适用于 Google Cloud VMware Engine 的私有云网络

首次发布时间:2021 年 1 月 25 日

本文档简要介绍了 Google Cloud VMware Engine、讨论了网络概念、回顾了最典型的流量,并提供了一些有关使用 VMware Engine 设计架构的注意事项。本文档介绍了 VMware Engine 的工作原理、功能以及在选择最佳架构时要考虑的事项。

如果您是一名网络工程师、云工程师、架构师或运维人员,负责设计、维护或排查 Google Cloud 中托管的基于 VMware 的应用的安全性、连接和可用性,则应参考本文档。

此外,本文档还可帮助您详细了解 VMware Engine 及其要求和功能。在您深入了解这项技术时,或者如果您打算在生产环境中测试或部署它,本文档可帮助您了解 VMware Engine 的工作原理,以及如何将其与新的或现有的 Google Cloud 环境集成。本文档回顾了所有网络方面,并帮助您确定适合您的使用场景的最佳解决方案。

VMware Engine 网络与连接本地网络的虚拟私有云 (VPC) 网络以及其他 Google Cloud 服务相集成。VMware Engine 以高性能、可靠且高容量的基础架构为基础构建,为客户带来最佳成本效益的 VMware 体验。

概览

VMware Engine 是 Google 提供的一项服务,可帮助您在 Google Cloud 上迁移并运行您的 VMware 工作负载。

VMware Engine 提供全代管式 VMware 软件定义数据中心 (SDDC),它由以下组件组成:VMware vSpherevCenter ServervSANNSX-T。VMware Engine 包括 HCX,可用于在 Google Cloud 上的专用环境中进行云迁移,以支持企业生产工作负载。您可以使用 VMware Engine 直接通过 Google Cloud Console 连接到专用的 VMware 环境,将本地工作负载迁移或扩展到 Google Cloud。这种功能让您可以迁移到云端,而且无需重构应用的费用或复杂性,并且可让您在本地环境中一致性地运行和管理工作负载。在 Google Cloud 上运行 VMware 工作负载时,可以减少运营负担,同时从规模和灵活性中受益,并与现有工具、政策和流程保持连续性。

VMware Engine 以 Google Cloud 高性能、可扩缩的基础架构为基础构建而成,提供完全冗余且专用的 100 Gbps 网络,可提供高达 99.99% 的可用性以满足 VMware 堆栈的需要。Cloud 网络服务(例如 Cloud InterconnectCloud VPN)可让您从本地环境访问云环境。与云服务的这些连接的高带宽针对性能和灵活性进行了优化,同时最大限度地降低费用和运营开销。集成了端到端的一站式支持,可提供此服务和 Google Cloud 其余服务的无缝体验。

迁移工作负载后,您就可以访问各种 Google Cloud 服务,例如 BigQuery、Cloud Operations、Cloud Storage、Anthos 和 Cloud AI。Google Cloud 还提供完全集成的结算功能以及身份管理和访问权限控制功能,可统一您使用其他 Google Cloud 产品和服务的体验。

使用场景

下图是一个代表性参考架构,该架构显示了如何将 VMware 环境迁移或扩展到 Google Cloud,同时从 Google Cloud 服务中受益。VMware Engine 为以下用例提供了解决方案。

展示如何将 VMware 环境迁移或扩展到 Google Cloud 的参考架构。

初始配置要求

在开始将您的 VMware Engine 部署到 Google Cloud 之前,请务必阅读初始配置要求

系统组件

概括来讲,VMware Engine 组件如下所示:

  • Google Cloud:
    • VMware Engine:
      • NSX-T
      • HCX
      • vCenter
      • vSAN
    • 您的 Google Cloud 组织:
      • 拥有 VPC 网络的 Google Cloud 项目
      • 与本地系统的 Cloud Interconnect(使用合作伙伴互连或专用互连)或 Cloud VPN 连接
      • 与 VMware Engine 区域的专用服务访问通道连接
    • 专用服务访问通道连接
    • Google 代管式服务集成
  • (可选)本地资源:
    • 网络
    • 存储
    • HCX(推荐用于 L2 连接,该连接也称为 L2 拉伸连接
    • vCenter

私有云是一种独立的 VMware 堆栈,由 ESXi 主机、vCenter、vSAN、NSX-T 和 HCX 组成。这些组件统称为 Google Cloud VMware Engine 组件,并在云管理员创建私有云时部署。然后,您组织中的用户可以通过建立专用服务访问通道连接,从其 VPC 网络以专有方式访问 VMware Engine 私有云。下图展示了此架构。

专用服务访问通道。

专用服务访问通道是一种专用连接,将您的 VPC 网络与 Google 或第三方拥有的网络连接起来。Google 或第三方是提供服务的实体,亦称为服务提供方

对于连接到 VMware Engine 的每个客户 VPC 网络,当客户在 Google Cloud 中创建专用服务访问通道连接时,系统会创建服务提供方 VPC 网络。此项目包含一个可用于连接到其他 Google Cloud 服务(如 Cloud SQL 和 Memorystore)的共享 VPC 网络。

