ネットワーキングの要件

Google Cloud VMware Engine は、オンプレミス環境、企業が管理するデバイス、および Virtual Private Cloud(VPC)などの Google Cloud サービスのユーザーとアプリケーションにアクセス可能なプライベート クラウド環境を提供します。VMware Engine のプライベート クラウドと他のネットワークの間の接続を確立するには、Cloud VPN や Cloud Interconnect などのネットワーキング サービスを使用します。

一部のネットワーク サービスでは、この機能を有効にするためにユーザー指定のアドレス範囲が必要になります。デプロイを計画するにあたって参考になるように、このページではネットワーキング要件とそれに関連する機能を記載します。

VMware Engine プライベート クラウド接続

VPC ネットワークから VMware Engine への接続は、標準ネットワークとレガシー ネットワークのどちらを使用するかによって異なります。

標準 VMware Engine ネットワーク

VPC ネットワークから標準 VMware Engine ネットワークへの接続では、VPC ネットワーク ピアリングを使用します。

レガシー VMware Engine ネットワーク

VPC ネットワークからレガシー VMware Engine ネットワークへの接続では、プライベート サービス アクセスを使用します。オンプレミス ネットワークまたは VPC ネットワークからワークロード仮想マシン(VM)にアクセスするには、VPC ネットワークから VMware Engine ネットワークへのプライベート サービス アクセスを設定します

Cloud DNS を使用したグローバル アドレス解決

Cloud DNS を使用してグローバル アドレス解決を行う場合は、Cloud DNS API を有効にします。プライベート クラウドを作成する前に、Cloud DNS の設定を完了しておく必要があります。

CIDR の要件と制限

VMware Engine では、管理アプライアンスのホスティングや HCX ネットワークのデプロイなどのサービスに一連のアドレス範囲を使用します。一部のアドレス範囲は必須であり、他のアドレス範囲はデプロイするサービスによって異なります。

アドレス範囲は、オンプレミス サブネット、VPC ネットワーク サブネット、または計画済みワークロードのサブネットと重複しないように予約する必要があります。

また、ワークロード VM と vSphere / vSAN サブネットの CIDR 範囲は、次の範囲の IP アドレスと重複してはなりません。

  • 127.0.0.0/8
  • 224.0.0.0/4
  • 0.0.0.0/8
  • 169.254.0.0/16
  • 198.18.0.0/15
  • 240.0.0.0/4

vSphere / vSAN サブネットの CIDR 範囲

VMware Engine は、プライベート クラウドの作成中に指定した vSphere / vSAN サブネット CIDR 範囲にプライベート クラウドの管理コンポーネントをデプロイします。この範囲の IP アドレスは、プライベート クラウド インフラストラクチャ用に予約されているため、ワークロード VM には使用できません。CIDR 範囲のプレフィックスは、/24~/20 の範囲にする必要があります。

サブネット CIDR 範囲分割バージョン

2022 年 11 月以降に作成されたプライベート クラウドには、IP アドレス レイアウト(IP プラン)バージョン 2.0 のサブネット割り振りが適用されます。2022 年 11 月より前に作成されたほとんどのプライベート クラウドには、IP プラン バージョン 1.0 のサブネット割り振りが適用されます。

プライベート クラウドが準拠しているバージョンを確認するには、次の手順を完了します。

  1. Google Cloud コンソールにアクセスします。
  2. メインメニューから [プライベート クラウド] をクリックします。
  3. 確認するプライベート クラウドをクリックします。
  4. [IP プランのバージョン] を探して、このプライベート クラウドで使用されているバージョンを確認します。

バージョン番号が [IP プランのバージョン] に表示されます。

vSphere / vSAN サブネットの CIDR 範囲のサイズ

vSphere / vSAN サブネットの CIDR 範囲のサイズは、プライベート クラウドの最大サイズに影響します。次の表は、vSphere / vSAN サブネットの CIDR 範囲のサイズに基づく、ノードの最大数を示しています。

指定された vSphere / vSAN サブネット CIDR のプレフィックス ノードの最大数(IP プラン バージョン 1.0)ノードの最大数(IP プラン バージョン 2.0)
/24 26 10
/23 58 20
/22 118 40
/21 220 90
/20 なし 200

CIDR 範囲のプレフィックスを選択する場合は、プライベート クラウドのリソース上のノード制限を検討してください。たとえば、/24 と /23 の CIDR 範囲のプレフィックスは、プライベート クラウドで利用できるノードの最大数をサポートしていません。あるいは、/20 の CIDR 範囲のプレフィックスは、プライベート クラウドで利用可能な現在のノードの最大数以上をサポートしています。

管理ネットワークの CIDR 範囲分割の例

指定された vSphere / vSAN サブネットの CIDR 範囲は、複数のサブネットに分割されます。次の表に、許可されたプレフィックスの詳細を示します。最初の例のセットでは IP プラン バージョン 1.0 の CIDR 範囲として 192.168.0.0 を使用し、2 番目の例のセットでは IP プラン バージョン 2.0 に 10.0.0.0 を使用します。

