O gateway da NCC é um tipo de spoke que pode ser anexado ao hub do Network Connectivity Center. É um produto regional que permite a segurança do tráfego da rede entre nuvens. O gateway do NCC permite-lhe ativar funções de segurança, como o Security Service Edge (SSE) de terceiros, um componente de segurança fornecido na nuvem do secure access service edge (SASE), e terminar as ligações de interconexão.
O NCC Gateway oferece as seguintes funcionalidades:
- Integração de SSE simplificada: pode integrar a SSE de forma integrada com o encaminhamento transparente para melhorar a proteção e o desempenho da interação entre o utilizador e a aplicação.
- Implementação regional: pode implementar o gateway da NCC em várias regiões com base na proximidade física dos centros de dados ou de outros fornecedores de nuvem.
- Força de trabalho remota segura: pode ligar em segurança forças de trabalho remotas, como as que se encontram em sucursais, centros de dados e escritórios remotos, a aplicações privadas no Google Cloud, no local ou noutros fornecedores de nuvem, bem como a aplicações públicas, como o Palo Alto Networks Prisma Access e o Symantec Cloud Secure Web Gateway (Cloud SWG). Google Cloud
- Segurança melhorada: pode ativar funções de segurança, como o SSE, para tráfego em várias nuvens.
- Gestão simplificada: o gateway da NCC ajuda a reduzir a complexidade e os custos operacionais associados à gestão de redes VPC e ligações a redes remotas.
- Visibilidade do desempenho: o gateway do NCC permite-lhe obter estatísticas sobre o desempenho da rede com métricas e dados de telemetria.
Vantagens
O gateway do NCC oferece as seguintes vantagens:
Experiência de aplicação ideal com latência reduzida: consumo de serviços SSE em primeiro lugar na nuvem com largura de banda elevada através do gateway NCC e desempenho melhorado através da rede principal privada da Google.
Segurança unificada para todo o tráfego de utilizadores: postura de segurança melhorada com uma única pilha de segurança unificada e superfície de ataque reduzida através da limitação dos pontos de entrada e saída.
Gestão simplificada através do Network Connectivity Center.
Palavras-chave
Para compreender o gateway de NCC, familiarize-se com a seguinte terminologia:
Anexo híbrido: ligações híbridas que configura para aceder diretamente ao gateway do NCC.
Função de serviço de segurança: serviços anexados ao gateway do NCC. Por exemplo, para a proteção de utilizador para aplicação, tem de anexar um serviço SSE à NCC Gateway.
Rede da VPC de aplicações ou cargas de trabalho: uma rede da VPC de cargas de trabalho é normalmente uma rede que usa a máquina virtual (VM) do Compute Engine ou contentores do Google Kubernetes Engine (GKE) como cargas de trabalho. As redes VPC de cargas de trabalho podem ser redes VPC normais ou VPCs partilhadas com um projeto anfitrião e vários projetos de serviço. As redes VPC de cargas de trabalho têm de ser configuradas como raios no hub.
Grupos de raios: uma forma de agrupar raios num hub do Network Connectivity Center. Os grupos de raios permitem-lhe segregar raios em diferentes domínios de encaminhamento. Um grupo de raios pode conter vários raios, mas um raio só pode pertencer a um grupo. Para obter informações detalhadas sobre grupos de raios para diferentes topologias, consulte o artigo Topologias de conetividade predefinidas.
Topologia de inspeção híbrida: permite-lhe adicionar raios da gateway do NCC a um grupo para aplicar políticas. Para obter informações sobre a topologia de inspeção híbrida, consulte o artigo Topologia de inspeção híbrida.
Secure Access Connect: permite-lhe ligar produtos SSE de terceiros ao gateway da NCC para processamento de segurança e saída segura da Internet. Para obter informações sobre o Secure Access Connect, consulte a vista geral do Secure Access Connect.
Produtos SSE suportados
O gateway da NCC suporta ligações aos seguintes produtos SSE:
Exemplos de utilização
O NCC Gateway é ideal para organizações que querem proteger o acesso da força de trabalho híbrida às aplicações. O NCC Gateway oferece segurança para a força de trabalho híbrida através de um ecossistema de parceiros integrado para lhe permitir estabelecer ligação a fornecedores de SSE à sua escolha. O gateway da NCC permite-lhe proteger o seu acesso a aplicações privadas alojadas Google Cloudnas instalações, noutros fornecedores de nuvem e em aplicações públicas alojadas na Internet e em aplicações SaaS. O gateway da NCC permite-lhe criar implementações regionais para uma proximidade ideal do centro de dados e gerir o tráfego entre regiões na infraestrutura privada da Google Cloud.
