创建第一个子网

Google Cloud VMware Engine 会为每个私有云创建一个网络，并使用 VLAN 进行网络管理。对于工作负载虚拟机，您可以在 NSX-T Manager 上为您的私有云创建作为网络分段的子网。VMware Engine 包括 NSX-T，用于工作负载网络以及安全功能（例如微分段和防火墙政策）。本页面介绍了如何使用 NSX-T Manager 为工作负载创建子网。

准备工作

本快速入门假定您已完成以下操作：

1. 创建了一个 Google Cloud VMware Engine 私有云。您可以通过完成以下快速入门创建一个私有云：创建您的第一个私有云。
2. 分配网络中的地址范围，以实现以下目的：
   • DHCP 服务
   • NSX-T 工作负载网络分段的子网

从 VMware Engine 门户访问 NSX-T Manager

子网创建流程在 NSX-T 中进行，您可以通过 VMware Engine 访问：

1. 在 Google Cloud 控制台中，前往私有云页面。

   前往 Private Cloud

2. 点击选择项目，然后选择私有云所在的组织、文件夹或项目。

3. 点击要在其中创建子网的私有云的名称。

4. 在管理设备下，点击与 NSX Manager 对应的网址。

5. 出现提示时，输入您的登录凭据。温馨提示，您可以从私有云详情页面检索生成的凭据。

如果您已设置 vIDM 并将其连接到身份源（如 Active Directory），请改用身份源凭据。

为子网设置 DHCP 服务

在创建子网之前，请先设置 DHCP 服务：

1. 在 NSX-T 中，依次选择网络 > DHCP。网络信息中心显示该服务会创建一个 tier-0 和一个 tier-1 网关。

2. 要开始预配 DHCP 服务器，请点击添加 DHCP 配置文件。

3. 在 DHCP name 字段中，输入配置文件的名称。

4. 对于配置文件类型，选择 DHCP 服务器。

5. 在 Server IP address（服务器 IP 地址）列中，提供 DHCP 服务 IP 地址范围。

6. 点击保存以创建 DHCP 服务。

然后将此 DHCP 服务连接到相关的 tier-1 网关。此服务已预配默认 tier-1 网关：

1. 在 NSX-T 中，转到网络 > Tier-1 网关。
2. 点击第 1 层级网关旁边的 more_vert 垂直省略号，然后选择修改。
3. 在 DHCP 字段中，点击设置 DHCP 配置链接。
4. 将类型设置为 DHCP 服务器，然后选择您刚刚创建的 DHCP 服务器配置文件。
5. 点击保存。
6. 点击关闭修改。

现在，您可以在 NSX-T 中创建网络分段。如需详细了解 NSX-T 中的 DHCP，请参阅 DHCP 的 VMware 文档。

在 NSX-T 中创建网络分段

对于工作负载虚拟机，您可以为您的私有云创建子网作为 NSX-T 网络分段：

1. 在 NSX-T 中，转到网络 > 网络分段。
2. 点击添加细分 (Add Segment)。
3. 在细分名称字段中，输入细分的名称。
4. 在连接的网关列表中，选择 Tier1 以连接到 tier-1 网关。
5. 在传输区域列表中，选择 TZ-OVERLAY | 叠加。
6. 在子网列中，输入子网范围。指定子网范围，并将 .1 指定为最后一个八位字节。例如 10.12.2.1/24。
7. 点击设置 DHCP 配置，并为 DHCP 范围字段提供值。
8. 点击应用以保存您的 DHCP 配置。
9. 点击保存。现在，您可以在创建虚拟机时在 vCenter 中选择此网络分段。

在给定区域中，您可以使用专用服务访问通道，通告最多 250 条从 VMware Engine 到 VPC 网络的唯一路由。例如，这些唯一路由包括私有云管理 IP 地址范围、NSX-T 工作负载网络分段和 HCX 内部 IP 地址范围。此路由限制包含该区域中的所有私有云，对应于 Cloud Router 的已知路由限制。

如需了解路由限制，请参阅 Cloud Router 配额和限制。

NSX-T 中子网配置和路由重新分配的最佳实践

为确保网络运行最佳且防止路由环和服务中断，请在 NSX-T 中配置子网和路由重新分发时遵循以下准则：

1. 子网重叠：避免子网重叠 - 确保 VMware Engine 中使用的 IP 子网是唯一的，并且不会与私有云或外部网络中的子网重叠。重叠可能会导致路由问题并中断服务。
2. 第 0 层路线重新分配：
   • 自动重新分配 - VMware Engine 使用 BGP 在 Tier-0 路由器中重新分配已连接 Tier-1 网段的路由，以便工作负载与外部世界之间建立适当的连接。
   • 重新分配静态路由 - 在第 0 层重新分配静态路由时，请务必先拒绝默认路由 (0.0.0.0/0)，然后使用前缀列表允许所有流量，以防止路由环。为此，您应在 Tier-0 网关上创建前缀列表并将其附加到两个 BGP 邻居，因为 VMware Engine 已在 Tier-0 网关上配置指向底层基础架构的默认路由 (0.0.0.0/0)，您可以按照下两个部分中的步骤执行此操作。

在 NSX-T 中创建前缀列表

如需在 VMware Engine 中的 NSX-T 中创建前缀列表，请执行以下操作：

1. 在 NSX-T 中，前往网络 > 0 层级网关。
2. 点击菜单图标（三点状图标），然后点击修改。
3. 点击路由。
4. 点击“IP 前缀列表”旁边的设置。
5. 点击添加 IP 前缀列表。
6. 为 IP 前缀列表输入名称。
7. 点击设置以添加 IP 前缀。
8. 点击添加前缀。
   1. 在网络字段中，输入关键字“any”。
   2. 保持所有字段不变，然后在操作字段中，从下拉菜单中选择允许。
   3. 点击添加。
9. 再次点击添加前缀。
   1. 在 Network（网络）字段中，以 CIDR 格式输入 IP 地址，例如 0.0.0.0/0。
   2. 保持所有字段不变，然后在操作字段中，从下拉菜单中选择“拒绝”。
   3. 点击添加。
10. 点击应用。
11. 依次点击保存 > 关闭。

将前缀列表附加到两个 BGP 邻居

创建前缀列表后，下一步是通过以下操作将前缀列表附加到 NSX-T 中的两个 BGP 邻居：

1. 在 NSX-T 中，前往网络 > 0 层级网关。
2. 点击菜单图标（三点状图标），然后点击修改。
3. 点击 BGP。
4. 点击 BGP 邻居。
5. 点击菜单图标（三点状图标），然后选择修改。
6. 点击路线过滤器。
7. 点击菜单图标（三点状图标），然后选择修改。
8. 点击出站过滤器字段中的配置。
9. 选择之前创建的“前缀列表”名称。
10. 点击保存。
11. 依次点击添加 > 应用。
12. 点击保存。
13. 重复第 5-13 步以更新其他 BGP 邻居。
14. 点击关闭修改。

后续步骤

• 详细了解如何使用 NSX-T 进行 IP 地址管理 (IPAM)。