本頁面由 Cloud Translation API 翻譯而成。

網路需求

Google Cloud VMware Engine 提供私有雲環境，可供地端環境、企業管理裝置和Google Cloud 虛擬私有雲 (VPC) 等服務的使用者和應用程式存取。如要在 VMware Engine 私有雲和其他網路之間建立連線，請使用 Cloud VPN 和 Cloud Interconnect 等網路服務。

部分網路服務需要使用者指定的位址範圍，才能啟用功能。為協助您規劃部署作業，本頁面列出網路需求和相關聯的功能。

事前準備

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

如果您要使用現有專案完成本指南，請確認您擁有完成本指南所需的權限。如果您建立新專案，則已具備必要權限。

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud DNS and VMware Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

如果您要使用現有專案完成本指南，請確認您擁有完成本指南所需的權限。如果您建立新專案，則已具備必要權限。

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud DNS and VMware Engine APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

必要的角色

如要取得完成本快速入門導覽課程所需的權限，請要求管理員在專案中授予您「VMware Engine 檢視者」(roles/vmwareengine.vmwareengineViewer) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

VMware Engine 私有雲連線

如要瞭解私有雲網路的相關資訊，請參閱「VMware Engine 的私有雲網路」。

從 VPC 網路連線至 Standard VMware Engine 網路時，會使用 VPC 網路對等互連。

使用 Cloud DNS 解析全域位址

如要使用 Cloud DNS 進行全域位址解析，請務必先完成 Cloud DNS 設定，再建立私有雲。

CIDR 規定和限制

VMware Engine 會使用設定的位址範圍，提供主機管理設備和部署 HCX 網路等服務。部分位址範圍為必要，其他則取決於您打算部署的服務。

您必須保留位址範圍，確保這些範圍不會與任何內部部署子網路、VPC 網路子網路或規劃的工作負載子網路重疊。

此外，工作負載 VM 和 vSphere/vSAN 子網路 CIDR 範圍不得與下列範圍內的任何 IP 位址重疊：

127.0.0.0/8
224.0.0.0/4
0.0.0.0/8
169.254.0.0/16
198.18.0.0/15
240.0.0.0/4

vSphere/vSAN 子網路 CIDR 範圍

VMware Engine 會在您建立私有雲時提供的 vSphere/vSAN 子網路 CIDR 範圍中，部署私有雲的管理元件。這個範圍內的 IP 位址會保留給私有雲基礎架構，無法用於工作負載 VM。CIDR 範圍前置字串必須介於 /24 和 /20 之間。

子網路 CIDR 範圍劃分版本

2022 年 11 月之後建立的私有雲，會遵守 IP 位址配置 (IP 計畫) 2.0 版的子網路分配。2022 年 11 月前建立的私有雲幾乎都採用 IP 方案 1.0 版的子網路分配方式。

如要瞭解私有雲遵循哪個版本，請完成下列步驟：

前往 Google Cloud 控制台的「Private clouds」頁面。

前往 Private Cloud
按一下「選取專案」，然後選取私人雲所在的機構、資料夾或專案。
按一下要查看的私有雲。
找出「IP 方案版本」，即可瞭解這個私有雲使用的版本。

版本號碼會顯示在「IP Plan version」(IP 計畫版本) 下方。

vSphere/vSAN 子網路 CIDR 範圍大小

vSphere/vSAN 子網路 CIDR 範圍的大小會影響私有雲的大小上限。下表列出根據 vSphere/vSAN 子網路 CIDR 範圍大小，可擁有的節點數量上限。

指定的 vSphere/vSAN 子網路 CIDR 前置字串	節點數量上限 (IP 方案 1.0 版)	節點數量上限 (IP 方案 2.0 版)
/24	26	10
/23	58	20
/22	118	40
/21	200	90
/20	不適用	200

選取 CIDR 範圍前置碼時，請考量私有雲中資源的節點限制。舉例來說，CIDR 範圍前置字串 /24 和 /23 不支援 Private Cloud 可用的節點數量上限。或者，/20 的 CIDR 範圍前置字串支援的節點數量，會超過 Private Cloud 目前可用的節點數量上限。

管理網路 CIDR 範圍劃分範例

您指定的 vSphere/vSAN 子網路 CIDR 範圍會劃分為多個子網路。下表顯示允許的前置字元細目示例。第一組範例使用 192.168.0.0 做為 IP 計畫 1.0 版的 CIDR 範圍，第二組範例則使用 10.0.0.0 做為 IP 計畫 2.0 版的 CIDR 範圍。

