網路需求
Google Cloud VMware Engine 提供私有雲環境,使用者和應用程式可從地端環境、企業管理的裝置,以及Google Cloud 虛擬私有雲 (VPC) 等服務存取。如要在 VMware Engine 私有雲和其他網路之間建立連線,請使用 Cloud VPN 和 Cloud Interconnect 等網路服務。
部分網路服務需要使用者指定的位址範圍,才能啟用功能。為協助您規劃部署作業,本頁面列出網路需求和相關聯的功能。
VMware Engine 私有雲連線
從 VPC 網路連線至 Standard VMware Engine 網路時,會使用 VPC 網路對等互連。
使用 Cloud DNS 解析全域位址
如要使用 Cloud DNS 解析全域位址,請啟用 Cloud DNS API。您必須先完成 Cloud DNS 設定,才能建立私有雲。
CIDR 規定和限制
VMware Engine 會使用設定的位址範圍,提供主機管理設備和部署 HCX 網路等服務。部分位址範圍為必要,其他則取決於您打算部署的服務。
您必須保留位址範圍,確保這些範圍不會與任何內部部署子網路、VPC 網路子網路或規劃的工作負載子網路重疊。
此外,工作負載 VM 和 vSphere/vSAN 子網路 CIDR 範圍不得與下列範圍內的任何 IP 位址重疊:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere/vSAN 子網路 CIDR 範圍
VMware Engine 會在您建立私有雲時提供的 vSphere/vSAN 子網路 CIDR 範圍中,部署私有雲的管理元件。這個範圍內的 IP 位址會保留給私有雲基礎架構,無法用於工作負載 VM。CIDR 範圍前置字串必須介於 /24 和 /20 之間。
子網路 CIDR 範圍劃分版本
2022 年 11 月之後建立的私有雲,會遵守 IP 位址配置 (IP 計畫) 2.0 版的子網路分配。2022 年 11 月前建立的私有雲幾乎都遵循 IP 方案 1.0 版的子網路分配。
如要瞭解私有雲遵循哪個版本,請完成下列步驟:
前往 Google Cloud 控制台的「Private clouds」頁面。
按一下「選取專案」,然後選取私人雲所在的機構、資料夾或專案。
按一下要查看的私有雲。
找出「IP Plan version」(IP 方案版本),即可瞭解這個私有雲使用的版本。
版本號碼會顯示在「IP Plan version」(IP 計畫版本) 下方。
vSphere/vSAN 子網路 CIDR 範圍大小
vSphere/vSAN 子網路 CIDR 範圍的大小會影響私有雲的最大大小。下表列出根據 vSphere/vSAN 子網路 CIDR 範圍大小,可擁有的節點數量上限。
| 指定的 vSphere/vSAN 子網路 CIDR 前置字串 | 節點數量上限 (IP 方案 1.0 版) | 節點數量上限 (IP 方案 2.0 版) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | 不適用 | 200 |
選取 CIDR 範圍前置碼時,請考量私有雲中資源的節點限制。舉例來說,CIDR 範圍前置字串 /24 和 /23 不支援 Private Cloud 可用的節點數量上限。或者,/20 的 CIDR 範圍前置字串支援的節點數量,會超過 Private Cloud 目前的節點數量上限。
管理網路 CIDR 範圍劃分範例
您指定的 vSphere/vSAN 子網路 CIDR 範圍會劃分成多個子網路。下表顯示允許的前置字元細目示例。第一組範例使用 192.168.0.0 做為 IP 計畫 1.0 版的 CIDR 範圍,第二組範例則使用 10.0.0.0 做為 IP 計畫 2.0 版的 CIDR 範圍。
| 函式 | 子網路遮罩/前置字元 (IP 方案 1.0 版) | |||
|---|---|---|---|---|
| vSphere/vSAN 子網路 CIDR 範圍 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| 系統管理 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| NSX 主機傳輸 | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| NSX Edge 傳輸 | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX Edge 上行鏈路 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX Edge 上行鏈路 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| 函式 | 子網路遮罩/前置字元 (IP 方案 2.0 版) | |||||
|---|---|---|---|---|---|---|
| vSphere/vSAN 子網路 CIDR 範圍 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| 系統管理 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX 傳輸 | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| HCX 上行連結 | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX Edge 上行鏈路 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX Edge 上行鏈路 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX Edge 上行鏈路 3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX Edge 上行鏈路 4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
HCX 和 NSX Edge 擴充 (僅限 IP 計畫 2.0 版)
| 指定的 vSphere/vSAN 子網路 CIDR 前置字串 | 遠端 HCX 網站數量上限 | HCX 網路擴充設備數量上限 | NSX Edge VM 數量上限 |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
