Requisitos de Herramientas de redes
Google Cloud VMware Engine ofrece un entorno de nube privada accesible para los usuarios y las aplicaciones de entornos locales, dispositivos administrados por empresas y servicios de Google Cloud, como la nube privada virtual (VPC). Para establecer la conectividad entre las nubes privadas de VMware Engine y otras redes, usa servicios de herramientas de redes como Cloud VPN y Cloud Interconnect.
Algunos servicios de red requieren rangos de direcciones especificados por el usuario para habilitar la funcionalidad. Para ayudarte a planificar tu implementación, en esta página se describen los requisitos de herramientas de redes y sus características asociadas.
Conectividad a la nube privada de VMware Engine
La conexión de la red de VPC a VMware Engine difiere en función de si usas redes estándar o heredadas.
Redes estándar de VMware Engine
La conexión de tu red de VPC a una red estándar de VMware Engine usa el intercambio de tráfico entre redes de VPC.
Redes heredadas de VMware Engine
La conexión de tu red de VPC a una red heredada de VMware Engine usa el acceso privado a servicios. Para acceder a las máquinas virtuales (VM) de carga de trabajo desde una red local o desde la red de VPC, configura el acceso privado a servicios desde la red de VPC hasta la red de VMware Engine.
Resolución global de direcciones con Cloud DNS
Si deseas obtener una resolución global de direcciones con Cloud DNS, habilita la API de Cloud DNS. Debes completar la configuración de Cloud DNS antes de crear tu nube privada.
Requisitos y restricciones de CIDR
VMware Engine usa rangos de direcciones configurados para servicios como alojar dispositivos de administración e implementar redes de HCX. Algunos rangos de direcciones son obligatorios y otros dependen de los servicios que planeas implementar.
Debes reservar rangos de direcciones para que no se superpongan con ninguna de tus subredes locales, subredes y redes de VPC o subredes planificadas de carga de trabajo.
Además, las VM de carga de trabajo y el rango CIDR de la subred de vSphere/vSAN no deben superponerse con ninguna dirección IP en los siguientes rangos:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
Rango de CIDR de las subredes de vSphere o vSAN
VMware Engine implementa los componentes de administración de una nube privada en el rango de CIDR de las subredes de vSphere/vSAN que proporcionas durante la creación de las nubes privadas. Las direcciones IP de este rango están reservadas para la infraestructura de nube privada y no se pueden usar en las VM de cargas de trabajo. El prefijo del rango CIDR debe estar entre /24 y /20.
Versiones de división del rango CIDR de las subredes
Las nubes privadas creadas después de noviembre de 2022 cumplen con las asignaciones de subred de la versión 2.0 de diseño de direcciones IP (plan de IP). Casi todas las nubes privadas creadas antes de noviembre de 2022 cumplen con las asignaciones de subred del plan de IP versión 1.0.
Para averiguar a qué versión cumple tu nube privada, completa los siguientes pasos:
- Accede a la consola de Google Cloud.
- En el menú principal, haz clic en Nubes privadas.
- Haz clic en la nube privada que quieres revisar.
- Busca Versión del plan de IP para descubrir qué versión usa esta nube privada.
El número de versión se muestra en Versión del plan de IP.
Tamaño del rango de CIDR de las subredes de vSphere o vSAN
El tamaño del rango de CIDR de las subredes de vSphere o vSAN afecta el tamaño máximo de la nube privada. En la siguiente tabla, se muestra la cantidad máxima de nodos que puedes tener, según el tamaño del CIDR del rango de las subredes de vSphere o vSAN.
| Prefijo o CIDR especificado de las subredes de vSphere o vSAN | Cantidad máxima de nodos (versión 1.0 del plan de IP) | Cantidad máxima de nodos (versión 2.0 del plan de IP) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | N/A | 200 |
Cuando selecciones tu prefijo de rango de CIDR, considera los límites de nodos en los recursos de una nube privada. Por ejemplo, los prefijos de rango CIDR de /24 y /23 no admiten la cantidad máxima de nodos disponibles para una nube privada. De manera alternativa, los prefijos de rango CIDR de /20 admiten más que la cantidad máxima actual de nodos disponibles para una nube privada.