函式	子網路遮罩/前置字元 (IP 方案 1.0 版)
vSphere/vSAN 子網路 CIDR 範圍	192.168.0.0/21	192.168.0.0/22	192.168.0.0/23	192.168.0.0/24
系統管理	192.168.0.0/24	192.168.0.0/24	192.168.0.0/25	192.168.0.0/26
vMotion	192.168.1.0/24	192.168.1.0/25	192.168.0.128/26	192.168.0.64/27
vSAN	192.168.2.0/24	192.168.1.128/25	192.168.0.192/26	192.168.0.96/27
NSX 主機傳輸	192.168.4.0/23	192.168.2.0/24	192.168.1.0/25	192.168.0.128/26
NSX Edge 傳輸	192.168.7.208/28	192.168.3.208/28	192.168.1.208/28	192.168.0.208/28
NSX Edge 上行鏈路 1	192.168.7.224/28	192.168.3.224/28	192.168.1.224/28	192.168.0.224/28
NSX Edge 上行鏈路 2	192.168.7.240/28	192.168.3.240/28	192.168.1.240/28	192.168.0.240/28

函式	子網路遮罩/前置 (IP 方案 2.0 版)
vSphere/vSAN 子網路 CIDR 範圍	10.0.0.0/20	10.0.0.0/21	10.0.0.0/22	10.0.0.0/23	10.0.0.0/24
系統管理	10.0.0.0/22	10.0.0.0/23	10.0.0.0/24	10.0.0.0/25	10.0.0.0/26
vMotion	10.0.4.0/24	10.0.2.0/25	10.0.1.0/26	10.0.0.128/27	10.0.0.64/28
vSAN	10.0.5.0/24	10.0.2.128/25	10.0.1.64/26	10.0.0.160/27	10.0.0.80/28
NSX 傳輸	10.0.6.0/23	10.0.3.0/24	10.0.1.128/25	10.0.0.192/26	10.0.0.128/27
HCX 上行鏈路	10.0.11.128/25	10.0.6.0/26	10.0.3.32/27	10.0.1.144/28	10.0.0.216/29
NSX Edge 上行鏈路 1	10.0.8.0/28	10.0.4.0/28	10.0.2.0/28	10.0.1.0/28	10.0.0.160/29
NSX Edge 上行鏈路 2	10.0.8.16/28	10.0.4.16/28	10.0.2.16/28	10.0.1.16/28	10.0.0.168/29
NSX Edge 上行鏈路 3	10.0.8.32/28	10.0.4.32/28	10.0.2.32/28	10.0.1.32/28	10.0.0.176/29
NSX 邊緣上行鏈路 4	10.0.8.48/28	10.0.4.48/28	10.0.2.48/28	10.0.1.48/28	10.0.0.184/29

HCX 和 NSX Edge 擴充 (僅限 IP 計畫 2.0 版)

指定的 vSphere/vSAN 子網路 CIDR 前置字串	遠端 HCX 網站數量上限	HCX 網路擴充設備數量上限	NSX Edge VM 數量上限
/24	2	1	2
/23	4	2	4
/22	14	8	8
/21	25	32	8
/20	25	64	8

HCX 部署網路 CIDR 範圍 (僅限 IP 計畫 1.0 版)

在 IP 計畫 1.0 版中，HCX 並未整合至 vSphere/vSAN 子網路 CIDR 範圍。建立私有雲時，您可以選擇指定 HCX 元件使用的網路 CIDR 範圍，讓 VMware Engine 在私有雲上安裝 HCX。CIDR 範圍前置字串為 /26 或 /27。

VMware Engine 會將您提供的網路劃分為三個子網路：

HCX 管理：用於安裝 HCX Manager。
HCX vMotion：用於地端環境和 VMware Engine 私有雲之間的 VM vMotion。
HCX WAN Uplink：用於在內部部署環境和 VMware Engine 私有雲之間建立通道。

HCX CIDR 範圍細目範例

您指定的 HCX 部署作業 CIDR 範圍會分割成多個子網路。下表列出允許的前置字元細目範例。範例使用 192.168.1.0 做為 CIDR 範圍。

函式	子網路遮罩/前置字元
HCX 部署項目網路 CIDR 範圍	192.168.1.0/26	192.168.1.64/26	192.168.1.0/27	192.168.1.32/27
HCX Manager	192.168.1.13	192.168.1.77	192.168.1.13	192.168.1.45

