網路需求
Google Cloud VMware Engine 提供私有雲環境,可供地端部署環境、企業管理裝置和Google Cloud 虛擬私有雲 (VPC) 等服務的使用者和應用程式存取。如要在 VMware Engine 私有雲和其他網路之間建立連線,請使用 Cloud VPN 和 Cloud Interconnect 等網路服務。
部分網路服務需要使用者指定的位址範圍,才能啟用功能。為協助您規劃部署作業,本頁面列出網路需求和相關聯的功能。
事前準備
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud DNS and VMware Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud DNS and VMware Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
必要的角色
如要取得完成本快速入門導覽課程所需的權限,請要求管理員在專案中授予您「VMware Engine 檢視者 」(roles/vmwareengine.vmwareengineViewer) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
VMware Engine 私有雲連線
如要瞭解私有雲網路的相關資訊,請參閱「VMware Engine 的私有雲網路」。
從虛擬私有雲網路連線至 Standard VMware Engine 網路時,會使用 VPC 網路對等互連。
使用 Cloud DNS 解析全域位址
如要使用 Cloud DNS 進行全域位址解析,請務必先完成 Cloud DNS 設定,再建立私有雲。
CIDR 規定和限制
VMware Engine 會使用設定的位址範圍,提供主機管理設備和部署 HCX 網路等服務。部分位址範圍為必要,其他則取決於您打算部署的服務。
您必須保留位址範圍,確保這些範圍不會與任何地端部署子網路、虛擬私有雲網路子網路或規劃的工作負載子網路重疊。
此外,工作負載 VM 和 vSphere/vSAN 子網路 CIDR 範圍不得與下列範圍內的任何 IP 位址重疊:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere/vSAN 子網路 CIDR 範圍
VMware Engine 會在您建立私有雲時提供的 vSphere/vSAN 子網路 CIDR 範圍中,部署私有雲的管理元件。這個範圍內的 IP 位址會保留給私有雲基礎架構,無法用於工作負載 VM。CIDR 範圍前置字串必須介於 /24 和 /20 之間。
私有雲中的每個節點都有 5 個 VMkernel 連接埠,供 VMware 系統使用:ESXi 管理、vMotion、vSAN、NSX-T 和 HCXIX。每個 VMkernel 連接埠都會耗用 vSphere/vSAN 子網路 CIDR 範圍中的一個 IP 位址。
vSphere/vSAN 子網路 CIDR 範圍大小
vSphere/vSAN 子網路 CIDR 範圍的大小會影響私有雲的大小上限。下表列出根據 vSphere/vSAN 子網路 CIDR 範圍大小,可擁有的節點數量上限。
| 指定的 vSphere/vSAN 子網路 CIDR 前置字串 | 節點數量上限 |
|---|---|
| /24 | 10 |
| /23 | 20 |
| /22 | 40 |
| /21 | 90 |
| /20 | 200 |
選取 CIDR 範圍前置字串時,請考量私有雲中資源的節點限制。舉例來說,CIDR 範圍前置字串 /24 和 /23 不支援私有雲可用的節點數量上限。或者,/20 的 CIDR 範圍前置字串支援的節點數量,會超過 Private Cloud 目前的節點數量上限。
管理網路 CIDR 範圍劃分範例
您指定的 vSphere/vSAN 子網路 CIDR 範圍會劃分為多個子網路。下表以 10.0.0.0 為 CIDR 範圍,列出允許的前置字元細目範例。
| 函式 | 子網路遮罩/前置字元 | |||||
|---|---|---|---|---|---|---|
| vSphere/vSAN 子網路 CIDR 範圍 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| 系統管理 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX 傳輸 | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| HCX 上行 | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX Edge 上行鏈路 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX Edge 上行鏈路 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX Edge 上行鏈路 3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX Edge 上行鏈路 4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
HCX 和 NSX Edge 擴充