VMware 不要求您在本地使用 NSX-T。此外,任何用例都不强制使用 HCX,因为您可以使用其他机制来实现第 2 层 (L2) 拉伸连接和工作负载迁移。但是,我们建议使用 HCX,以实现高效的工作负载迁移和便利性,因为系统在您创建私有云时会自动部署此功能。换句话说,无论您是否使用,系统都会部署 HCX。

网络功能

下面简要介绍了 VMware Engine 中的网络功能:

  • 子网:您可以在私有云中创建管理和工作负载子网。
  • 动态路由:由 NSX 管理的 VMware Engine 子网将通过边界网关协议 (BGP) 自动通告到 Google 网络的其余部分以及您的本地位置。
  • 公共 IP 服务和互联网网关(入站流量和出站流量):VMware Engine 有自己的公共 IP 服务,可用于入站流量和互联网网关出站流量。这是区域级服务。
  • 防火墙政策:VMware Engine 允许您使用 NSX 分布式防火墙(东-西)和 NSX 网关防火墙(北-南)创建 L4 和 L7 防火墙政策。例如,您可以强制执行精细控制,以通过公共 IP 地址(如 Web 服务器)访问工作负载。
  • 实现东-西安全性的服务链:提供注册合作伙伴安全解决方案(IDS、IPS 或 NGFW)的功能来配置网络服务,以检查虚拟机之间的东-西流量移动情况。
  • NSX-T 分布式入侵检测服务 (IDS):在 VMware Engine 中运行的 NSX 版本支持用于威胁检测和报告的 NSX 分布式 IDS。此功能需要 VMware 的额外许可。如需了解详情,请参阅 VMware NSX 分布式 IDS/IPS
  • 端点保护:通过与支持的第三方的合作伙伴集成,系统可以保护 VMware Engine 支持的虚拟机免遭恶意软件和病毒威胁。如需了解详情,请参阅官方 VMware 文档
  • 对其他 Google 服务的专用访问通道:VMware Engine 使用专用 Google 访问通道和专用服务访问通道与其他 Google Cloud 服务集成。如需查看受支持服务的完整列表,请参阅服务的专用访问通道选项
  • DNS 配置文件
    • 用于管理的 DNS:对于每个私有云,VMware Engine 自动部署一对 DNS 服务器以解析各种管理组件(vCenter、NSX Manager 等)。
    • 用于工作负载的 DNS:对于每个私有云,您可以选择最适合自己的 DNS 设置。NSX-T DNS 服务允许您将 DNS 查询转发到特定 DNS 服务器,并且您可以在 VMware Engine 中或本地创建 DNS 服务器,也可以使用 Cloud DNS。
  • DHCP 服务器:包含 NSX-T 分段的 DHCP 服务器支持。
  • DHCP 中继:DHCP 中继可让组织与本地 IP 地址管理 (IPAM) 系统集成。
  • 点到网站 VPN:点到网站 VPN 网关可让您从私有云的客户端计算机远程连接到 VMware Engine 网络。如需从计算机连接到 VMware Engine,您需要 VPN 客户端。您可以下载适用于 Windows 的 OpenVPN 客户端,或者下载适用于 macOS 的 Viscosity。
  • 网站到网站 L2 VPN 和 L3 VPN:这些服务是在 NSX 中分别使用 L2VPN 和 IPsec VPN 直接配置的。
  • 负载平衡:此服务使用 NSX-T 的内置负载平衡功能,其中包括 L4 和 L7 支持以及运行状况检查。
  • 支持部分 IP 多播路由:支持协议独立多播 (PIM),如 VMware 文档中所述
  • 支持部分 IPv6:此功能允许组织将 IPv6 用于 VMware Engine 支持的应用,如 NSX-T 3.0 设计指南中所述。
  • 长距离虚拟机迁移 (vMotion):本地和云端之间或者 VMware Engine 内部云端到远端支持实时迁移(应用继续运行)和冷迁移(应用已关闭),并且具有嵌入式 WAN 优化、加密和复制支持的移动性。之所以有这种可能性,是因为 VMware HCX 包含在该服务中。
  • 高级网络操作:您可以使用内置的 NSX 工具和插桩,例如端口镜像、Traceflow、数据包捕获以及带有轮询和陷阱的 SNMP v1/v2/v3 等等。

网络和地址范围

Google Cloud VMware Engine 为您部署 VMware Engine 服务的每个区域创建一个网络。该网络是单个 TCP 第 3 层地址空间,默认启用路由。您在此区域创建的所有私有云和子网可以相互通信,无需任何额外配置。您可以使用 NSX-T 为工作负载虚拟机创建网络分段(子网)。 您可以配置与本地网络、私有云的管理网络或任何 VPC 子网不重叠的任何 RFC 1918 地址范围。

