אם סוג הגישה ל-IPv6 הוא פנימי.

  • אי אפשר לשנות רשת משנה עם פרוטוקול כפול או עם IPv4 בלבד ל-IPv6 בלבד. לעומת זאת, אי אפשר לשנות רשת משנה עם IPv6 בלבד לרשת משנה עם IPv4 בלבד או לרשת משנה עם פרוטוקול כפול.

מפרטי IPv6 חיצוניים

טווחים של כתובות IPv6 חיצוניות הם כתובות unicast גלובליות (GUAs). כתובות IPv6 חיצוניות זמינות רק במסלול פרימיום.

טווח כתובות ה-IPv6 החיצוניות של תת-רשת מגיע מאחד מהמקורות הבאים:

המשאבים שיכולים להשתמש בטווח כתובות IPv6 חיצוניות של תת-רשת תלויים במקור של טווח הכתובות.

  • אפשר להשתמש בטווחים של תת-רשתות IPv6 חיצוניות שסופקו על ידי BYOIP רק לטווחים של כתובות IPv6 חיצוניות של ממשקי רשת של מכונות וירטואליות./96 אפשר להקצות כתובות IPv6 BYOIP לכללי העברה, אבל הכתובות האלה לא נכללות ברשת משנה.

  • אפשר להשתמש בטווחים של תת-רשתות IPv6 חיצוניות שסופקו על ידי Google באופן הבא:

    צריך ליצור את המשאבים שלמעלה באמצעות כתובות IP מטווח /65 המתאים שהוקצה למשאב. אחרת,הפקודה Cloud de Confianceתחזיר שגיאה.

    נניח שטווח כתובות ה-IPv6 החיצוניות של רשת משנה הוא 2001:db8:981:4:0:0:0:0/64:

    • טווח הכתובות /65 שהוקצה לשימוש על ידי מכונות וירטואליות הוא 2001:db8:981:4:0:0:0:0/65.
    • טווח ה-/65 שהוקצה לשימוש על ידי Cloud Load Balancing הוא 2001:db8:981:4:8000:0.

כדי לבדוק את המקור של טווח כתובות ה-IPv6 החיצוניות של תת-רשת, אפשר לתאר את תת-הרשת. אם הנכס ipv6AccessType הוא EXTERNAL והנכס ipCollection לא ריק, נוצרה רשת משנה עם טווח כתובות IPv6 BYOIP.

אפשר להקצות טווחים של כתובות IPv6 חיצוניות בדרכים הבאות:/96

  • אם לא מציינים, Cloud de Confiance מוקצה באופן אוטומטי טווח כתובות IPv6 חיצוניות ארעיות /96.

  • אתם יכולים לציין טווח כתובות IPv6 חיצוניות אזוריות סטטיות שמורות /96. אם שומרים טווח של כתובות IPv6 חיצוניות סטטיות אזוריות /96 מטווח של תת-רשתות IPv6 שסופק על ידי BYOIP, צריך לציין VM כסוג נקודת הקצה.

  • למכונות וירטואליות ולכללי העברה אזוריים, אפשר לציין טווח מותאם אישית של כתובות IPv6 חיצוניות זמניות /96.

מפרטים פנימיים של IPv6

אי אפשר לנתב באופן ציבורי טווחים של תת-רשתות פנימיות של IPv6, ואי אפשר להגיע אליהם מהאינטרנט. טווח כתובות ה-IPv6 הפנימי של תת-רשת מגיע מאחד מהמקורות הבאים:

  • כברירת מחדל: Cloud de Confiance המערכת מקצה טווח /64 לא בשימוש מתוך טווח ה-ULA של רשת ה-VPC ‏‎ /48.

  • אם אתם משתמשים ב-BYOIP: אתם יכולים להקצות טווח של כתובות GUA מתוך /64 תת-קידומת BYOIP. למרות שכתובות GUA הן בדרך כלל כתובות ציבוריות, בהגדרה הזו הן משמשות באופן פרטי ופועלות באותו אופן כמו כתובות ULA שהוקצו באמצעותCloud de Confiance.

