ネットワーキングのベスト プラクティス

このページでは、Google Cloud VMware Engine のネットワークに関するベスト プラクティスについて説明します。

ルーティングの問題を防ぐ

VMware Engine 内の通信とインターネットの他の部分との通信は、オンプレミスまたは他の VMware Engine プライベート クラウドから拡張されたネットワークを除き、レイヤ 3 でルーティングされます。

VMware Engine 環境との間のルーティングを設定するときに構成の問題や、パフォーマンスや上限の問題が発生しないようにするために、次のベスト プラクティスに従ってください。

  • オンプレミスのハイブリッド Cloud VPN 接続または Cloud Interconnect 接続に関連付けられた Cloud Router を、VMware Engine 範囲と他の Google コンピューティング サービスの範囲(Google Kubernetes Engine や Compute Engine など)の概要カスタム アドバタイズを使用して構成します。
  • NSX セグメント サブネットに連続した IP アドレス空間を使用します。
  • Google の他の部分に通知されるルートの数を最小限に抑えるため、Tier-0 で NSX セグメント ルートを次のように要約します。

    • NAT が必要な場合は、/32 ではなく、tier-0 から NAT IP を要約します。
    • Tier-0 で IPsec エンドポイント IP(/32)を要約します。
    • Tier-0 で DNS プロファイル IP(/32)を要約します。
  • DHCP サービスが VMware Engine に存在するか、それとも他の場所に存在するかに応じて、NSX-T DHCP リレーを有効にします。

  • tier-0 静的ルートを BGP に再配布する場合は、ルートマップを適用して 0/0 が再配布されないようにします。

適切なインターネット アクセス オプションを選択する

VMware Engine には、インターネット アクセスとパブリック IP アドレスを構成するための次のオプションがあります。次の表に示す各オプションの長所と短所を考慮して、最も適切なオプションを選択します。

インターネット アクセス オプション メリット デメリット
VMware Engine のインターネットとパブリック IP サービス
  • 追加料金なしでご利用いただけます。VMware Engine サービスの費用に含まれています。
  • 設定が簡単です。
  • SLA が適用されます。
  • 構成が不変です。
  • BYOIP はサポートしていません。
  • 割り当てと帯域幅が制限されているため、PoC や小規模なデプロイに適しています。
  • 上り(内向き)/下り(外向き)の指標を把握できません。
  • 他の 2 つのオプションとは相互に排他的です。
  • 高度なトラフィック管理(L7 ファイアウォール検査や複雑なロード バランシングなど)を使用するには、サードパーティ製アプライアンスが必要です。
  • アプリケーション レベル ゲートウェイ(ALG)はサポートされていません。
お客様の VPC インターネット エッジを介したデータ転送
  • スケーラブルな構成です。
  • BYOIP をサポートしています。
  • 完全な可視性とモニタリングを提供します。
  • L7 検査、高度なロード バランシング、サードパーティ プロダクトと組み合わせることができます。
  • Google ネイティブのロードバランサと Cloud Service Mesh と統合できます。
  • より複雑な構成が必要になります。
  • 統合サービスの SLA はありません。
オンプレミス接続を介したデータ転送
  • 既存の構成を使用します。
  • オンプレミスのセキュリティとロード バランシングを一元化します。
  • 変更を最小限に抑えることができます。
  • グローバル サポートが限定的です。
  • 一部のワークロードでインターネット サービスが分割される可能性があります。

詳細については、ワークロード VM のインターネット アクセスを構成するをご覧ください。

サードパーティの仮想ネットワーク アプライアンスを使用してサービス チェーンを実装する

VMware Engine は、レイヤ 3 ルーティング トポロジを使用してネットワーク サービスのチェーンをサポートしています。このモードでは、VMware Engine にサードパーティのネットワーク仮想アプライアンスをデプロイして接続し、ロード バランシング、次世代ファイアウォール(NGFW)、侵入検知と防止など、VMware VM にインライン ネットワーク サービスを提供できます。これらのアプライアンスは、アプリケーションのセグメンテーションと接続要件に応じて、さまざまな方法でデプロイできます。

サービス チェーンに豊富な構成とリンク(ファイアウォールの前にあるロードバランサなど)を備えた、複数のデプロイ トポロジが可能です。ベンダーがサポートしている場合、データプレーン ベースのハートビートや冗長性を使用して、これらのアプライアンスをアクティブ / アクティブ トポロジにデプロイすることもできます。

次のセクションでは、VM ベースのファイアウォール デバイスを使用するデプロイ トポロジのサンプルを示します。

Tier-1 ゲートウェイの背後

このデプロイ トポロジでは、サードパーティ アプライアンスが環境内の複数のネットワークのデフォルト ゲートウェイとして機能します。このアプライアンスを使用すると、アプライアンス間のトラフィックと、VMware Engine 環境に出入りするトラフィックを検査できます。

次の図は、VMware Engine で Tier-1 ゲートウェイがどのように機能するかを示しています。

サードパーティ製アプライアンスは、環境内の複数のネットワークのデフォルト ゲートウェイとして機能します。

このトポロジを実装する手順は次のとおりです。

  1. アプライアンス VM を指して、その背後にあるネットワークに到達するように、tier-1 で静的ルートを構成します。
  2. tier 0 で、tier-1 の静的ルートを BGP に再配布します。
  3. ゲスト VLAN 間ルーティングのサポートに関しては、VMware ゲスト ワークロードは 10 個の仮想 NIC に制限されます。ユースケースによっては、必要なファイアウォール セグメンテーションを作成するために、10 を超える VLAN に接続する必要があります。この場合は、ISV に VLAN のタグ付けを使用できます。独立系ソフトウェア ベンダー(ISV)のゲスト VM は、必要に応じて複数の ISV アプライアンス間でトラフィックをサポートして分散するようにサイズを設定する必要があります。

tier-0 ゲートウェイの背後

このデプロイ トポロジでは、Tier-0 ゲートウェイがサードパーティ アプライアンスのデフォルト ゲートウェイとして機能し、アプライアンスの背後に 1 つ以上の Tier-1 ゲートウェイがあります。Tier-0 ゲートウェイを使用して、同じセキュリティ ゾーンにルーティング接続を提供し、セキュリティ ゾーン間または Google Cloud の他の部分で検査をサポートできます。このトポロジでは、レイヤ 7 検査なしで大規模なセグメント間通信が可能になります。

次の図は、VMware Engine で Tier-0 ゲートウェイがどのように機能するかを示しています。

サードパーティ製アプライアンスの背後に 1 つ以上の Tier-1 ゲートウェイがあります。

このトポロジを実装する手順は次のとおりです。

  1. NGFW を指すデフォルトの静的ルートを各 Tier-1 ゲートウェイに構成します。
  2. NGFW をネクストホップとして、tier-0 のワークロード セグメントに到達するように静的ルートを構成します。
  3. これらの静的ルートをルートマップを使用して BGP に再配布し、0/0 が再配布されないようにします。

次のステップ