Ejemplo de división del rango CIDR de la red de administración
El rango de CIDR de las subredes de vSphere o vSAN que especificas se divide en varias subredes. En las siguientes tablas, se muestran ejemplos del desglose de los prefijos permitidos. El primer conjunto de ejemplos usa 192.168.0.0 como el rango CIDR para la versión 1.0 del plan de IP, y el segundo conjunto de ejemplos usa 10.0.0.0 para la versión 2.0 del plan de IP.
| Función | Máscara o prefijo de subred (versión 1.0 del plan de IP) | |||
|---|---|---|---|---|
| Rango de CIDR de las subredes de vSphere o vSAN | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| Administración del sistema | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| Transporte del host de NSX-T | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| Transporte de NSX-T Edge | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| Uplink1 de NSX-T Edge | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| Uplink2 de NSX-T Edge | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| Función | Máscara o prefijo de subred (versión 2.0 del plan de IP) | |||||
|---|---|---|---|---|---|---|
| Rango de CIDR de las subredes de vSphere o vSAN | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| Administración del sistema | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| Transporte NSX-T | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| Vínculo de subida de HCX | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| Uplink1 de NSX-T Edge | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| Uplink2 de NSX-T Edge | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| Uplink3 de NSX-T Edge | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| Uplink4 de NSX-T Edge | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
Escalamiento de HCX y NSX-T Edge (solo versión 2.0 del plan de IP)
| Prefijo o CIDR especificado de las subredes de vSphere o vSAN | Cantidad máxima de sitios HCX remotos | Dispositivos de extensión de red de HCX máximos | Cantidad máxima de VMs de NSX-T Edge |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
Rango de CIDR de la red de implementación de HCX (solo versión 1.0 del plan de IP)
En la versión 1.0 del plan de IP, HCX no se integró en el rango CIDR de las subredes de vSphere/vSAN. Cuando creaste una nube privada, puedes hacer que VMware Engine instale HCX en la nube privada mediante la especificación de un rango CIDR de red para que lo usen los componentes de HCX. El prefijo del rango CIDR era /26 o /27.
VMware Engine dividió la red que proporcionaste en tres subredes:
- HCX Management: Se usa para instalar HCX Manager.
- HCX vMotion:Se usa para vMotion de las VM entre el entorno local y la nube privada de VMware Engine.
- HCX WANUplink: Se usa para establecer el túnel entre el entorno local y la nube privada de VMware Engine.
Ejemplo de desglose de rango de CIDR de HCX
El rango de CIDR de implementación de HCX que especifiques se divide en varias subredes. En la siguiente tabla, se muestran ejemplos del desglose de los prefijos permitidos. Los ejemplos usan 192.168.1.0 como el rango CIDR.
| Función | Máscara o prefijo de subred | |||
|---|---|---|---|---|
| Rango de CIDR de red de implementación de HCX | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
Acceso privado a servicios a VMware Engine
En la siguiente tabla, se describe el requisito de rango de direcciones para la conexión privada a los servicios de Google Cloud.
| Nombre/propósito | Descripción | Prefijo CIDR |
|---|---|---|
| Rango de direcciones asignado | Es el rango de direcciones que se usará para la conexión privada a los servicios de Google Cloud, incluido VMware Engine. | /24 o superior |
Los servicios de Herramientas de redes perimetrales que proporciona VMware Engine
En la siguiente tabla, se describe el requisito de rango de direcciones para los servicios de Herramientas de redes perimetrales que proporciona VMware Engine.
| Nombre/propósito | Descripción | Prefijo CIDR |
|---|---|---|
| CIDR de servicios perimetrales | Es obligatorio si los servicios perimetrales opcionales, como el acceso a Internet y la IP pública, se habilitan por región. | /26 |
Acceso a APIs de Google privadas o restringidas
De forma predeterminada, los CIDR de 199.36.153.8/30 privados y 199.36.153.4/30 restringidos se anuncian en la red de VMware Engine para admitir el acceso directo a los servicios de Google. El CIDR privado 199.36.153.8/30 se puede retractar después de configurar los Controles del servicio de VPC.
