网络要求
Google Cloud VMware Engine 提供了一个私有云环境,可供用户和应用从本地环境、企业管理的设备以及Google Cloud Virtual Private Cloud (VPC) 等服务访问。如需在 VMware Engine 私有云和其他网络之间建立连接,请使用 Cloud VPN 和 Cloud Interconnect 等网络服务。
某些网络服务需要用户指定的地址范围才能启用功能。为了帮助您规划部署,本页面列出了网络要求及其关联功能。
准备工作
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
如果您要使用现有项目来完成本指南,请验证您是否拥有完成本指南所需的权限。如果您创建了新项目,则您已拥有所需的权限。
Verify that billing is enabled for your Google Cloud project.
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
如果您要使用现有项目来完成本指南,请验证您是否拥有完成本指南所需的权限。如果您创建了新项目,则您已拥有所需的权限。
Verify that billing is enabled for your Google Cloud project.
所需的角色
如需获得完成本快速入门所需的权限,请让您的管理员为您授予项目的 VMware Engine Viewer (roles/vmwareengine.vmwareengineViewer) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
VMware Engine 私有云连接
如需简要了解私有云网络,请参阅适用于 VMware Engine 的私有云网络。
从 VPC 网络到标准 VMware Engine 网络的连接使用 VPC 网络对等互连。
使用 Cloud DNS 进行全球地址解析
如果您需要使用 Cloud DNS 进行全球地址解析,则必须先完成 Cloud DNS 设置,然后再创建私有云。
CIDR 要求和限制
VMware Engine 为托管管理设备和部署 HCX 网络等服务设置地址范围。某些地址范围是强制性的,其他地址范围取决于您计划部署的服务。
您必须预留地址范围,确保这些范围不会与任何本地子网、VPC 网络子网或计划的工作负载子网重叠。
此外,您的工作负载虚拟机和 vSphere/vSAN 子网 CIDR 范围不得与以下范围内的任何 IP 地址重叠:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere/vSAN 子网 CIDR 范围
VMware Engine 会在您在私有云创建期间提供的 vSphere/vSAN 子网 CIDR 范围内部署私有云的管理组件。此范围内的 IP 地址已预留给私有云基础架构,不能用于工作负载虚拟机。CIDR 范围前缀必须在 /24 和 /20 之间。
子网 CIDR 范围划分版本
2022 年 11 月之后创建的私有云遵循 IP 地址布局(IP 方案)2.0 版子网分配。2022 年 11 月之前创建的几乎所有私有云都遵循 IP 方案 1.0 版子网分配。
如需了解您的私有云遵守的版本,请完成以下步骤:
在 Google Cloud 控制台中,前往私有云页面。
点击选择项目,然后选择私有云所在的组织、文件夹或项目。
点击要查看的私有云。
查找 IP 方案版本,了解相应私有云使用的版本。
版本号显示在 IP 方案版本下。
vSphere/vSAN 子网 CIDR 范围大小
vSphere/vSAN 子网 CIDR 范围的大小会影响私有云的大小上限。下表显示了您可以拥有的节点数上限,具体取决于 vSphere/vSAN 子网 CIDR 范围的大小。
| 指定的 vSphere/vSAN 子网 CIDR 前缀 | 节点数上限(IP 方案 1.0 版) | 节点数上限(IP 方案 2.0 版) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 200 | 90 |
| /20 | 不适用 | 200 |
选择 CIDR 范围前缀时,请考虑私有云中的资源的节点限制。例如,/24 和/23 的 CIDR 范围前缀不支持可供私有云使用的节点数上限。或者,/20 的 CIDR 范围前缀支持私有云的当前节点数上限。
管理网络 CIDR 范围划分示例
您指定的 vSphere/vSAN 子网 CIDR 范围划分为多个子网。下表显示了允许的前缀的细分示例。第一组示例使用 192.168.0.0 作为 IP 方案 1.0 版的 CIDR 范围,第二组示例使用 10.0.0.0 作为 IP 方案 2.0 版的 CIDR 范围。
| 函数 | 子网掩码/前缀(IP 方案 1.0 版) | |||
|---|---|---|---|---|
| vSphere/vSAN 子网 CIDR 范围 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| 系统管理 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| NSX 主机传输 | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| NSX 边缘传输 | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX 边缘上行链路 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX 边缘上行链路 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| 功能 | 子网掩码/前缀(IP 方案 2.0 版) | |||||
|---|---|---|---|---|---|---|
| vSphere/vSAN 子网 CIDR 范围 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| 系统管理 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX 传输 | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| HCX 上行链路 | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX 边缘上行链路 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX 边缘上行链路 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX 边缘上行链路 3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX 边缘上行链路 4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
