網路需求
Google Cloud VMware Engine 提供私有雲環境,可供地端部署環境、企業管理裝置和Google Cloud 服務 (例如虛擬私有雲 (VPC)) 的使用者和應用程式存取。如要建立 VMware Engine 私有雲和其他網路之間的連線,您可以使用 Cloud VPN 和 Cloud Interconnect 等網路服務。
部分網路服務需要使用者指定的位址範圍才能啟用功能。為協助您規劃部署作業,本頁會列出網路需求和相關功能。
VMware Engine 私有雲端連線
從 VPC 網路連線至標準 VMware Engine 網路時,會使用 VPC 網路對等互連。
使用 Cloud DNS 解析全球位址
如果您想使用 Cloud DNS 解析全域位址,請啟用 Cloud DNS API。您必須先完成 Cloud DNS 設定,才能建立私有雲端。
CIDR 規定和限制
VMware Engine 會使用設定的位址範圍,用於代管管理工具和部署 HCX 網路等服務。部分位址範圍是必要的,其他則取決於您打算部署的服務。
您必須保留位址範圍,以免與任何內部部署子網路、VPC 網路子網路或規劃的工作負載子網路重疊。
此外,工作負載 VM 和 vSphere/vSAN 子網路 CIDR 範圍不得與下列範圍中的任何 IP 位址重疊:
- 127.0.0.0/8
- 224.0.0.0/4
- 0.0.0.0/8
- 169.254.0.0/16
- 198.18.0.0/15
- 240.0.0.0/4
vSphere/vSAN 子網路 CIDR 範圍
VMware Engine 會在您建立私有雲時提供的 vSphere/vSAN 子網路 CIDR 範圍中部署私有雲的管理元件。這個範圍中的 IP 位址是為私有雲基礎架構保留,無法用於工作負載 VM。CIDR 範圍前置碼必須介於 /24 和 /20 之間。
子網路 CIDR 範圍劃分版本
2022 年 11 月之後建立的私有雲會遵循 IP 位址版面配置 (IP 企劃書) 2.0 版的子網路分配方式。2022 年 11 月前建立的私有雲幾乎都會遵循 IP 方案 1.0 版的子網路分配方式。
如要瞭解私有雲端採用的版本,請完成下列步驟:
前往 Google Cloud 控制台的「Private clouds」頁面。
按一下「選取專案」,然後選取私有雲所在的機構、資料夾或專案。
按一下要查看的私有雲。
找出「IP 企劃書版本」,即可瞭解私有雲使用的版本。
版本號碼會顯示在「IP 企劃書版本」下方。
vSphere/vSAN 子網路 CIDR 範圍大小
vSphere/vSAN 子網路 CIDR 範圍的大小會影響私有雲的最大大小。下表根據 vSphere/vSAN 子網路 CIDR 範圍的大小,列出可用的節點數量上限。
| 指定的 vSphere/vSAN 子網路 CIDR 前置字串 | 節點數量上限 (IP 方案 1.0 版) | 節點數量上限 (IP 方案 2.0 版) |
|---|---|---|
| /24 | 26 | 10 |
| /23 | 58 | 20 |
| /22 | 118 | 40 |
| /21 | 220 | 90 |
| /20 | 不適用 | 200 |
選取 CIDR 範圍前置碼時,請考量私有雲中資源的節點限制。舉例來說,CIDR 範圍前置字串 /24 和 /23 不支援 Private Cloud 可用的節點數量上限。或者,/20 的 CIDR 範圍前置字串支援的節點數量,會超過私有雲端可用的現有節點數量上限。
管理網路 CIDR 範圍劃分示例
您指定的 vSphere/vSAN 子網路 CIDR 範圍會分成多個子網路。下表列出允許的前置字串的細目說明。第一組範例使用 192.168.0.0 做為 IP 方案 1.0 版的 CIDR 範圍,第二組範例則使用 10.0.0.0 做為 IP 方案 2.0 版的 CIDR 範圍。
| 函式 | 子網路遮罩/前置字元 (IP 方案 1.0 版) | |||
|---|---|---|---|---|
| vSphere/vSAN 子網路 CIDR 範圍 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
| 系統管理 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
| vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
| vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
| NSX-T 主機傳輸 | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
| NSX-T 邊緣傳輸 | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