默认情况下,所有子网可以相互通信,从而减少私有云之间路由的配置开销。同一区域内私有云之间的数据流量仍留在相同的第 3 层网络中,并且通过该区域内的本地网络基础架构传输,因此,这些私有云之间的通信不需要出站流量。当您在不同的私有云中部署不同的工作负载时,此方法可消除任何 WAN 或出站性能损失。

从概念上讲,私有云可被创建为由 vCenter 服务器管理的隔离 VMware 堆栈(ESXi 主机、vCenter、vSAN 和 NSX)环境。管理组件部署在针对 vSphere/vSAN 子网 CIDR 范围的网络中。在部署期间,网络 CIDR 范围被划分为不同的子网。

VMware Engine 中的管理子网

VMware Engine 使用多个 IP 地址范围。有些 IP 地址范围是强制性的,有些则取决于您计划部署的服务。IP 地址空间不得与您的任何本地子网、VPC 子网或计划工作负载子网重叠。以下几个部分描述了一组地址范围以及使用这些范围的相应服务。

下图简要展示了以下几个部分介绍的服务的管理子网:

管理子网。

vSphere/vSAN CIDR

初始化和创建私有云需要以下 IP 地址范围:

名称 说明 地址范围
vSphere/vSAN CIDR VMware 管理网络必需。必须在创建私有云时指定。对 vMotion 来说也是必需的。 /21/22/23/24

创建私有云时,系统会自动创建多个管理子网。管理子网使用本文档前面部分介绍的必要 vSphere/vSAN CIDR 分配。以下是使用此 CIDR 范围创建的不同子网的示例架构和说明:

  • 系统管理:ESXi 主机的管理网络、DNS 服务器和 vCenter 服务器的 VLAN 和子网。
  • vMotion:适用于 ESXi 主机 vMotion 网络的 VLAN 和子网。
  • vSAN:适用于 ESXi 主机 vSAN 网络的 VLAN 和子网。
  • NsxtEdgeUplink1:适用于外部网络 VLAN 上行链路的 VLAN 和子网。
  • NsxtEdgeUplink2:适用于外部网络 VLAN 上行链路的 VLAN 和子网。
  • NsxtEdgeTransport:适用于控制 NSX-T 中第 2 层网络覆盖范围的传输区域的 VLAN 和子网。
  • NsxtHostTransport:主机传输区域的 VLAN 和子网。

示例

指定的 vSphere/vSAN 子网 CIDR 范围分为多个子网。下表提供了使用 192.168.0.0 作为 CIDR 范围的允许前缀(从 /21/24)的明细。

指定的 vSphere/vSAN 子网 CIDR/前缀 192.168.0.0/21 192.168.0.0/22 192.168.0.0/23 192.168.0.0/24
系统管理 192.168.0.0/24 192.168.0.0/24 192.168.0.0/25 192.168.0.0/26
vMotion 192.168.1.0/24 192.168.1.0/25 192.168.0.128/26 192.168.0.64/27
vSAN 192.168.2.0/24 192.168.1.128/25 192.168.0.192/26 192.168.0.96/27
NSX-T 主机传输 192.168.4.0/23 192.168.2.0/24 192.168.1.0/25 192.168.0.128/26
NSX-T 边缘传输 192.168.7.208/28 192.168.3.208/28 192.168.1.208/28 192.168.0.208/28
NSX-T 边缘上行链路 1 192.168.7.224/28 192.168.3.224/28 192.168.1.224/28 192.168.0.224/28
NSX-T 边缘上行链路 2 192.168.7.240/28 192.168.3.240/28 192.168.1.240/28 192.168.0.240/28

根据您选择的 CIDR 范围,每个子网的子网掩码会发生变化。例如,如果您选择 vSphere/vSAN CIDR /21,则系统将创建以下子网:/24 系统管理子网、/24 vMotion 子网、/24 vSAN 子网、/23 NSX-T 主机传输子网、/28 NSX-T 边缘传输子网、/28 NSX-T 边缘上行链路 1 和 /28 NSX-T 边缘上行链路 2。

HCX 部署 CIDR 范围

您的私有云上的 HCX 需要以下 IP 地址范围:

名称 说明 地址范围
HCX 部署 CIDR 范围 部署 HCX 网络必需。创建私有云时可选。 /27 或更大

已分配的地址范围

VMware Engine 的专用服务访问通道需要以下 IP 地址:

名称 说明 地址范围
已分配的地址范围 用于 Google Cloud 服务(包括 VMware Engine)的专用服务连接的地址范围。 /24 或更大

边缘服务和客户端子网

要启用 VMware Engine 提供的边缘网络服务,需要以下 IP 地址范围:

