Panoramica di NCC Gateway

NCC Gateway è un tipo di spoke che può essere collegato all'hub Network Connectivity Center. È un prodotto regionale che consente la sicurezza per il traffico di Cross-Cloud Network. NCC Gateway ti consente di abilitare funzioni di sicurezza come Security Service Edge (SSE) di terze parti, un componente di sicurezza fornito dal cloud di Secure Access Service Edge (SASE) e terminare le connessioni di interconnessione.

NCC Gateway offre le seguenti funzionalità:

• Integrazione semplificata di SSE: puoi integrare SSE senza problemi con lo steering trasparente per migliorare la protezione e le prestazioni da utente ad applicazione.
• Deployment regionale: puoi eseguire il deployment di NCC Gateway in varie regioni in base alla vicinanza fisica ai data center o ad altri provider cloud.
• Forza lavoro remota sicura: puoi connettere in modo sicuro le forze lavoro remote, ad esempio quelle di filiali, data center e uffici remoti, ad applicazioni private in Google Cloud, on-premise o altri fornitori di servizi cloud e ad applicazioni pubbliche, come Palo Alto Networks Prisma Access e Symantec Cloud Secure Web Gateway (Cloud SWG).
• Sicurezza avanzata: puoi attivare funzioni di sicurezza come SSE per il traffico multicloud.
• Gestione semplificata: NCC Gateway ti aiuta a ridurre la complessità e i costi operativi associati alla gestione delle reti VPC e delle connessioni alle reti remote.
• Visibilità delle prestazioni: NCC Gateway ti consente di ottenere informazioni sul rendimento della rete con metriche e dati di telemetria.

Vantaggi

NCC Gateway offre i seguenti vantaggi:

• Esperienza ottimale dell'applicazione con latenza ridotta: consumo cloud-first del servizio SSE con NCC Gateway e prestazioni migliorate tramite il backbone privato di Google.

• Sicurezza unificata per tutto il traffico utente: migliore strategia di sicurezza con un unico stack di sicurezza unificato e superficie di attacco ridotta limitando i punti di ingresso e uscita.

• Gestione semplificata tramite Network Connectivity Center.

Termini chiave

Per comprendere NCC Gateway, acquisisci familiarità con la seguente terminologia:

Allegato ibrido: connessioni ibride che configuri per accedere direttamente al gateway NCC.

Funzione del servizio di sicurezza: servizi collegati a NCC Gateway. Ad esempio, per la protezione da utente ad applicazione, devi collegare un servizio SSE a NCC Gateway.

Rete VPC dell'applicazione o del carico di lavoro: una rete VPC del carico di lavoro è in genere una rete che utilizza macchine virtuali (VM) Compute Engine o container Google Kubernetes Engine (GKE) come carichi di lavoro. Le reti VPC del workload possono essere reti VPC regolari o VPC condivise con un progetto host e più progetti di servizio. Le reti VPC del workload devono essere configurate come spoke nell'hub.

Gruppi di spoke: un modo per raggruppare gli spoke all'interno di un hub Network Connectivity Center. I gruppi spoke consentono di separare gli spoke in domini di routing diversi. Un gruppo spoke può contenere più spoke, ma uno spoke può appartenere a un solo gruppo. Per informazioni dettagliate sui gruppi di spoke per diverse topologie, vedi Topologie di connettività preimpostate.

Topologia di ispezione ibrida: ti consente di aggiungere spoke del gateway NCC a un gruppo per applicare i criteri. Per informazioni sulla topologia di ispezione ibrida, vedi Topologia di ispezione ibrida.

Secure Access Connect: consente di connettere prodotti SSE di terze parti a NCC Gateway per l'elaborazione della sicurezza e l'uscita sicura da internet. Per informazioni su Secure Access Connect, vedi Panoramica di Secure Access Connect.

Prodotti SSE supportati

NCC Gateway supporta le connessioni ai seguenti prodotti SSE:

• Symantec Cloud SWG
• Palo Alto Networks Prisma Access

Casi d'uso

NCC Gateway è ideale per le organizzazioni che vogliono proteggere l'accesso alle applicazioni per i lavoratori ibridi. NCC Gateway fornisce sicurezza per la forza lavoro ibrida attraverso un ecosistema di partner integrato per consentirti di connetterti ai fornitori di SSE che preferisci. NCC Gateway ti consente di proteggere l'accesso alle applicazioni private ospitate in Google Cloud, on-premise, in altri cloud provider e nelle applicazioni pubbliche ospitate su internet e nelle applicazioni SaaS. NCC Gateway ti consente di creare deployment regionali per una prossimità ottimale del data center e gestire il traffico tra regioni sul backbone privato di Google Cloud.

