Exigences de mise en réseau

Google Cloud VMware Engine offre un environnement cloud privé accessible aux utilisateurs et aux applications des environnements sur site, des appareils gérés par l'entreprise et des servicesGoogle Cloud tels que le cloud privé virtuel (VPC). Pour connecter les clouds privés VMware Engine à d'autres réseaux, vous utilisez des services de mise en réseau tels que Cloud VPN et Cloud Interconnect.

Certains services réseau nécessitent des plages d'adresses spécifiées par l'utilisateur pour l'activation de la fonctionnalité. Pour vous aider à planifier votre déploiement, cette page répertorie les conditions de mise en réseau et les fonctionnalités associées.

Avant de commencer

  • Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  • Si vous utilisez un projet existant pour ce guide, vérifiez que vous disposez des autorisations nécessaires pour le suivre. Si vous avez créé un projet, vous disposez déjà des autorisations requises.

  • Verify that billing is enabled for your Google Cloud project.

  • Enable the Cloud DNS and VMware Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  • Si vous utilisez un projet existant pour ce guide, vérifiez que vous disposez des autorisations nécessaires pour le suivre. Si vous avez créé un projet, vous disposez déjà des autorisations requises.

  • Verify that billing is enabled for your Google Cloud project.

  • Enable the Cloud DNS and VMware Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    •

    Rôles requis

    Pour obtenir les autorisations nécessaires pour suivre ce guide de démarrage rapide, demandez à votre administrateur de vous accorder le rôle IAM Lecteur VMware Engine (roles/vmwareengine.vmwareengineViewer) sur le projet. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

    Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

    Connectivité à un cloud privé depuis VMware Engine

    Pour obtenir une présentation de la mise en réseau de cloud privé, consultez Mise en réseau de cloud privé pour VMware Engine.

    La connexion de votre réseau VPC à un réseau VMware Engine standard utilise l'appairage de réseaux VPC.

    Résolution d'adresse globale à l'aide de Cloud DNS

    Si vous souhaitez effectuer une résolution d'adresses globale à l'aide de Cloud DNS, vous devez terminer la configuration de Cloud DNS avant de créer votre cloud privé.

    Exigences et restrictions CIDR

    VMware Engine utilise des plages d'adresses définies pour des services tels que l'hébergement de dispositifs de gestion et le déploiement de réseaux HCX. Certaines plages d'adresses sont obligatoires, tandis que d'autres dépendent des services que vous prévoyez de déployer.

    Vous devez réserver des plages d'adresses de sorte qu'elles ne chevauchent pas vos sous-réseaux sur site, vos sous-réseaux de réseau VPC ou vos sous-réseaux de charges de travail planifiées.

    De plus, vos VM de charge de travail et la plage CIDR de sous-réseau vSphere/vSAN ne doivent chevaucher aucune adresse IP des plages suivantes :

    • 127.0.0.0/8
    • 224.0.0.0/4
    • 0.0.0.0/8
    • 169.254.0.0/16
    • 198.18.0.0/15
    • 240.0.0.0/4

    Plage CIDR de sous-réseaux vSphere/vSAN

    VMware Engine déploie les composants de gestion d'un cloud privé dans la plage CIDR des sous-réseaux vSphere/vSAN que vous fournissez lors de la création du cloud privé. Les adresses IP de cette plage sont réservées à l'infrastructure cloud privée et ne peuvent pas être utilisées pour les VM de charge de travail. Le préfixe de la plage CIDR doit être compris entre /24 et /20.

    Versions de la division de la plage CIDR des sous-réseaux

    Les clouds privés créés après novembre 2022 respectent les allocations de sous-réseaux de la version 2.0 de la disposition des adresses IP (plan d'adresses IP). Presque tous les clouds privés créés avant novembre 2022 respectent les allocations de sous-réseaux de la version 1.0 du plan d'adressage IP.