名称 说明 地址范围
边缘服务 CIDR 范围 如果启用了可选的边缘服务(例如点到网站 VPN、互联网访问和公共 IP 地址),则是必需的。范围是根据具体区域来确定的。 /26
客户端子网 对于点到网站 VPN 是必需的。DHCP 地址从客户端子网提供给 VPN 连接。 /24

适用于服务的 Google 专用访问通道选项

Google Cloud 为 VMware Engine 或 Google Virtual Private Cloud 网络中运行的工作负载提供多种专用访问通道选项。专用服务访问通道提供 VPC 网络和 VMware Engine 服务之间的专用连接。使用专用 Google 访问通道时,您的 VMware 工作负载无需离开 Google Cloud 网络即可访问其他 Cloud API 和服务。

专用服务访问

VMware Engine 使用专用服务访问通道和专用 IP 地址,将您的 VPC 网络连接到 Google 组织的租户文件夹中的服务提供方 VPC 网络。

如需了解如何配置专用服务访问通道,请参阅配置专用服务访问通道。 专用服务访问通道会创建 VPC 网络对等互连连接,因此导入和导出路由非常重要。

Google 和第三方(统称为服务提供方)可以提供托管在 VPC 网络中且具有内部 IP 地址的服务。通过专用服务访问通道,您可以访问这些内部 IP 地址。专用连接启用以下功能:

  • 您的 VPC 网络中的虚拟机实例和 VMware 虚拟机仅使用内部 IP 地址进行通信。虚拟机实例不需要接入互联网或具备外部 IP 地址,通过专用服务访问通道即可访问可用服务。

  • VMware 虚拟机与 Google Cloud 支持的服务之间的通信,这些服务支持使用内部 IP 地址的专用服务访问通道。

  • 如果您拥有使用 Cloud VPN 或 Cloud Interconnect 到 VPC 网络的本地连接,则可以使用现有的“本地连接”连接到您的 VMware Engine 私有云。

如果您在自己的项目中使用共享 VPC 网络,则必须在宿主项目中创建分配的 IP 地址范围和专用连接,以允许服务项目中的虚拟机实例与环境建立连接。

您可以设置独立于 VMware Engine 私有云创建的专用服务访问通道。您还可以在创建 VPC 网络要连接到的私有云之前或之后创建专用连接。

因此,在配置专用服务访问通道时,您需要分配内部 IP 地址范围,然后创建上一部分中所述的专用连接。此分配的范围是预留的 CIDR 地址块,用于专用服务访问通道连接,并且不能在您的本地 VPC 网络中使用。此范围仅为服务提供方预留,可防止您的 VPC 网络与服务提供方的 VPC 网络重叠。创建专用服务连接时,您必须指定分配。如需了解服务提供方,请参阅启用专用服务访问通道

为了避免 IP 地址重叠,我们建议在专用服务连接中分配所有 VMware Engine 子网。在以下屏幕截图中,VMware Engine CIDR 地址块用于专用服务连接,并且分配 gcve-2 CIDR 地址块以防止 IP 地址重叠:

VMware Engine CIDR 地址块用于专用服务连接。

Service Networking 不会检查接收到的动态路由是否存在重叠地址,因此您需要将专用服务访问通道与为非 VMware 服务预留的前缀关联。这样做可以防止 IP 地址重叠引起的问题,因为您要预留 CIDR 范围,无法在您的 VPC 网络中使用它们。

配置专用服务访问通道时,请确保正确配置 VPC 对等互连连接,以导入和导出 servicenetworking-googleapis-com 专用连接上的所有路由。您还需要记下对等互连项目 ID,以便在 VMware Engine 中设置专用连接时使用此 ID。

服务提供方 VPC 网络会自动连接到包含私有云(私有 vCenter 和单个 NSX-T 安装)的 VMware Engine 服务。

VMware Engine 使用服务提供方 VPC 中预配的多项 Google Cloud 服务的同一连接,这些服务使用专用服务访问通道,例如 Cloud SQL、Memorystore for Redis、Memorystore for Memcached、AI Platform Training 和 GKE 专用集群。如果要使用这些服务,则可以选择您用于与 VMware Engine 建立专用服务连接的 CIDR 范围。

在 VMware Engine 服务门户中,当区域状态为“已连接”时,您可以使用相应区域的租户项目 ID 查看专用连接。专用连接详情显示通过 VPC 对等互连获知的路由。导出的路由显示从区域获知并通过 VPC 对等互连导出的私有云。

私有云表示单个 vCenter 和单个 NSX-T 安装(最多 64 个节点)。您可以部署多个私有云,如果达到了一个私有云的 64 个节点限制,则可以再创建一个私有云。这意味着您管理两个私有云、两个 vCenter 安装和两个 NSX-T 安装。