Ecco alcuni casi d'uso per gli utenti Google Cloud :

• Indirizzare gli utenti della filiale a internet
• Dirigere gli utenti verso applicazioni private
• Applicazioni private a internet

Alcuni partner supportati offrono uno o più dei seguenti casi d'uso:

• Utenti di dispositivi mobili a internet
• Utenti di dispositivi mobili ad applicazioni private
• Dirigere gli utenti verso le applicazioni partner
• Applicazioni private ad applicazioni partner

Flussi di traffico

Questa sezione descrive i percorsi del flusso di traffico in NCC Gateway a seconda di ogni caso d'uso.

Flusso di traffico nei casi d'uso per gli utenti di Google Cloud

Indirizzare gli utenti della filiale a internet

Nel seguente diagramma, il traffico scorre da un utente della filiale on-premise attraverso il gateway NCC e lo stack SSE di terze parti a internet.

Dirigere gli utenti verso applicazioni private

Nel seguente diagramma, il traffico scorre dall'utente della filiale on-premise tramite il gateway NCC, attraversa l'SSE di terze parti e poi torna tramite il gateway NCC a un'applicazione privata.

Applicazioni private a internet

Nel seguente diagramma, il traffico scorre da Google Cloud attraverso il gateway NCC, attraversa l'SSE di terze parti e poi torna attraverso il gateway NCC a internet.

Flusso di traffico nei casi d'uso per i partner supportati

Utenti di dispositivi mobili a internet

Nel seguente diagramma, il traffico scorre dagli utenti di dispositivi mobili attraverso l'SSE di terze parti a internet. In questo caso, il traffico non passa attraverso NCC Gateway.

Utenti di dispositivi mobili ad applicazioni private

Nel seguente diagramma, il traffico scorre dagli utenti di dispositivi mobili attraverso il servizio SSE di terze parti e il gateway NCC a un'applicazione privata ospitata in una rete VPC.

Dirigere gli utenti verso le applicazioni partner

Nel seguente diagramma, il traffico scorre dall'utente della filiale on-premise attraverso il gateway NCC, attraversa l'SSE di terze parti e poi torna attraverso il gateway NCC alla filiale on-premise.

Applicazioni private ad applicazioni partner

Nel seguente diagramma, il traffico scorre dalle applicazioni private attraverso il gateway NCC, attraversa l'SSE di terze parti e poi torna attraverso il gateway NCC alle applicazioni partner.

Capacità di elaborazione

La capacità di elaborazione di uno spoke gateway NCC è la sua larghezza di banda di cui è stato eseguito il provisioning. Devi eseguire il provisioning di una larghezza di banda sufficiente per tenere conto di ogni direzione del flusso di traffico, tenendo presente che i pacchetti potrebbero entrare e uscire dallo spoke del gateway più di una volta per ogni direzione del flusso per alcuni flussi di traffico.

Prendi in esame gli esempi seguenti per calcolare la capacità di elaborazione richiesta di uno spoke del gateway.

Esempio: indirizzare gli utenti a internet

Supponiamo che la rete on-premise di una filiale sia connessa a internet come mostrato nel caso d'uso Utenti della filiale a internet. I pacchetti attraversano NCC Gateway una volta in ogni direzione e la succursale e internet hanno bisogno di una larghezza di banda full-duplex di 1 Gbps: 1 Gbps per il traffico dalla rete on-premise della succursale a internet e 1 Gbps per il traffico da internet alla rete della succursale. In questo caso, l'utente ha bisogno di 2 Gbps di capacità di elaborazione. Questo esempio presuppone anche che il partner SSE non elimini pacchetti. Se il partner SSE che hai scelto consiglia una larghezza di banda superiore a quella calcolata in questo esempio, segui il consiglio del partner.

Esempio: indirizzare gli utenti a rami di applicazioni privati

Supponiamo che la rete on-premise di una filiale sia connessa a Google Cloud come mostrato nello scenario di utilizzo Utenti della filiale alle applicazioni private e che la filiale e le applicazioni private richiedano una larghezza di banda full-duplex di 1 Gbps: 1 Gbps per il traffico dalla filiale alle applicazioni e 1 Gbps per il traffico dalle applicazioni alla filiale. Questo esempio presuppone anche che il partner SSE non elimini pacchetti. Se il partner SSE scelto consiglia una larghezza di banda superiore a quella calcolata in questo esempio, segui il consiglio del partner.

Lo spoke del gateway NCC che connette la rete on-premise della filiale all'hub Network Connectivity Center richiede due collegamenti VLAN da 1 Gbps per soddisfare i requisiti dello SLA di Cloud Interconnect. In questo modo, è possibile che un collegamento VLAN fornisca 1 Gbps di larghezza di banda full-duplex tra la filiale e le applicazioni private anche quando un collegamento VLAN è offline (ad esempio, a causa della manutenzione della connessione Interconnect).

