创建第一个子网

Google Cloud VMware Engine 会为每个私有云创建一个网络,并使用 VLAN 进行网络管理。对于工作负载虚拟机,您可以在 NSX-T Manager 上为您的私有云创建作为网络分段的子网。VMware Engine 包括 NSX-T,用于工作负载网络以及安全功能(例如微分段和防火墙政策)。本页面介绍了如何使用 NSX-T Manager 为工作负载创建子网。

准备工作

本快速入门假定您已完成以下操作:

  1. 创建了一个 Google Cloud VMware Engine 私有云。您可以通过完成以下快速入门创建一个私有云:创建您的第一个私有云
  2. 分配网络中的地址范围,以实现以下目的:
    • DHCP 服务
    • NSX-T 工作负载网络分段的子网

从 VMware Engine 门户访问 NSX-T Manager

子网创建流程在 NSX-T 中进行,您可以通过 VMware Engine 访问:

  1. 访问 Google Cloud 控制台
  2. 在主导航栏中,点击私有云
  3. 点击要在其中创建子网的私有云的名称。
  4. 管理设备下,点击与 NSX Manager 对应的网址
  5. 出现提示时,输入您的登录凭据。温馨提示,您可以从私有云详情页面检索生成的凭据

如果您已设置 vIDM 并将其连接到身份源(如 Active Directory),请改用身份源凭据。

为子网设置 DHCP 服务

在创建子网之前,请先设置 DHCP 服务:

  1. 在 NSX-T 中,依次选择网络 > DHCP。网络信息中心显示该服务会创建一个 tier-0 和一个 tier-1 网关。

  2. 要开始预配 DHCP 服务器,请点击添加 DHCP 配置文件

  3. DHCP 名称字段中,输入配置文件的名称。

  4. 对于配置文件类型,选择 DHCP 服务器

  5. Server IP address(服务器 IP 地址)列中,提供 DHCP 服务 IP 地址范围。

  6. 点击保存以创建 DHCP 服务。

然后将此 DHCP 服务连接到相关的 tier-1 网关。此服务已预配默认 tier-1 网关:

  1. 在 NSX-T 中,转到网络 > Tier-1 网关
  2. 点击第 1 层级网关旁边的 垂直省略号,然后选择修改
  3. DHCP 字段中,点击设置 DHCP 配置链接。
  4. 类型设置为 DHCP 服务器,然后选择您刚刚创建的 DHCP 服务器配置文件
  5. 点击保存
  6. 点击关闭修改

现在,您可以在 NSX-T 中创建网络分段。如需详细了解 NSX-T 中的 DHCP,请参阅 DHCP 的 VMware 文档

在 NSX-T 中创建网络分段

对于工作负载虚拟机,您可以为您的私有云创建子网作为 NSX-T 网络分段:

  1. 在 NSX-T 中,转到网络 > 网络分段
  2. 点击添加细分 (Add Segment)。
  3. 细分名称字段中,输入细分的名称。
  4. 连接的网关列表中,选择 Tier1 以连接到 tier-1 网关。
  5. 传输区域列表中,选择 TZ-OVERLAY | 叠加
  6. 子网列中,输入子网范围。指定子网范围,并将 .1 指定为最后一个八位字节。例如 10.12.2.1/24
  7. 点击设置 DHCP 配置,并为 DHCP 范围字段提供值。
  8. 点击应用以保存您的 DHCP 配置。
  9. 点击保存。现在,您可以在创建虚拟机时在 vCenter 中选择此网络分段。

在给定区域中,您可以使用专用服务访问通道,通告最多 250 条从 VMware Engine 到 VPC 网络的唯一路由。例如,这些唯一路由包括私有云管理 IP 地址范围、NSX-T 工作负载网络分段和 HCX 内部 IP 地址范围。此路由限制包含该区域中的所有私有云,对应于 Cloud Router 的已知路由限制。

如需了解路由限制,请参阅 Cloud Router 配额和限制

关于在 NSX-T 中配置子网和重新分配路由的最佳实践

为确保网络运行最佳,并防止路由环和服务中断,请在 NSX-T 中配置子网和路由重新分配时遵循以下准则:

  1. 子网重叠:避免子网重叠 - 确保 VMware Engine 中使用的 IP 子网是唯一的,并且不会与私有云或外部网络中的子网重叠。重叠可能会导致路由问题并中断服务。
  2. 第 0 层路线重新分配
    • 自动重新分配 - VMware Engine 使用 BGP 在 Tier-0 路由器中重新分配已连接 Tier-1 网段的路由,以便工作负载与外部世界之间建立适当的连接。
    • 重新分配静态路由 - 在第 0 层重新分配静态路由时,请务必先拒绝默认路由 (0.0.0.0/0),然后使用前缀列表允许所有流量,以防止路由环。为此,您应在 Tier-0 网关上创建前缀列表并将其附加到两个 BGP 邻居,因为 VMware Engine 已在 Tier-0 网关上配置指向底层基础架构的默认路由 (0.0.0.0/0),您可以按照下两个部分中的步骤执行此操作。

在 NSX-T 中创建前缀列表

如需在 VMware Engine 中的 NSX-T 中创建前缀列表,请执行以下操作:

  1. 在 NSX-T 中,前往网络 > 0 层级网关
  2. 点击菜单图标(三点状图标),然后点击修改
  3. 点击路由
  4. 点击“IP 前缀列表”旁边的设置
  5. 点击添加 IP 前缀列表
  6. 为 IP 前缀列表输入名称。
  7. 点击设置以添加 IP 前缀。
  8. 点击添加前缀
    1. 网络字段中,输入关键字“any”。
    2. 保持所有字段不变,然后在操作字段中,从下拉菜单中选择允许
    3. 点击添加
  9. 再次点击添加前缀
    1. Network(网络)字段中,以 CIDR 格式输入 IP 地址,例如 0.0.0.0/0
    2. 保持所有字段不变,然后在操作字段中,从下拉菜单中选择“拒绝”。
    3. 点击添加
  10. 点击应用
  11. 依次点击保存 > 关闭

将前缀列表附加到两个 BGP 邻居

创建前缀列表后,下一步是通过以下操作将前缀列表附加到 NSX-T 中的两个 BGP 邻居:

  1. 在 NSX-T 中,前往网络 > 0 层级网关
  2. 点击菜单图标(三点状图标),然后点击修改
  3. 点击 BGP
  4. 点击 BGP 邻居
  5. 点击菜单图标(三点状图标),然后选择修改
  6. 点击路线过滤器
  7. 点击菜单图标(三点状图标),然后选择修改
  8. 点击出站过滤条件字段中的配置
  9. 选择之前创建的路由前缀列表名称。
  10. 点击保存
  11. 依次点击添加 > 应用
  12. 点击保存
  13. 重复第 5-13 步以更新其他 BGP 邻居。
  14. 点击关闭修改

后续步骤