Exigences de mise en réseau
Google Cloud VMware Engine offre un environnement cloud privé accessible aux utilisateurs et aux applications des environnements sur site, des appareils gérés par l'entreprise et des services Google Cloud tels que le cloud privé virtuel (VPC). Pour connecter les clouds privés VMware Engine à d'autres réseaux, vous utilisez des services de mise en réseau tels que Cloud VPN et Cloud Interconnect.
Certains services réseau nécessitent des plages d'adresses spécifiées par l'utilisateur pour l'activation de la fonctionnalité. Pour vous aider à planifier votre déploiement, cette page répertorie les conditions de mise en réseau et les fonctionnalités associées.
Connectivité à un cloud privé depuis VMware Engine
La connexion de votre réseau VPC à un VMware Engine diffère selon que vous utilisez des réseaux standards ou anciens.
Réseaux VMware Engine standards
La connexion de votre réseau VPC à un réseau VMware Engine standard utilise l'appairage de réseaux VPC.
Anciens réseaux VMware Engine
La connexion de votre réseau VPC à un ancien réseau VMware Engine utilise l'accès aux services privés. Pour accéder à vos machines virtuelles (VM) de charge de travail à partir d'un réseau sur site ou de votre réseau VPC, configurez l'accès aux services privés depuis votre réseau VPC sur votre réseau VMware Engine.
Résolution d'adresse globale à l'aide de Cloud DNS
Si vous souhaitez effectuer une résolution d'adresse globale à l'aide de Cloud DNS, activez l'API Cloud DNS. Vous devez terminer la configuration de Cloud DNS avant de créer votre cloud privé.
Exigences et restrictions CIDR
VMware Engine utilise des plages d'adresses définies pour des services tels que l'hébergement de dispositifs de gestion et le déploiement de réseaux HCX. Certaines plages d'adresses sont obligatoires, tandis que d'autres dépendent des services que vous prévoyez de déployer.
Vous devez réserver des plages d'adresses de sorte qu'elles ne chevauchent pas vos sous-réseaux sur site, vos sous-réseaux de réseau VPC ou vos sous-réseaux de charges de travail planifiées.
De plus, vos VM de charge de travail et la plage CIDR de sous-réseau vSphere/vSAN ne doivent chevaucher aucune adresse IP des plages suivantes :
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
Plage CIDR de sous-réseaux vSphere/vSAN
VMware Engine déploie les composants de gestion d'un cloud privé dans la plage CIDR des sous-réseaux vSphere/vSAN que vous fournissez lors de la création du cloud privé. Les adresses IP de cette plage sont réservées à l'infrastructure cloud privée et ne peuvent pas être utilisées pour les VM de charge de travail. Le préfixe de la plage CIDR doit être compris entre /24 et /20.
Versions de la division de la plage CIDR des sous-réseaux
Les clouds privés créés après novembre 2022 respectent les allocations de sous-réseau de mise en page d'adresse IP (plan d'adresses IP) version 2.0. Presque tous les clouds privés créés avant novembre 2022 respectent les allocations de sous-réseaux de la version 1.0 du plan d'adresses IP.
Pour savoir à quelle version votre cloud privé est compatible, procédez comme suit:
- Accédez à la console Google Cloud.
- Dans le menu principal, cliquez sur Private clouds (Clouds privés).
- Cliquez sur le cloud privé que vous souhaitez examiner.
- Recherchez Version du forfait d'adresses IP pour connaître la version utilisée par ce cloud privé.
Le numéro de version s'affiche sous Version du forfait d'adresses IP.
Taille de la plage CIDR des sous-réseaux vSphere/vSAN
La taille de votre plage CIDR des sous-réseaux vSphere/vSAN affecte la taille maximale de votre cloud privé. Le tableau suivant indique le nombre maximal de nœuds que vous pouvez avoir, en fonction de la taille de la plage CIDR des sous-réseaux vSphere/vSAN.
| Préfixe CIDR de sous-réseaux vSphere/vSAN spécifié | Nombre maximal de nœuds (version 1.0 du plan d'adresses IP) | Nombre maximal de nœuds (version 2.0 du plan d'adresses IP) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | Non disponible | 200 |
Lorsque vous sélectionnez votre préfixe de plage CIDR, tenez compte des limites de nœuds sur les ressources dans un cloud privé. Par exemple, les préfixes de plage CIDR /24 et /23 ne sont pas compatibles avec le nombre maximal de nœuds disponibles pour un cloud privé. Par ailleurs, les préfixes de plage CIDR /20 acceptent un nombre de nœuds supérieur au nombre maximal actuel pour un cloud privé.