職務 サブネット マスク/プレフィックス(IP プラン バージョン 1.0)
vSphere / vSAN サブネットの CIDR 範囲 192.168.0.0/21 192.168.0.0/22 192.168.0.0/23 192.168.0.0/24
システム管理 192.168.0.0/24 192.168.0.0/24 192.168.0.0/25 192.168.0.0/26
vMotion 192.168.1.0/24 192.168.1.0/25 192.168.0.128/26 192.168.0.64/27
vSAN 192.168.2.0/24 192.168.1.128/25 192.168.0.192/26 192.168.0.96/27
NSX-T ホスト トランスポート 192.168.4.0/23 192.168.2.0/24 192.168.1.0/25 192.168.0.128/26
NSX-T Edge トランスポート 192.168.7.208/28 192.168.3.208/28 192.168.1.208/28 192.168.0.208/28
NSX-T Edge アップリンク 1 192.168.7.224/28 192.168.3.224/28 192.168.1.224/28 192.168.0.224/28
NSX-T Edge アップリンク 2 192.168.7.240/28 192.168.3.240/28 192.168.1.240/28 192.168.0.240/28
機能 サブネット マスク/プレフィックス(IP プラン バージョン 2.0)
vSphere / vSAN サブネットの CIDR 範囲 10.0.0.0/20 10.0.0.0/21 10.0.0.0/22 10.0.0.0/23 10.0.0.0/24
システム管理 10.0.0.0/22 10.0.0.0/23 10.0.0.0/24 10.0.0.0/25 10.0.0.0/26
vMotion 10.0.4.0/24 10.0.2.0/25 10.0.1.0/26 10.0.0.128/27 10.0.0.64/28
vSAN 10.0.5.0/24 10.0.2.128/25 10.0.1.64/26 10.0.0.160/27 10.0.0.80/28
NSX-T トランスポート 10.0.6.0/23 10.0.3.0/24 10.0.1.128/25 10.0.0.192/26 10.0.0.128/27
HCX アップリンク 10.0.11.128/25 10.0.6.0/26 10.0.3.32/27 10.0.1.144/28 10.0.0.216/29
NSX-T Edge アップリンク 1 10.0.8.0/28 10.0.4.0/28 10.0.2.0/28 10.0.1.0/28 10.0.0.160/29
NSX-T Edge アップリンク 2 10.0.8.16/28 10.0.4.16/28 10.0.2.16/28 10.0.1.16/28 10.0.0.168/29
NSX-T Edge アップリンク 3 10.0.8.32/28 10.0.4.32/28 10.0.2.32/28 10.0.1.32/28 10.0.0.176/29
NSX-T Edge アップリンク 4 10.0.8.48/28 10.0.4.48/28 10.0.2.48/28 10.0.1.48/28 10.0.0.184/29

HCX と NSX-T Edge スケーリング(IP プラン バージョン 2.0 のみ)

指定された vSphere / vSAN サブネット CIDR のプレフィックス リモート HCX サイトの最大数 HCX ネットワーク拡張アプライアンスの最大数 NSX-T Edge VM の最大数
/24 2 1 2
/23 4 2 4
/22 14 8 8
/21 25 32 8
/20 25 64 8

HCX デプロイ ネットワークの CIDR 範囲(IP プラン バージョン 1.0 のみ)

IP プラン バージョン 1.0 では、HCX は vSphere / vSAN サブネットの CIDR 範囲に統合されていませんでした。プライベート クラウドの作成時に、HCX コンポーネントで使用するネットワーク CIDR 範囲を指定することで、VMware Engine がプライベート クラウドに HCX をインストールできるようにしていました。CIDR 範囲のプレフィックスは /26 または /27 でした。

VMware Engine は、指定されたネットワークを 3 つのサブネットに分割しました。

  • HCX 管理: HCX Manager のインストールに使用します。
  • HCX vMotion: オンプレミス環境と VMware Engine プライベート クラウドの間の VM の vMotion に使用します。
  • HCX WANUplink: オンプレミス環境と VMware Engine プライベート クラウドの間のトンネルを確立するために使用します。

サンプル HCX の CIDR 範囲の詳細

指定した HCX デプロイの CIDR 範囲は複数のサブネットに分割されます。次の表に、許可されたプレフィックスの詳細を示します。この例では、CIDR 範囲として 192.168.1.0 を使用します。

機能 サブネット マスク / プレフィックス
HCX デプロイ ネットワークの CIDR 範囲 192.168.1.0/26 192.168.1.64/26 192.168.1.0/27 192.168.1.32/27
HCX Manager 192.168.1.13 192.168.1.77 192.168.1.13 192.168.1.45

