本頁面會說明重要考量事項,並協助您為網域選取適當的 IP 位址範圍。設定 Managed Service for Microsoft Active Directory 網域控制器的 CIDR 範圍後,就無法再變更。為避免發生衝突和耗時的錯誤,請在選擇這些範圍時,仔細考量目前和未來的基礎架構需求。
使用 /24 範圍大小
Managed Microsoft AD 至少需要 /24 私人 RFC 1918 CIDR 範圍,例如 192.168.255.0/24。雖然您可以選取較廣泛的私人 RFC 1918 CIDR 範圍,但我們建議使用 /24,因為這個範圍專門供網域控制器使用。其他資源無法使用該範圍中的額外 IP 位址。
如果您想使用其他Google Cloud 產品 (搭配 Managed Microsoft AD) 建議的不同 IP 位址範圍,請與 Google Cloud 支援團隊聯絡。
避免重疊範圍
請避免設定可能與現有和未來基礎架構重疊的範圍。
詢問網路專家
請確認貴機構是否有網路專家,可協助您找出或保留安全的 IP 位址範圍。
列出使用中的 IP 位址範圍
為避免與現有基礎架構衝突,您可以列出目前使用的 IP 位址範圍,然後使用不在清單中的範圍。
主控台
如要查看 VPC 網路中使用的 IP 位址範圍,請按照下列步驟操作:
在 Google Cloud 控制台中,前往「VPC」頁面。
前往「VPC」選取虛擬私有雲網路的名稱。
在「虛擬私有雲網路詳細資料」頁面的「IP 位址範圍」欄中,您可以查看哪些範圍已在使用中。
使用清單中未顯示的 IP 位址範圍。
gcloud
如要列出專案中的所有子網路,請執行下列 gcloud CLI 指令:
gcloud compute networks subnets list --sort-by=NETWORK
使用清單中未顯示的 IP 位址範圍。
考量未來需求
為避免日後發生衝突,請考慮基礎架構計畫,包括可能新增的授權網路。舉例來說,如果您打算設定從授權網路連至內部部署網路的 VPN 或互連網路,則必須選取未在任何網路上使用的 IP 位址範圍。
將測試環境與實際工作環境分開
為避免開發和測試作業影響正式工作負載或妨礙部署作業的安全性,建議您為每個環境部署不同的網域。
對於簡單的隔離測試網域,只要使用未在已授權虛擬私有雲網路或其中一個對等網路中設為子網路的任何私人 CIDR /24 範圍即可。