选择 IP 地址范围

Managed Service for Microsoft Active Directory 网域控制器的 CIDR 范围在设置后无法更改。为避免冲突和耗时的错误,您在选择这些范围时应仔细考虑当前和未来的基础架构需求。本主题介绍了重要的注意事项,并帮助您为网域选择适当的 IP 地址范围。

使用 /24 范围大小

托管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围,例如 192.168.255.0/24。尽管您可以选择更大的专用 RFC 1918 CIDR 范围,但我们强烈建议使用 /24,因为该范围将专门为网域控制器预留。其他资源将无法使用该范围内的其他 IP 地址。

避免范围重叠

您应该避免设置可能与当前和未来的基础架构重叠的范围。

咨询网络专家

了解您的组织中是否有网络专家可以帮助您找到或预留安全 IP 范围。

列出正在使用的 IP 范围

为避免与现有基础架构冲突,您可以列出当前正在使用的 IP 地址范围,然后使用列表中未列出的 IP 地址范围。

控制台

要查看 VPC 网络上正在使用的 IP 地址范围,请完成以下步骤:

  1. 转到 Cloud Console 中的 VPC 页面。
    转到 VPC 页面

  2. 选择您的 VPC 网络的名称。

  3. VPC 网络详情页面上的 IP 地址范围列中,您可以查看哪些范围已被使用。

您应该使用未显示在列表中的 IP 地址范围。

gcloud

要列出项目中的所有子网,请运行以下 gcloud 工具命令。

gcloud compute networks subnets list --sort-by=NETWORK

您应该使用未显示在列表中的 IP 地址范围。

详细了解 compute networks subnets list 命令

考虑未来需求

为了避免今后发生冲突,请考虑您的基础架构计划。如果您打算添加任何已获授权的网络,请检查是否存在未来可能发生的冲突。例如,如果您打算配置从已获授权的网络到本地网络的 VPN 或互连,则应选择在任何这些网络上均未使用的 IP 范围。

分离测试和生产

为了防止开发和测试工作影响生产工作负载或妨碍部署的安全性,请考虑为每种工作部署单独的网域。

对于一个简单的隔离测试网域,使用任何不是已获授权的网络 VPC 或其对等互连网络的子网的专用 CIDR /24 范围即可。