ネットワーキングの要件
Google Cloud VMware Engine は、オンプレミス環境、企業が管理するデバイス、および Virtual Private Cloud(VPC)などの Google Cloud サービスのユーザーとアプリケーションにアクセス可能なプライベート クラウド環境を提供します。VMware Engine のプライベート クラウドと他のネットワークの間の接続を確立するには、Cloud VPN や Cloud Interconnect などのネットワーキング サービスを使用します。
一部のネットワーク サービスでは、この機能を有効にするためにユーザー指定のアドレス範囲が必要になります。デプロイを計画するにあたって参考になるように、このページではネットワーキング要件とそれに関連する機能を記載します。
VMware Engine プライベート クラウド接続
VPC ネットワークから VMware Engine への接続は、標準ネットワークとレガシー ネットワークのどちらを使用するかに応じて変わります。
標準 VMware Engine ネットワーク
VPC ネットワークから標準 VMware Engine ネットワークへの接続では、VPC ネットワーク ピアリングを使用します。
以前の VMware Engine ネットワーク
VPC ネットワークからレガシー VMware Engine ネットワークへの接続では、プライベート サービス アクセスを使用します。オンプレミス ネットワークまたは VPC ネットワークからワークロード仮想マシン(VM)にアクセスするには、VPC ネットワークから VMware Engine ネットワークへのプライベート サービス アクセスを設定します。
Cloud DNS を使用したグローバル アドレス解決
Cloud DNS を使用してグローバル アドレス解決を行う場合は、Cloud DNS API を有効にします。プライベート クラウドを作成する前に、Cloud DNS の設定を完了しておく必要があります。
CIDR の要件と制限
VMware Engine では、管理アプライアンスのホスティングや HCX ネットワークのデプロイなどのサービスに一連のアドレス範囲を使用します。一部のアドレス範囲は必須であり、他のアドレス範囲はデプロイするサービスによって異なります。
アドレス範囲は、オンプレミス サブネット、VPC ネットワーク サブネット、または計画済みワークロードのサブネットと重複しないように予約する必要があります。
また、ワークロード VM と vSphere / vSAN サブネットの CIDR 範囲は、次の範囲の IP アドレスと重複してはなりません。
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere / vSAN サブネットの CIDR 範囲
VMware Engine は、プライベート クラウドの作成中に指定した vSphere / vSAN サブネット CIDR 範囲にプライベート クラウドの管理コンポーネントをデプロイします。この範囲の IP アドレスは、プライベート クラウド インフラストラクチャ用に予約されているため、ワークロード VM には使用できません。CIDR 範囲のプレフィックスは、/24~/20 の範囲にする必要があります。
サブネット CIDR 範囲分割バージョン
2022 年 11 月以降に作成されたプライベート クラウドには、IP アドレス レイアウト(IP プラン)バージョン 2.0 のサブネット割り振りが適用されます。2022 年 11 月より前に作成されたほとんどのプライベート クラウドには、IP プラン バージョン 1.0 のサブネット割り振りが適用されます。
プライベート クラウドが準拠しているバージョンを確認するには、次の手順を完了します。
Google Cloud コンソールで、[プライベート クラウド] ページに移動します。
確認するプライベート クラウドをクリックします。
[IP プランのバージョン] で、このプライベート クラウドが使用しているバージョンを確認します。
バージョン番号が [IP プランのバージョン] に表示されます。
vSphere / vSAN サブネットの CIDR 範囲のサイズ
vSphere / vSAN サブネットの CIDR 範囲のサイズは、プライベート クラウドの最大サイズに影響します。次の表は、vSphere / vSAN サブネットの CIDR 範囲のサイズに基づく、ノードの最大数を示しています。
指定された vSphere / vSAN サブネット CIDR のプレフィックス | ノードの最大数(IP プラン バージョン 1.0) | ノードの最大数(IP プラン バージョン 2.0) |
---|---|---|
/24 | 26 | 10 |
/23 | 58 | 20 |
/22 | 118 | 40 |
/21 | 220 | 90 |
/20 | なし | 200 |
CIDR 範囲のプレフィックスを選択する場合は、プライベート クラウドのリソース上のノード制限を検討してください。たとえば、/24 と /23 の CIDR 範囲のプレフィックスは、プライベート クラウドで利用できるノードの最大数をサポートしていません。あるいは、/20 の CIDR 範囲のプレフィックスは、プライベート クラウドで利用可能な現在のノードの最大数以上をサポートしています。
管理ネットワークの CIDR 範囲分割の例
指定された vSphere / vSAN サブネットの CIDR 範囲は、複数のサブネットに分割されます。次の表に、許可されたプレフィックスの詳細を示します。最初の例のセットでは IP プラン バージョン 1.0 の CIDR 範囲として 192.168.0.0 を使用し、2 番目の例のセットでは IP プラン バージョン 2.0 に 10.0.0.0 を使用します。