    Pour connaître la version à laquelle votre cloud privé adhère, procédez comme suit :

    1. Dans la console Google Cloud , accédez à la page Clouds privés.

      Accéder aux Private Clouds

    2. Cliquez sur Sélectionner un projet, puis sélectionnez l'organisation, le dossier ou le projet dans lequel se trouve le cloud privé.

    3. Cliquez sur le cloud privé que vous souhaitez examiner.

    4. Recherchez Version du plan d'adressage IP pour connaître la version utilisée par ce cloud privé.

    Le numéro de version s'affiche sous Version du plan IP.

    Taille de la plage CIDR des sous-réseaux vSphere/vSAN

    La taille de votre plage CIDR des sous-réseaux vSphere/vSAN affecte la taille maximale de votre cloud privé. Le tableau suivant indique le nombre maximal de nœuds que vous pouvez avoir, en fonction de la taille de la plage CIDR des sous-réseaux vSphere/vSAN.

    Préfixe CIDR de sous-réseaux vSphere/vSAN spécifié Nombre maximal de nœuds (version 1.0 du plan d'adresses IP) Nombre maximal de nœuds (version 2.0 du plan d'adresses IP)
    /24 26 10
    /23 58 20
    /22 118 40
    /21 200 90
    /20 N/A 200

    Lorsque vous sélectionnez votre préfixe de plage CIDR, tenez compte des limites de nœuds sur les ressources dans un cloud privé. Par exemple, les préfixes de plage CIDR /24 et /23 ne sont pas compatibles avec le nombre maximal de nœuds disponibles pour un cloud privé. En revanche, les préfixes de plage CIDR /20 sont compatibles avec un nombre de nœuds supérieur au nombre maximal actuellement disponible pour un cloud privé.

    Exemple de répartition de la plage CIDR du réseau de gestion

    La plage CIDR de sous-réseaux vSphere/vSAN spécifiée est divisée en plusieurs sous-réseaux. Les tableaux suivants montrent des exemples de répartition des préfixes autorisés. Le premier ensemble d'exemples utilise 192.168.0.0 comme plage CIDR pour la version 1.0 du plan d'adresses IP, et le deuxième ensemble d'exemples utilise 10.0.0.0 pour la version 2.0 du plan d'adresses IP.

    Fonction Masque/Préfixe de sous-réseau (version 1.0 du plan d'adressage IP)
    Plage CIDR de sous-réseaux vSphere/vSAN 192.168.0.0/21 192.168.0.0/22 192.168.0.0/23 192.168.0.0/24
    Gestion système 192.168.0.0/24 192.168.0.0/24 192.168.0.0/25 192.168.0.0/26
    vMotion 192.168.1.0/24 192.168.1.0/25 192.168.0.128/26 192.168.0.64/27
    vSAN 192.168.2.0/24 192.168.1.128/25 192.168.0.192/26 192.168.0.96/27
    Transport d'hôte NSX 192.168.4.0/23 192.168.2.0/24 192.168.1.0/25 192.168.0.128/26
    Transport edge NSX 192.168.7.208/28 192.168.3.208/28 192.168.1.208/28 192.168.0.208/28
    NSX-T Edge liaison montante 1 192.168.7.224/28 192.168.3.224/28 192.168.1.224/28 192.168.0.224/28
    NSX Edge liaison montante 2 192.168.7.240/28 192.168.3.240/28 192.168.1.240/28 192.168.0.240/28
    Fonction Masque/Préfixe de sous-réseau (version 2.0 du plan d'adressage IP)
    Plage CIDR de sous-réseaux vSphere/vSAN 10.0.0.0/20 10.0.0.0/21 10.0.0.0/22 10.0.0.0/23 10.0.0.0/24
    Gestion système 10.0.0.0/22 10.0.0.0/23 10.0.0.0/24 10.0.0.0/25 10.0.0.0/26
    vMotion 10.0.4.0/24 10.0.2.0/25 10.0.1.0/26 10.0.0.128/27 10.0.0.64/28
    vSAN 10.0.5.0/24 10.0.2.128/25 10.0.1.64/26 10.0.0.160/27 10.0.0.80/28
    Transport NSX 10.0.6.0/23 10.0.3.0/24 10.0.1.128/25 10.0.0.192/26 10.0.0.128/27
    Liaison montante HCX 10.0.11.128/25 10.0.6.0/26 10.0.3.32/27 10.0.1.144/28 10.0.0.216/29
    NSX-T Edge liaison montante 1 10.0.8.0/28 10.0.4.0/28 10.0.2.0/28 10.0.1.0/28 10.0.0.160/29
    NSX Edge liaison montante 2 10.0.8.16/28 10.0.4.16/28 10.0.2.16/28 10.0.1.16/28 10.0.0.168/29
    NSX-T liaison montante 3 10.0.8.32/28 10.0.4.32/28 10.0.2.32/28 10.0.1.32/28 10.0.0.176/29
    NSX Edge liaison montante 4 10.0.8.48/28 10.0.4.48/28 10.0.2.48/28 10.0.1.48/28 10.0.0.184/29