Exemple de division de la plage CIDR du réseau de gestion
La plage CIDR de sous-réseaux vSphere/vSAN spécifiée est divisée en plusieurs sous-réseaux. Les tableaux suivants présentent des exemples de répartition des préfixes autorisés. Le premier ensemble d'exemples utilise 192.168.0.0 comme plage CIDR pour la version 1.0 du plan d'adresses IP, tandis que le second ensemble d'exemples utilise 10.0.0.0 pour la version 2.0 du plan d'adresses IP.
| Fonction | Masque/préfixe de sous-réseau (version 1.0 du plan d'adresses IP) | |||
|---|---|---|---|---|
| Plage CIDR de sous-réseaux vSphere/vSAN | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| Gestion système | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| Transport d'hôte NSX-T | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| Transport edge NSX-T | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX-T Edge liaison montante 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX-T liaison montante 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| Fonction | Masque/préfixe de sous-réseau (plan d'adresses IP version 2.0) | |||||
|---|---|---|---|---|---|---|
| Plage CIDR de sous-réseaux vSphere/vSAN | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| Gestion système | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| Transport NSX-T | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| Liaison montante HCX | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX-T Edge liaison montante 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX-T liaison montante 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX-T Edge de liaison montante 3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX-T Edge de liaison montante 4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
Scaling HCX et NSX-T Edge (plan d'adresses IP version 2.0 uniquement)
| Préfixe CIDR de sous-réseaux vSphere/vSAN spécifié | Nombre maximal de sites HCX distants | Nombre maximal de dispositifs Network Extension HCX | Nombre maximal de VM NSX-T Edge |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
Plage CIDR du réseau de déploiement HCX (version 1.0 du plan d'adresses IP uniquement)
Dans la version 1.0 du plan d'adresses IP, HCX n'était pas intégré à la plage CIDR des sous-réseaux vSphere/vSAN. Lorsque vous avez créé un cloud privé, vous pouvez éventuellement demander à VMware Engine d'installer HCX sur le cloud privé en spécifiant une plage CIDR de réseau à utiliser par les composants HCX. Le préfixe de la plage CIDR était /26 ou /27.
VMware Engine a divisé le réseau que vous avez fourni en trois sous-réseaux:
- Gestion HCX : permet d'installer HCX Manager.
- HCX vMotion : utilisé pour la migration vMotion de VM entre votre environnement sur site et le cloud privé VMware Engine.
- HCX WANUplink : utilisé pour établir le tunnel entre votre environnement sur site et le cloud privé VMware Engine.
Exemple de répartition de la plage CIDR HCX
La plage CIDR de déploiement HCX que vous spécifiez est divisée en plusieurs sous-réseaux. Le tableau suivant montre des exemples de répartition des préfixes autorisés. Les exemples utilisent 192.168.1.0 comme plage CIDR.
| Fonction | Masque/Préfixe de sous-réseau | |||
|---|---|---|---|---|
| Plage CIDR du réseau de déploiement HCX | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
Accès aux services privés dans VMware Engine
Le tableau suivant décrit les exigences relatives à la plage d'adresses pour les connexions privées aux services Google Cloud.
| Nom/Objectif | Description | Préfixe CIDR |
|---|---|---|
| Plage d'adresses attribuée | Plage d'adresses à utiliser pour la connexion privée aux services Google Cloud, y compris VMware Engine. | /24 ou supérieur |
Services de mise en réseau Edge fournis par VMware Engine
Le tableau suivant décrit l'exigence de plage d'adresses pour les services de mise en réseau Edge fournie par VMware Engine.
| Nom/Objectif | Description | Préfixe CIDR |
|---|---|---|
| CIDR pour les services Edge | Obligatoire si les services de périphérie facultatifs, tels que l'accès Internet et l'adresse IP publique, sont activés par région. | /26 |
Accéder aux API Google privées/limitées
Par défaut, les plages CIDR 199.36.153.8/30 privées et 199.36.153.4/30 limitées sont annoncées dans le réseau VMware Engine pour permettre un accès direct aux services Google. Le CIDR privé 199.36.153.8/30 peut être retiré lors de la configuration de VPC Service Controls.
