Requisiti di networking
Google Cloud VMware Engine offre un ambiente cloud privato accessibile a utenti e applicazioni da ambienti on-premise, dispositivi gestiti dall'azienda e serviziGoogle Cloud come Virtual Private Cloud (VPC). Per stabilire la connettività tra i cloud privati VMware Engine e altre reti, utilizzi servizi di rete come Cloud VPN e Cloud Interconnect.
Alcuni servizi di rete richiedono intervalli di indirizzi specificati dall'utente per abilitare la funzionalità. Per aiutarti a pianificare l'implementazione, questa pagina elenca i requisiti di rete e le funzionalità associate.
Connettività del cloud privato VMware Engine
La connessione dalla tua rete VPC a una rete VMware Engine standard utilizza il peering di rete VPC.
Risoluzione degli indirizzi globale utilizzando Cloud DNS
Se vuoi la risoluzione degli indirizzi globale con Cloud DNS, abilita l'API Cloud DNS. Devi completare la configurazione di Cloud DNS prima di creare il cloud privato.
Requisiti e limitazioni CIDR
VMware Engine utilizza intervalli di indirizzi impostati per servizi come l'hosting di appliance di gestione e il deployment di reti HCX. Alcuni intervalli di indirizzi sono obbligatori, mentre altri dipendono dai servizi che prevedi di implementare.
Devi riservare intervalli di indirizzi in modo che non si sovrappongano a nessuna delle tue subnet on-premise, subnet di rete VPC o subnet dei carichi di lavoro pianificati.
Inoltre, l'intervallo CIDR delle subnet delle VM del workload e di vSphere/vSAN non deve sovrapporsi a nessun indirizzo IP nei seguenti intervalli:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
Intervallo CIDR subnet vSphere/vSAN
VMware Engine esegue il deployment dei componenti di gestione di un cloud privato nell'intervallo CIDR delle subnet vSphere/vSAN che fornisci durante la creazione del cloud privato. Gli indirizzi IP in questo intervallo sono riservati all'infrastruttura cloud privato e non possono essere utilizzati per le VM dei workload. Il prefisso dell'intervallo CIDR deve essere compreso tra /24 e /20.
Versioni della divisione dell'intervallo CIDR delle subnet
I cloud privati creati dopo novembre 2022 rispettano le allocazioni delle subnet della versione 2.0 del layout degli indirizzi IP (piano IP). Quasi tutti i cloud privati creati prima di novembre 2022 rispettano le allocazioni di subnet della versione 1.0 del piano IP.
Per scoprire a quale versione aderisce il tuo cloud privato, completa i seguenti passaggi:
Nella console Google Cloud , vai alla pagina Cloud privati.
Fai clic su Seleziona un progetto e poi seleziona l'organizzazione, la cartella o il progetto in cui si trova il cloud privato.
Fai clic sul cloud privato che vuoi esaminare.
Cerca Versione del piano IP per scoprire quale versione utilizza questo cloud privato.
Il numero di versione viene visualizzato nella sezione Versione del piano IP.
Dimensioni dell'intervallo CIDR subnet vSphere/vSAN
Le dimensioni dell'intervallo CIDR delle subnet vSphere/vSAN influiscono sulle dimensioni massime del tuo cloud privato. La tabella seguente mostra il numero massimo di nodi che puoi avere in base alle dimensioni dell'intervallo CIDR delle subnet vSphere/vSAN.
| Prefisso CIDR delle subnet vSphere/vSAN specificate | Numero massimo di nodi (versione 1.0 del piano IP) | Numero massimo di nodi (versione 2.0 del piano IP) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | N/D | 200 |
Quando selezioni il prefisso dell'intervallo CIDR, considera i limiti dei nodi per le risorse in un cloud privato. Ad esempio, i prefissi dell'intervallo CIDR /24 e /23 non supportano il numero massimo di nodi disponibili per un cloud privato. In alternativa, i prefissi dell'intervallo CIDR di /20 supportano un numero di nodi superiore al numero massimo attuale disponibile per un cloud privato.
