选择 IP 地址范围

Managed Service for Microsoft Active Directory 网域控制器的 CIDR 范围在设置后无法更改。为避免冲突和耗时的错误,您在选择这些范围时应仔细考虑当前和未来的基础架构需求。本主题介绍了重要的注意事项,并帮助您为网域选择适当的 IP 地址范围。

使用 /24 范围大小

托管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围,例如 192.168.255.0/24。尽管您可以选择更大的专用 RFC 1918 CIDR 范围,但我们强烈建议使用 /24,因为该范围将专门为网域控制器预留。其他资源将无法使用该范围内的其他 IP 地址。

避免范围重叠

您应该避免设置可能与当前和未来的基础架构重叠的范围。

咨询网络专家

了解您的组织中是否有网络专家可以帮助您找到或预留安全 IP 范围。

列出正在使用的 IP 范围

为避免与现有基础架构冲突,您可以列出当前正在使用的 IP 地址范围,然后使用列表中未列出的 IP 地址范围。

控制台

要查看 VPC 网络上正在使用的 IP 地址范围,请完成以下步骤:

  1. 转到 Google Cloud Console 中的 VPC 页面。
    转到 VPC 页面

  2. 选择您的 VPC 网络的名称。

  3. VPC 网络详情页面上的 IP 地址范围列中,您可以查看哪些范围已被使用。

您应该使用未显示在列表中的 IP 地址范围。

gcloud

如需列出项目中的所有子网,请运行以下 gcloud CLI 命令。

gcloud compute networks subnets list --sort-by=NETWORK

您应该使用未显示在列表中的 IP 地址范围。

详细了解 compute networks subnets list 命令

考虑未来需求

为了避免今后发生冲突,请考虑您的基础架构计划。如果您打算添加任何已获授权的网络,请检查是否存在未来可能发生的冲突。例如,如果您打算配置从已获授权的网络到本地网络的 VPN 或互连,则应选择在任何这些网络上均未使用的 IP 范围。

分离测试和生产

为了防止开发和测试工作影响生产工作负载或妨碍部署的安全性,请考虑为每种工作部署单独的网域。

对于一个简单的隔离测试网域,使用任何不是已获授权的网络 VPC 或其对等互连网络的子网的专用 CIDR /24 范围即可。