네트워킹 요구사항
Google Cloud VMware Engine은 온프레미스 환경, 기업 관리 기기, Virtual Private Cloud(VPC)와 같은 Google Cloud 서비스에서 사용자 및 애플리케이션에 액세스할 수 있는 프라이빗 클라우드 환경을 제공합니다. VMware Engine 프라이빗 클라우드와 다른 네트워크 간의 연결을 설정하려면 Cloud VPN 및 Cloud Interconnect와 같은 네트워킹 서비스를 사용합니다.
일부 네트워크 서비스의 경우 이 기능을 사용 설정하려면 사용자 지정 주소 범위가 필요합니다. 이 페이지에는 배포를 계획하는 데 도움이 되는 네트워킹 요구사항과 관련 기능이 나열되어 있습니다.
VMware Engine 프라이빗 클라우드 연결
VPC 네트워크에서 VMware Engine으로의 연결은 표준 네트워크를 사용하는지 또는 기존 네트워크를 사용하는지에 따라 다릅니다.
표준 VMware Engine 네트워크
VPC 네트워크에서 표준 VMware Engine 네트워크로의 연결은 VPC 네트워크 피어링을 사용합니다.
기존 VMware Engine 네트워크
VPC 네트워크에서 기존 VMware Engine 네트워크로의 연결에서는 비공개 서비스 액세스를 사용합니다. 온프레미스 네트워크나 VPC 네트워크에서 워크로드 가상 머신(VM)에 액세스하려면 VPC 네트워크에서 VMware Engine 네트워크로 비공개 서비스 액세스를 설정하면 됩니다.
Cloud DNS를 사용하는 전역 주소 확인
Cloud DNS를 사용하여 전역 주소 확인을 수행하려면 Cloud DNS API를 사용 설정합니다. 비공개 클라우드를 만들기 전에 Cloud DNS 설정을 완료해야 합니다.
CIDR 요구사항 및 제한사항
VMware Engine은 관리 어플라이언스 호스팅 및 HCX 네트워크 배포와 같은 서비스에 설정된 주소 범위를 사용합니다. 일부 주소 범위는 필수이며 나머지는 배포하려는 서비스에 따라 다릅니다.
온프레미스 서브넷, VPC 네트워크 서브넷 또는 계획된 워크로드 서브넷과 겹치지 않도록 주소 범위를 예약해야 합니다.
또한 워크로드 VM 및 vSphere/vSAN 서브넷 CIDR 범위는 다음 범위의 IP 주소와 겹치지 않아야 합니다.
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere/vSAN 서브넷 CIDR 범위
VMware Engine은 프라이빗 클라우드 생성 시 제공되는 vSphere/vSAN 서브넷 CIDR 범위로 프라이빗 클라우드의 관리 구성요소를 배포합니다. 이 범위의 IP 주소는 프라이빗 클라우드 인프라용으로 예약되어 있으며 워크로드 VM에 사용할 수 없습니다. CIDR 범위 프리픽스는 /24에서 /20 사이여야 합니다.
서브넷 CIDR 범위 나누기 버전
2022년 11월 이후에 생성된 프라이빗 클라우드는 IP 주소 레이아웃(IP 계획) 버전 2.0 서브넷 할당을 준수합니다. 2022년 11월 이전에 생성된 거의 모든 프라이빗 클라우드는 IP 계획 버전 1.0 서브넷 할당을 준수합니다.
프라이빗 클라우드가 준수하는 버전을 확인하려면 다음 단계를 완료하세요.
- Google Cloud 콘솔에 액세스합니다.
- 기본 메뉴에서 프라이빗 클라우드를 클릭합니다.
- 검토하려는 프라이빗 클라우드를 클릭합니다.
- IP 요금제 버전에서 이 프라이빗 클라우드가 사용하는 버전을 확인합니다.
버전 번호가 IP 계획 버전 아래에 표시됩니다.
vSphere/vSAN 서브넷 CIDR 범위 크기
vSphere/vSAN 서브넷 CIDR 범위 크기는 프라이빗 클라우드의 최대 크기에 영향을 줍니다. 다음 표에서는 vSphere/vSAN 서브넷 CIDR 범위의 크기를 기준으로 사용 가능한 최대 노드 수를 보여줍니다.
| 지정된 vSphere/vSAN 서브넷 CIDR 프리픽스 | 최대 노드 수(IP 계획 버전 1.0) | 최대 노드 수 (IP 계획 버전 2.0) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | 해당 사항 없음 | 200 |
CIDR 범위 프리픽스를 선택할 때 프라이빗 클라우드 리소스의 노드 한도를 고려하세요. 예를 들어 /24 및 /23의 CIDR 범위 프리픽스는 프라이빗 클라우드에 사용할 수 있는 최대 노드 수를 지원하지 않습니다. 또는 /20의 CIDR 범위 프리픽스는 프라이빗 클라우드에서 사용할 수 있는 현재 최대 노드 수보다 많은 수를 지원합니다.