| NSX-T Edge 上行連線 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
| NSX-T Edge 上行連線 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
| 函式 | 子網路遮罩/前置字元 (IP 方案 2.0 版) | |||||
|---|---|---|---|---|---|---|
| vSphere/vSAN 子網路 CIDR 範圍 | 10.0.0.0/20 | 10.0.0.0/21 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | |
| 系統管理 | 10.0.0.0/22 | 10.0.0.0/23 | 10.0.0.0/24 | 10.0.0.0/25 | 10.0.0.0/26 | |
| vMotion | 10.0.4.0/24 | 10.0.2.0/25 | 10.0.1.0/26 | 10.0.0.128/27 | 10.0.0.64/28 | |
| vSAN | 10.0.5.0/24 | 10.0.2.128/25 | 10.0.1.64/26 | 10.0.0.160/27 | 10.0.0.80/28 | |
| NSX-T 傳輸 | 10.0.6.0/23 | 10.0.3.0/24 | 10.0.1.128/25 | 10.0.0.192/26 | 10.0.0.128/27 | |
| HCX 上行鏈路 | 10.0.11.128/25 | 10.0.6.0/26 | 10.0.3.32/27 | 10.0.1.144/28 | 10.0.0.216/29 | |
| NSX-T 邊緣上行連線 1 | 10.0.8.0/28 | 10.0.4.0/28 | 10.0.2.0/28 | 10.0.1.0/28 | 10.0.0.160/29 | |
| NSX-T Edge 上行連線 2 | 10.0.8.16/28 | 10.0.4.16/28 | 10.0.2.16/28 | 10.0.1.16/28 | 10.0.0.168/29 | |
| NSX-T 邊緣上行連線 3 | 10.0.8.32/28 | 10.0.4.32/28 | 10.0.2.32/28 | 10.0.1.32/28 | 10.0.0.176/29 | |
| NSX-T Edge 上行連線 4 | 10.0.8.48/28 | 10.0.4.48/28 | 10.0.2.48/28 | 10.0.1.48/28 | 10.0.0.184/29 | |
HCX 和 NSX-T Edge Scaling (僅限 IP Plan 2.0 版)
| 指定的 vSphere/vSAN 子網路 CIDR 前置字串 | 可連接的 HCX 遠端站點數量上限 | 最多 HCX Network Extension 裝置 | NSX-T Edge VM 數量上限 |
|---|---|---|---|
| /24 | 2 | 1 | 2 |
| /23 | 4 | 2 | 4 |
| /22 | 14 | 8 | 8 |
| /21 | 25 | 32 | 8 |
| /20 | 25 | 64 | 8 |
HCX 部署項目網路 CIDR 範圍 (僅限 IP 方案 1.0 版)
在 IP 規劃 1.0 版中,HCX 並未整合至 vSphere/vSAN 子網路 CIDR 範圍。建立私有雲時,您可以選擇讓 VMware Engine 在私有雲上安裝 HCX,方法是指定 HCX 元件使用的網路 CIDR 範圍。CIDR 範圍前置碼為 /26 或 /27。
VMware Engine 將您提供的網路劃分為三個子網路:
- HCX 管理:用於安裝 HCX Manager。
- HCX vMotion:用於在內部部署環境和 VMware Engine 私有雲之間進行 VM 的 vMotion。
- HCX WANUplink:用於在內部部署環境和 VMware Engine 私有雲之間建立通道。
HCX CIDR 範圍細目說明範例
您指定的 HCX 部署 CIDR 範圍會分割為多個子網路。下表列出允許前置字元的細目說明。範例使用 192.168.1.0 做為 CIDR 範圍。
| 函式 | 子網路遮罩/前置字元 | |||
|---|---|---|---|---|
| HCX 部署項目網路 CIDR 範圍 | 192.168.1.0/26 | 192.168.1.64/26 | 192.168.1.0/27 | 192.168.1.32/27 |
| HCX Manager | 192.168.1.13 | 192.168.1.77 | 192.168.1.13 | 192.168.1.45 |
存取 VMware Engine 的私人服務
下表說明連線至 Google Cloud 服務的私人連線位址範圍需求。
