ネットワーキングのベスト プラクティス
このページでは、Google Cloud VMware Engine のネットワークに関するベスト プラクティスについて説明します。
ルーティングの問題を防ぐ
VMware Engine 内の通信とインターネットの他の部分との通信は、オンプレミスまたは他の VMware Engine プライベート クラウドから拡張されたネットワークを除き、レイヤ 3 でルーティングされます。
VMware Engine 環境との間のルーティングを設定するときに構成の問題や、パフォーマンスや上限の問題が発生しないようにするために、次のベスト プラクティスに従ってください。
- オンプレミスのハイブリッド Cloud VPN 接続または Cloud Interconnect 接続に関連付けられた Cloud Router を、VMware Engine 範囲と他の Google コンピューティング サービスの範囲(Google Kubernetes Engine や Compute Engine など)の概要カスタム アドバタイズを使用して構成します。
- NSX セグメント サブネットに連続した IP アドレス空間を使用します。
Google の他の部分に通知されるルートの数を最小限に抑えるため、Tier-0 で NSX セグメント ルートを次のように要約します。
- NAT が必要な場合は、/32 ではなく、tier-0 から NAT IP を要約します。
- Tier-0 で IPsec エンドポイント IP(/32)を要約します。
- Tier-0 で DNS プロファイル IP(/32)を要約します。
DHCP サービスが VMware Engine に存在するか、それとも他の場所に存在するかに応じて、NSX-T DHCP リレーを有効にします。
tier-0 静的ルートを BGP に再配布する場合は、ルートマップを適用して 0/0 が再配布されないようにします。
適切なインターネット アクセス オプションを選択する
VMware Engine には、インターネット アクセスとパブリック IP アドレスを構成するための次のオプションがあります。次の表に示す各オプションの長所と短所を考慮して、最も適切なオプションを選択します。
インターネット アクセス オプション | メリット | デメリット |
---|---|---|
VMware Engine のインターネットとパブリック IP サービス |
|
|
お客様の VPC インターネット エッジを介したデータ転送 |
|
|
オンプレミス接続を介したデータ転送 |
|
|
詳細については、ワークロード VM のインターネット アクセスを構成するをご覧ください。
サードパーティの仮想ネットワーク アプライアンスを使用してサービス チェーンを実装する
VMware Engine は、レイヤ 3 ルーティング トポロジを使用してネットワーク サービスのチェーンをサポートしています。このモードでは、VMware Engine にサードパーティのネットワーク仮想アプライアンスをデプロイして接続し、ロード バランシング、次世代ファイアウォール(NGFW)、侵入検知と防止など、VMware VM にインライン ネットワーク サービスを提供できます。これらのアプライアンスは、アプリケーションのセグメンテーションと接続要件に応じて、さまざまな方法でデプロイできます。
サービス チェーンに豊富な構成とリンク(ファイアウォールの前にあるロードバランサなど)を備えた、複数のデプロイ トポロジが可能です。ベンダーがサポートしている場合、データプレーン ベースのハートビートや冗長性を使用して、これらのアプライアンスをアクティブ / アクティブ トポロジにデプロイすることもできます。
次のセクションでは、VM ベースのファイアウォール デバイスを使用するデプロイ トポロジのサンプルを示します。
Tier-1 ゲートウェイの背後
このデプロイ トポロジでは、サードパーティ アプライアンスが環境内の複数のネットワークのデフォルト ゲートウェイとして機能します。このアプライアンスを使用すると、アプライアンス間のトラフィックと、VMware Engine 環境に出入りするトラフィックを検査できます。
次の図は、VMware Engine で Tier-1 ゲートウェイがどのように機能するかを示しています。
このトポロジを実装する手順は次のとおりです。
- アプライアンス VM を指して、その背後にあるネットワークに到達するように、tier-1 で静的ルートを構成します。
- tier 0 で、tier-1 の静的ルートを BGP に再配布します。
- ゲスト VLAN 間ルーティングのサポートに関しては、VMware ゲスト ワークロードは 10 個の仮想 NIC に制限されます。ユースケースによっては、必要なファイアウォール セグメンテーションを作成するために、10 を超える VLAN に接続する必要があります。この場合は、ISV に VLAN のタグ付けを使用できます。独立系ソフトウェア ベンダー(ISV)のゲスト VM は、必要に応じて複数の ISV アプライアンス間でトラフィックをサポートして分散するようにサイズを設定する必要があります。
tier-0 ゲートウェイの背後
このデプロイ トポロジでは、Tier-0 ゲートウェイがサードパーティ アプライアンスのデフォルト ゲートウェイとして機能し、アプライアンスの背後に 1 つ以上の Tier-1 ゲートウェイがあります。Tier-0 ゲートウェイを使用して、同じセキュリティ ゾーンにルーティング接続を提供し、セキュリティ ゾーン間または Google Cloud の他の部分で検査をサポートできます。このトポロジでは、レイヤ 7 検査なしで大規模なセグメント間通信が可能になります。
次の図は、VMware Engine で Tier-0 ゲートウェイがどのように機能するかを示しています。
このトポロジを実装する手順は次のとおりです。
- NGFW を指すデフォルトの静的ルートを各 Tier-1 ゲートウェイに構成します。
- NGFW をネクストホップとして、tier-0 のワークロード セグメントに到達するように静的ルートを構成します。
- これらの静的ルートをルートマップを使用して BGP に再配布し、0/0 が再配布されないようにします。
次のステップ
- コンピューティング、セキュリティ、ストレージ、移行、費用に関するベスト プラクティスを確認する。
- VMware Engine を試す。詳細については、機能、メリット、ユースケースをご覧ください。
- Google Cloud に関するリファレンス アーキテクチャ、図、チュートリアル、ベスト プラクティスを確認する。詳細については、Cloud アーキテクチャ センターをご覧ください。