    Scalabilité de HCX et NSX Edge (plan d'adresses IP version 2.0 uniquement)

    Préfixe CIDR de sous-réseaux vSphere/vSAN spécifié Nombre maximal de sites HCX distants Nombre maximal de dispositifs d'extension réseau HCX Nombre maximal de VM NSX Edge
    /24 2 1 2
    /23 4 2 4
    /22 14 8 8
    /21 25 32 8
    /20 25 64 8

    Plage CIDR du réseau de déploiement HCX (version 1.0 du plan d'adresses IP uniquement)

    Dans la version 1.0 du plan d'adresses IP, HCX n'était pas intégré à la plage CIDR des sous-réseaux vSphere/vSAN. Lorsque vous avez créé un cloud privé, vous pouviez éventuellement demander à VMware Engine d'installer HCX sur le cloud privé en spécifiant une plage CIDR du réseau à utiliser par les composants HCX. Le préfixe de la plage CIDR était /26 ou /27.

    VMware Engine a divisé le réseau que vous avez fourni en trois sous-réseaux :

    • Gestion HCX : permet d'installer HCX Manager.
    • HCX vMotion : utilisé pour la migration vMotion de VM entre votre environnement sur site et le cloud privé VMware Engine.
    • HCX WANUplink : utilisé pour établir le tunnel entre votre environnement sur site et le cloud privé VMware Engine.

    Exemple de répartition de la plage CIDR HCX

    La plage CIDR de déploiement HCX que vous spécifiez est divisée en plusieurs sous-réseaux. Le tableau suivant montre des exemples de répartition des préfixes autorisés. Les exemples utilisent 192.168.1.0 comme plage CIDR.

    Fonction Masque/Préfixe de sous-réseau
    Plage CIDR du réseau de déploiement HCX 192.168.1.0/26 192.168.1.64/26 192.168.1.0/27 192.168.1.32/27
    HCX Manager 192.168.1.13 192.168.1.77 192.168.1.13 192.168.1.45

    Accès aux services privés dans VMware Engine

    Le tableau suivant décrit les exigences relatives à la plage d'adresses pour les connexions privées aux services Google Cloud .

    Nom/Objectif Description Préfixe CIDR
    Plage d'adresses attribuée Plage d'adresses à utiliser pour la connexion privée aux services Google Cloud , y compris VMware Engine. /24 ou supérieur

    Pour en savoir plus sur la configuration de l'accès aux services privés, consultez Configurer l'accès aux services privés.

    Services de mise en réseau Edge fournis par VMware Engine

    Le tableau suivant décrit l'exigence de plage d'adresses pour les services de mise en réseau Edge fournie par VMware Engine.

    Nom/Objectif Description Préfixe CIDR
    CIDR pour les services Edge Obligatoire si les services de périphérie facultatifs (accès Internet et adresse IP publique) sont activés par région. /26

    Accéder aux API Google privées et restreintes

    Par défaut, les CIDR privés 199.36.153.8/30 et restreints 199.36.153.4/30 sont annoncés dans le réseau VMware Engine pour permettre un accès direct aux services Google. Le CIDR privé 199.36.153.8/30 peut être rétracté lors de la configuration de VPC Service Controls.

