דרישות רשת
Google Cloud VMware Engine מציע סביבת ענן פרטי שמשתמשים ואפליקציות יכולים לגשת אליה מסביבות מקומיות, ממכשירים שמנוהלים על ידי ארגונים ומGoogle Cloud שירותים כמו ענן וירטואלי פרטי (VPC). כדי ליצור קישוריות בין עננים פרטיים של VMware Engine לבין רשתות אחרות, משתמשים בשירותי רשת כמו Cloud VPN ו-Cloud Interconnect.
חלק משירותי הרשת דורשים טווחי כתובות שצוינו על ידי המשתמש כדי להפעיל פונקציונליות. כדי לעזור לכם לתכנן את הפריסה, בדף הזה מפורטים דרישות הרשת והתכונות שקשורות אליהן.
לפני שמתחילים
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud DNS and VMware Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.
Verify that billing is enabled for your Google Cloud project.
Enable the Cloud DNS and VMware Engine APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
התפקידים הנדרשים
כדי לקבל את ההרשאות שנדרשות להשלמת המדריך הזה להתחלה מהירה, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM VMware Engine Viewer (roles/vmwareengine.vmwareengineViewer) בפרויקט.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
קישוריות לענן פרטי ב-VMware Engine
סקירה כללית על רשתות בענן פרטי זמינה במאמר רשתות בענן פרטי ל-VMware Engine.
החיבור מרשת ה-VPC לרשת VMware Engine רגילה משתמש בקישור בין רשתות VPC.
רזולוציית כתובות גלובלית באמצעות Cloud DNS
אם רוצים פתרון גלובלי של כתובות באמצעות Cloud DNS, צריך להשלים את ההגדרה של Cloud DNS לפני שיוצרים את הענן הפרטי.
דרישות והגבלות של CIDR
VMware Engine משתמש בטווחים מוגדרים של כתובות לשירותים כמו מכשירי ניהול אירוח ופריסת רשתות HCX. חלק מטווח כתובות חובה וחלק תלוי בשירותים שאתם מתכננים לפרוס.
צריך להזמין טווחי כתובות כך שלא תהיה חפיפה ביניהם לבין תת-רשתות מקומיות, תת-רשתות של רשתות VPC או תת-רשתות של עומסי עבודה מתוכננים.
בנוסף, טווח ה-CIDR של רשת המשנה של מכונות ה-VM של עומס העבודה ושל vSphere/vSAN לא יכול לחפוף לכתובות IP בטווחים הבאים:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
טווח CIDR של רשתות משנה ב-vSphere/vSAN
VMware Engine פורס רכיבי ניהול של ענן פרטי בטווח ה-CIDR של רשתות המשנה vSphere/vSAN שאתם מספקים במהלך יצירת הענן הפרטי. כתובות IP בטווח הזה שמורות לתשתית של ענן פרטי, ואי אפשר להשתמש בהן למכונות וירטואליות של עומסי עבודה. התחילית של טווח ה-CIDR צריכה להיות בין /24 לבין /20.
לכל צומת בענן הפרטי יש 5 יציאות VMkernel לשימוש במערכת VMware: ESXi management, vMotion, vSAN, NSX-T ו-HCXIX. כל אחת מיציאות ה-VMkernel האלה צורכת כתובת IP אחת מטווח ה-CIDR של תת-הרשתות vSphere/vSAN.
גרסאות של חלוקת טווח CIDR של רשתות משנה
עננים פרטיים שנוצרו אחרי נובמבר 2022 פועלים בהתאם לפריסת כתובות ה-IP (תוכנית IP) בגרסה 2.0 של הקצאות תת-רשתות. כמעט כל העננים הפרטיים שנוצרו לפני נובמבר 2022 פועלים לפי הקצאות של רשתות משנה בגרסה 1.0 של תוכנית כתובות ה-IP.
כדי לברר איזו גרסה מתאימה לענן הפרטי שלכם, מבצעים את השלבים הבאים:
נכנסים לדף Private clouds במסוף Google Cloud .
לוחצים על Select a project (בחירת פרויקט) ואז בוחרים את הארגון, התיקייה או הפרויקט שבהם נמצא הענן הפרטי.
לוחצים על הענן הפרטי שרוצים לבדוק.
כדי לגלות באיזו גרסה של ענן פרטי אתם משתמשים, חפשו את IP Plan version.
מספר הגרסה מוצג בקטע IP Plan version (גרסת תוכנית ה-IP).
