本页介绍了重要的注意事项,并帮助您为网域选择适当的 IP 地址范围。Managed Service for Microsoft Active Directory 网域控制器的 CIDR 范围在设置后无法更改。为避免冲突和耗时的错误,您在选择这些范围时应仔细考虑当前和未来的基础架构需求。
使用 /24 范围大小
托管式 Microsoft AD 至少需要 /24 专用 RFC 1918 CIDR 范围,例如 192.168.255.0/24
。尽管您可以选择更大的专用 RFC 1918 CIDR 范围,但我们建议使用 /24,因为该范围将专门为网域控制器预留。其他资源将无法使用该范围内的其他 IP 地址。
如果您想使用其他 Google Cloud 产品与托管式 Microsoft AD 搭配使用时推荐的其他 IP 地址范围,请与 Google Cloud 支持团队联系。
避免范围重叠
您应该避免设置可能与当前和未来的基础架构重叠的范围。
咨询网络专家
了解您的组织中是否有网络专家可以帮助您找到或预留安全 IP 地址范围。
列出正在使用的 IP 地址范围
为避免与现有基础架构冲突,您可以列出正在使用的 IP 地址范围,然后使用列表中未列出的 IP 地址范围。
控制台
如需查看 VPC 网络上正在使用的 IP 地址范围,请按以下步骤操作:
使用未显示在列表中的 IP 地址范围。
gcloud
如需列出项目中的所有子网,请运行以下 gcloud CLI 命令:
gcloud compute networks subnets list --sort-by=NETWORK
使用未显示在列表中的 IP 地址范围。
考虑未来需求
为了避免今后发生冲突,请考虑您的基础架构计划,包括可能添加的已获授权的网络。例如,如果您打算配置从已获授权的网络到本地网络的 VPN 或互连,则必须选择在任何这些网络上均未使用的 IP 地址范围。
分离测试环境和生产环境
为了防止开发和测试工作影响生产工作负载或妨碍部署的安全性,请考虑为每个环境部署单独的网域。
对于一个简单的隔离测试网域,使用任何不是已获授权的 VPC 网络或其对等互连网络的子网的专用 CIDR /24 范围即可。