관리 네트워크 CIDR 범위 나누기 예시
지정한 vSphere/vSAN 서브넷 CIDR 범위는 여러 서브넷으로 구분됩니다. 다음 표에서는 허용되는 프리픽스의 분석 예시를 보여줍니다. 첫 번째 예시 집합은 IP 계획 버전 1.0의 CIDR 범위로 192.168.0.0을 사용하고 두 번째 예시 집합은 IP 계획 버전 2.0의 10.0.0.0을 사용합니다.
| 함수 | 서브넷 마스크/프리픽스(IP 계획 버전 1.0) | |||
|---|---|---|---|---|
| vSphere/vSAN 서브넷 CIDR 범위 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| 시스템 관리 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| NSX-T 호스트 전송 | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| NSX-T 에지 전송 | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX-T Edge Uplink1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX-T Edge Uplink2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| 함수 | 서브넷 마스크/프리픽스(IP 계획 버전 2.0) | |||||
|---|---|---|---|---|---|---|
| vSphere/vSAN 서브넷 CIDR 범위 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| 시스템 관리 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX-T Transport | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| HCX Uplink | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX-T Edge Uplink1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX-T Edge Uplink2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX-T Edge Uplink3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX-T Edge Uplink4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
HCX 및 NSX-T Edge 확장(IP 계획 버전 2.0만 해당)
| 지정된 vSphere/vSAN 서브넷 CIDR 프리픽스 | 최대 원격 HCX 사이트 수 | 최대 HCX Network Extension 어플라이언스 수 | 최대 NSX-T Edge VM 수 |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
HCX 배포 네트워크 CIDR 범위(IP 계획 버전 1.0만 해당)
IP 계획 버전 1.0에서 HCX는 vSphere/vSAN 서브넷 CIDR 범위에 통합되지 않았습니다. 프라이빗 클라우드를 만들 때 HCX 구성요소에 사용할 네트워크 CIDR 범위를 지정하여 선택적으로 VMware Engine이 프라이빗 클라우드에 HCX를 설치하도록 할 수 있습니다. CIDR 범위 프리픽스는 /26 또는 /27입니다.
VMware Engine은 제공된 네트워크를 3개의 서브넷으로 나눕니다.
- HCX 관리: HCX Manager 설치에 사용됩니다.
- HCX vMotion: 온프레미스 환경과 VMware Engine 프라이빗 클라우드 간의 VM vMotion에 사용됩니다.
- HCX WANUplink: 온프레미스 환경과 VMware Engine 프라이빗 클라우드 간의 터널을 설정하는 데 사용됩니다.
HCX CIDR 범위 분석 예시
지정한 HCX 배포 CIDR 범위는 여러 서브넷으로 구분됩니다. 다음 표에서는 허용되는 프리픽스의 분석 예시를 보여줍니다. 이 예시에서는 CIDR 범위로 192.168.1.0을 사용합니다.
| 함수 | 서브넷 마스크/프리픽스 | |||
|---|---|---|---|---|
| HCX 배포 네트워크 CIDR 범위 | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
VMware Engine에 대한 비공개 서비스 액세스
다음 표에서는 Google Cloud 서비스에 대한 비공개 연결의 주소 범위 요구사항을 설명합니다.
| 이름/목적 | 설명 | CIDR 프리픽스 |
|---|---|---|
| 할당된 IP 주소 범위 | VMware Engine을 포함한 Google Cloud 서비스에 대한 비공개 연결에 사용할 주소 범위 | /24 이상 |
VMware Engine에서 제공하는 에지 네트워킹 서비스
다음 표에서는 VMware Engine에서 제공하는 에지 네트워킹 서비스의 주소 범위 요구사항을 설명합니다.
| 이름/목적 | 설명 | CIDR 프리픽스 |
|---|---|---|
| 에지 서비스 CIDR | 인터넷 액세스, 공개 IP 등의 선택적 에지 서비스가 리전 단위로 사용 설정된 경우 필요. | /26 |
비공개/제한된 Google API에 액세스
기본적으로 비공개 199.36.153.8/30 및 제한된 199.36.153.4/30 CIDR은 Google 서비스에 대한 직접 액세스를 지원하도록 VMware Engine 네트워크에 공지됩니다. 비공개 CIDR 199.36.153.8/30은 VPC 서비스 제어를 구성할 때 취소할 수 있습니다.