VMware Engine へのプライベート サービス アクセス

次の表に、Google Cloud サービスへのプライベート接続のアドレス範囲の要件を示します。

名前 / 目的 説明 CIDR プレフィックス
割り振り済みのアドレス範囲 VMware Engine など、Google Cloud サービスへのプライベート接続に使用されるアドレス範囲。 /24 以上

VMware Engine が提供する Edge ネットワーキング サービス

次の表に、VMware Engine が提供する Edge ネットワーキング サービスのアドレス範囲の要件を示します。

名前 / 目的 説明 CIDR プレフィックス
Edge サービス CIDR オプションの Edge サービス(インターネット アクセス、パブリック IP など)がリージョン単位で有効になっている場合は必須。 /26

限定公開/制限付き Google API にアクセスする

デフォルトでは、限定公開 199.36.153.8/30 と制限付き 199.36.153.4/30 の両方の CIDR が VMware Engine ネットワークにアドバタイズされ、Google サービスへの直接アクセスがサポートされます。限定公開 CIDR 199.36.153.8/30 は、VPC Service Controls の構成時に撤回できます。

ファイアウォール ポートの要件

サイト間 VPN または Dedicated Interconnect を使用して、オンプレミス ネットワークからプライベート クラウドへの接続を設定できます。この接続を使用して、VMware プライベート クラウドの vCenter と、プライベート クラウドで実行するワークロードにアクセスします。

オンプレミス ネットワークでファイアウォールを使用すると、接続時にどのポートを開くかを管理できます。このセクションでは、一般的なアプリケーション ポートの要件について説明します。その他のアプリケーションのポート要件については、そのアプリケーションのドキュメントをご覧ください。

VMware コンポーネントに使用されるポートの詳細については、VMware のポートとプロトコルをご覧ください。

vCenter へのアクセスに必要なポート

プライベート クラウドで vCenter Server と NSX-T Manager にアクセスするには、オンプレミス ファイアウォールで次のポートを開きます。

ポート ソース 宛先 目的
53(UDP) オンプレミス DNS サーバー プライベート クラウド DNS サーバー gve.goog の DNS ルックアップをオンプレミス ネットワークからプライベート クラウド DNS サーバーに転送するために必須。
53(UDP) プライベート クラウド DNS サーバー オンプレミス DNS サーバー オンプレミス ドメイン名の DNS ルックアップをプライベート クラウド vCenter からオンプレミス DNS サーバーに転送する場合に必須。
80(TCP) オンプレミス ネットワーク プライベート クラウド管理ネットワーク vCenter URL を HTTP から HTTPS にリダイレクトするために必須。
443(TCP) オンプレミス ネットワーク プライベート クラウド管理ネットワーク オンプレミス ネットワークから vCenter および NSX-T Manager にアクセスするために必須。
8000(TCP) オンプレミス ネットワーク プライベート クラウド管理ネットワーク オンプレミスからプライベート クラウドへの仮想マシン(VM)の vMotion に必須。
8000(TCP) プライベート クラウド管理ネットワーク オンプレミス ネットワーク プライベート クラウドからオンプレミスへの VM の vMotion に必須。

ワークロード VM へのアクセスに必要な一般的なポート

プライベート クラウド上で実行されているワークロード VM にアクセスするには、オンプレミス ファイアウォールでポートを開く必要があります。次の表に、共通ポートを示します。アプリケーション固有のポート要件については、アプリケーションのドキュメントをご覧ください。

ポート ソース 宛先 目的
22(TCP) オンプレミス ネットワーク プライベート クラウド ワークロード ネットワーク プライベート クラウドで実行されている Linux VM への安全なシェルアクセス。
3389(TCP) オンプレミス ネットワーク プライベート クラウド ワークロード ネットワーク プライベート クラウドで稼働している Windows Server VM へのリモート デスクトップ。
80(TCP) オンプレミス ネットワーク プライベート クラウド ワークロード ネットワーク プライベート クラウドで実行されている VM にデプロイされているウェブサーバーにアクセスする。
443(TCP) オンプレミス ネットワーク プライベート クラウド ワークロード ネットワーク プライベート クラウドで実行されている VM にデプロイされているセキュアなウェブサーバーにアクセスする。
389(TCP/UDP) プライベート クラウド ワークロード ネットワーク オンプレミスの Active Directory ネットワーク Windows Server ワークロード VM をオンプレミスの Active Directory ドメインに参加させる。
53(UDP) プライベート クラウド ワークロード ネットワーク オンプレミスの Active Directory ネットワーク オンプレミス DNS サーバーへのワークロード VM 用の DNS サービス アクセス。

オンプレミスの Active Directory を ID ソースとして使用するために必要なポート

オンプレミスの Active Directory をプライベート クラウド vCenter の ID ソースとして構成するために必要なポートのリストについては、Active Directory を使用した認証の構成をご覧ください。