גודל טווח ה-CIDR של רשתות המשנה ב-vSphere/vSAN
גודל טווח ה-CIDR של רשתות המשנה ב-vSphere/vSAN משפיע על הגודל המקסימלי של הענן הפרטי. בטבלה הבאה מוצג המספר המקסימלי של צמתים שיכולים להיות לכם, על סמך הגודל של טווח ה-CIDR של רשתות המשנה vSphere/vSAN.
| קידומת CIDR של רשתות משנה שצוינו ב-vSphere/vSAN | מספר הצמתים המקסימלי (גרסה 1.0 של תוכנית כתובות IP) | מספר הצמתים המקסימלי (גרסה 2.0 של תוכנית כתובות IP) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 200 | 90 |
| /20 | לא רלוונטי | 200 |
כשבוחרים את הקידומת של טווח ה-CIDR, צריך לקחת בחשבון את מגבלות הצמתים על משאבים בענן פרטי. לדוגמה, קידומות של טווח CIDR /24 ו-/23 לא תומכות במספר המקסימלי של צמתים שזמינים לענן פרטי. לחלופין, קידומות של טווח CIDR /20 תומכות במספר גדול יותר מהמספר המקסימלי הנוכחי של צמתים שזמינים לענן פרטי.
דוגמה לחלוקה של טווח CIDR של רשת ניהול
טווח ה-CIDR של רשתות המשנה של vSphere/vSAN שאתם מציינים מחולק לכמה רשתות משנה. בטבלאות הבאות מוצגות דוגמאות לפירוט של קידומות מותרות. בסט הראשון של הדוגמאות נעשה שימוש ב-192.168.0.0 כטווח CIDR לגרסה 1.0 של תוכנית כתובות ה-IP, ובסט השני של הדוגמאות נעשה שימוש ב-10.0.0.0 לגרסה 2.0 של תוכנית כתובות ה-IP.
| תפקיד | מסכה של רשת משנה/קידומת (גרסה 1.0 של תוכנית כתובות IP) | |||
|---|---|---|---|---|
| טווח CIDR של רשתות משנה ב-vSphere/vSAN | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| ניהול המערכת | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| העברה של מארח NSX | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| NSX edge transport | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX edge uplink1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX edge uplink2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| תפקיד | מסכה של רשת משנה או קידומת (גרסה 2.0 של תוכנית כתובות IP) | |||||
|---|---|---|---|---|---|---|
| טווח CIDR של רשתות משנה ב-vSphere/vSAN | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| ניהול המערכת | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| תחבורה ב-NSX | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| קישור HCX | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX edge uplink1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX edge uplink2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX edge uplink3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX edge uplink4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
שינוי גודל של HCX ו-NSX Edge (גרסה 2.0 של תוכנית ה-IP בלבד)
| קידומת CIDR של רשתות משנה שצוינו ב-vSphere/vSAN | מספר האתרים המקסימלי של HCX מרחוק | מספר מכשירי HCX Network Extension מקסימלי | מספר מכונות ה-VM המקסימלי של NSX Edge |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
טווח CIDR של רשת הפריסה של HCX (גרסה 1.0 של תוכנית ה-IP בלבד)
בגרסה 1.0 של תוכנית כתובות ה-IP, HCX לא שולב בטווח ה-CIDR של רשתות המשנה של vSphere/vSAN. כשיוצרים ענן פרטי, אפשר לציין טווח CIDR של רשת לשימוש של רכיבי HCX, כדי ש-VMware Engine יתקין את HCX בענן הפרטי. קידומת טווח ה-CIDR הייתה /26 או /27.
VMware Engine חילק את הרשת שסיפקתם לשלוש רשתות משנה:
- ניהול HCX: משמש להתקנה של HCX Manager.
- HCX vMotion: משמש ל-vMotion של מכונות וירטואליות בין הסביבה המקומית שלכם לבין הענן הפרטי של VMware Engine.
- HCX WANUplink: משמש ליצירת מנהרה בין הסביבה המקומית לבין הענן הפרטי של VMware Engine.
דוגמה לפירוט של טווח CIDR ב-HCX
טווח ה-CIDR של פריסת HCX שאתם מציינים מחולק לכמה רשתות משנה. בטבלה הבאה מוצגות דוגמאות לפירוט של קידומות מותרות. בדוגמאות נעשה שימוש ב-192.168.1.0 כטווח CIDR.
| תפקיד | מסכה של רשת משנה/קידומת | |||
|---|---|---|---|---|
| טווח CIDR של רשת הפריסה של HCX | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
גישה לשירותים פרטיים ל-VMware Engine
בטבלה הבאה מפורטות הדרישות לגבי טווח הכתובות לחיבור פרטי לשירותי Google Cloud .
| שם/מטרה | תיאור | קידומת CIDR |
|---|---|---|
| טווח הכתובות שהוקצה | טווח כתובות שישמש לחיבור פרטי לשירותים, כולל VMware Engine. Google Cloud | /24 או גדול יותר |
מידע נוסף על הגדרת גישה לשירותים פרטיים זמין במאמר הגדרת גישה לשירותים פרטיים.
