本页面指出了重要的注意事项,并可帮助您为网域选择合适的 IP 地址范围。Managed Service for Microsoft Active Directory 网域控制器的 CIDR 范围在设置后便无法更改。为了避免冲突和耗时的错误,您在选择这些范围时应仔细考虑当前和未来的基础架构需求。
使用 /24 范围大小
代管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围,例如 192.168.255.0/24。虽然您可以选择范围更大的专用 RFC 1918 CIDR 范围,但我们建议您使用 /24,因为此范围专为网域控制器预留。任何其他资源均无法使用该范围内的其他 IP 地址。
如果您想使用另一款采用 Managed Microsoft AD 的 Google Cloud 产品所建议的其他 IP 地址范围,请与 Google Cloud 支持团队联系。
避免范围重叠
您应该避免设置可能与当前和未来的基础架构重叠的范围。
咨询网络专家
检查贵组织中是否有网络专家可以帮助您识别或预留安全的 IP 地址范围。
列出正在使用的 IP 地址范围
为避免与现有基础架构发生冲突,您可以列出正在使用的 IP 地址范围,然后使用列表中没有的范围。
控制台
如需查看 VPC 网络上正在使用的 IP 地址范围,请按以下步骤操作:
请使用列表中未显示的 IP 地址范围。
gcloud
如需列出项目中的所有子网,请运行以下 gcloud CLI 命令:
gcloud compute networks subnets list --sort-by=NETWORK
请使用列表中未显示的 IP 地址范围。
考虑未来需求
为避免将来发生冲突,请考虑您的基础架构计划,包括可能添加已获授权的网络。例如,如果您计划配置从授权网络到本地网络的 VPN 或互连,则必须选择未在任何网络中使用的 IP 地址范围。
将测试环境和生产环境分开
为防止开发和测试工作影响生产工作负载或妨碍部署的安全性,请考虑为每个环境部署单独的网域。
对于简单的隔离测试网域,只要专用 CIDR /24 范围不是您的授权 VPC 网络上的子网或它的某个对等互连网络,就可以了。