Requisitos de Herramientas de redes

Google Cloud VMware Engine ofrece un entorno de nube privada accesible para los usuarios y las aplicaciones de entornos locales, dispositivos administrados por empresas yGoogle Cloud servicios como la nube privada virtual (VPC). Para establecer la conectividad entre las nubes privadas de VMware Engine y otras redes, usa servicios de herramientas de redes como Cloud VPN y Cloud Interconnect.

Algunos servicios de red requieren rangos de direcciones especificados por el usuario para habilitar la funcionalidad. Para ayudarte a planificar tu implementación, en esta página se describen los requisitos de herramientas de redes y sus características asociadas.

Antes de comenzar

  • Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  • If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  • Verify that billing is enabled for your Google Cloud project.

  • Enable the Cloud DNS and VMware Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  • If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  • Verify that billing is enabled for your Google Cloud project.

  • Enable the Cloud DNS and VMware Engine APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    •

    Roles obligatorios

    Si quieres obtener los permisos que necesitas para completar esta guía de inicio rápido, pídele a tu administrador que te otorgue el rol de IAM de Visualizador de VMware Engine (roles/vmwareengine.vmwareengineViewer) en el proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

    Conectividad a la nube privada de VMware Engine

    Para obtener una descripción general de las redes de nubes privadas, consulta Herramientas de redes de nube privada para VMware Engine.

    La conexión de tu red de VPC a una red de VMware Engine estándar usa el intercambio de tráfico entre redes de VPC.

    Resolución global de direcciones con Cloud DNS

    Si deseas resolución global de direcciones con Cloud DNS, debes completar la configuración de Cloud DNS antes de crear tu nube privada.

    Requisitos y restricciones de CIDR

    VMware Engine usa rangos de direcciones configurados para servicios como alojar dispositivos de administración e implementar redes de HCX. Algunos rangos de direcciones son obligatorios y otros dependen de los servicios que planeas implementar.

    Debes reservar rangos de direcciones para que no se superpongan con ninguna de tus subredes locales, subredes y redes de VPC o subredes planificadas de carga de trabajo.

    Además, las VM de carga de trabajo y el rango CIDR de la subred de vSphere/vSAN no deben superponerse con ninguna dirección IP en los siguientes rangos:

    • 127.0.0.0/8
    • 224.0.0.0/4
    • 0.0.0.0/8
    • 169.254.0.0/16
    • 198.18.0.0/15
    • 240.0.0.0/4

    Rango de CIDR de las subredes de vSphere o vSAN

    VMware Engine implementa los componentes de administración de una nube privada en el rango de CIDR de las subredes de vSphere/vSAN que proporcionas durante la creación de las nubes privadas. Las direcciones IP de este rango están reservadas para la infraestructura de nube privada y no se pueden usar en las VM de cargas de trabajo. El prefijo del rango de CIDR debe estar entre /24 y /20.

    Cada nodo de la nube privada tiene 5 puertos VMkernel para el uso del sistema VMware: administración de ESXi, vMotion, vSAN, NSX-T y HCXIX. Cada uno de estos puertos VMkernel consume una dirección IP del rango de CIDR de las subredes de vSphere/vSAN.

    Tamaño del rango de CIDR de las subredes de vSphere o vSAN

    El tamaño del rango de CIDR de las subredes de vSphere o vSAN afecta el tamaño máximo de la nube privada. En la siguiente tabla, se muestra la cantidad máxima de nodos que puedes tener, según el tamaño del CIDR del rango de las subredes de vSphere o vSAN.

    Prefijo o CIDR especificado de las subredes de vSphere o vSAN Cantidad máxima de nodos
    /24 10
    /23 20
    /22 40
    /21 90
    /20 200

    Cuando selecciones tu prefijo de rango de CIDR, considera los límites de nodos en los recursos de una nube privada. Por ejemplo, los prefijos del rango de CIDR de /24 y /23 no son compatibles con la cantidad máxima de nodos disponibles para una nube privada. Como alternativa, los prefijos del rango de CIDR de /20 admiten más nodos que la cantidad máxima actual disponible para una nube privada.

    Ejemplo de división del rango de CIDR de la red de administración

    El rango de CIDR de las subredes de vSphere o vSAN que especificas se divide en varias subredes. En la siguiente tabla, se muestra un ejemplo del desglose para los prefijos admitidos con 10.0.0.0 como el rango de CIDR.

    Función Máscara o prefijo de subred
    Rango de CIDR de las subredes de vSphere o vSAN 10.0.0.0/20 10.0.0.0/21 10.0.0.0/22 10.0.0.0/23 10.0.0.0/24
    Administración del sistema 10.0.0.0/22 10.0.0.0/23 10.0.0.0/24 10.0.0.0/25 10.0.0.0/26
    vMotion 10.0.4.0/24 10.0.2.0/25 10.0.1.0/26 10.0.0.128/27 10.0.0.64/28
    vSAN 10.0.5.0/24 10.0.2.128/25 10.0.1.64/26 10.0.0.160/27 10.0.0.80/28
    Transporte de NSX 10.0.6.0/23 10.0.3.0/24 10.0.1.128/25 10.0.0.192/26 10.0.0.128/27
    Uplink de HCX 10.0.11.128/25 10.0.6.0/26 10.0.3.32/27 10.0.1.144/28 10.0.0.216/29
    Uplink1 de NSX Edge 10.0.8.0/28 10.0.4.0/28 10.0.2.0/28 10.0.1.0/28 10.0.0.160/29
    Uplink2 de NSX Edge 10.0.8.16/28 10.0.4.16/28 10.0.2.16/28 10.0.1.16/28 10.0.0.168/29
    Uplink3 de NSX Edge 10.0.8.32/28 10.0.4.32/28 10.0.2.32/28 10.0.1.32/28 10.0.0.176/29
    Uplink4 de NSX Edge 10.0.8.48/28 10.0.4.48/28 10.0.2.48/28 10.0.1.48/28 10.0.0.184/29

