Información general sobre NCC Gateway

La puerta de enlace de NCC es un tipo de radio que se puede asociar al eje de Network Connectivity Center. Es un producto regional que permite proteger el tráfico de Cross-Cloud Network. NCC Gateway te permite habilitar funciones de seguridad, como el servicio de seguridad perimetral (SSE) de terceros, un componente de seguridad ofrecido en la nube de servicio de acceso seguro perimetral (SASE), y finalizar conexiones de interconexión.

NCC Gateway ofrece las siguientes funciones:

  • Integración de SSE optimizada: puedes integrar SSE sin problemas con la dirección transparente para mejorar la protección y el rendimiento de los usuarios en las aplicaciones.
  • Despliegue regional: puedes desplegar NCC Gateway en varias regiones en función de la proximidad física a los centros de datos u otros proveedores de servicios en la nube.
  • Protege a los trabajadores remotos: puedes conectar de forma segura a los trabajadores remotos (por ejemplo, los que se encuentran en sucursales, centros de datos y oficinas remotas) a aplicaciones privadas en Google Cloud, on-premise o en otros proveedores de servicios en la nube, así como a aplicaciones públicas, como Palo Alto Networks Prisma Access y Symantec Cloud Secure Web Gateway (Cloud SWG).
  • Seguridad mejorada: puedes habilitar funciones de seguridad como SSE para el tráfico multicloud.
  • Gestión simplificada: NCC Gateway te ayuda a reducir la complejidad y los costes operativos asociados a la gestión de redes de VPC y conexiones a redes remotas.
  • Visibilidad del rendimiento: NCC Gateway te permite obtener información valiosa sobre el rendimiento de la red con métricas y datos de telemetría.

Ventajas

NCC Gateway ofrece las siguientes ventajas:

  • Experiencia de aplicación óptima con latencia reducida: consumo de alto ancho de banda del servicio SSE en la nube con NCC Gateway y rendimiento mejorado a través de la red troncal privada de Google.

  • Seguridad unificada para todo el tráfico de usuarios: mejora la estrategia de seguridad con una pila de seguridad unificada y reduce la superficie de ataque limitando los puntos de entrada y salida.

  • Gestión simplificada a través de Network Connectivity Center.

Términos clave

Para entender NCC Gateway, familiarízate con los siguientes términos:

Adjunto híbrido: conexiones híbridas que configuras para que lleguen directamente a la puerta de enlace de NCC.

Función de servicio de seguridad: servicios que están asociados a la puerta de enlace de NCC. Por ejemplo, para proteger las comunicaciones entre usuarios y aplicaciones, debes asociar un servicio SSE a NCC Gateway.

Red VPC de la aplicación o de la carga de trabajo: una red VPC de carga de trabajo suele ser una red que usa máquinas virtuales (VM) de Compute Engine o contenedores de Google Kubernetes Engine (GKE) como cargas de trabajo. Las redes de VPC de carga de trabajo pueden ser redes de VPC normales o VPCs compartidas con un proyecto del host y varios proyectos de servicio. Las redes de VPC de las cargas de trabajo deben configurarse como radios en el hub.

Grupos de radios: una forma de agrupar radios en un hub de Network Connectivity Center. Los grupos de radios te permiten separar los radios en diferentes dominios de enrutamiento. Un grupo de radios puede contener varios radios, pero un radio solo puede pertenecer a un grupo. Para obtener información detallada sobre los grupos de radios de las distintas topologías, consulta Topologías de conectividad predefinidas.

Topología de inspección híbrida: te permite añadir radios de NCC Gateway a un grupo para aplicar políticas. Para obtener información sobre la topología de inspección híbrida, consulta el artículo Topología de inspección híbrida.

Secure Access Connect: te permite conectar productos SSE de terceros a NCC Gateway para procesar la seguridad y proteger el tráfico de salida de Internet. Para obtener información sobre Conexión de acceso seguro, consulta el artículo Introducción a Conexión de acceso seguro.