関数 | サブネット マスク/プレフィックス(IP プラン バージョン 1.0) | |||
---|---|---|---|---|
vSphere / vSAN サブネットの CIDR 範囲 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
システム管理 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
NSX-T ホスト トランスポート | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
NSX-T Edge トランスポート | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
NSX-T Edge アップリンク 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
NSX-T Edge アップリンク 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
関数 | サブネット マスク/プレフィックス(IP プラン バージョン 2.0) | |||||
---|---|---|---|---|---|---|
vSphere / vSAN サブネットの CIDR 範囲 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
システム管理 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
NSX-T トランスポート | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
HCX アップリンク | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
NSX-T Edge アップリンク 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
NSX-T Edge アップリンク 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
NSX-T edge uplink3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
NSX-T edge uplink4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 |
HCX と NSX-T Edge スケーリング(IP プラン バージョン 2.0 のみ)
指定された vSphere / vSAN サブネット CIDR のプレフィックス | リモート HCX サイトの最大数 | HCX ネットワーク拡張アプライアンスの最大数 | NSX-T Edge VM の最大数 |
---|---|---|---|
/24 | 2 | 1 | 2 |
/23 | 4 | 2 | 4 |
/22 | 14 | 8 | 8 |
/21 | 25 | 32 | 8 |
/20 | 25 | 64 | 8 |
HCX デプロイ ネットワークの CIDR 範囲(IP プラン バージョン 1.0 のみ)
IP プラン バージョン 1.0 では、HCX は vSphere / vSAN サブネットの CIDR 範囲に統合されていませんでした。プライベート クラウドの作成時に、HCX コンポーネントで使用するネットワーク CIDR 範囲を指定することで、VMware Engine がプライベート クラウドに HCX をインストールできるようにしていました。CIDR 範囲のプレフィックスは /26 または /27 でした。
VMware Engine は、指定されたネットワークを 3 つのサブネットに分割しました。
- HCX 管理: HCX Manager のインストールに使用します。
- HCX vMotion: オンプレミス環境と VMware Engine プライベート クラウドの間の VM の vMotion に使用します。
- HCX WANUplink: オンプレミス環境と VMware Engine プライベート クラウドの間のトンネルを確立するために使用します。
サンプル HCX の CIDR 範囲の詳細
指定した HCX デプロイの CIDR 範囲は複数のサブネットに分割されます。次の表に、許可されたプレフィックスの詳細を示します。この例では、CIDR 範囲として 192.168.1.0 を使用します。
関数 | サブネット マスク / プレフィックス | |||
---|---|---|---|---|
HCX デプロイ ネットワークの CIDR 範囲 | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
VMware Engine へのプライベート サービス アクセス
次の表に、Google Cloud サービスへのプライベート接続のアドレス範囲の要件を示します。
名前 / 目的 | 説明 | CIDR プレフィックス |
---|---|---|
割り当て済みアドレス範囲 | VMware Engine など、Google Cloud サービスへのプライベート接続に使用されるアドレス範囲。 | /24 以上 |
VMware Engine が提供する Edge ネットワーキング サービス
次の表に、VMware Engine が提供する Edge ネットワーキング サービスのアドレス範囲の要件を示します。