שירותי רשת Edge שמסופקים על ידי VMware Engine
בטבלה הבאה מפורטות הדרישות לגבי טווח הכתובות של שירותי רשת קצה שמוצעים על ידי VMware Engine.
| שם/מטרה | תיאור | קידומת CIDR |
|---|---|---|
| CIDR של שירותי Edge | נדרש אם מפעילים שירותי קצה אופציונליים, כמו גישה לאינטרנט וכתובת IP ציבורית, על בסיס אזורי. | /26 |
גישה ל-Google APIs פרטיים ומוגבלים
כברירת מחדל, כתובות ה-CIDR הפרטיות 199.36.153.8/30 והמוגבלות 199.36.153.4/30 מפורסמות ברשת VMware Engine כדי לתמוך בגישה ישירה לשירותי Google. אפשר לבטל את ה-CIDR הפרטי 199.36.153.8/30 אחרי שמגדירים את VPC Service Controls.
דרישות לגבי יציאות בחומת האש
אתם יכולים להגדיר חיבור מהרשת המקומית שלכם לענן הפרטי באמצעות VPN מאתר לאתר או Dedicated Interconnect. להשתמש בחיבור כדי לגשת ל-vCenter של הענן הפרטי של VMware ולכל עומסי העבודה שאתם מפעילים בענן הפרטי.
אתם יכולים לשלוט באילו יציאות נפתחות בחיבור באמצעות חומת אש ברשת המקומית. בקטע הזה מפורטות דרישות נפוצות לגבי יציאות של אפליקציות. לגבי דרישות פורטים של אפליקציות אחרות, אפשר לעיין במסמכי התיעוד של האפליקציה הרלוונטית.
מידע נוסף על פורטים שמשמשים לרכיבי VMware זמין במאמר VMware Ports and Protocols.
יציאות שנדרשות לגישה ל-vCenter
כדי לגשת ל-vCenter Server ול-NSX Manager בענן הפרטי, צריך לפתוח את היציאות הבאות בחומת האש המקומית:
| יציאה | מקור | יעד | מטרה |
|---|---|---|---|
| 53 (UDP) | שרתי DNS מקומיים | שרתי DNS בענן פרטי | נדרש להעברת שאילתת DNS של gve.goog לשרתי DNS בענן פרטי מרשת מקומית. |
| 53 (UDP) | שרתי DNS בענן פרטי | שרתי DNS מקומיים | נדרש להעברת חיפוש DNS של שמות דומיינים מקומיים מ-vCenter בענן פרטי לשרתי DNS מקומיים. |
| 80 (TCP) | רשת מקומית | רשת ניהול של ענן פרטי | נדרש להפניה אוטומטית של כתובת URL של vCenter מ-HTTP ל-HTTPS. |
| 443 (TCP) | רשת מקומית | רשת ניהול של ענן פרטי | נדרש כדי לגשת ל-vCenter ול-NSX Manager מרשת מקומית. |
| 8000 (TCP) | רשת מקומית | רשת ניהול של ענן פרטי | נדרש ל-vMotion של מכונות וירטואליות (VM) משרתים מקומיים לענן פרטי. |
| 8000 (TCP) | רשת ניהול של ענן פרטי | רשת מקומית | נדרש ל-vMotion של מכונות וירטואליות מענן פרטי לשרת מקומי. |
יציאות נפוצות שנדרשות לגישה למכונות וירטואליות של עומסי עבודה
כדי לגשת למכונות וירטואליות של עומסי עבודה שפועלות בענן הפרטי, צריך לפתוח יציאות בחומת האש המקומית. בטבלה הבאה מפורטים פורטים נפוצים. לגבי דרישות ספציפיות של יציאות לאפליקציות, אפשר לעיין במסמכי התיעוד של האפליקציה.
| יציאה | מקור | יעד | מטרה |
|---|---|---|---|
| 22 (TCP) | רשת מקומית | רשת עומסי עבודה בענן פרטי | גישה מאובטחת למעטפת למכונות וירטואליות של Linux שפועלות בענן פרטי. |
| 3389 (TCP) | רשת מקומית | רשת עומסי עבודה בענן פרטי | חיבור מרחוק למכונות וירטואליות של Windows Server שפועלות בענן פרטי. |
| 80 (TCP) | רשת מקומית | רשת עומסי עבודה בענן פרטי | גישה לכל שרתי האינטרנט שנפרסו במכונות וירטואליות שפועלות בענן פרטי. |
| 443 (TCP) | רשת מקומית | רשת עומסי עבודה בענן פרטי | גישה לכל שרתי האינטרנט המאובטחים שנפרסו במכונות וירטואליות שפועלות בענן פרטי. |
| 389 (TCP/UDP) | רשת עומסי עבודה בענן פרטי | רשת Active Directory בארגון | צירוף מכונות וירטואליות של עומסי עבודה של Windows Server לדומיין Active Directory מקומי. |
| 53 (UDP) | רשת עומסי עבודה בענן פרטי | רשת Active Directory בארגון | גישה לשירות DNS למכונות וירטואליות של עומסי עבודה לשרתי DNS מקומיים. |
יציאות שנדרשות לשימוש ב-Active Directory מקומי כמקור זהות
רשימת הפורטים שנדרשים להגדרת Active Directory מקומי כמקור זהויות בענן הפרטי vCenter מופיעה במאמר הגדרת אימות באמצעות Active Directory.