创建第一个子网

Google Cloud VMware Engine 会为每个私有云创建一个网络,并使用 VLAN 进行网络管理。对于工作负载虚拟机,您可以在 NSX-T Manager 上为您的私有云创建作为网络分段的子网。VMware Engine 包括 NSX-T,用于工作负载网络以及安全功能(例如微分段和防火墙政策)。本页面介绍了如何使用 NSX-T Manager 为工作负载创建子网。

准备工作

本快速入门假定您已完成以下操作:

  1. 创建了一个 Google Cloud VMware Engine 私有云。您可以通过完成以下快速入门创建一个私有云:创建您的第一个私有云
  2. 分配网络中的地址范围,以实现以下目的:
    • DHCP 服务
    • NSX-T 工作负载网络分段的子网

从 VMware Engine 门户访问 NSX-T Manager

子网创建流程在 NSX-T 中进行,您可以通过 VMware Engine 访问:

  1. 访问 Google Cloud 控制台
  2. 在主导航栏中,点击私有云
  3. 点击要在其中创建子网的私有云名称。
  4. 管理设备下,点击与 NSX Manager 对应的网址
  5. 出现提示时,输入您的登录凭据。温馨提示,您可以从私有云详情页面检索生成的凭据

如果您已设置 vIDM 并将其连接到身份源(如 Active Directory),请改用身份源凭据。

为子网设置 DHCP 服务

在创建子网之前,请先设置 DHCP 服务:

  1. 在 NSX-T 中,转到网络 > DHCP。网络信息中心显示,该服务会创建一个 Tier-0 和一个 Tier-1 网关。

  2. 要开始预配 DHCP 服务器,请点击添加 DHCP 配置文件

  3. DHCP 名称字段中,输入配置文件的名称。

  4. 对于配置文件类型,选择 DHCP 服务器

  5. 服务器 IP 地址列中,提供 DHCP 服务 IP 地址范围。

  6. 点击保存以创建 DHCP 服务。

然后将此 DHCP 服务连接到相关的 tier-1 网关。此服务已预配默认 tier-1 网关:

  1. 在 NSX-T 中,转到网络 > Tier-1 网关
  2. 点击 Tier-1 网关旁边的 垂直省略号,然后选择修改
  3. DHCP 字段中,点击设置 DHCP 配置链接。
  4. Type 设置为 DHCP Server,然后选择您刚刚创建的 DHCP Server Profile
  5. 点击保存
  6. 点击关闭修改

现在,您可以在 NSX-T 中创建网络分段。如需详细了解 NSX-T 中的 DHCP,请参阅适用于 DHCP 的 VMware 文档

在 NSX-T 中创建网络分段

对于工作负载虚拟机,您可以为您的私有云创建子网作为 NSX-T 网络分段:

  1. 在 NSX-T 中,转到网络 > 网络分段
  2. 点击添加细分 (Add Segment)。
  3. 细分名称字段中,输入细分的名称。
  4. 连接的网关列表中,选择 Tier1 以连接到 tier-1 网关。
  5. 传输区域列表中,选择 TZ-OVERLAY | 叠加
  6. 子网列中,输入子网范围。指定子网范围,并将 .1 指定为最后一个八位字节。例如 10.12.2.1/24
  7. 点击设置 DHCP 配置,并为 DHCP 范围字段提供值。
  8. 点击应用以保存您的 DHCP 配置。
  9. 点击保存。现在,您可以在创建虚拟机时在 vCenter 中选择此网络分段。

在给定区域中,您最多可以使用专用服务访问通道通告从 VMware Engine 到 VPC 网络的 250 个唯一路由。例如,这些唯一路由包括私有云管理 IP 地址范围、NSX-T 工作负载网段和 HCX 内部 IP 地址范围。此路由限制包含该区域中的所有私有云,对应于 Cloud Router 的已知路由限制。

如需了解路由限制,请参阅 Cloud Router 配额和限制

NSX-T 中子网配置和路由重新分布的最佳做法

为确保实现最佳网络运行以及防止路由循环和服务中断,在 NSX-T 中配置子网和路由重新分布时,请遵循以下准则:

  1. 子网重叠:避免子网重叠 - 确保 VMware Engine 中使用的 IP 子网是唯一的,并且不与您的私有云或外部网络中的子网重叠。重叠可能会导致路由问题并中断服务。
  2. 层级 0 路由重新分布
    • 自动重新分布 - VMware Engine 使用 BGP 重新分布第 0 层级路由器内连接的第 1 层级段的路由,以在工作负载与外部之间建立适当的连接。
    • 重新分配静态路由 - 在第 0 层级重新分配静态路由时,请务必先拒绝默认路由 (0.0.0.0/0),然后使用前缀列表允许所有流量,以防出现路由循环。为此,您应该创建前缀列表并将其附加到 Tier-0 网关上的两个 BGP 邻域,因为 VMware Engine 已在第 0 级网关上配置指向底层基础架构的默认路由 (0.0.0.0/0),您可以按照接下来两部分中的步骤执行此操作。

在 NSX-T 中创建前缀列表

如需在 VMware Engine 中的 NSX-T 中创建前缀列表,请执行以下操作:

  1. 在 NSX-T 中,转到网络 > 层级 0 网关
  2. 点击菜单图标(三个点),然后点击修改
  3. 点击转送
  4. 点击“IP 前缀列表”旁边的设置
  5. 点击添加 IP 前缀列表
  6. 为 IP 前缀列表输入名称。
  7. 点击设置以添加 IP 前缀。
  8. 点击添加前缀
    1. 广告网络字段中,输入关键字“any”。
    2. 将所有字段保持原样,并在 Action 字段中,从下拉菜单中选择 Permit
    3. 点击添加
  9. 再次点击添加前缀
    1. 网络字段中,输入 CIDR 格式的 IP 地址,例如 0.0.0.0/0
    2. 将所有字段保持原样,并在操作字段中,从下拉菜单中选择“拒绝”。
    3. 点击添加
  10. 点击应用
  11. 依次点击保存 > 关闭

将前缀列表附加到两个 BGP 邻居

创建前缀列表后,下一项任务是将前缀列表附加到 NSX-T 中的两个 BGP 邻域,方法是执行以下操作:

  1. 在 NSX-T 中,转到网络 > 层级 0 网关
  2. 点击菜单图标(三个点),然后点击修改
  3. 点击 BGP
  4. 点击 BGP 邻居
  5. 点击菜单图标(三个点),然后选择修改
  6. 点击路由过滤器
  7. 点击菜单图标(三个点),然后选择修改
  8. 点击排除过滤器字段中的配置
  9. 选择之前创建的前缀列表名称。
  10. 点击保存
  11. 点击添加 > 应用
  12. 点击保存
  13. 重复第 5-13 步以更新另一个 BGP 邻域。
  14. 点击关闭修改

后续步骤