名前 / 目的 | 説明 | CIDR プレフィックス |
---|---|---|
Edge サービス CIDR | オプションのエッジサービス(インターネット アクセス、パブリック IP など)がリージョン単位で有効になっている場合は必須。 | /26 |
限定公開/制限付き Google API にアクセスする
デフォルトでは、限定公開 199.36.153.8/30
と制限付き 199.36.153.4/30
の両方の CIDR が VMware Engine ネットワークにアドバタイズされ、Google サービスへの直接アクセスがサポートされます。限定公開 CIDR 199.36.153.8/30
は、VPC Service Controls の構成時に撤回できます。
ファイアウォール ポートの要件
サイト間 VPN または Dedicated Interconnect を使用して、オンプレミス ネットワークからプライベート クラウドへの接続を設定できます。この接続を使用して、VMware プライベート クラウドの vCenter と、プライベート クラウドで実行するワークロードにアクセスします。
オンプレミス ネットワークでファイアウォールを使用すると、接続時にどのポートを開くかを管理できます。このセクションでは、一般的なアプリケーション ポートの要件について説明します。その他のアプリケーションのポート要件については、そのアプリケーションのドキュメントをご覧ください。
VMware コンポーネントに使用されるポートの詳細については、VMware のポートとプロトコルをご覧ください。
vCenter へのアクセスに必要なポート
プライベート クラウドで vCenter Server と NSX-T Manager にアクセスするには、オンプレミス ファイアウォールで次のポートを開きます。
ポート | ソース | 宛先 | 目的 |
---|---|---|---|
53(UDP) | オンプレミス DNS サーバー | プライベート クラウド DNS サーバー | gve.goog の DNS ルックアップをオンプレミス ネットワークからプライベート クラウド DNS サーバーに転送するために必須。 |
53(UDP) | プライベート クラウド DNS サーバー | オンプレミス DNS サーバー | オンプレミス ドメイン名の DNS ルックアップをプライベート クラウド vCenter からオンプレミス DNS サーバーに転送する場合に必須。 |
80(TCP) | オンプレミス ネットワーク | プライベート クラウド管理ネットワーク | vCenter URL を HTTP から HTTPS にリダイレクトするために必須。 |
443(TCP) | オンプレミス ネットワーク | プライベート クラウド管理ネットワーク | オンプレミス ネットワークから vCenter および NSX-T Manager にアクセスするために必須。 |
8000(TCP) | オンプレミス ネットワーク | プライベート クラウド管理ネットワーク | オンプレミスからプライベート クラウドへの仮想マシン(VM)の vMotion に必須。 |
8000(TCP) | プライベート クラウド管理ネットワーク | オンプレミス ネットワーク | プライベート クラウドからオンプレミスへの VM の vMotion に必須。 |
ワークロード VM へのアクセスに必要な一般的なポート
プライベート クラウド上で実行されているワークロード VM にアクセスするには、オンプレミス ファイアウォールでポートを開く必要があります。次の表に、共通ポートを示します。アプリケーション固有のポート要件については、アプリケーションのドキュメントをご覧ください。
ポート | ソース | 宛先 | 目的 |
---|---|---|---|
22(TCP) | オンプレミス ネットワーク | プライベート クラウド ワークロード ネットワーク | プライベート クラウドで実行されている Linux VM への安全なシェルアクセス。 |
3389(TCP) | オンプレミス ネットワーク | プライベート クラウド ワークロード ネットワーク | プライベート クラウドで稼働している Windows Server VM へのリモート デスクトップ。 |
80(TCP) | オンプレミス ネットワーク | プライベート クラウド ワークロード ネットワーク | プライベート クラウドで実行されている VM にデプロイされているウェブサーバーにアクセスする。 |
443(TCP) | オンプレミス ネットワーク | プライベート クラウド ワークロード ネットワーク | プライベート クラウドで実行されている VM にデプロイされているセキュアなウェブサーバーにアクセスする。 |
389(TCP/UDP) | プライベート クラウド ワークロード ネットワーク | オンプレミスの Active Directory ネットワーク | Windows Server ワークロード VM をオンプレミスの Active Directory ドメインに参加させる。 |
53(UDP) | プライベート クラウド ワークロード ネットワーク | オンプレミスの Active Directory ネットワーク | オンプレミス DNS サーバーへのワークロード VM 用の DNS サービス アクセス。 |
オンプレミスの Active Directory を ID ソースとして使用するために必要なポート
オンプレミスの Active Directory をプライベート クラウド vCenter の ID ソースとして構成するために必要なポートのリストについては、Active Directory を使用した認証の構成をご覧ください。