根据您的使用场景,您可以部署单个私有云或部署多个私有云,而无需达到 64 个节点限制。例如,您可以部署一个用于数据库工作负载的私有云和一个用于 VDI 用例的独立私有云,或者一个用于美洲工作负载的私有云和另一个用于欧洲、中东和非洲地区工作负载的私有云。或者,您可以将工作负载隔离到同一私有云内的多个集群中,具体取决于您的用例。

专用 Google 访问通道

借助专用 Google 访问通道,您可以连接到 Google API 和服务,无需为 VMware Engine 虚拟机分配外部 IP 地址。配置专用 Google 访问通道后,流量将路由到互联网网关,然后再路由到请求的服务,而无需离开 Google 网络。

如需了解详情,请参阅“专用 Google 访问通道:深入了解”

关键流量

本部分回顾了一些关键流量,并介绍了用于覆盖所有不同网络流的架构。

下面列出了为 VMware Engine 创建设计方案时需要考虑的一些事项。

VMware Engine 本地和远程用户连接

您可以使用以下选项从本地数据中心或远程位置访问 VMware Engine 环境:

VPN 网关可在多个网站(例如本地、VPC 网络和私有云)之间提供安全连接。这些加密的 VPN 连接会遍历互联网,并在 VPN 网关中终结。当您创建到同一 VPN 网关的多个连接时,所有 VPN 隧道都会共享可用的网关带宽。

点到网站 VPN 网关可让用户从计算机远程连接到 VMware Engine。请注意,每个区域只能创建一个点到网站 VPN 网关。

点到网站 VPN 网关允许 TCP 和 UDP 连接,您可以选择从计算机连接时使用的协议。此外,已配置的客户端子网用于 TCP 和 UDP 客户端,CIDR 地址块定义的范围分为两个子网,一个用于 TCP 客户端,另一个用于 UDP 客户端。

点到网站 VPN 会在 VMware Engine 区域网络和客户端计算机之间发送加密流量。您可以使用点到网站 VPN 访问您的私有云网络,包括您的私有云 vCenter 和工作负载虚拟机。如需了解点到网站 VPN 网关设置,请参阅在 VMware Engine 网络上配置 VPN 网关

您还可以使用 Cloud VPN 来建立网站到网站 VPN 连接,或使用 Cloud Interconnect 在本地网络和 VMware Engine 私有云之间建立连接。您可以在 VPC 网络中预配 Cloud VPN 和 Cloud Interconnect。如需了解详情,请参阅 Cloud VPNCloud Interconnect 文档。

VPN 连接的另一个选项是 NSX-T IPsec VPN、NSX-T L2 VPN 和 HCX L2 VPN,例如,用于配置 L2 拉伸连接。NSX-T IPsec VPN 的一个用例是端到端加密,其中 VPN 直接在 VMware Engine 私有云内终结。如需详细了解 NSX-T VPN 功能,请参阅 VMware 虚拟专用网文档。

我们建议您在 Cloud Router 路由器或 Cloud VPN 所在(以及在使用边界网关协议时存在 VLAN 连接)的 VPC 网络中配置专用服务访问通道;否则,需要配置 VPC 路由。如果架构包含多个 VPC 对等互连连接,请注意 VPC 对等互连没有传递性。

如果配置了路由的导入和导出,则通过互连或 VPN 通告的本地路由会自动通过专用服务访问通道传播。这要求您在 VPC 对等互连连接中手动修改导入和导出路由。

另请注意,通过专用服务访问通道获知的路由不会自动传播到本地系统,因为 VPC 网络对等互连不支持传递性路由;来自其他网络的导入路由并不会自动通过 VPC 网络中的 Cloud Router 路由器通告。但是,您可以使用您的 VPC 网络中的 Cloud Router 路由器的自定义 IP 地址范围通告来共享通往对等网络中的目的地的路由。对于使用静态路由的 Cloud VPN 隧道,您必须在本地网络中配置到对等网络的目的地范围的静态路由。

到 VMware Engine 的入站流量

本部分介绍到 VMware Engine 的入站流量的以下选项:

  • 使用 VMware Engine 公共 IP 服务的入站流量
  • 来自客户 VPC 的入站流量
  • 来自本地数据中心的入站流量

您选择的选项取决于您想要将 Google Cloud 基础架构与互联网建立对等互连的位置。下图展示了这些入站流量选项。

入站流量选项。

以下各部分详细介绍了每个选项。

使用 VMware Engine 的入站流量

使用 VMware Engine 互联网网关时,可以为 VMware Engine 门户私有云内的资源创建和删除按需公共 IP 地址。在这种情况下,每个公共 IP 地址都对应一个唯一配置的私有云 IP 地址。

公共入站流量可以通过公共 IP 网关提供,该网关也负责 NAT,因此来自公共互联网的用户会连接到 Google 公共 IP 地址。Google 公共 IP 地址会转换为 VMware Engine(由 NSX-T 分段支持)中的虚拟机专用 IP 地址。