Requisitos del puerto de firewall
Puedes configurar una conexión desde tu red local a tu nube privada mediante una VPN de sitio a sitio o una interconexión dedicada. Usa la conexión para acceder a tu vCenter de nube privada de VMware y a las cargas de trabajo que ejecutas en la nube privada.
Puedes controlar qué puertos se abren en la conexión mediante un firewall en tu red local. En esta sección, se enumeran los requisitos comunes de puerto de las aplicaciones. Para conocer los requisitos de puerto de cualquier otra aplicación, consulta la documentación de esa aplicación.
Si quieres obtener más información sobre los puertos que se usan para los componentes de VMware, consulta Puertos y protocolos de VMware.
Puertos necesarios para acceder a vCenter
Para acceder al servidor de vCenter y al administrador de NSX-T en tu nube privada, abre los siguientes puertos en el firewall local:
| Puerto | Origen | Destino | Objetivo |
|---|---|---|---|
| 53 (UDP) | Servidores DNS locales | Servidores DNS de nube privada | Es obligatorio para reenviar la búsqueda de DNS de gve.goog a servidores DNS de nube privada desde una red local. |
| 53 (UDP) | Servidores DNS de nube privada | Servidores DNS locales | Es obligatorio para reenviar la búsqueda de DNS de los nombres de dominio locales desde el vCenter de nube privada a los servidores DNS locales. |
| 80 (TCP) | Red local | Red de administración de nube privada | Es obligatorio para redireccionar la URL de vCenter de HTTP a HTTPS. |
| 443 (TCP) | Red local | Red de administración de nube privada | Es obligatorio para acceder a vCenter y al administrador de NSX-T desde una red local. |
| 8000 (TCP) | Red local | Red de administración de nube privada | Es obligatorio para vMotion de máquinas virtuales (VM) desde las instalaciones a la nube privada. |
| 8000 (TCP) | Red de administración de nube privada | Red local | Es obligatorio para vMotion de VM de la nube privada a las instalaciones. |
Puertos comunes necesarios para acceder a las VM de carga de trabajo
Para acceder a las VM de carga de trabajo que se ejecutan en tu nube privada, debes abrir puertos en tu firewall local. En la siguiente tabla, se enumeran los puertos comunes. Para conocer los requisitos de puerto específicos de la aplicación, consulta la documentación de la aplicación.
| Puerto | Origen | Destino | Objetivo |
|---|---|---|---|
| 22 (TCP) | Red local | Red de carga de trabajo en la nube privada | Acceso de shell seguro a las VM de Linux que se ejecutan en la nube privada |
| 3389 (TCP) | Red local | Red de carga de trabajo en la nube privada | Escritorio remoto para VM de Windows Server que se ejecutan en la nube privada |
| 80 (TCP) | Red local | Red de carga de trabajo en la nube privada | Acceder a cualquier servidor web implementado en las VM que se ejecutan en la nube privada |
| 443 (TCP) | Red local | Red de carga de trabajo en la nube privada | Acceder a cualquier servidor web seguro implementado en las VM que se ejecutan en la nube privada |
| 389 (TCP/UDP) | Red de carga de trabajo en la nube privada | Red de Active Directory local | Unir las VM de carga de trabajo de Windows Server al dominio de Active Directory local |
| 53 (UDP) | Red de carga de trabajo en la nube privada | Red de Active Directory local | Acceder al servicio de DNS para VM de carga de trabajo en servidores DNS locales |
Puertos necesarios para usar Active Directory local como fuente de identidad
Si deseas obtener una lista de puertos necesarios para configurar tu Active Directory local como una fuente de identidad en la nube privada de vCenter, consulta Configura la autenticación con Active Directory.