Os exemplos de utilização para Google Cloud utilizadores incluem o seguinte:
- Encaminhe os utilizadores para a Internet
- Encaminhe os utilizadores para aplicações privadas
- Apps privadas à Internet
Alguns parceiros suportados oferecem um ou mais dos seguintes exemplos de utilização:
- Utilizadores de dispositivos móveis à Internet
- Utilizadores de dispositivos móveis para aplicações privadas
- Encaminhe os utilizadores da agência para aplicações de parceiros
- Aplicações privadas para aplicações de parceiros
Fluxos de tráfego
Esta secção descreve os caminhos de fluxo de tráfego no gateway da NCC, dependendo de cada exemplo de utilização.
Fluxo de tráfego nos exemplos de utilização para Google Cloud utilizadores
Encaminhe os utilizadores para a Internet
No diagrama seguinte, o tráfego flui de um utilizador de uma filial no local através do gateway da NCC e da pilha de SSE de terceiros para a Internet.
Encaminhe os utilizadores para aplicações privadas
No diagrama seguinte, o tráfego flui do utilizador da filial no local através do gateway da NCC, atravessa o SSE de terceiros e, em seguida, volta a passar pelo gateway da NCC para uma aplicação privada.
Apps privadas à Internet
No diagrama seguinte, o tráfego flui de Google Cloud através do gateway da NCC, atravessa a SSE de terceiros e regressa através do gateway da NCC para a Internet.
Fluxo de tráfego nos exemplos de utilização para parceiros suportados
Utilizadores de dispositivos móveis à Internet
No diagrama seguinte, o tráfego flui dos utilizadores de dispositivos móveis através do SSE de terceiros para a Internet. Neste caso, o tráfego não passa pelo gateway da NCC.
Utilizadores de dispositivos móveis para aplicações privadas
No diagrama seguinte, o tráfego flui dos utilizadores de dispositivos móveis através do serviço SSE de terceiros e do gateway NCC para uma aplicação privada alojada numa rede VPC.
Encaminhe os utilizadores da agência para aplicações de parceiros
No diagrama seguinte, o tráfego flui do utilizador da filial no local através do gateway da NCC, atravessa o SSE de terceiros e, em seguida, volta a passar pelo gateway da NCC para a filial no local.
Aplicações privadas para aplicações de parceiros
No diagrama seguinte, o tráfego flui de aplicações privadas através do gateway da NCC, atravessa a SSE de terceiros e, em seguida, volta a passar pelo gateway da NCC para aplicações de parceiros.
Capacidade de processamento
A capacidade de processamento de um spoke de gateway do NCC é a sua largura de banda aprovisionada. Tem de aprovisionar largura de banda suficiente para ter em conta cada direção do fluxo de tráfego, tendo em atenção que os pacotes podem entrar e sair do spoke do gateway mais do que uma vez para cada direção do fluxo para alguns fluxos de tráfego.
Considere os seguintes exemplos para calcular a capacidade de processamento necessária de um spoke de gateway.
Exemplo: encaminhe os utilizadores para a Internet
Suponhamos que a rede no local de uma filial está ligada à Internet, conforme mostrado no exemplo de utilização Utilizadores da filial na Internet. Os pacotes atravessam o gateway da NCC uma vez em cada direção e o ramo e a Internet precisam de uma largura de banda full-duplex de 1 Gbps: 1 Gbps para tráfego da rede nas instalações do ramo para a Internet e 1 Gbps para tráfego da Internet para a rede do ramo. Neste caso, o utilizador precisa de 2 Gbps de capacidade de processamento. Este exemplo também pressupõe que o parceiro de SSE não rejeita nenhum pacote. Se o seu parceiro de SSE escolhido recomendar uma largura de banda superior à calculada neste exemplo, siga a recomendação do parceiro.
Exemplo: encaminhe os utilizadores para aplicações privadas
Suponhamos que a rede no local de uma filial está ligada à Internet, conforme mostrado no exemplo de utilização Utilizadores da filial para aplicações privadas, e que a filial e as aplicações privadas precisam de uma largura de banda full-duplex de 1 Gbps: 1 Gbps para tráfego da filial para as aplicações e 1 Gbps para tráfego das aplicações para a filial.Google Cloud Este exemplo também pressupõe que o parceiro de SSE não rejeita nenhum pacote. Se o seu parceiro de SSE escolhido recomendar uma largura de banda superior à calculada neste exemplo, siga a recomendação do parceiro.
O spoke do gateway da NCC que liga a rede no local da filial ao hub do Network Connectivity Center precisa de dois anexos de VLAN de 1 Gbps para cumprir os requisitos do SLA do Cloud Interconnect. Desta forma, é possível que uma associação VLAN forneça 1 Gbps de largura de banda full-duplex entre a filial e as aplicações privadas, mesmo quando uma associação VLAN está offline (por exemplo, devido à manutenção da ligação de interconexão).
