Praktik terbaik jaringan

Halaman ini menyajikan praktik terbaik jaringan untuk Google Cloud VMware Engine.

Mencegah masalah pemilihan rute

Komunikasi dalam VMware Engine dan dengan internet lainnya dirutekan di Lapisan 3, kecuali untuk jaringan yang diperluas dari infrastruktur lokal atau dari cloud pribadi VMware Engine lainnya.

Untuk mencegah masalah konfigurasi dan kemungkinan performa atau batasan saat menyiapkan perutean ke dan dari lingkungan VMware Engine, ikuti praktik terbaik berikut:

  • Konfigurasikan Cloud Router yang terkait dengan koneksi Cloud VPN atau Cloud Interconnect hybrid lokal dengan ringkasan iklan kustom untuk rentang VMware Engine dan rentang layanan komputasi Google lainnya, seperti Google Kubernetes Engine dan Compute Engine.
  • Gunakan ruang alamat IP yang berurutan untuk subnet segmen NSX.
  • Untuk meminimalkan jumlah rute yang diumumkan ke Google lainnya, ringkas rute segmen NSX di tingkat 0 sebagai berikut:

    • Jika NAT diperlukan, ringkas IP NAT dari tingkat 0, bukan /32.
    • Merangkum IP endpoint IPsec (/32) di tingkat 0.
    • Merangkum IP profil DNS (/32) di tingkat 0.
  • Aktifkan NSX-T DHCP Relay berdasarkan apakah layanan DHCP akan berada di VMware Engine atau di tempat lain.

  • Saat mendistribusikan ulang rute statis tingkat 0 ke BGP, terapkan peta rute untuk mencegah 0/0 didistribusikan ulang.

Memilih opsi akses internet yang sesuai

VMware Engine menawarkan opsi berikut untuk mengonfigurasi akses internet dan alamat IP publik. Pertimbangkan kelebihan dan kekurangan masing-masing, seperti yang tercantum dalam tabel berikut, untuk memilih opsi yang paling sesuai:

Opsi akses internet Kelebihan Kekurangan
Layanan internet dan IP publik VMware Engine
  • Tidak dikenai biaya tambahan. Termasuk dalam biaya layanan VMware Engine.
  • Mudah disiapkan.
  • Didukung SLA.
  • Memiliki konfigurasi tetap.
  • Tidak mendukung BYOIP.
  • Memiliki kuota dan bandwidth terbatas, sehingga lebih cocok untuk PoC atau deployment kecil.
  • Tidak memberikan visibilitas ke metrik traffic masuk/keluar.
  • Tidak dapat muncul bersamaan dengan dua opsi lainnya.
  • Memerlukan perangkat pihak ketiga untuk menggunakan pengelolaan traffic lanjutan (seperti pemeriksaan firewall L7 atau load balancing yang kompleks).
  • Tidak mendukung Application Level Gateway (ALG).
Transfer data melalui edge internet VPC pelanggan
  • Memiliki konfigurasi yang skalabel.
  • Mendukung BYOIP.
  • Memberikan visibilitas dan pemantauan penuh.
  • Dapat digabungkan dengan inspeksi L7, load balancing lanjutan, dan produk pihak ketiga.
  • Memerlukan konfigurasi yang lebih kompleks.
  • Tidak memiliki SLA untuk layanan gabungan.
Transfer data melalui koneksi lokal
  • Menggunakan konfigurasi yang ada.
  • Memusatkan keamanan dan load balancing di lokasi.
  • Memungkinkan jumlah perubahan paling sedikit.
  • Menawarkan dukungan global terbatas.
  • Dapat menyebabkan layanan internet terpisah untuk beberapa beban kerja.

Untuk informasi selengkapnya, lihat Mengonfigurasi akses internet untuk VM workload.

Mengimplementasikan rantai layanan menggunakan peralatan virtual jaringan pihak ketiga

VMware Engine mendukung pembuatan rantai layanan jaringan menggunakan topologi rute Lapisan 3. Dalam mode ini, Anda dapat men-deploy dan menghubungkan virtual appliance jaringan pihak ketiga di VMware Engine untuk menyediakan layanan jaringan inline ke VM VMware, seperti load balancing, firewall generasi berikutnya (NGFW), serta deteksi dan pencegahan intrusi. Anda dapat men-deploy appliance ini dengan sejumlah cara, bergantung pada persyaratan segmentasi dan konektivitas aplikasi.

Beberapa topologi deployment dapat dilakukan, dengan konfigurasi dan link yang lebih lengkap dalam rantai layanan (misalnya, load balancer di depan firewall). Anda juga dapat men-deploy appliance ini dalam topologi aktif-aktif dengan menggunakan heartbeat dan redundansi berbasis dataplane, jika vendor mendukungnya.

Bagian berikut menunjukkan contoh topologi deployment yang menggunakan perangkat firewall berbasis VM.

Di belakang gateway tingkat 1

Dalam topologi deployment ini, perangkat pihak ketiga berfungsi sebagai gateway default untuk beberapa jaringan di lingkungan. Anda dapat menggunakan appliance tersebut untuk memeriksa traffic di antara keduanya serta traffic yang masuk dan keluar dari lingkungan VMware Engine.

Diagram berikut menunjukkan cara kerja gateway tingkat 1 di VMware Engine:

Appliance pihak ketiga berfungsi sebagai gateway default untuk beberapa jaringan di lingkungan.

Untuk menerapkan topologi ini, lakukan hal berikut:

  1. Konfigurasikan rute statis di tingkat 1 untuk mengarah ke VM aplikasi dan menjangkau jaringan di belakangnya.
  2. Di tingkat 0, distribusikan ulang rute statis tingkat 1 ke BGP.
  3. Sehubungan dengan dukungan untuk rute inter-VLAN tamu, workload tamu VMware dibatasi hingga 10 NIC virtual. Dalam beberapa kasus penggunaan, Anda perlu terhubung ke lebih dari 10 VLAN untuk menghasilkan segmentasi firewall yang diperlukan. Dalam hal ini, Anda dapat menggunakan pemberian tag VLAN ke ISV. VM tamu dari vendor software independen (ISV) harus diukur untuk mendukung dan mendistribusikan traffic di antara beberapa kumpulan appliance ISV sesuai kebutuhan.

Di belakang gateway tingkat 0

Dalam topologi deployment ini, gateway tingkat 0 berfungsi sebagai gateway default untuk perangkat pihak ketiga dengan satu atau beberapa gateway tingkat 1 di belakang perangkat. Gateway tingkat 0 dapat digunakan untuk menyediakan konektivitas yang dirutekan untuk zona keamanan yang sama dan mendukung pemeriksaan di seluruh zona keamanan atau dengan seluruhGoogle Cloud. Topologi ini memungkinkan komunikasi segmen ke segmen berskala besar tanpa pemeriksaan Lapisan 7.

Diagram berikut menunjukkan cara kerja gateway tingkat 0 di VMware Engine:

Peralatan pihak ketiga memiliki satu atau beberapa gateway tingkat 1 di belakangnya.

Untuk menerapkan topologi ini, lakukan hal berikut:

  1. Konfigurasikan rute statis default di setiap gateway tingkat 1 yang mengarah ke NGFW.
  2. Konfigurasikan rute statis untuk menjangkau segmen beban kerja di tingkat 0 dengan NGFW sebagai next hop.
  3. Distribusikan ulang rute statis ini ke BGP dengan peta rute untuk mencegah 0/0 didistribusikan ulang.

Langkah selanjutnya