Requisitos de red
Google Cloud VMware Engine ofrece un entorno de nube privada al que pueden acceder los usuarios y las aplicaciones desde entornos on-premise, dispositivos gestionados por empresas yGoogle Cloud servicios como Virtual Private Cloud (VPC). Para establecer la conectividad entre las nubes privadas de VMware Engine y otras redes, puedes usar servicios de redes como Cloud VPN y Cloud Interconnect.
Algunos servicios de red requieren intervalos de direcciones especificados por el usuario para habilitar la funcionalidad. Para ayudarle a planificar su implementación, en esta página se indican los requisitos de red y las funciones asociadas.
Antes de empezar
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
Si vas a usar un proyecto que ya tengas para seguir esta guía, verifica que tienes los permisos necesarios para completarla. Si has creado un proyecto, ya tienes los permisos necesarios.
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud DNS and VMware Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
Si vas a usar un proyecto que ya tengas para seguir esta guía, verifica que tienes los permisos necesarios para completarla. Si has creado un proyecto, ya tienes los permisos necesarios.
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud DNS and VMware Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
Roles obligatorios
Para obtener los permisos que necesitas para completar esta guía de inicio rápido,
pide a tu administrador que te conceda el rol de gestión de identidades y accesos
Lector de VMware Engine (roles/vmwareengine.vmwareengineViewer)
en el proyecto.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Conectividad de nubes privadas de VMware Engine
Para obtener una descripción general de las redes de nube privada, consulta Redes de nube privada para VMware Engine.
La conexión de tu red de VPC a una red de VMware Engine estándar usa el emparejamiento entre redes de VPC.
Resolución de direcciones globales con Cloud DNS
Si quieres resolver direcciones globales con Cloud DNS, debes completar la configuración de Cloud DNS antes de crear tu nube privada.
Requisitos y restricciones de CIDR
VMware Engine usa intervalos de direcciones definidos para servicios como el alojamiento de dispositivos de gestión y la implementación de redes HCX. Algunos intervalos de direcciones son obligatorios y otros dependen de los servicios que quieras implementar.
Debes reservar intervalos de direcciones que no se solapen con ninguna de tus subredes on-premise, subredes de red de VPC o subredes de carga de trabajo planificadas.
Además, las VMs de tu carga de trabajo y el intervalo CIDR de la subred de vSphere o vSAN no deben solaparse con ninguna dirección IP de los siguientes intervalos:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
Intervalo CIDR de subredes de vSphere o vSAN
VMware Engine implementa los componentes de gestión de una nube privada en el intervalo CIDR de las subredes de vSphere o vSAN que proporciones durante la creación de la nube privada. Las direcciones IP de este intervalo están reservadas para la infraestructura de la nube privada y no se pueden usar en máquinas virtuales de cargas de trabajo. El prefijo del intervalo CIDR debe estar entre /24 y /20.
Versiones de división del intervalo CIDR de subredes
Las nubes privadas creadas después de noviembre del 2022 se ajustan a la versión 2.0 de las asignaciones de subredes del diseño de direcciones IP (plan de IPs). Casi todas las nubes privadas creadas antes de noviembre del 2022 se ajustan a las asignaciones de subredes de la versión 1.0 del plan de IPs.
Para saber a qué versión se ajusta tu nube privada, sigue estos pasos:
En la Google Cloud consola, ve a la página Nubes privadas.
Haz clic en Seleccionar un proyecto y, a continuación, selecciona la organización, la carpeta o el proyecto en el que se encuentra la nube privada.
Haz clic en la nube privada que quieras revisar.
Busca Versión del plan de IPs para saber qué versión usa esta nube privada.
El número de versión se muestra en Versión del plan de IP.
Tamaño del intervalo CIDR de subredes de vSphere o vSAN
El tamaño del intervalo CIDR de tus subredes de vSphere o vSAN afecta al tamaño máximo de tu nube privada. En la siguiente tabla se muestra el número máximo de nodos que puedes tener en función del tamaño del intervalo CIDR de las subredes de vSphere o vSAN.
| Prefijo CIDR de subredes de vSphere o vSAN especificado | Número máximo de nodos (versión 1.0 del plan de IPs) | Número máximo de nodos (versión 2.0 del plan de IPs) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 200 | 90 |
| /20 | N/A | 200 |
Cuando selecciones el prefijo del intervalo CIDR, ten en cuenta los límites de nodos de los recursos de una nube privada. Por ejemplo, los prefijos de intervalo CIDR /24 y /23 no admiten el número máximo de nodos disponible para una instancia de Private Cloud. También puede usar prefijos de intervalo CIDR de /20 para admitir más nodos que el número máximo actual disponible en una instancia de Private Cloud.