VMware Engine 的私人服務存取權

下表說明私人連線至 Google Cloud 服務的位址範圍規定。

名稱/用途	說明	CIDR 前置字串
指派的位址範圍	用於連線至 Google Cloud 服務 (包括 VMware Engine) 的私人連線位址範圍。	/24 以上

如要進一步瞭解如何設定私人服務存取權，請參閱「設定私人服務存取權」。

VMware Engine 提供的邊緣網路服務

下表說明 VMware Engine 提供的邊緣網路服務的位址範圍需求。

名稱/用途	說明	CIDR 前置字串
Edge 服務 CIDR	如果啟用選用的邊緣服務 (例如網際網路存取權和公開 IP)，則必須為每個區域設定此項目。	/26

存取私人和受限制的 Google API

根據預設，系統會將私人 199.36.153.8/30 和受限 199.36.153.4/30 CIDR 範圍都發布到 VMware Engine 網路，以支援直接存取 Google 服務。設定 VPC Service Controls 後，即可撤銷 Private CIDR 199.36.153.8/30。

防火牆通訊埠需求

您可以使用站對站 VPN 或專屬互連，設定從內部部署網路到私有雲的連線。您可以使用連線存取 VMware 私有雲 vCenter，以及在私有雲中執行的任何工作負載。

您可以在內部部署網路中使用防火牆，控管連線開啟的通訊埠。本節列出常見的應用程式通訊埠需求。如需其他應用程式的連接埠需求，請參閱該應用程式的文件。

如要進一步瞭解 VMware 元件使用的連接埠，請參閱 VMware 連接埠和通訊協定。

存取 vCenter 時所需的通訊埠

如要存取私有雲中的 vCenter Server 和 NSX Manager，請在內部部署防火牆上開啟下列通訊埠：

通訊埠	來源	目的地	目的
53 (UDP)	內部部署 DNS 伺服器	私有雲 DNS 伺服器	從地端部署網路將 gve.goog 的 DNS 查詢轉送至私有雲 DNS 伺服器時，必須使用這項功能。
53 (UDP)	私有雲 DNS 伺服器	內部部署 DNS 伺服器	從私有雲 vCenter 將內部部署網域名稱的 DNS 查詢轉送至內部部署 DNS 伺服器時，必須使用這項服務。
80 (TCP)	地端部署網路	私有雲管理網路	將 vCenter 網址從 HTTP 重新導向至 HTTPS 時，必須使用這項設定。
443 (TCP)	地端部署網路	私有雲管理網路	從內部部署網路存取 vCenter 和 NSX Manager 時，必須使用這個 IP 位址。
8000 (TCP)	地端部署網路	私有雲管理網路	從地端部署到私有雲遷移虛擬機器 (VM) 時，必須使用此功能。
8000 (TCP)	私有雲管理網路	地端部署網路	從私有雲 vMotion 至地端部署時必須使用。

存取工作負載 VM 時所需的常見通訊埠

如要存取私有雲中執行的工作負載 VM，您必須在內部部署防火牆上開啟通訊埠。下表列出常見的連接埠。如需任何應用程式專屬的連接埠需求，請參閱應用程式說明文件。

通訊埠	來源	目的地	目的
22 (TCP)	地端部署網路	私有雲工作負載網路	安全殼層存取在私有雲上執行的 Linux VM。
3389 (TCP)	地端部署網路	私有雲工作負載網路	透過遠端桌面連線至私人雲端執行的 Windows Server VM。
80 (TCP)	地端部署網路	私有雲工作負載網路	存取部署在私人雲端 VM 上的任何網頁伺服器。
443 (TCP)	地端部署網路	私有雲工作負載網路	存取部署在私有雲 VM 上的任何安全網頁伺服器。
389 (TCP/UDP)	私有雲工作負載網路	地端 Active Directory 網路	將 Windows Server 工作負載 VM 加入內部部署 Active Directory 網域。
53 (UDP)	私有雲工作負載網路	地端 Active Directory 網路	工作負載 VM 存取內部部署 DNS 伺服器的 DNS 服務。

將內部部署 Active Directory 做為身分識別來源時所需的連接埠

如要瞭解在私有雲 vCenter 上將內部部署 Active Directory 設定為身分識別來源時，需要使用的連接埠清單，請參閱「使用 Active Directory 設定驗證」。