Esempio di divisione dell'intervallo CIDR della rete di gestione
L'intervallo CIDR delle subnet vSphere/vSAN che specifichi è suddiviso in più subnet. Le tabelle seguenti mostrano esempi di suddivisione per i prefissi consentiti. Il primo insieme di esempi utilizza 192.168.0.0 come intervallo CIDR per la versione 1.0 del piano IP, mentre il secondo insieme di esempi utilizza 10.0.0.0 per la versione 2.0 del piano IP.
| Funzione | Subnet mask/prefisso (versione 1.0 del piano IP) | |||
|---|---|---|---|---|
| Intervallo CIDR subnet vSphere/vSAN | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| Gestione del sistema | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| Trasporto host NSX | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| Trasporto edge NSX | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX edge uplink1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX edge uplink2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| Funzione | Subnet mask/prefisso (versione 2.0 del piano IP) | |||||
|---|---|---|---|---|---|---|
| Intervallo CIDR subnet vSphere/vSAN | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| Gestione del sistema | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX transport | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| Uplink HCX | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX edge uplink1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX edge uplink2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| Uplink3 edge NSX | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| Uplink4 edge NSX | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
Scalabilità di HCX e NSX Edge (solo versione 2.0 del piano IP)
| Prefisso CIDR delle subnet vSphere/vSAN specificate | Numero massimo di siti HCX remoti | Numero massimo di appliance di estensione di rete HCX | Numero massimo di VM NSX Edge |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
Intervallo CIDR rete di deployment HCX (solo versione 1.0 del piano IP)
Nella versione 1.0 del piano IP, HCX non era integrato nell'intervallo CIDR delle subnet vSphere/vSAN. Quando hai creato un cloud privato, potevi facoltativamente chiedere a VMware Engine di installare HCX sul cloud privato specificando un intervallo CIDR di rete da utilizzare per i componenti HCX. Il prefisso dell'intervallo CIDR era /26 o /27.
VMware Engine ha suddiviso la rete che hai fornito in tre subnet:
- Gestione HCX:utilizzato per l'installazione di HCX Manager.
- HCX vMotion: utilizzato per vMotion delle VM tra l'ambiente on-premise e il cloud privato VMware Engine.
- HCX WANUplink:utilizzato per stabilire il tunnel tra l'ambiente on-premise e il cloud privato VMware Engine.
Esempio di suddivisione dell'intervallo CIDR HCX
L'intervallo CIDR di deployment HCX che specifichi viene suddiviso in più subnet. La tabella seguente mostra esempi di suddivisione per i prefissi consentiti. Gli esempi utilizzano 192.168.1.0 come intervallo CIDR.
| Funzione | Subnet mask/prefisso | |||
|---|---|---|---|---|
| Intervallo CIDR rete di deployment HCX | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
Accesso privato ai servizi a VMware Engine
La tabella seguente descrive il requisito dell'intervallo di indirizzi per la connessione privata ai servizi Google Cloud .
| Nome/scopo | Descrizione | Prefisso CIDR |
|---|---|---|
| Intervallo di indirizzi assegnato | Intervallo di indirizzi da utilizzare per la connessione privata ai servizi, incluso VMware Engine. Google Cloud | /24 o superiore |
Servizi di networking perimetrale forniti da VMware Engine
La tabella seguente descrive il requisito dell'intervallo di indirizzi per i servizi di rete perimetrale forniti da VMware Engine.
| Nome/scopo | Descrizione | Prefisso CIDR |
|---|---|---|
| CIDR dei servizi edge | Obbligatorio se sono abilitati servizi edge facoltativi, come l'accesso a internet e l'IP pubblico, per regione. | /26 |
Accesso alle API di Google private/con limitazioni
Per impostazione predefinita, sia i CIDR privati 199.36.153.8/30 che quelli con limitazioni 199.36.153.4/30
vengono pubblicizzati nella rete VMware Engine per supportare l'accesso diretto ai servizi Google. Il CIDR privato 199.36.153.8/30 può essere ritirato dopo la configurazione
dei controlli di servizio VPC.