Ejemplo de división del intervalo CIDR de la red de gestión
El intervalo CIDR de subredes de vSphere o vSAN que especifiques se dividirá en varias subredes. En las siguientes tablas se muestran ejemplos de desglose de los prefijos permitidos. En el primer conjunto de ejemplos se usa 192.168.0.0 como intervalo CIDR de la versión 1.0 del plan de IP, y en el segundo conjunto de ejemplos se usa 10.0.0.0 para la versión 2.0 del plan de IP.
| Función | Máscara o prefijo de subred (versión 1.0 del plan de IP) | |||
|---|---|---|---|---|
| Intervalo CIDR de subredes de vSphere o vSAN | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| Gestión del sistema | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| Transporte de host de NSX | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| Transporte perimetral de NSX | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX edge uplink1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX edge uplink2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| Función | Máscara de subred o prefijo (versión 2.0 del plan de IPs) | |||||
|---|---|---|---|---|---|---|
| Intervalo CIDR de subredes de vSphere o vSAN | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| Gestión del sistema | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| Transporte NSX | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| Enlace ascendente HCX | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX edge uplink1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX edge uplink2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| Uplink 3 de NSX Edge | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX edge uplink4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
Escalado de HCX y NSX Edge (solo versión 2.0 del plan de IPs)
| Prefijo CIDR de subredes de vSphere o vSAN especificado | Número máximo de sitios HCX remotos | Número máximo de dispositivos de extensión de red de HCX | Número máximo de VMs de NSX Edge |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
Intervalo CIDR de red de despliegue de HCX (solo versión 1.0 del plan de IP)
En la versión 1.0 del plan de IP, HCX no se integró en el intervalo CIDR de las subredes de vSphere o vSAN. Cuando creaste una nube privada, podías pedir a VMware Engine que instalara HCX en la nube privada especificando un intervalo CIDR de red para que lo usaran los componentes de HCX. El prefijo del intervalo CIDR era /26 o /27.
VMware Engine ha dividido la red que has proporcionado en tres subredes:
- Gestión de HCX: se usa para instalar HCX Manager.
- HCX vMotion: se usa para vMotion de máquinas virtuales entre tu entorno local y la nube privada de VMware Engine.
- HCX WANUplink: se usa para establecer el túnel entre tu entorno local y la nube privada de VMware Engine.
Ejemplo de desglose del intervalo CIDR de HCX
El intervalo CIDR de despliegue de HCX que especifiques se dividirá en varias subredes. En la tabla siguiente se muestran ejemplos de la desglose de los prefijos permitidos. En los ejemplos se usa 192.168.1.0 como intervalo CIDR.
| Función | Máscara o prefijo de subred | |||
|---|---|---|---|---|
| Intervalo CIDR de red de despliegue de HCX | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
Acceso a servicios privados de VMware Engine
En la siguiente tabla se describe el requisito de intervalo de direcciones para la conexión privada a los servicios de Google Cloud .
| Nombre o finalidad | Descripción | Prefijo CIDR |
|---|---|---|
| Intervalo de direcciones asignado | Intervalo de direcciones que se va a usar para la conexión privada a los servicios de Google Cloud , incluido VMware Engine. | /24 o más |
Para obtener más información sobre cómo configurar el acceso a servicios privados, consulta el artículo Configurar el acceso a servicios privados.