Productos de SSE admitidos

NCC Gateway admite conexiones con los siguientes productos SSE:

Casos prácticos

NCC Gateway es ideal para las organizaciones que quieren proteger el acceso a las aplicaciones de los trabajadores en entornos híbridos. NCC Gateway ofrece seguridad a los trabajadores en entornos híbridos a través de un ecosistema de partners integrado para que puedas contactar con los proveedores de SSE que elijas. NCC Gateway te permite proteger el acceso a aplicaciones privadas alojadas en Google Cloud, on-premise, en otros proveedores de servicios en la nube y en aplicaciones públicas alojadas en Internet y aplicaciones SaaS. NCC Gateway te permite crear implementaciones regionales para optimizar la proximidad de los centros de datos y gestionar el tráfico entre regiones en la red troncal privada de Google Cloud.

Estos son algunos de los usos que pueden dar los Google Cloud usuarios:

  • Derivar a los usuarios a Internet
  • Dirigir a los usuarios a aplicaciones privadas
  • Aplicaciones privadas a Internet

Algunos partners admitidos ofrecen uno o varios de los siguientes casos prácticos:

  • Usuarios móviles a Internet
  • Usuarios de móviles a aplicaciones privadas
  • Derivar usuarios a aplicaciones de partners
  • Aplicaciones privadas a aplicaciones de partners

Flujos de tráfico

En esta sección se describen las rutas de flujo de tráfico de la pasarela NCC en función de cada caso práctico.

Flujo de tráfico en los casos prácticos de los usuarios de Google Cloud

Derivar a los usuarios a Internet

En el siguiente diagrama, el tráfico fluye desde un usuario de una sucursal local a través de la pasarela NCC y la pila SSE de terceros hasta Internet.

Deriva a los usuarios al flujo de tráfico de Internet.
Dirige a los usuarios de la sucursal al flujo de tráfico de Internet (haz clic en la imagen para ampliarla).

Dirigir a los usuarios a aplicaciones privadas

En el siguiente diagrama, el tráfico fluye desde el usuario de la sucursal local a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, a continuación, vuelve a pasar por la puerta de enlace de NCC hasta una aplicación privada.

Derivar a los usuarios a un flujo de tráfico de aplicaciones privadas.
Flujo de tráfico de usuarios de la sucursal a una aplicación privada (haz clic para ampliar).

Aplicaciones privadas a Internet

En el siguiente diagrama, el tráfico fluye desde Google Clouda través de la pasarela de NCC, atraviesa el SSE de terceros y, a continuación, vuelve a pasar por la pasarela de NCC para llegar a Internet.

Aplicaciones privadas al flujo de tráfico de Internet.
Flujo de tráfico de aplicaciones privadas a Internet (haz clic en la imagen para ampliarla).

Flujo de tráfico en los casos prácticos de los partners admitidos

Usuarios móviles a Internet

En el siguiente diagrama, el tráfico fluye desde los usuarios móviles a Internet a través del SSE de terceros. En este caso, el tráfico no pasa por la pasarela NCC.

Usuarios móviles al flujo de tráfico de Internet.
Flujo de tráfico de Internet de los usuarios de móviles (haz clic en la imagen para ampliarla).

Usuarios de móviles a aplicaciones privadas

En el siguiente diagrama, el tráfico fluye desde los usuarios móviles a través del servicio SSE de terceros y la pasarela de NCC a una aplicación privada alojada en una red de VPC.

Flujo de tráfico de usuarios de dispositivos móviles a una aplicación privada.
Flujo de tráfico de usuarios móviles a una aplicación privada (haz clic para ampliar).

Derivar usuarios a aplicaciones de partners

En el siguiente diagrama, el tráfico fluye desde el usuario de la sucursal local a través de la pasarela NCC, atraviesa el SSE de terceros y, a continuación, vuelve a pasar por la pasarela NCC hasta la sucursal local.

Deriva a los usuarios a un flujo de tráfico de aplicaciones de partners.
Flujo de tráfico de usuarios de la sucursal a las aplicaciones de partners (haz clic para ampliar).