Exigences de port de pare-feu
Vous pouvez configurer une connexion entre votre réseau sur site et votre cloud privé en utilisant un VPN de site à site ou une interconnexion dédiée. Utilisez la connexion pour accéder à votre cloud privé vCenter VMware et à toute charge de travail exécutée dans le cloud privé.
Vous pouvez contrôler les ports qui sont ouverts sur la connexion à l'aide d'un pare-feu déployé sur votre réseau sur site. Cette section répertorie les exigences concernant les ports utilisés par les applications les plus courantes. Pour connaître les exigences de ports d'autres applications, consultez la documentation de l'application concernée.
Pour plus d'informations sur les ports utilisés pour les composants VMware, consultez la section Ports et protocoles VMware.
Ports requis pour accéder à vCenter
Pour accéder à vCenter Server et NSX-T Manager dans votre cloud privé, ouvrez les ports suivants sur le pare-feu sur site :
| Port | Source | Destination | Objectif |
|---|---|---|---|
| 53 (UDP) | Serveurs DNS sur site | Serveurs DNS du cloud privé | Requis pour la redirection de la résolution DNS de gve.goog vers les serveurs DNS du cloud privé à partir d'un réseau sur site. |
| 53 (UDP) | Serveurs DNS du cloud privé | Serveurs DNS sur site | Requis pour la redirection de la résolution DNS des noms de domaine sur site à partir du cloud privé vCenter vers les serveurs DNS sur site. |
| 80 (TCP) | Réseau sur site | Réseau de gestion du cloud privé | Requis pour la redirection des URL vCenter de HTTP vers HTTPS. |
| 443 (TCP) | Réseau sur site | Réseau de gestion du cloud privé | Requis pour l'accès à vCenter et à NSX-T Manager à partir d'un réseau sur site. |
| 8000 (TCP) | Réseau sur site | Réseau de gestion du cloud privé | Requis pour la migration vMotion de machines virtuelles (VM) sur site vers le cloud privé. |
| 8000 (TCP) | Réseau de gestion du cloud privé | Réseau sur site | Requis pour la migration vMotion de VM depuis un cloud privé vers un cloud sur site. |
Ports courants requis pour accéder aux VM de charge de travail
Pour accéder aux VM de charge de travail qui s'exécutent sur votre cloud privé, vous devez ouvrir des ports sur votre pare-feu sur site. Le tableau suivant répertorie les ports courants. Pour connaître les exigences de port spécifiques à une application, consultez la documentation de l'application.
| Port | Source | Destination | Usage |
|---|---|---|---|
| 22 (TCP) | Réseau sur site | Réseau de charge de travail du cloud privé | Accès sécurisé via l'interface système aux machines virtuelles Linux exécutées sur un cloud privé. |
| 3389 (TCP) | Réseau sur site | Réseau de charge de travail du cloud privé | Bureau à distance vers des VM Windows Server s'exécutant sur un cloud privé. |
| 80 (TCP) | Réseau sur site | Réseau de charge de travail du cloud privé | Accédez à tous les serveurs Web déployés sur des VM exécutées sur un cloud privé. |
| 443 (TCP) | Réseau sur site | Réseau de charge de travail du cloud privé | Accédez à tous les serveurs Web sécurisés déployés sur des VM exécutées sur un cloud privé. |
| 389 (TCP/UDP) | Réseau de charge de travail du cloud privé | Réseau Active Directory sur site | Associez les VM de charge de travail Windows Server à un domaine Active Directory sur site. |
| 53 (UDP) | Réseau de charge de travail du cloud privé | Réseau Active Directory sur site | Accès au service DNS pour les VM de charge de travail vers les serveurs DNS sur site. |
Ports requis pour l'utilisation d'Active Directory sur site comme source d'identité
Pour obtenir la liste des ports requis pour configurer votre environnement Active Directory sur site en tant que source d'identité sur le cloud privé vCenter, consultez la section Configurer l'authentification à l'aide d'Active Directory.