创建防火墙规则以允许从外部连接到已公开的公共 IP 地址时,防火墙规则适用于公共 IP 网关,并且需要在 VMware Engine 门户上预配这些防火墙规则。

第 0 层逻辑路由器通常用于北-南路由,例如连接到互联网的虚拟机。第 1 层逻辑路由器用于东-西路由,您可以为第 1 层配置多个子网。

公共 IP 地址可让互联网资源通过专用 IP 地址与私有云资源进行通信。专用 IP 地址是虚拟机或您的私有云 vCenter 上的软件负载平衡器。通过公共 IP 地址,您可以将私有云上运行的服务公开给互联网。

与公共 IP 地址关联的资源始终使用公共 IP 地址进行互联网访问。默认情况下,公共 IP 地址仅允许出站互联网访问,并且公共 IP 地址上的传入流量会被拒绝。如需允许入站流量,请使用特定端口为公共 IP 地址创建防火墙规则。

您组织中的用户可以公开公共 IP 地址并将其分配给私有云中的特定节点(例如虚拟机工作负载)。公共 IP 地址只能分配给一个专用 IP 地址。在取消分配之前,公共 IP 地址将专用于专用 IP 地址。我们建议您不要公开 ESXi 主机或 vCenter。

如果要分配公共 IP 地址,您需要提供名称、位置或区域以及连接的本地地址。

使用客户 VPC 网络的入站流量

您可以使用 Cloud Load Balancing 通过客户 VPC 网络提供到 VMware Engine 的入站流量。当您根据自己需要的功能选择所需的负载平衡器时,可以创建一个代管式实例组 (MIG)非代管式实例组,作为该负载平衡器的后端,以通过 VPC 对等互连连接代理流量。在这种情况下,您还可以使用 Google Cloud Marketplace 中的第三方虚拟网络设备。
您可以将 Cloud Load Balancing 与自带 IP 地址 (BYOIP) 搭配使用(如果您要将自己的公共 IP 地址空间用于 Google),以及与 Google Cloud Armor 搭配使用,以帮助保护您的应用和网站免受分布式拒绝服务攻击(DDoS 攻击)和 Web 攻击,例如 SQL 注入或跨站脚本攻击。

使用客户本地的入站流量

如需提供本地入站流量,我们建议使用 Cloud Interconnect。对于概念验证,或者如果吞吐量较低并且没有延迟时间要求,则您可以改用 Cloud VPN。

VMware Engine 的出站流量

对于 VMware Engine 出站流量,您有多个选项:

  • 通过 VMware Engine 互联网网关的出站流量
  • 通过客户 VPC 的出站流量
  • 通过本地数据中心的出站流量

在以下架构中,您可以从 VMware Engine 的角度查看出站流量的这些选项。

从 VMware Engine 的角度来看的出站流量。

使用 VMware Engine 的公共出站流量

您可以为每个区域单独配置工作负载的互联网访问和公共 IP 服务。您可以通过 Google Cloud 的互联网边缘或通过本地连接来定向来自 VMware 工作负载的互联网绑定流量。

来自 VMware Engine 私有云中托管的虚拟机并且流向公共互联网的流量通过第 0 层网关出站。第 0 层网关将流量转发到互联网网关。互联网网关执行源端口地址转换 (PAT)。互联网服务是区域性的,也就是说,需要为每个区域单独启用它。

使用您的 VPC 网络的公共出站流量

或者,从 VMware Engine 服务门户,您可以停用互联网和公共 IP 服务,并从客户 VPC 网络提供公共出站流量。在这种情况下,如果您通告了默认的 0.0.0.0/0 路由,则通过 VPC 网络访问互联网。如果要使用此数据包流,请停用 VMware Engine 区域的互联网访问权限并注入默认的 0.0.0.0/0 路由。

此外,您还必须移除任何分配的公共 IP 地址和点到网站 VPN 网关,然后才能通过 VPC 网络传出流量。

默认路由必须在客户 VPC 网络中可见,然后会自动传播到 VMware Engine。一个前提条件是在 VPC 和 VMware Engine 之间的 VPC 对等互连连接上启用 VPC Service Controls。

如需执行网络地址转换 (NAT),您可以部署一个 Compute Engine 实例,或者让默认路由 0.0.0.0/0 指向与集中式第三方虚拟网络设备集群(可在 Cloud Marketplace 上获得)配对的内部负载平衡器,并在实例中执行来源 NAT,以便从 VPC 网络传出到公共互联网。如需了解详情,请参阅如何使用 VPC 网络中的路由

使用本地数据中心的公共出站流量

如果您停用互联网和公共 IP 服务并从本地提供公共出站流量,则可以通过本地数据中心传出流量。执行此操作时,互联网访问流量会经过您的 VPC 网络,然后再通过 Cloud VPN 或 Cloud Interconnect 到达本地数据中心。