Aplicaciones privadas a aplicaciones de partners

En el siguiente diagrama, el tráfico fluye desde las aplicaciones privadas a través de la pasarela NCC, atraviesa el SSE de terceros y, a continuación, vuelve a pasar por la pasarela NCC para llegar a las aplicaciones de partners.

Aplicaciones privadas al flujo de tráfico de aplicaciones de partners.
Flujo de tráfico de aplicaciones privadas a aplicaciones de partners (haz clic en la imagen para ampliarla).

Capacidad de procesamiento

La capacidad de procesamiento de un spoke de NCC Gateway es el ancho de banda aprovisionado. Debes aprovisionar suficiente ancho de banda para tener en cuenta cada dirección del flujo de tráfico, teniendo en cuenta que los paquetes pueden entrar y salir del spoke de la gateway más de una vez por cada dirección del flujo en algunos flujos de tráfico.

Consulta los siguientes ejemplos para calcular la capacidad de procesamiento necesaria de un spoke de pasarela.

Ejemplo: Derivar a los usuarios a Internet

Supongamos que la red local de una sucursal está conectada a Internet, como se muestra en el caso práctico Usuarios de la sucursal a Internet. Los paquetes atraviesan la puerta de enlace de NCC una vez en cada dirección y la sucursal e Internet necesitan un ancho de banda full-duplex de 1 Gbps: 1 Gbps para el tráfico de la red local de la sucursal a Internet y 1 Gbps para el tráfico de Internet a la red de la sucursal. En este caso, el usuario necesita 2 Gbps de capacidad de procesamiento. En este ejemplo también se presupone que el partner de SSE no descarta ningún paquete. Si el partner de SSE que has elegido recomienda un ancho de banda superior al que se calcula en este ejemplo, sigue su recomendación.

Ejemplo: dirigir a los usuarios a aplicaciones privadas

Supongamos que la red local de una sucursal está conectada a Google Cloud como se muestra en el caso práctico de Usuarios de la sucursal a aplicaciones privadas y que la sucursal y las aplicaciones privadas necesitan un ancho de banda full-duplex de 1 Gbps: 1 Gbps para el tráfico de la sucursal a las aplicaciones y 1 Gbps para el tráfico de las aplicaciones a la sucursal. En este ejemplo también se presupone que el partner de SSE no descarta ningún paquete. Si el partner de SSE que has elegido recomienda un ancho de banda superior al que se calcula en este ejemplo, sigue su recomendación.

El radio de la pasarela de NCC que conecta la red on-premise de la sucursal con el centro de conectividad de red necesita dos vinculaciones de VLAN de 1 Gbps para cumplir los requisitos del SLA de Cloud Interconnect. De esta forma, una vinculación de VLAN puede proporcionar 1 Gbps de ancho de banda full-duplex entre la sucursal y las aplicaciones privadas, incluso cuando una vinculación de VLAN está sin conexión (por ejemplo, debido al mantenimiento de la conexión de interconexión).

La capacidad de procesamiento necesaria de la spoke de la pasarela es de 4 Gbps por los siguientes motivos:

  • El tráfico de la red local de la sucursal al centro de conectividad de red requiere 1 Gbps de ancho de banda. Este tráfico requiere 2 Gbps de ancho de banda de la pasarela porque la pasarela lo procesa en los dos lugares siguientes:

    • 1 Gbps como paquetes de las vinculaciones de VLAN que se conectan a la sucursal entran en el spoke de la pasarela
    • 1 Gbps cuando los paquetes salen del spoke de la pasarela y entran en el hub

  • El tráfico del centro de conectividad de red a la red on-premise de la sucursal también requiere 1 Gbps de ancho de banda. Este tráfico requiere 2 Gbps adicionales de ancho de banda de la pasarela porque la pasarela lo procesa en los dos lugares siguientes:

    • 1 Gbps cuando los paquetes salen del centro de control y entran en el spoke de la pasarela
    • 1 Gbps cuando los paquetes salen del spoke de la pasarela y se envían a las vinculaciones de VLAN que se conectan a la sucursal

Recomendamos la siguiente estrategia para configurar la capacidad de procesamiento de la pasarela y el ancho de banda de la vinculación de VLAN:

  • La capacidad de procesamiento de la pasarela es la suma del ancho de banda necesario en cada dirección entre todas las NICs de la pasarela.
  • A diferencia de la capacidad de procesamiento de la pasarela, el ancho de banda de la vinculación de VLAN es full-duplex. Aprovisiona siempre un número suficiente de vinculaciones de VLAN para admitir el ancho de banda que necesites, aunque las vinculaciones de VLAN que utilicen una conexión de interconexión común no funcionen.

Cuestiones importantes

Cuando uses la pasarela de NCC, ten en cuenta lo siguiente:

  • NCC Gateway solo admite la inserción de servicios SSE.
  • Solo puedes asociar vinculaciones de VLAN a radios de pasarela de NCC. No se admiten Cloud VPNs ni dispositivos router.
  • Todos los radios de NCC Gateway deben estar en el mismo grupo de radios gateways. Para configurar la pasarela de NCC, los hubs de Network Connectivity Center deben usar la topología de inspección híbrida predefinida.
  • Solo se puede adjuntar un servicio a una pasarela NCC a la vez.
  • Un router de Cloud Router debe estar vinculado a una pasarela de NCC de la misma región.
  • Solo las vinculaciones de VLAN creadas con un Cloud Router vinculado a una pasarela de NCC se vinculan a la pasarela.
  • Solo puedes tener un spoke de pasarela de NCC por región y por centro de conectividad.
  • Los radios y el centro de conectividad de NCC Gateway deben estar en el mismo proyecto.
  • Debes especificar la capacidad de procesamiento al crear el gateway de spoke. La capacidad de procesamiento se puede cambiar más adelante, si es necesario.
  • No puedes cambiar los intervalos de direcciones IP asignados. Algunos intervalos de direcciones IP se reservan para los partners de SSE.
  • No hay ninguna política de dirección del tráfico para eludir un subconjunto del tráfico de la pasarela NCC.
  • Las rutas anunciadas de la pasarela no se muestran en la tabla de rutas de la VPC. Puedes verlas en la tabla de rutas del centro del grupo de radios al que pertenece la red de VPC.
  • Las rutas anunciadas de la pasarela se programan mediante el modo de selección de la mejor ruta estándar.
    • La prioridad de las rutas anunciadas de la pasarela en la tabla de rutas del centro de conectividad refleja la prioridad de ruta de Andromeda, como 65536 o 65537. La prioridad con la que se crea la ruta anunciada de la pasarela se tiene en cuenta al calcular la prioridad de la ruta de Andromeda efectiva.
    • Las rutas estáticas siempre tienen una prioridad entre 0-65535 y, por lo tanto, tienen prioridad sobre las rutas anunciadas por la puerta de enlace para el mismo prefijo de destino. Por lo tanto, si quiere dirigir el tráfico de Internet a la puerta de enlace mediante una ruta anunciada de la puerta de enlace con un destino 0/0, es posible que tenga que quitar la ruta predeterminada generada por el sistema.

Vista de rutas efectivas de las pasarelas y las tablas de rutas de centros de conectividad

Puedes consultar las tablas de rutas de concentrador desde la perspectiva de una región, lo que tiene en cuenta el coste entre regiones cuando seleccionas una ruta, tanto si pasa por la pasarela como si no. Esta consulta te permite ver qué instancia de la pasarela recibe el tráfico si envías un paquete desde esa región concreta.

Recorrido de usuario de ejemplo

Si no tienes una configuración de conectividad, consulta la descripción general de la configuración de la pasarela de NCC.

Precios

Para obtener información sobre los precios, consulta la página de precios de Network Connectivity Center.

Siguientes pasos