Servicios de redes perimetrales proporcionados por VMware Engine
En la siguiente tabla se describe el requisito de intervalo de direcciones para los servicios de redes perimetrales que proporciona VMware Engine.
| Nombre o finalidad | Descripción | Prefijo CIDR |
|---|---|---|
| CIDR de servicios de Edge | Obligatorio si se habilitan servicios perimetrales opcionales, como el acceso a Internet y la IP pública, por región. | /26 |
Acceder a APIs de Google privadas y restringidas
De forma predeterminada, tanto los CIDRs privados 199.36.153.8/30 como los restringidos 199.36.153.4/30 se anuncian en la red de VMware Engine para permitir el acceso directo a los servicios de Google. El CIDR privado 199.36.153.8/30 se puede retirar al configurar Controles de Servicio de VPC.
Requisitos de puertos del cortafuegos
Puedes configurar una conexión desde tu red local a tu nube privada mediante una VPN de sitio a sitio o una interconexión dedicada. Usa la conexión para acceder a tu instancia de vCenter de nube privada de VMware y a las cargas de trabajo que ejecutes en la nube privada.
Puedes controlar qué puertos se abren en la conexión mediante un cortafuegos en tu red local. En esta sección se enumeran los requisitos de puertos de aplicaciones habituales. Para consultar los requisitos de puertos de otras aplicaciones, consulte la documentación de esa aplicación.
Para obtener más información sobre los puertos que se usan en los componentes de VMware, consulta Puertos y protocolos de VMware.
Puertos necesarios para acceder a vCenter
Para acceder a vCenter Server y NSX Manager en tu instancia de Private Cloud, abre los siguientes puertos en el cortafuegos local:
| Puerto | Fuente | Destino | Finalidad |
|---|---|---|---|
| 53 (UDP) | Servidores DNS on-premise | Servidores DNS de nube privada | Es necesario para reenviar la búsqueda de DNS de gve.goog a los servidores DNS de la nube privada desde la red local. |
| 53 (UDP) | Servidores DNS de nube privada | Servidores DNS on-premise | Es necesario para reenviar la búsqueda de DNS de nombres de dominio locales desde vCenter de la nube privada a servidores DNS locales. |
| 80 (TCP) | Red local | Red de gestión de nube privada | Es necesario para redirigir la URL de vCenter de HTTP a HTTPS. |
| 443 (TCP) | Red local | Red de gestión de nube privada | Es necesario para acceder a vCenter y NSX Manager desde una red local. |
| 8000 (TCP) | Red local | Red de gestión de nube privada | Es necesario para vMotion de máquinas virtuales de un entorno local a una nube privada. |
| 8000 (TCP) | Red de gestión de nube privada | Red local | Obligatorio para vMotion de máquinas virtuales de la nube privada a on-premise. |
Puertos comunes necesarios para acceder a las VMs de carga de trabajo
Para acceder a las máquinas virtuales de carga de trabajo que se ejecutan en tu nube privada, debes abrir puertos en tu cortafuegos local. En la siguiente tabla se enumeran los puertos habituales. Para conocer los requisitos de puertos específicos de cada aplicación, consulta la documentación de la aplicación.
| Puerto | Fuente | Destino | Finalidad |
|---|---|---|---|
| 22 (TCP) | Red local | Red de carga de trabajo de nube privada | Acceso de shell seguro a máquinas virtuales Linux que se ejecutan en una nube privada. |
| 3389 (TCP) | Red local | Red de carga de trabajo de nube privada | Acceso remoto a máquinas virtuales de Windows Server que se ejecutan en una nube privada. |
| 80 (TCP) | Red local | Red de carga de trabajo de nube privada | Acceder a cualquier servidor web implementado en máquinas virtuales que se ejecuten en una nube privada. |
| 443 (TCP) | Red local | Red de carga de trabajo de nube privada | Accede a cualquier servidor web seguro implementado en máquinas virtuales que se ejecuten en una nube privada. |
| 389 (TCP/UDP) | Red de carga de trabajo de nube privada | Red de Active Directory local | Unir máquinas virtuales de cargas de trabajo de Windows Server a un dominio de Active Directory local. |
| 53 (UDP) | Red de carga de trabajo de nube privada | Red de Active Directory local | Acceso al servicio DNS para máquinas virtuales con cargas de trabajo a servidores DNS on-premise. |
Puertos necesarios para usar Active Directory local como fuente de identidad
Para ver una lista de los puertos necesarios para configurar tu Active Directory local como fuente de identidad en el vCenter de la nube privada, consulta Configurar la autenticación mediante Active Directory.