La capacità di elaborazione richiesta dello spoke gateway è di 4 Gbps per i seguenti motivi:

• Il traffico dalla rete on-premise della filiale all'hub Network Connectivity Center richiede 1 Gbps di larghezza di banda. Questo traffico richiede 2 Gbps di larghezza di banda del gateway perché viene elaborato dal gateway nei due luoghi seguenti:

  • 1 Gbps quando i pacchetti dei collegamenti VLAN che si connettono alla filiale entrano nello spoke gateway
  • 1 Gbps quando i pacchetti escono dallo spoke del gateway ed entrano nell'hub

• Il traffico dall'hub Network Connectivity Center alla rete on-premise della filiale richiede anche 1 Gbps di larghezza di banda. Questo traffico richiede 2 Gbps aggiuntivi di larghezza di banda del gateway perché viene elaborato dal gateway nei seguenti due punti:

  • 1 Gbps quando i pacchetti escono dall'hub ed entrano nello spoke del gateway
  • 1 Gbps quando i pacchetti escono dallo spoke gateway e vengono inviati ai collegamenti VLAN che si connettono alla filiale

Ti consigliamo la seguente strategia per configurare la capacità di elaborazione del gateway e la larghezza di banda del collegamento VLAN:

• La capacità di elaborazione del gateway è la somma della larghezza di banda richiesta, in ogni direzione, tra tutte le NIC del gateway.
• A differenza della capacità di elaborazione del gateway, la larghezza di banda del collegamento VLAN è full-duplex. Esegui sempre il provisioning di un numero sufficiente di collegamenti VLAN per supportare la larghezza di banda richiesta, anche se i collegamenti VLAN che utilizzano una connessione Interconnect comune non sono attivi.

Considerazioni

Quando utilizzi NCC Gateway, tieni presente le seguenti considerazioni:

• NCC Gateway supporta solo l'inserimento del servizio SSE.
• Puoi collegare i collegamenti VLAN solo agli spoke del gateway NCC. Le VPN Cloud e le appliance router non sono supportate.
• Tutti gli spoke del gateway NCC devono trovarsi nello stesso gruppo di spoke gateway. Per configurare il gateway NCC, gli hub Network Connectivity Center devono utilizzare la topologia di ispezione ibrida preimpostata.
• È possibile collegare un solo servizio a un NCC Gateway alla volta.
• Un router Cloud deve essere collegato a un gateway NCC nella stessa regione.
• Al gateway sono collegati solo i collegamenti VLAN creati con un router Cloud collegato a un gateway NCC.
• Puoi avere un solo spoke gateway NCC per regione per hub.
• Gli spoke e l'hub del gateway NCC devono trovarsi nello stesso progetto.
• Devi specificare la capacità di elaborazione al momento della creazione dello spoke del gateway. La capacità di elaborazione può essere modificata in un secondo momento, se necessario.
• Non puoi modificare gli intervalli di indirizzi IP assegnati. Alcuni intervalli di indirizzi IP sono riservati ai partner SSE.
• Non esiste una policy di indirizzamento del traffico per bypassare un sottoinsieme di traffico dal gateway NCC.
• Le route annunciate del gateway non vengono visualizzate nella tabella di route VPC. Puoi visualizzarle nella tabella di route dell'hub del gruppo di spoke in cui si trova la rete VPC.
• Le route annunciate del gateway vengono programmate utilizzando la modalità di selezione del percorso migliore standard.
  • La priorità delle route annunciate del gateway nella tabella delle route hub riflette la priorità effettiva della route Andromeda, ad esempio 65536 o 65537. La priorità con cui viene creata la route annunciata del gateway viene presa in considerazione durante il calcolo della priorità della route Andromeda effettiva.
  • Le route statiche hanno sempre una priorità compresa tra 0-65535 e pertanto hanno la precedenza sulle route annunciate del gateway per lo stesso prefisso di destinazione. Pertanto, se vuoi indirizzare il traffico internet al gateway utilizzando una route annunciata dal gateway con una destinazione 0/0, potresti dover rimuovere la route predefinita generata dal sistema.

Vista delle route effettive per i gateway e le tabelle di route hub

Puoi eseguire query sulle tabelle di routing hub dal punto di vista di una regione, che tiene conto del costo interregionale quando selezioni una route, indipendentemente dal fatto che passi o meno dal gateway. Questa query ti consente di vedere quale istanza di gateway specifica riceve il traffico se invii un pacchetto da quella regione specifica.

Esempio di percorso dell'utente

Se non hai una configurazione di connettività preesistente, consulta Panoramica della configurazione del gateway NCC.

Prezzi

Per informazioni sui prezzi, consulta la pagina Prezzi di Network Connectivity Center.

Passaggi successivi

• Per creare hub e spoke, consulta Utilizzo di hub e spoke.
• Per visualizzare un elenco dei partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
• Per trovare soluzioni ai problemi comuni, consulta Risolvere i problemi relativi a Network Connectivity Center.
• Per informazioni dettagliate sull'API e sui comandi gcloud, consulta API e riferimenti.