要通过本地数据中心实现公共出站流量,您需要通告默认的 0.0.0.0/0 路由,然后在对等互连连接上启用 VPC Service Controls,以便正确导入默认路由,如此处所述。如需详细了解 VPC Service Controls,请参阅官方文档

如果在 VPC 对等互连连接上停用 VPC Service Controls,则通过本地连接的互联网访问也会停用,即使默认路由 (0.0.0.0/0) 已通告并通过 VPC 对等互连连接传播,也是如此。

服务概览:私有云到私有云

私有云通过 VMware Engine 服务门户进行管理。私有云有自己的 vCenter 服务器,该服务器位于自己的管理网域中。VMware 堆栈在 Google Cloud 位置中专用、独立的裸机硬件节点上运行。私有云环境旨在消除单点故障。

下图显示了两个私有云相互通信时的架构和流量。

当两个私有云相互通信时的流量。

VMware Engine 服务内同一区域中两个私有云之间的通信通过直接连接进行。您可以在同一区域中部署多个私有云,以便这些私有云之间的通信在本地进行。

如果私有云位于不同的区域,则连接将经过由 Google 管理和拥有的服务提供方 VPC 网络。

客户以私有云开始,可以按需扩展或增加节点(以及缩减节点),并将新节点放置在现有 vSphere 集群中,或者在新集群中创建新节点(所有节点都在同一私有云内)。

服务概览:私有云到 VPC

本部分回顾了 VPC 网络与私有云之间的连接。您的 VPC 网络使用专用服务访问通道模型与服务提供方 VPC 网络建立对等互连,然后将连接扩展到 VMware Engine 区域。服务提供方 VPC 网络会启用全球路由,您在 VMware Engine 服务门户中创建的任何网络都将由 NSX-T 中的第 0 层路由器通告。请确保对等互连连接已启用导入和导出标志以交换路由,并且在 VMware Engine 和您的 VPC 之间建立连接。

下图显示了此场景的流量。

私有云到 VPC:流量。

服务概览:私有云到共享 VPC

使用共享 VPC 网络时,连接类似于将私有云连接到 VPC 网络的上述示例。不同之处在于,当您将私有云连接到共享 VPC 网络时,工作负载位于服务项目中,它们使用宿主项目共享 VPC 网络中的 IP 地址空间。因此,您必须在配置了共享 VPC 网络和互连或 VPN 的宿主项目中配置专用服务访问通道。

例如,如果希望服务项目中具有私有云、IAM 和结算功能,请确保已在宿主项目共享 VPC 网络中建立专用服务访问通道连接。

服务概览:私有云到本地

在私有云到本地的情况下,客户的项目和组织中存在 VPC 网络,而且连接建立在私有云与本地数据中心之间。

如前所述,当客户设置 VMware Engine 时,他们需要为专用服务访问通道连接分配子网(最好也是 VMware Engine 服务的子网,以避免将来发生冲突)。在分配该子网时,客户会创建服务提供方 VPC 网络,用于连接到私有云所在的 VMware Engine 区域。

创建并预配 VPC 对等互连连接后,服务提供方 VPC 网络将连接到客户的 VPC 网络。这样一来,客户 VPC 网络中的所有子网和 IP 地址都可以通过私有云访问。在配置专用服务访问通道时,请确保在 VPC 对等互连连接中启用路由的导入和导出。

下图显示了 VMware Engine 中私有云与本地数据中心之间的端到端连接。

VMware Engine 中的私有云与本地数据中心之间的端到端连接。

专用 Google 访问通道:深入了解

如前所述,您可以使用专用 Google 访问通道连接到 Google API 和服务,无需为您的 Google Cloud 资源提供外部 IP 地址,因此 VMware Engine 服务可以利用这一点并使用互联网网关来访问 Google API。

仅具有内部 IP 地址的虚拟机实例可以利用专用 Google 访问通道来访问 Google API 和服务的外部 IP 地址。配置专用 Google 访问通道后,流量将路由到互联网网关,然后再路由到请求的服务。

如需为 VMware Engine 启用专用 Google 访问通道,请在 VMware Engine 环境中配置 DNS 服务器以使用专用虚拟 IP 地址。如需了解详情,请参阅适用于本地主机的专用 Google 访问通道以及配置适用于本地主机的专用 Google 访问通道。网域 private.googleapis.com 使用 199.36.153.8/30

如需管理 DNS 解析,您可以使用 NSX-T 中提供的 DNS 服务将请求转发到指定的 DNS 服务器。DNS 服务器可以是 VMware Engine、Cloud DNS 或本地 DNS 服务器中的虚拟机。根据之前部分介绍的互联网访问方式,您将使用这些选项之一。