| 指定的 vSphere/vSAN 子網路 CIDR 前置字串 | 遠端 HCX 網站數量上限 | HCX 網路擴充設備數量上限 | NSX Edge VM 數量上限 |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
VMware Engine 的私人服務連線
下表說明私人連線至 Google Cloud 服務的位址範圍規定。
| 名稱/用途 | 說明 | CIDR 前置字串 |
|---|---|---|
| 指派的位址範圍 | 用於連線至 Google Cloud 服務 (包括 VMware Engine) 的私人連線位址範圍。 | /24 以上 |
如要進一步瞭解如何設定私人服務存取權,請參閱「設定私人服務存取權」。
VMware Engine 提供的邊緣網路服務
下表說明 VMware Engine 提供的邊緣網路服務的位址範圍需求。
| 名稱/用途 | 說明 | CIDR 前置字串 |
|---|---|---|
| Edge 服務 CIDR | 如果啟用選用的邊緣服務 (例如網際網路存取權和公開 IP),則必須為每個區域設定此項目。 | /26 |
存取私人和受限制的 Google API
根據預設,系統會將私人 199.36.153.8/30 和受限 199.36.153.4/30 CIDR 範圍都發布到 VMware Engine 網路,以支援直接存取 Google 服務。設定 VPC Service Controls 後,即可撤銷 Private CIDR 199.36.153.8/30。
防火牆通訊埠需求
您可以使用站對站 VPN 或 Dedicated Interconnect,設定從地端部署網路到私有雲的連線。您可以使用連線存取 VMware 私有雲 vCenter,以及在私有雲中執行的任何工作負載。
您可以在地端部署網路中使用防火牆,控管連線開啟的通訊埠。本節列出常見的應用程式通訊埠需求。如需其他應用程式的通訊埠需求,請參閱該應用程式的文件。
如要進一步瞭解 VMware 元件使用的連接埠,請參閱「VMware 連接埠和通訊協定」。
存取 vCenter 時所需的通訊埠
如要存取私有雲中的 vCenter Server 和 NSX Manager,請在內部部署防火牆上開啟下列通訊埠:
| 通訊埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|
| 53 (UDP) | 地端部署 DNS 伺服器 | 私有雲 DNS 伺服器 | 從地端部署網路將 gve.goog 的 DNS 查詢轉送至私有雲 DNS 伺服器時,必須使用此功能。 |
| 53 (UDP) | 私有雲 DNS 伺服器 | 地端部署 DNS 伺服器 | 從私有雲 vCenter 將地端部署網域名稱的 DNS 查詢轉送至地端部署 DNS 伺服器時,必須使用這項功能。 |
| 80 (TCP) | 地端部署網路 | 私有雲管理網路 | 將 vCenter 網址從 HTTP 重新導向至 HTTPS 時,必須使用這項設定。 |
| 443 (TCP) | 地端部署網路 | 私有雲管理網路 | 從地端部署網路存取 vCenter 和 NSX Manager 時,必須使用這個 IP 位址。 |
| 8000 (TCP) | 地端部署網路 | 私有雲管理網路 | 從地端部署遷移虛擬機器 (VM) 至私有雲時,必須使用此功能。 |
| 8000 (TCP) | 私有雲管理網路 | 地端部署網路 | 從私有雲 vMotion 至地端部署時必須使用。 |
存取工作負載 VM 時所需的常見通訊埠
如要存取私有雲中執行的工作負載 VM,您必須在地端部署防火牆上開啟通訊埠。下表列出常見的通訊埠。如需任何應用程式專屬的通訊埠需求,請參閱應用程式說明文件。
| 通訊埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|
| 22 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 安全殼層存取在私有雲上執行的 Linux VM。 |
| 3389 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 遠端連線至在私有雲上執行的 Windows Server VM。 |
| 80 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 存取部署在私有雲端 VM 上的任何網頁伺服器。 |
| 443 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 存取部署在私有雲 VM 上的任何安全網頁伺服器。 |
| 389 (TCP/UDP) | 私有雲工作負載網路 | 地端部署 Active Directory 網路 | 將 Windows Server 工作負載 VM 加入地端部署 Active Directory 網域。 |
| 53 (UDP) | 私有雲工作負載網路 | 地端部署 Active Directory 網路 | 工作負載 VM 存取地端部署 DNS 伺服器的 DNS 服務。 |
將地端部署 Active Directory 做為識別資訊來源時所需的通訊埠
如要瞭解在私有雲 vCenter 上將地端部署 Active Directory 設定為識別資訊來源時,需要使用的通訊埠清單,請參閱「使用 Active Directory 設定驗證」。