Requisiti delle porte firewall
Puoi configurare una connessione dalla tua rete on-premise al tuo cloud privato utilizzando la VPN da sito a sito o Dedicated Interconnect. Utilizza la connessione per accedere a vCenter del tuo cloud privato VMware e a tutti i carichi di lavoro eseguiti nel cloud privato.
Puoi controllare quali porte vengono aperte sulla connessione utilizzando un firewall nella tua rete on-premise. Questa sezione elenca i requisiti comuni delle porte dell'applicazione. Per i requisiti delle porte di altre applicazioni, consulta la documentazione relativa.
Per ulteriori informazioni sulle porte utilizzate per i componenti VMware, consulta Porte e protocolli VMware.
Porte richieste per l'accesso a vCenter
Per accedere a vCenter Server e NSX Manager nel tuo cloud privato, apri le seguenti porte sul firewall on-premise:
| Porta | Origine | Destinazione | Finalità |
|---|---|---|---|
| 53 (UDP) | Server DNS on-premise | Server DNS del cloud privato | Obbligatorio per l'inoltro della ricerca DNS di gve.goog ai server DNS di cloud privato dalla rete on-premise. |
| 53 (UDP) | Server DNS del cloud privato | Server DNS on-premise | Obbligatorio per l'inoltro della ricerca DNS dei nomi di dominio on-premise da vCenter di cloud privato ai server DNS on-premise. |
| 80 (TCP) | Rete on-premise | Rete di gestione del cloud privato | Obbligatorio per reindirizzare l'URL vCenter da HTTP a HTTPS. |
| 443 (TCP) | Rete on-premise | Rete di gestione del cloud privato | Obbligatorio per accedere a vCenter e NSX Manager dalla rete on-premise. |
| 8000 (TCP) | Rete on-premise | Rete di gestione del cloud privato | Obbligatorio per vMotion delle macchine virtuali (VM) da on-premise al cloud privato. |
| 8000 (TCP) | Rete di gestione del cloud privato | Rete on-premise | Obbligatorio per vMotion delle VM dal cloud privato all'ambiente on-premise. |
Porte comuni richieste per l'accesso alle VM dei carichi di lavoro
Per accedere alle VM dei workload in esecuzione sul tuo cloud privato, devi aprire le porte sul firewall on-premise. La tabella seguente elenca le porte comuni. Per eventuali requisiti di porta specifici per l'applicazione, consulta la documentazione dell'applicazione.
| Porta | Origine | Destinazione | Finalità |
|---|---|---|---|
| 22 (TCP) | Rete on-premise | Rete del carico di lavoro del cloud privato | Accesso Secure Shell alle VM Linux in esecuzione su cloud privato. |
| 3389 (TCP) | Rete on-premise | Rete del carico di lavoro del cloud privato | Remote Desktop alle VM Windows Server in esecuzione sul cloud privato. |
| 80 (TCP) | Rete on-premise | Rete del carico di lavoro del cloud privato | Accedi a qualsiasi server web di cui è stato eseguito il deployment su VM in esecuzione sul cloud privato. |
| 443 (TCP) | Rete on-premise | Rete del carico di lavoro del cloud privato | Accedi a qualsiasi server web sicuro di cui è stato eseguito il deployment su VM in esecuzione su cloud privato. |
| 389 (TCP/UDP) | Rete del carico di lavoro del cloud privato | Rete Active Directory on-premise | Aggiungi le VM dei carichi di lavoro Windows Server al dominio Active Directory on-premise. |
| 53 (UDP) | Rete del carico di lavoro del cloud privato | Rete Active Directory on-premise | Accesso al servizio DNS per le VM dei carichi di lavoro ai server DNS on-premise. |
Porte richieste per l'utilizzo di Active Directory on-premise come origine identità
Per un elenco delle porte necessarie per configurare Active Directory on-premise come origine identità in vCenter del cloud privato, consulta Configurazione dell'autenticazione mediante Active Directory.