专用 Google 访问通道支持大多数 Google API 和服务,例如 Cloud Storage、Cloud Spanner 和 BigQuery。目前,专用 Google 访问通道不支持 App Engine、Memorystore、Filestore 或 Cloud SQL。

以下示例展示了如何将 VMware Engine 与 Google Cloud 服务搭配使用:

  • 从 VMware 虚拟机访问 Cloud Storage 以导出数据或将 Cloud Storage 作为扩展存储目标。
  • 使用 Cloud Monitoring 来监控您的所有公共、私人和公私兼有的应用。
  • 将数据库中的数据导入 BigQuery 进行分析。
  • 部署 Anthos 以进行高性能和私有容器化应用部署。

专用 Google 访问通道配置取决于为 VMware Engine 启用的互联网访问,如下图所示。它可以通过 (1) VMware Engine 服务互联网网关或 (2) 服务提供方 VPC 网络互联网网关提供。

专用 Google 访问通道配置。

如果通过 VMware Engine 提供了互联网访问,并且为区域启用了互联网访问,则专用 Google 访问通道和互联网访问将使用互联网网关。

如果您在本地或通过 VPC 网络提供互联网访问,请停用 VMware Engine 公共 IP 服务并在对等互连连接中配置 VPC Service Controls。这会从 Google 组织的租户 VPC 网络中移除下一个跃点互联网网关的默认路由 0.0.0.0/0。在这种情况下,系统将接受来自本地或 VPC 网络的默认路由,并将路由添加到受限虚拟 IP 地址 199.36.153.4/30(指向租户 VPC 网络中的互联网网关)。

选项 1:具有 VMware Engine 提供的互联网访问的专用 Google 访问通道

如果您通过 VMware Engine 为区域提供互联网访问,则专用 Google 访问通道和互联网会使用互联网网关并执行 PAT。在这种情况下,除了专用 Google 访问通道的 DNS 解析,您无需任何其他配置。

选项 2:具有本地或客户 VPC 提供的互联网访问的专用 Google 访问通道

如果您通过本地或通过 VPC 网络提供互联网访问,则需要配置 VMware Engine 服务,以通过组织的租户 VPC 网络中的互联网网关将数据包路由到 Google API。您需要配置 VMware Engine 服务,以通过客户 VPC 网络路由其他流量的数据包,从而通过 VPN 或互连或者通过客户 VPC 网络到达本地。对于所有流量,应针对 VMware Engine 区域停用互联网访问和公共 IP 服务,并且应在本地注入默认 0.0.0.0/0 路由。

如果您通过本地或通过 VPC 网络提供互联网访问,请先移除所有已分配的公共 IP 地址和点到网站 VPN 网关,然后再停用公共 IP 服务。请确保路由在客户 VPC 网络中可见,并且路由导出到租户 VPC 网络。

此外,您需要在 VPC 与 VMware Engine 之间的 VPC 对等互连连接上启用 VPC Service Controls

最后,访问 Google API 需要使用受限的虚拟 IP 地址,因此 DNS 必须相应地配置所需的 CNAME 和 A 记录,并且对 Google API 的访问将经过 Google 组织(而不是经过客户 VPC 网络)。

私有云到代管式合作伙伴服务

通过代管式合作伙伴服务 (MPS),您可以从托管在 MPS 对接网点的硬件和软件向 Google Cloud 客户提供关键任务软件即服务 (SaaS) 产品。

对于私有云与 MPS 之间的流量,VPC 对等互连没有传递性。在这种情况下,您需要在 VM Engine 中的 NSX-T 第 0 层和 VPC 网络中的 Cloud VPN 之间建立 VPN。路由使用边界网关协议 (BGP) 进行交换,并且使用 VPC 对等互连模型的专用访问服务适用于连接到 MPS。使用 Cloud VPN 和 BGP 时,请务必配置自定义路由通告,以便这些路由通告到 NSX-T 第 0 层并且存在端到端连接。此方法的一个例子是适用于 Google Cloud 的 NetApp Cloud Volumes Service,它使用专用服务访问通道来创建高吞吐量和短延迟时间的数据路径连接。但是,私有云到代管式服务提供程序不使用系统为 VMware 工作负载存储的数据。

下图显示了 VMware Engine 中的私有云与 MPS 之间的端到端连接。

VMware Engine 中的私有云与 MPS 之间的端到端连接。

如果您需要使用 MPS,并且已停用通过 VMware Engine 进行互联网访问,而且您的默认路由来自服务提供方 VPC,则可以设置 VPN 连接 RFC 1918 IP 地址。NSX-T 与客户 VPC 网络中的虚拟设备(例如来自 Cloud Marketplace 的第三方虚拟网络设备)之间的 VPN 连接有效。

其他资源:VMware

如需详细了解 VMware 堆栈,请参阅 VMware 组件版本官方 NSX 3.0 设计指南