HCX 部署網路 CIDR 範圍 (僅限 IP 計畫 1.0 版)
在 IP 計畫 1.0 版中,HCX 並未整合至 vSphere/vSAN 子網路 CIDR 範圍。建立私有雲時,您可以選擇指定 HCX 元件使用的網路 CIDR 範圍,讓 VMware Engine 在私有雲上安裝 HCX。CIDR 範圍前置字串為 /26 或 /27。
VMware Engine 會將您提供的網路劃分為三個子網路:
- HCX 管理:用於安裝 HCX Manager。
- HCX vMotion:用於在內部部署環境和 VMware Engine 私有雲之間遷移 VM。
- HCX WAN 上行連結:用於在內部部署環境和 VMware Engine 私有雲之間建立通道。
HCX CIDR 範圍細目範例
您指定的 HCX 部署項目 CIDR 範圍會劃分為多個子網路。下表列出允許的前置字元細目範例。範例使用 192.168.1.0 做為 CIDR 範圍。
| 函式 | 子網路遮罩/前置字元 | |||
|---|---|---|---|---|
| HCX 部署項目網路 CIDR 範圍 | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
VMware Engine 的私人服務存取權
下表說明私人連線至 Google Cloud 服務的位址範圍規定。
| 名稱/用途 | 說明 | CIDR 前置字串 |
|---|---|---|
| 指派的位址範圍 | 用於私人連線的位址範圍,可連線至 VMware Engine 等服務。 Google Cloud | /24 以上 |
VMware Engine 提供的邊緣網路服務
下表說明 VMware Engine 提供的邊緣網路服務的位址範圍需求。
| 名稱/用途 | 說明 | CIDR 前置字串 |
|---|---|---|
| 邊緣服務 CIDR | 如果啟用選用的邊緣服務 (例如網際網路存取權和公開 IP),則必須為每個區域設定此項目。 | /26 |
存取私人/受限的 Google API
根據預設,系統會將私人 199.36.153.8/30 和受限 199.36.153.4/30 CIDR 播送至 VMware Engine 網路,以支援直接存取 Google 服務。設定 VPC Service Controls 後,即可撤銷私有 CIDR 199.36.153.8/30。
防火牆通訊埠需求
您可以使用站對站 VPN 或專屬互連,設定從內部部署網路到私有雲的連線。您可以使用連線存取 VMware 私有雲 vCenter,以及在私有雲中執行的任何工作負載。
您可以在內部部署網路中使用防火牆,控管連線開啟的通訊埠。本節列出常見的應用程式連接埠需求。如要瞭解其他應用程式的連接埠需求,請參閱該應用程式的說明文件。
如要進一步瞭解 VMware 元件使用的連接埠,請參閱「VMware Ports and Protocols」(VMware 連接埠和通訊協定)。
存取 vCenter 時所需的通訊埠
如要存取私有雲中的 vCenter Server 和 NSX Manager,請在內部部署防火牆上開啟下列通訊埠:
| 通訊埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|
| 53 (UDP) | 內部部署 DNS 伺服器 | 私有雲 DNS 伺服器 | 從地端部署網路將 gve.goog 的 DNS 查詢轉送至私有雲 DNS 伺服器時,必須使用這項功能。 |
| 53 (UDP) | 私有雲 DNS 伺服器 | 內部部署 DNS 伺服器 | 從私有雲 vCenter 將內部部署網域名稱的 DNS 查詢轉送至內部部署 DNS 伺服器時,必須使用這項功能。 |
| 80 (TCP) | 地端部署網路 | 私有雲管理網路 | 將 vCenter 網址從 HTTP 重新導向至 HTTPS 時,必須使用這項設定。 |
| 443 (TCP) | 地端部署網路 | 私有雲管理網路 | 從內部部署網路存取 vCenter 和 NSX Manager 時,必須使用這個 IP 位址。 |
| 8000 (TCP) | 地端部署網路 | 私有雲管理網路 | 從地端到私有雲遷移虛擬機器 (VM) 時,必須使用此功能。 |
| 8000 (TCP) | 私有雲管理網路 | 地端部署網路 | 將 VM 從私有雲 vMotion 至地端部署時,必須使用此功能。 |
存取工作負載 VM 時所需的常見通訊埠
如要存取私有雲中執行的工作負載 VM,您必須在內部部署防火牆上開啟通訊埠。下表列出常見的通訊埠。如需任何應用程式專屬的連接埠需求,請參閱應用程式說明文件。
| 通訊埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|
| 22 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 安全殼層存取在私有雲中執行的 Linux VM。 |
| 3389 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 透過遠端桌面連線至私人雲端執行的 Windows Server VM。 |
| 80 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 存取部署在私人雲端 VM 上的任何網頁伺服器。 |
| 443 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 存取部署在私人雲端 VM 上的任何安全網頁伺服器。 |
| 389 (TCP/UDP) | 私有雲工作負載網路 | 地端 Active Directory 網路 | 將 Windows Server 工作負載 VM 加入內部部署 Active Directory 網域。 |
| 53 (UDP) | 私有雲工作負載網路 | 地端 Active Directory 網路 | 工作負載 VM 存取內部部署 DNS 伺服器的 DNS 服務。 |
將內部部署 Active Directory 做為身分識別來源時所需的連接埠
如要瞭解在私有雲 vCenter 上將內部部署 Active Directory 設定為身分識別來源時所需的連接埠清單,請參閱「使用 Active Directory 設定驗證作業」。