방화벽 포트 요구사항
사이트 간 VPN 또는 Dedicated Interconnect를 사용하여 온프레미스 네트워크에서 프라이빗 클라우드로 연결을 설정할 수 있습니다. VMware 프라이빗 클라우드 vCenter 및 프라이빗 클라우드에서 실행하는 모든 워크로드에 액세스하려면 연결을 사용하세요.
온프레미스 네트워크에서 방화벽을 사용하여 연결할 때 열려 있는 포트를 제어할 수 있습니다. 이 섹션에는 일반적인 애플리케이션 포트 요구사항이 나열되어 있습니다. 다른 애플리케이션의 포트 요구사항은 해당 애플리케이션의 문서를 참조하세요.
VMware 구성요소에 사용되는 포트에 대한 자세한 내용은 VMware 포트 및 프로토콜을 참조하세요.
vCenter 액세스에 필요한 포트
프라이빗 클라우드에서 vCenter Server 및 NSX-T Manager에 액세스하려면 온프레미스 방화벽에서 다음 포트를 엽니다.
| 포트 | 소스 | 대상 | 목적 |
|---|---|---|---|
| 53(UDP) | 온프레미스 DNS 서버 | 프라이빗 클라우드 DNS 서버 | 온프레미스 네트워크에서 gve.goog의 DNS 조회를 프라이빗 클라우드 DNS 서버로 전달하는 데 필요합니다. |
| 53(UDP) | 프라이빗 클라우드 DNS 서버 | 온프레미스 DNS 서버 | 온프레미스 도메인 이름의 DNS 조회를 프라이빗 클라우드 vCenter에서 온프레미스 DNS 서버로 전달하는 데 필요합니다. |
| 80(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 관리 네트워크 | vCenter URL을 HTTP에서 HTTPS로 리디렉션하는 데 필요합니다 |
| 443(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 관리 네트워크 | 온프레미스 네트워크에서 vCenter 및 NSX-T 관리자에 액세스하는 데 필요합니다. |
| 8000(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 관리 네트워크 | 온프레미스에서 프라이빗 클라우드로 가상 머신(VM)의 vMotion에 필요합니다. |
| 8000(TCP) | 프라이빗 클라우드 관리 네트워크 | 온프레미스 네트워크 | 프라이빗 클라우드에서 온프레미스로 VM의 vMotion에 필요합니다. |
워크로드 VM에 액세스하는 데 필요한 공통 포트
프라이빗 클라우드에서 실행되는 워크로드 VM에 액세스하려면 온프레미스 방화벽에서 포트를 열어야 합니다. 다음 표에는 일반적인 포트가 나와 있습니다. 애플리케이션별 포트 요구사항은 애플리케이션 문서를 참조하세요.
| 포트 | 소스 | 대상 | 목적 |
|---|---|---|---|
| 22(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 워크로드 네트워크 | 프라이빗 클라우드에서 실행되는 Linux VM에 대한 셸 액세스를 보호합니다. |
| 3389(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 워크로드 네트워크 | 프라이빗 클라우드에서 실행되는 Windows Server VM에 대한 원격 데스크톱. |
| 80(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 워크로드 네트워크 | 프라이빗 클라우드에서 실행되는 VM에 배포된 모든 웹 서버에 액세스합니다. |
| 443(TCP) | 온프레미스 네트워크 | 프라이빗 클라우드 워크로드 네트워크 | 프라이빗 클라우드에서 실행되는 VM에 배포된 모든 웹 서버에 액세스합니다. |
| 389(TCP/UDP) | 프라이빗 클라우드 워크로드 네트워크 | 온프레미스 액티브 디렉터리 네트워크 | Windows Server 워크로드 VM을 온프레미스 Active Directory 도메인에 조인합니다. |
| 53(UDP) | 프라이빗 클라우드 워크로드 네트워크 | 온프레미스 액티브 디렉터리 네트워크 | 온프레미스 DNS 서버에 대한 워크로드 VM의 DNS 서비스 액세스입니다. |
온프레미스 액티브 디렉터리를 ID 소스로 사용하는 데 필요한 포트
온프레미스 Active Directory를 프라이빗 클라우드 vCenter의 ID 소스로 구성하는 데 필요한 포트 목록은 Active Directory를 사용하여 인증 구성을 참조하세요.