网络要求
Google Cloud VMware Engine 提供了一个私有云环境,可供用户和应用从本地环境、企业管理的设备以及 Virtual Private Cloud (VPC) 等 Google Cloud 服务访问。如需在 VMware Engine 私有云和其他网络之间建立连接,请使用 Cloud VPN 和 Cloud Interconnect 等网络服务。
某些网络服务需要用户指定的地址范围才能启用功能。为了帮助您规划部署,本页面列出了网络要求及其关联功能。
VMware Engine 私有云连接
从 VPC 网络到 VMware Engine 的连接取决于您使用的是标准网络还是旧版网络。
标准 VMware Engine 网络
从 VPC 网络到标准 VMware Engine 网络的连接使用 VPC 网络对等互连。
旧版 VMware Engine 网络
从 VPC 网络到旧版 VMware Engine 网络的连接使用专用服务访问通道。如需从本地网络或 VPC 网络访问工作负载虚拟机 (VM),您可以设置从 VPC 网络到 VMware Engine 网络的专用服务访问通道。
使用 Cloud DNS 进行全球地址解析
如果您需要使用 Cloud DNS 进行全球地址解析,请启用 Cloud DNS API。您必须先完成 Cloud DNS 设置,然后才能创建私有云。
CIDR 要求和限制
VMware Engine 为托管管理设备和部署 HCX 网络等服务设置地址范围。某些地址范围是强制性的,其他地址范围取决于您计划部署的服务。
您必须预留地址范围,确保这些范围不会与任何本地子网、VPC 网络子网或计划的工作负载子网重叠。
此外,您的工作负载虚拟机和 vSphere/vSAN 子网 CIDR 范围不得与以下范围内的任何 IP 地址重叠:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere/vSAN 子网 CIDR 范围
VMware Engine 会在您在私有云创建期间提供的 vSphere/vSAN 子网 CIDR 范围内部署私有云的管理组件。此范围内的 IP 地址已预留给私有云基础架构,不能用于工作负载虚拟机。CIDR 范围前缀必须在 /24 和 /20 之间。
子网 CIDR 范围划分版本
2022 年 11 月之后创建的私有云遵循 IP 地址布局(IP 方案)2.0 版子网分配。2022 年 11 月之前创建的几乎所有私有云都遵循 IP 方案 1.0 版子网分配。
如需了解您的私有云遵守的版本,请完成以下步骤:
- 访问 Google Cloud 控制台。
- 在主菜单中,点击 Private Cloud。
- 点击要查看的私有云。
- 查找 IP 方案版本,了解此私有云使用的版本。
版本号显示在 IP 方案版本下。
vSphere/vSAN 子网 CIDR 范围大小
vSphere/vSAN 子网 CIDR 范围的大小会影响私有云的大小上限。下表显示了您可以拥有的节点数上限,具体取决于 vSphere/vSAN 子网 CIDR 范围的大小。
| 指定的 vSphere/vSAN 子网 CIDR 前缀 | 节点数上限(IP 方案 1.0 版) | 节点数上限(IP 方案 2.0 版) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | 不适用 | 200 |
选择 CIDR 范围前缀时,请考虑私有云中的资源的节点限制。例如,/24 和 /23 的 CIDR 范围前缀不支持私有云可用的节点数上限。或者,/20 的 CIDR 范围前缀支持超出私有云当前可用节点数上限。
管理网络 CIDR 范围划分示例
您指定的 vSphere/vSAN 子网 CIDR 范围划分为多个子网。下表显示了允许的前缀的细分示例。第一组示例使用 192.168.0.0 作为 IP 方案版本 1.0 的 CIDR 范围,第二组示例使用 10.0.0.0 作为 IP 方案版本 2.0。
| 函数 | 子网掩码/前缀(IP 方案 1.0 版) | |||
|---|---|---|---|---|
| vSphere/vSAN 子网 CIDR 范围 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| 系统管理 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| NSX-T 主机传输 | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| NSX-T 边缘传输 | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX-T 边缘上行链路 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX-T 边缘上行链路 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| 功能 | 子网掩码/前缀(IP 方案 2.0 版) | |||||
|---|---|---|---|---|---|---|
| vSphere/vSAN 子网 CIDR 范围 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| 系统管理 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX-T 传输 | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| HCX 上行链路 | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX-T 边缘上行链路 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX-T 边缘上行链路 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX-T 边缘上行链路 3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX-T 边缘上行链路 4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