| 名稱/用途 | 說明 | CIDR 前置字串 |
|---|---|---|
| 指派的位址範圍 | 用於私人連線至 Google Cloud 服務 (包括 VMware Engine) 的位址範圍。 | /24 以上 |
VMware Engine 提供的邊緣網路服務
下表說明 VMware Engine 提供的邊緣網路服務的位址範圍需求。
| 名稱/用途 | 說明 | CIDR 前置字串 |
|---|---|---|
| Edge Services CIDR | 如果啟用選用的邊緣服務 (例如網際網路存取和公開 IP),則必須依區域提供。 | /26 |
存取私人/受限制的 Google API
根據預設,私人 199.36.153.8/30 和受限制 199.36.153.4/30 CIDR 都會宣傳至 VMware Engine 網路,以便直接存取 Google 服務。設定 VPC Service Controls 後,私人 CIDR 199.36.153.8/30 即可撤銷。
防火牆通訊埠需求
您可以使用站對站 VPN 或專屬互連網路,設定內部部署網路與私有雲端的連線。使用此連線存取 VMware 私有雲 vCenter 和在私有雲中執行的任何工作負載。
您可以使用內部網路中的防火牆,控管連線可開啟的通訊埠。本節列出常見的應用程式連接埠要求。如要瞭解其他應用程式的連接埠需求,請參閱該應用程式的說明文件。
如要進一步瞭解 VMware 元件使用的連接埠,請參閱「VMware 連接埠和通訊協定」。
存取 vCenter 所需的通訊埠
如要在私有雲中存取 vCenter Server 和 NSX-T Manager,請在內部部署防火牆上開啟下列通訊埠:
| 通訊埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|
| 53 (UDP) | 內部部署 DNS 伺服器 | 私有雲 DNS 伺服器 | 如要將 gve.goog 的 DNS 查詢從內部部署網路轉送至私人雲端 DNS 伺服器,就必須使用這項屬性。 |
| 53 (UDP) | 私有雲 DNS 伺服器 | 內部部署 DNS 伺服器 | 如要將內部部署 vCenter 的 DNS 伺服器內部部署網域名稱 DNS 查詢轉送至私有雲端,就必須使用這項屬性。 |
| 80 (TCP) | 地端部署網路 | 私有雲管理網路 | 如要將 vCenter 網址從 HTTP 重新導向至 HTTPS,就必須使用這個值。 |
| 443 (TCP) | 地端部署網路 | 私有雲管理網路 | 如要從內部部署環境網路存取 vCenter 和 NSX-T Manager,就必須使用這個 DNS。 |
| 8000 (TCP) | 地端部署網路 | 私有雲管理網路 | 這是從內部部署網路將虛擬機器 (VM) 遷移至私有雲的必要條件。 |
| 8000 (TCP) | 私有雲管理網路 | 地端部署網路 | 如要將 VM 從私有雲 vMotion 至地端,就必須使用此選項。 |
存取工作負載 VM 所需的常見通訊埠
如要存取在私有雲中執行的工作負載 VM,您必須在內部部署防火牆中開啟通訊埠。下表列出常見的連接埠。如需任何應用程式專屬的連接埠需求,請參閱應用程式說明文件。
| 通訊埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|
| 22 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 安全的殼層存取權,可存取在私有雲中執行的 Linux VM。 |
| 3389 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 私人雲端中執行的 Windows Server 虛擬機器的遠端桌面。 |
| 80 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 存取在私人雲端中執行的 VM 上部署的任何網頁伺服器。 |
| 443 (TCP) | 地端部署網路 | 私有雲工作負載網路 | 存取在私人雲端中執行的 VM 上部署的任何安全網頁伺服器。 |
| 389 (TCP/UDP) | 私有雲工作負載網路 | 地端部署 Active Directory 網路 | 將 Windows Server 工作負載 VM 加入內部部署系統的 Active Directory 網域。 |
| 53 (UDP) | 私有雲工作負載網路 | 地端部署 Active Directory 網路 | 工作負載 VM 可存取內部部署 DNS 伺服器的 DNS 服務。 |
使用內部部署的 Active Directory 做為身分識別資訊來源時所需的連接埠
如要將內部部署的 Active Directory 設定為私有雲 vCenter 的識別資訊來源,請參閱「使用 Active Directory 設定驗證作業」一文,瞭解所需的連接埠清單。