    Ajuste de escala de HCX y NSX Edge

    Prefijo o CIDR especificado de las subredes de vSphere o vSAN Cantidad máxima de sitios remotos de HCX Cantidad máxima de dispositivos de extensión de red de HCX Cantidad máxima de VMs de NSX Edge
    /24 2 1 2
    /23 4 2 4
    /22 14 8 8
    /21 25 32 8
    /20 25 64 8

    Acceso privado a servicios a VMware Engine

    En la siguiente tabla, se describe el requisito de rango de direcciones para la conexión privada a los servicios de Google Cloud .

    Nombre y propósito Descripción Prefijo de CIDR
    Rango de direcciones asignado Es el rango de direcciones que se usará para la conexión privada a los servicios de Google Cloud , incluido VMware Engine. /24 o superior

    Para obtener más información sobre cómo configurar el acceso privado a los servicios, consulta Configura el acceso privado a los servicios.

    Los servicios de Herramientas de redes perimetrales que proporciona VMware Engine

    En la siguiente tabla, se describe el requisito de rango de direcciones para los servicios de Herramientas de redes perimetrales que proporciona VMware Engine.

    Nombre y propósito Descripción Prefijo de CIDR
    CIDR de servicios perimetrales Es obligatorio si los servicios perimetrales opcionales, como el acceso a Internet y la IP pública, están habilitados por región. /26

    Cómo acceder a las APIs privadas y restringidas de Google

    De forma predeterminada, los CIDR privados 199.36.153.8/30 y restringidos 199.36.153.4/30 se anuncian en la red de VMware Engine para admitir el acceso directo a los servicios de Google. El CIDR privado 199.36.153.8/30 se puede retirar tras la configuración de los Controles del servicio de VPC.

    Requisitos del puerto de firewall

    Puedes configurar una conexión desde tu red local a tu nube privada mediante una VPN de sitio a sitio o una interconexión dedicada. Usa la conexión para acceder a tu vCenter de nube privada de VMware y a las cargas de trabajo que ejecutas en la nube privada.

    Puedes controlar qué puertos se abren en la conexión mediante un firewall en tu red local. En esta sección, se enumeran los requisitos comunes de puerto de las aplicaciones. Para conocer los requisitos de puerto de cualquier otra aplicación, consulta la documentación de esa aplicación.

    Para obtener más información sobre los puertos que se usan para los componentes de VMware, consulta Puertos y protocolos de VMware.

    Puertos necesarios para acceder a vCenter

    Para acceder al servidor de vCenter y al administrador de NSX en tu nube privada, abre los siguientes puertos en el firewall local:

    Puerto Origen Destino Objetivo
    53 (UDP) Servidores DNS locales Servidores DNS de nube privada Es obligatorio para reenviar la búsqueda de DNS de gve.goog a servidores DNS de nube privada desde una red local.
    53 (UDP) Servidores DNS de nube privada Servidores DNS locales Es obligatorio para reenviar la búsqueda de DNS de los nombres de dominio locales desde el vCenter de nube privada a los servidores DNS locales.
    80 (TCP) Red local Red de administración de nube privada Es obligatorio para redireccionar la URL de vCenter de HTTP a HTTPS.
    443 (TCP) Red local Red de administración de nube privada Es obligatorio para acceder a vCenter y NSX Manager desde una red local.
    8000 (TCP) Red local Red de administración de nube privada Es obligatorio para vMotion de máquinas virtuales (VM) desde las instalaciones a la nube privada.
    8000 (TCP) Red de administración de nube privada Red local Es obligatorio para vMotion de VM de la nube privada a las instalaciones.

    Puertos comunes necesarios para acceder a las VM de carga de trabajo

    Para acceder a las VMs de cargas de trabajo que se ejecutan en tu nube privada, debes abrir puertos en tu firewall local. En la siguiente tabla, se enumeran los puertos comunes. Para conocer los requisitos de puerto específicos de la aplicación, consulta la documentación de la aplicación.

    Puerto Origen Destino Objetivo
    22 (TCP) Red local Red de carga de trabajo en la nube privada Acceso de shell seguro a las VM de Linux que se ejecutan en la nube privada
    3389 (TCP) Red local Red de carga de trabajo en la nube privada Escritorio remoto para VM de Windows Server que se ejecutan en la nube privada
    80 (TCP) Red local Red de carga de trabajo en la nube privada Acceder a cualquier servidor web implementado en las VM que se ejecutan en la nube privada
    443 (TCP) Red local Red de carga de trabajo en la nube privada Acceder a cualquier servidor web seguro implementado en las VM que se ejecutan en la nube privada
    389 (TCP/UDP) Red de carga de trabajo en la nube privada Red de Active Directory local Unir las VM de carga de trabajo de Windows Server al dominio de Active Directory local
    53 (UDP) Red de carga de trabajo en la nube privada Red de Active Directory local Acceder al servicio de DNS para VM de carga de trabajo en servidores DNS locales

    Puertos necesarios para usar Active Directory local como fuente de identidad

    Si deseas obtener una lista de puertos necesarios para configurar tu Active Directory local como una fuente de identidad en la nube privada de vCenter, consulta Configura la autenticación con Active Directory.