HCX 和 NSX-T 边缘扩缩(仅限 IP 方案 2.0 版)
| 指定的 vSphere/vSAN 子网 CIDR 前缀 | 最大远程 HCX 站点数 | 最大 HCX 网络扩展设备数 | 最大 NSX-T 边缘虚拟机数 |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
HCX 部署网络 CIDR 范围(仅限 IP 方案 1.0 版)
在 IP 计划版本 1.0 中,HCX 未集成到 vSphere/vSAN 子网 CIDR 范围中。创建私有云时,您可以选择指定 VMware Engine 在私有云上安装 HCX,方法是指定 HCX 组件要使用的网络 CIDR 范围。CIDR 范围前缀为 /26 或 /27。
VMware Engine 将您提供的网络划分为三个子网:
- HCX 管理:用于安装 HCX Manager。
- HCX vMotion:用于本地环境和 VMware Engine 私有云之间的虚拟机 vMotion。
- HCX WANUplink:用于在本地环境和 VMware Engine 私有云之间建立隧道。
HCX CIDR 范围细分示例
您指定的 HCX 部署 CIDR 范围划分为多个子网。下表显示了允许的前缀的细分示例。这些示例使用 192.168.1.0 作为 CIDR 范围。
| 功能 | 子网掩码/前缀 | |||
|---|---|---|---|---|
| HCX 部署网络 CIDR 范围 | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
对 VMware Engine 的专用服务访问通道
下表介绍了与 Google Cloud 服务建立专用连接的地址范围要求。
| 名称/用途 | 说明 | CIDR 前缀 |
|---|---|---|
| 已分配的地址范围 | 用于 Google Cloud 服务(包括 VMware Engine)的专用连接的地址范围。 | /24 或更大 |
VMware Engine 提供的边缘网络服务
下表介绍了 VMware Engine 提供的边缘网络服务的地址范围要求。
| 名称/用途 | 说明 | CIDR 前缀 |
|---|---|---|
| 边缘服务 CIDR | 如果按区域启用了可选的边缘服务(例如互联网访问和公共 IP),则此 CIDR 是必需的。 | /26 |
访问专用/受限 Google API
默认情况下,专用 199.36.153.8/30 CIDR 和受限 199.36.153.4/30 CIDR 都会通告到 VMware Engine 网络,以支持直接访问 Google 服务。可在配置 VPC Service Controls 时撤消专用 CIDR 199.36.153.8/30。
防火墙端口要求
您可以使用网站到网站 VPN 或专用互连来设置从本地网络到私有云的连接。使用该连接访问您的 VMware 私有云 vCenter 以及您在私有云中运行的任何工作负载。
您可以通过在本地网络中使用防火墙来控制连接上打开的端口。本部分列出了常见的应用端口要求。如需了解其他任何应用的端口要求,请参阅该应用的文档。
如需详细了解用于 VMware 组件的端口,请参阅 VMware 端口和协议。
访问 vCenter 所需的端口
如需访问私有云中的 vCenter Server 和 NSX-T Manager,请打开本地防火墙上的以下端口:
| 端口 | 来源 | 目的地 | 目的 |
|---|---|---|---|
| 53 (UDP) | 本地 DNS 服务器 | 私有云 DNS 服务器 | 将 gve.goog 的 DNS 查找从本地网络转发到私有云 DNS 服务器是必需的。 |
| 53 (UDP) | 私有云 DNS 服务器 | 本地 DNS 服务器 | 将本地域名的 DNS 查找从私有云 vCenter 转发到本地 DNS 服务器是必需的。 |
| 80 (TCP) | 本地网络 | 私有云管理网络 | 将 vCenter URL 从 HTTP 重定向到 HTTPS 是必需的。 |
| 443 (TCP) | 本地网络 | 私有云管理网络 | 从本地网络访问 vCenter 和 NSX-T 管理器是必需的。 |
| 8000 (TCP) | 本地网络 | 私有云管理网络 | 虚拟机 (VM) 从本地到私有云的 vMotion 是必需的。 |
| 8000 (TCP) | 私有云管理网络 | 本地网络 | 虚拟机从私有云到本地的 vMotion 是必需的。 |
访问工作负载虚拟机所需的常见端口
要访问在私有云上运行的工作负载虚拟机,您必须在本地防火墙上打开端口。下表列出了常见端口。如需了解任何应用特定的端口要求,请参阅应用文档。
| 端口 | 来源 | 目的地 | 用途 |
|---|---|---|---|
| 22 (TCP) | 本地网络 | 私有云工作负载网络 | 对私有云上运行的 Linux 虚拟机进行安全的 shell 访问。 |
| 3389 (TCP) | 本地网络 | 私有云工作负载网络 | 对私有云上运行的 Windows Server 虚拟机进行远程桌面访问。 |
| 80 (TCP) | 本地网络 | 私有云工作负载网络 | 访问私有云上运行的虚拟机中部署的任何网络服务器。 |
| 443 (TCP) | 本地网络 | 私有云工作负载网络 | 访问私有云上运行的虚拟机中部署的任何安全网络服务器。 |
| 389 (TCP/UDP) | 私有云工作负载网络 | 本地 Active Directory 网络 | 将 Windows Server 工作负载虚拟机加入本地 Active Directory 域。 |
| 53 (UDP) | 私有云工作负载网络 | 本地 Active Directory 网络 | 工作负载虚拟机对本地 DNS 服务器的 DNS 服务访问。 |
将本地 Active Directory 用作身份源所需的端口
如需查看将本地 Active Directory 配置为私有云 vCenter 上的身份源所需的端口列表,请参阅使用 Active Directory 配置身份验证。