כדי להשתמש בכתובות ULA שסופקו על ידי Google כטווח של רשת משנה פנימית של IPv6, קודם צריך להקצות טווח ULA של /48 לרשת ה-VPC. כשמקצים לתת-רשת טווח ULA פנימי, Cloud de Confiance מערכת /64בוחרת באופן אוטומטי טווח IPv6 ULA שלא נמצא בשימוש מתוך טווח ה-ULA IPv6 של רשת ה-VPC./48 אם רוצים למנוע הקצאה של טווח ULA ספציפי ברשת VPC, אפשר ליצור משאב של טווח פנימי עבור החלק השמור של טווח כתובות ה-IPv6.

כשמקצים טווח כתובות IPv6 פרטיות (ULA) לרשת VPC, חשוב לזכור את הנקודות הבאות:/48

  • טווח ה-ULA IPv6 של כל רשת VPC צריך להיות ייחודי./48 Cloud de Confianceכך נמנעת האפשרות של חפיפה בין טווחי רשתות משנה של IPv6 כשמשתמשים בקישור בין רשתות שכנות (peering) של VPC.

  • אפשר לאפשר ל- Cloud de Confiance להקצות באופן אוטומטי את טווח כתובות ה-IPv6 של ULA ברשת ה-VPC, או לספק טווח כתובות IPv6 של ULA לשימוש./48/48 אם טווח ה-ULA IPv6 שסיפקתם כבר נמצא בשימוש ברשת VPC אחרת, תוצג שגיאה./48Cloud de Confiance

  • האפשרות לספק טווח של כתובות IPv6 מסוג ULA שימושית כדי למנוע התנגשויות בין רשת ה-VPC לבין רשתות מקומיות מחוברות או רשתות אצל ספקי ענן אחרים./48

  • אחרי שמקצים לרשת VPC טווח כתובות IPv6 מסוג /48 ULA, אי אפשר להסיר או לשנות את טווח כתובות ה-IPv6 מסוג /48 ULA.

אפשר להשתמש בטווחים של כתובות IPv6 של תת-רשת פנימית /64 לצרכים הבאים, בלי קשר לסוג הכתובות:

אפשר להקצות טווחים של כתובות IPv6 פנימיות בדרכים הבאות:/96

  • אם לא מציינים טווח,המערכת Cloud de Confiance מקצה אוטומטית טווח כתובות IPv6 פנימיות ארעיות /96.
  • אפשר לציין טווח כתובות IPv6 פנימיות אזוריות סטטיות שמורות /96.
  • למכונות וירטואליות ולכללי העברה אזוריים, אתם יכולים לציין טווח מותאם אישית של כתובות IPv6 פנימיות זמניות /96.

הקצאת טווח IPv6

טווחים של כתובות IPv6 מוקצים לרשתות, לתת-רשתות, למכונות וירטואליות (VM) ולכללי העברה.

סוג המשאב גודל הטווח פרטים
רשת VPC /48

כדי להפעיל טווח ULA פנימי עבור רשת משנה, קודם צריך להקצות טווח ULA פנימי של IPv6 לרשת ה-VPC.

טווח ULA‏ /48 מתוך fd20::/20 מוקצה לרשת. כל טווחי רשתות המשנה של ULA הפנימיות ברשת מוקצים מטווח /48 הזה.

אפשר להקצות את טווח /48 באופן אוטומטי, או לבחור טווח ספציפי מתוך fd20::/20.
תת-רשת /64

ההגדרה של סוג הגישה ל-IPv6 קובעת אם כתובות ה-IPv6 הן פנימיות או חיצוניות.

לתת-רשת יכולות להיות כתובות IPv6 פנימיות או חיצוניות, אבל לא שילוב של שתיהן.

