Managed Service for Microsoft Active Directory 网域控制器的 CIDR 范围在设置后无法更改。为避免冲突和耗时的错误,您在选择这些范围时应仔细考虑当前和未来的基础架构需求。本主题介绍了重要的注意事项,并帮助您为网域选择适当的 IP 地址范围。
使用 /24 范围大小
托管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围,例如 192.168.255.0/24。尽管您可以选择更大的专用 RFC 1918 CIDR 范围,但我们强烈建议使用 /24,因为该范围将专门为网域控制器预留。其他资源将无法使用该范围内的其他 IP 地址。
避免范围重叠
您应该避免设置可能与当前和未来的基础架构重叠的范围。
咨询网络专家
了解您的组织中是否有网络专家可以帮助您找到或预留安全 IP 范围。
列出正在使用的 IP 范围
为避免与现有基础架构冲突,您可以列出当前正在使用的 IP 地址范围,然后使用列表中未列出的 IP 地址范围。
控制台
要查看 VPC 网络上正在使用的 IP 地址范围,请完成以下步骤:
选择您的 VPC 网络的名称。
在 VPC 网络详情页面上的 IP 地址范围列中,您可以查看哪些范围已被使用。
您应该使用未显示在列表中的 IP 地址范围。
gcloud
如需列出项目中的所有子网,请运行以下 gcloud CLI 命令。
gcloud compute networks subnets list --sort-by=NETWORK
您应该使用未显示在列表中的 IP 地址范围。
考虑未来需求
为了避免今后发生冲突,请考虑您的基础架构计划。如果您打算添加任何已获授权的网络,请检查是否存在未来可能发生的冲突。例如,如果您打算配置从已获授权的网络到本地网络的 VPN 或互连,则应选择在任何这些网络上均未使用的 IP 范围。
分离测试和生产
为了防止开发和测试工作影响生产工作负载或妨碍部署的安全性,请考虑为每种工作部署单独的网域。
对于一个简单的隔离测试网域,使用任何不是已获授权的网络 VPC 或其对等互连网络的子网的专用 CIDR /24 范围即可。