    Exigences de port de pare-feu

    Vous pouvez configurer une connexion entre votre réseau sur site et votre cloud privé en utilisant un VPN de site à site ou une interconnexion dédiée. Utilisez la connexion pour accéder à votre cloud privé vCenter VMware et à toute charge de travail exécutée dans le cloud privé.

    Vous pouvez contrôler les ports qui sont ouverts sur la connexion à l'aide d'un pare-feu déployé sur votre réseau sur site. Cette section répertorie les exigences concernant les ports utilisés par les applications les plus courantes. Pour connaître les exigences de ports d'autres applications, consultez la documentation de l'application concernée.

    Pour plus d'informations sur les ports utilisés pour les composants VMware, consultez la section Ports et protocoles VMware.

    Ports requis pour accéder à vCenter

    Pour accéder à vCenter Server et NSX Manager dans votre cloud privé, ouvrez les ports suivants sur le pare-feu sur site :

    Port Source Destination Usage
    53 (UDP) Serveurs DNS sur site Serveurs DNS du cloud privé Requis pour la redirection de la résolution DNS de gve.goog vers les serveurs DNS du cloud privé à partir d'un réseau sur site.
    53 (UDP) Serveurs DNS du cloud privé Serveurs DNS sur site Requis pour la redirection de la résolution DNS des noms de domaine sur site à partir du cloud privé vCenter vers les serveurs DNS sur site.
    80 (TCP) Réseau sur site Réseau de gestion du cloud privé Requis pour la redirection des URL vCenter de HTTP vers HTTPS.
    443 (TCP) Réseau sur site Réseau de gestion du cloud privé Requis pour l'accès à vCenter et à NSX Manager à partir d'un réseau sur site.
    8000 (TCP) Réseau sur site Réseau de gestion du cloud privé Requis pour la migration vMotion de machines virtuelles (VM) sur site vers le cloud privé.
    8000 (TCP) Réseau de gestion du cloud privé Réseau sur site Requis pour la migration vMotion de VM depuis un cloud privé vers un cloud sur site.

    Ports courants requis pour accéder aux VM de charge de travail

    Pour accéder aux VM de charge de travail qui s'exécutent sur votre cloud privé, vous devez ouvrir des ports sur votre pare-feu sur site. Le tableau suivant répertorie les ports courants. Pour connaître les exigences de port spécifiques à une application, consultez la documentation de l'application.

    Port Source Destination Usage
    22 (TCP) Réseau sur site Réseau de charge de travail du cloud privé Accès sécurisé via l'interface système aux machines virtuelles Linux exécutées sur un cloud privé.
    3389 (TCP) Réseau sur site Réseau de charge de travail du cloud privé Bureau à distance vers des VM Windows Server s'exécutant sur un cloud privé.
    80 (TCP) Réseau sur site Réseau de charge de travail du cloud privé Accédez à tous les serveurs Web déployés sur des VM exécutées sur un cloud privé.
    443 (TCP) Réseau sur site Réseau de charge de travail du cloud privé Accédez à tous les serveurs Web sécurisés déployés sur des VM exécutées sur un cloud privé.
    389 (TCP/UDP) Réseau de charge de travail du cloud privé Réseau Active Directory sur site Associez les VM de charge de travail Windows Server à un domaine Active Directory sur site.
    53 (UDP) Réseau de charge de travail du cloud privé Réseau Active Directory sur site Accès au service DNS pour les VM de charge de travail vers les serveurs DNS sur site.

    Ports requis pour l'utilisation d'Active Directory sur site comme source d'identité

    Pour obtenir la liste des ports requis pour configurer votre environnement Active Directory sur site en tant que source d'identité sur le cloud privé vCenter, consultez la section Configurer l'authentification à l'aide d'Active Directory.