כשמפעילים את IPv6, קורים הדברים הבאים:

  • אם מפעילים IPv6 פנימי ברשת משנה, מוקצה טווח של כתובות ULA פנימיות מתוך טווח /48 של רשת ה-VPC./64
  • אם מפעילים IPv6 חיצוני ברשת משנה, /64 טווח של כתובות GUA חיצוניות מוקצה באופן אוטומטי על ידי Cloud de Confiance. Cloud de Confiance מקצה כל מחצית של הטווח /64למטרה ספציפית באופן הבא:
    • הטווח /65 שמייצג את המחצית הראשונה של רשת המשנה מוקצה למכונות וירטואליות.
    • הטווח /65 שמייצג את המחצית השנייה של רשת המשנה מוקצה ל-Cloud Load Balancing.
  • לחלופין, אפשר להקצות טווח של רשתות משנה פנימיות או חיצוניות מתוך תת-קידומת IPv6 BYOIP מיובאת. מידע נוסף זמין במאמר בנושא שימוש בכתובת IP משלכם.
מופע ב-VM /96

כשמגדירים במכונה וירטואלית ממשק רשת עם תמיכה כפולה ב-IPv4 ו-IPv6 או עם תמיכה ב-IPv6 בלבד, לממשק מוקצה /96 טווח כתובות IP מרשת המשנה של הממשק. Cloud de Confiance מספק את כתובת ה-IP הראשונה בטווח /96 באמצעות DHCPv6.

האם ממשק רשת של מכונה וירטואלית משתמש בטווח כתובות IPv6 פנימי או חיצוני תלוי בסוג הגישה ל-IPv6 של רשת המשנה של הממשק./96
כלל העברה למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, למאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי או להעברת פרוטוקול /96 או שצוין על ידי קידומת משנה של BYOIP

טווח כתובות ה-IPv6 של כלל העברה להעברת פרוטוקול פנימית או של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי הוא טווח כתובות IP פנימיות /96 מטווח כתובות ה-IPv6 הפנימי של רשת משנה. אפשר לבחור באופן אוטומטי טווחי כתובות IP פנימיות/96 או להזמין טווח כתובות IPv6 פנימיות אזוריות סטטיות./96 Cloud de Confiance

טווח כתובות ה-IPv6 של כלל העברה להעברת פרוטוקולים חיצונית או למאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי הוא אחד מהבאים:

  • אם משתמשים בכתובות IPv6 חיצוניות שסופקו על ידי Google, טווח כתובות ה-IPv6 הוא טווח כתובות חיצוניות /96 שנבחר באופן אוטומטי על ידי Cloud de Confiance מתוך טווח כתובות ה-IPv6 החיצוניות של תת-הרשת.
  • אם משתמשים בכתובות IPv6 חיצוניות של BYOIP, טווח כתובות ה-IPv6 מגיע מקידומת משנה של כתובת IPv6 של BYOIP במצב יצירת כלל העברה. הגודל של טווח כתובות ה-IPv6 נקבע לפי אורך הקידומת שניתן להקצאה של קידומת המשנה.

כתובות שלא ניתן להשתמש בהן בטווחי רשתות משנה של IPv6

אי אפשר לציין באופן ידני את הטווח הראשון והאחרון של /96 בטווח הפנימי של רשת משנה, כי Cloud de Confiance שומרת את הטווח הראשון והאחרון של /96 בטווח הפנימי של רשת משנה לשימוש המערכת./64/64 אתם יכולים לציין באופן ידני כל טווח /96 IPv6 תקף מתוך טווח /64 פנימי של רשת המשנה שיוקצה לממשקי הרשת של מכונת ה-VM.

כתובת IPv6 שלא ניתן להשתמש בה תיאור דוגמה
הטווח הראשון /96 מתוך טווח ה-IPv6 הפנימי של תת-הרשת /64 שמור לשימוש המערכת fd20:db8::/96 מטווח fd20:db8::/64
הטווח האחרון /96 מתוך טווח ה-IPv6 הפנימי של רשת המשנה /64 שמור לשימוש המערכת fd20:db8:0:0:ffff:ffff::/96 מטווח fd20:db8::/64

המאמרים הבאים