HCX 和 NSX 边缘扩缩(仅限 IP 方案 2.0 版)
| 指定的 vSphere/vSAN 子网 CIDR 前缀 | 最大远程 HCX 站点数 | 最大 HCX 网络扩展设备数 | 最大 NSX Edge 虚拟机数 |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
HCX 部署网络 CIDR 范围(仅限 IP 方案 1.0 版)
在 IP 方案 1.0 版中,HCX 未集成到 vSphere/vSAN 子网 CIDR 范围内。创建私有云时,您可以选择指定 VMware Engine 在私有云上安装 HCX,方法是指定 HCX 组件要使用的网络 CIDR 范围。CIDR 范围前缀为 /26 或 /27。
VMware Engine 将您提供的网络划分为三个子网:
- HCX 管理:用于安装 HCX Manager。
- HCX vMotion:用于本地环境和 VMware Engine 私有云之间的虚拟机 vMotion。
- HCX WANUplink:用于在本地环境和 VMware Engine 私有云之间建立隧道。
HCX CIDR 范围细分示例
您指定的 HCX 部署 CIDR 范围划分为多个子网。下表显示了允许的前缀的细分示例。这些示例使用 192.168.1.0 作为 CIDR 范围。
| 功能 | 子网掩码/前缀 | |||
|---|---|---|---|---|
| HCX 部署网络 CIDR 范围 | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
对 VMware Engine 的专用服务访问通道
下表介绍了与 Google Cloud 服务建立专用连接的地址范围要求。
| 名称/用途 | 说明 | CIDR 前缀 |
|---|---|---|
| 已分配的地址范围 | 用于与 Google Cloud 服务(包括 VMware Engine)的专用连接的地址范围。 | /24 或更大 |
如需详细了解如何设置专用服务访问通道,请参阅设置专用服务访问通道。
VMware Engine 提供的边缘网络服务
下表介绍了 VMware Engine 提供的边缘网络服务的地址范围要求。
| 名称/用途 | 说明 | CIDR 前缀 |
|---|---|---|
| 边缘服务 CIDR | 如果按区域启用了可选的边缘服务(例如互联网访问和公共 IP),则此 CIDR 是必需的。 | /26 |
访问不公开和受限的 Google API
默认情况下,专用 199.36.153.8/30 和受限 199.36.153.4/30 CIDR 都会通告到 VMware Engine 网络中,以支持直接访问 Google 服务。配置 VPC Service Controls 后,可以撤消专用 CIDR 199.36.153.8/30。
防火墙端口要求
您可以使用网站到网站 VPN 或专用互连来设置从本地网络到私有云的连接。使用该连接访问您的 VMware 私有云 vCenter 以及您在私有云中运行的任何工作负载。
您可以通过在本地网络中使用防火墙来控制连接上打开的端口。本部分列出了常见的应用端口要求。如需了解其他任何应用的端口要求,请参阅该应用的文档。
如需详细了解用于 VMware 组件的端口,请参阅 VMware 端口和协议。
访问 vCenter 所需的端口
如需访问私有云中的 vCenter Server 和 NSX Manager,请打开本地防火墙上的以下端口:
| 端口 | 来源 | 目的地 | 用途 |
|---|---|---|---|
| 53 (UDP) | 本地 DNS 服务器 | 私有云 DNS 服务器 | 将 gve.goog 的 DNS 查找从本地网络转发到私有云 DNS 服务器是必需的。 |
| 53 (UDP) | 私有云 DNS 服务器 | 本地 DNS 服务器 | 将本地域名的 DNS 查找从私有云 vCenter 转发到本地 DNS 服务器是必需的。 |
| 80 (TCP) | 本地网络 | 私有云管理网络 | 将 vCenter URL 从 HTTP 重定向到 HTTPS 是必需的。 |
| 443 (TCP) | 本地网络 | 私有云管理网络 | 从本地网络访问 vCenter 和 NSX Manager 是必需的。 |
| 8000 (TCP) | 本地网络 | 私有云管理网络 | 虚拟机 (VM) 从本地到私有云的 vMotion 是必需的。 |
| 8000 (TCP) | 私有云管理网络 | 本地网络 | 虚拟机从私有云到本地的 vMotion 是必需的。 |
访问工作负载虚拟机所需的常见端口
要访问在私有云上运行的工作负载虚拟机,您必须在本地防火墙上打开端口。下表列出了常见端口。如需了解任何应用特定的端口要求,请参阅应用文档。
| 端口 | 来源 | 目的地 | 用途 |
|---|---|---|---|
| 22 (TCP) | 本地网络 | 私有云工作负载网络 | 对私有云上运行的 Linux 虚拟机进行安全的 shell 访问。 |
| 3389 (TCP) | 本地网络 | 私有云工作负载网络 | 对私有云上运行的 Windows Server 虚拟机进行远程桌面访问。 |
| 80 (TCP) | 本地网络 | 私有云工作负载网络 | 访问私有云上运行的虚拟机中部署的任何网络服务器。 |
| 443 (TCP) | 本地网络 | 私有云工作负载网络 | 访问私有云上运行的虚拟机中部署的任何安全网络服务器。 |
| 389 (TCP/UDP) | 私有云工作负载网络 | 本地 Active Directory 网络 | 将 Windows Server 工作负载虚拟机加入本地 Active Directory 域。 |
| 53 (UDP) | 私有云工作负载网络 | 本地 Active Directory 网络 | 工作负载虚拟机对本地 DNS 服务器的 DNS 服务访问。 |
将本地 Active Directory 用作身份源所需的端口
如需查看将本地 Active Directory 配置为私有云 vCenter 上的身份源所需的端口列表,请参阅使用 Active Directory 配置身份验证。