A capacidade de processamento necessária do spoke do gateway é de 4 Gbps pelos seguintes motivos:
O tráfego da rede no local da filial para o hub do Network Connectivity Center requer 1 Gbps de largura de banda. Este tráfego requer 2 Gbps de largura de banda do gateway porque é processado pelo gateway nos seguintes dois locais:
- 1 Gbps como pacotes das associações VLAN que se ligam ao ramo entram no raio do gateway
- 1 Gbps à medida que os pacotes saem do spoke do gateway e entram no hub
O tráfego do hub do Network Connectivity Center para a rede no local da filial também requer 1 Gbps de largura de banda. Este tráfego requer uma largura de banda de gateway adicional de 2 Gbps porque é processado pelo gateway nos dois seguintes locais:
- 1 Gbps à medida que os pacotes saem do hub e entram no spoke do gateway
- 1 Gbps à medida que os pacotes saem do spoke do gateway e são enviados para os anexos da VLAN que se ligam à filial
Recomendamos a seguinte estratégia para configurar a capacidade de processamento do gateway e a largura de banda da ligação VLAN:
- A capacidade de processamento do gateway é a soma da largura de banda necessária, em cada direção, entre todas as NICs do gateway.
- Ao contrário da capacidade de processamento do gateway, a largura de banda da associação VLAN é full duplex. Aprovisione sempre um número suficiente de associações de VLAN para suportar a largura de banda necessária, mesmo que as associações de VLAN que usam uma ligação de interconexão comum estejam inativas.
Considerações
Tenha em atenção as seguintes considerações quando usar o NCC Gateway:
- O gateway da NCC suporta apenas a inserção de serviços SSE.
- Só pode anexar anexos de VLAN a raios do gateway do NCC. As VPNs na nuvem e os dispositivos de router não são suportados.
- Todos os raios do gateway da NCC têm de estar no mesmo grupo de raios gateways. Para configurar o gateway do NCC, os hubs do Network Connectivity Center têm de usar a topologia de inspeção híbrida predefinida.
- Só é possível anexar um serviço a um gateway da NCC de cada vez.
- Um Cloud Router tem de estar associado a um gateway do NCC na mesma região.
- Apenas as associações de VLAN criadas com um Cloud Router associado a um gateway do NCC estão associadas ao gateway.
- Só pode ter um spoke do gateway da NCC por região por hub.
- Os spokes e o hub do gateway da NCC têm de estar no mesmo projeto.
- Tem de especificar a capacidade de processamento no momento da criação do gateway spoke. Se necessário, pode alterar a capacidade de processamento mais tarde.
- Não pode alterar os intervalos de endereços IP atribuídos. Alguns intervalos de endereços IP estão reservados para parceiros de SSE.
- Não existe uma política de encaminhamento de tráfego para ignorar um subconjunto de tráfego do gateway do NCC.
- As rotas anunciadas do gateway não são apresentadas na tabela de rotas da VPC. Pode vê-las na tabela de rotas do hub do grupo de raios em que a rede VPC se encontra.
- As rotas anunciadas do gateway são programadas através do modo de seleção do melhor caminho padrão.
- A prioridade dos trajetos anunciados do gateway na tabela de trajetos do hub reflete a prioridade do trajeto do Andromeda efetivo, como
65536ou65537. A prioridade com que a rota anunciada do gateway é criada é tida em conta ao calcular a prioridade da rota do Andromeda efetiva. - Os encaminhamentos estáticos têm sempre uma prioridade entre
0-65535e, por isso, têm precedência sobre os encaminhamentos anunciados do gateway para o mesmo prefixo de destino. Assim, se quiser direcionar o tráfego da Internet para o gateway através de uma rota anunciada do gateway com um destino0/0, pode ter de remover a rota predefinida gerada pelo sistema.
- A prioridade dos trajetos anunciados do gateway na tabela de trajetos do hub reflete a prioridade do trajeto do Andromeda efetivo, como
Vista de trajetos eficaz para gateways e tabelas de trajetos de hubs
Pode consultar tabelas de rotas de hubs na perspetiva de uma região, que tem em conta o custo entre regiões quando seleciona uma rota, quer seja através do gateway ou não. Esta consulta permite-lhe ver que instância de gateway específica recebe o tráfego se enviar um pacote dessa região específica.
Exemplo de percurso do utilizador
Se não tiver uma configuração de conetividade pré-existente, consulte a vista geral da configuração do gateway do NCC.
Preços
Para ver informações sobre preços, consulte a secção Preços do Centro de conectividade de rede.
O que se segue?
- Para criar centros e nós, consulte o artigo Trabalhe com centros e nós.
- Para ver uma lista de parceiros cujas soluções estão integradas com o Network Connectivity Center, consulte Parceiros do Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte o artigo Resolva problemas do Network Connectivity Center.
- Para obter detalhes sobre a API e os comandos
gcloud, consulte APIs e referência.