Best practice di networking
Questa pagina presenta le best practice di networking per Google Cloud VMware Engine.
Evita problemi di percorso
Le comunicazioni all'interno di VMware Engine e con il resto di internet vengono inoltrate a livello 3, ad eccezione delle reti estese dall'on-premise o da altri cloud privati VMware Engine.
Per evitare problemi di configurazione ed eventualmente prestazioni o limiti quando per configurare il routing da e verso l'ambiente VMware Engine, segui queste best practice:
- Configura il router Cloud associato all'ibrido on-premise Connessione Cloud VPN o Cloud Interconnect con riepilogo pubblicità personalizzata per gli intervalli di VMware Engine e gli intervalli di altre applicazioni come Google Kubernetes Engine e Compute Engine.
- Utilizza uno spazio di indirizzi IP contiguo per le sottoreti del segmento NSX.
Per ridurre al minimo il numero di route annunciate altri team di Google, riepiloga le route del segmento NSX al livello 0 come segue:
- Se è richiesto NAT, riepilogare gli IP NAT di livello 0 anziché di /32.
- Riepiloga gli IP degli endpoint IPsec (/32) di primo livello.
- Riepiloga gli IP del profilo DNS (/32) di livello 0.
Attiva NSX-T DHCP Relay in base al fatto che i servizi DHCP si trovino in VMware Engine o altrove.
Quando ridistribuisci le route statiche di primo livello in BGP, applica una mappa di route per impedire la ridistribuzione di 0/0.
Scegli un'opzione di accesso a internet adatta
VMware Engine offre le seguenti opzioni per configurare l'accesso a internet e gli indirizzi IP pubblici. Considera i vantaggi e gli svantaggi di ciascuno, come elencati nella tabella seguente, per scegliere l'opzione più appropriata:
Opzione di accesso a internet | Vantaggi | Svantaggi |
---|---|---|
Servizio internet e IP pubblico di VMware Engine |
|
|
Trasferimento di dati attraverso il perimetro internet VPC del cliente |
|
|
Trasferimento di dati tramite connessioni on-premise |
|
|
Per ulteriori informazioni, consulta Configurare l'accesso a internet per le VM dei carichi di lavoro.
Implementa il concatenamento dei servizi utilizzando appliance di rete virtuale di terze parti
VMware Engine supporta l'accodamento dei servizi di rete utilizzando topologie con routing di livello 3. In questa modalità, puoi eseguire il deployment e collegare un'appliance virtuale di rete di terze parti in VMware Engine per fornire servizi di rete in linea alle VM VMware, come il bilanciamento del carico, i firewall di nuova generazione (NGFW) e il rilevamento e la prevenzione delle intrusioni. Tu può implementare queste appliance in vari modi, a seconda della segmentazione e i requisiti di connettività delle applicazioni.
Sono possibili diverse topologie di deployment, con configurazioni e nella catena dei servizi (ad esempio, bilanciatori del carico davanti ai firewall). È anche possibile eseguire il deployment di queste appliance in topologie attive-attive usando heartbeat e ridondanza basati su dataplane, se il fornitore li supporta.
Le sezioni seguenti mostrano topologie di deployment di esempio che utilizzano un dispositivo firewall basato su VM.
Dietro un gateway di livello 1
In questa topologia di deployment, l'appliance di terze parti funge da gateway predefinito per diverse reti nell'ambiente. Puoi utilizzare l'appliance per esaminare il traffico tra di essi, nonché quello in entrata e uscire dall'ambiente VMware Engine.
Il seguente diagramma mostra come funziona un gateway di livello 1 in VMware Engine:
Per implementare questa topologia, segui questi passaggi:
- Configura le route statiche sul livello 1 in modo che rimandino alla VM dell'appliance e raggiungano le reti dietro di essa.
- A livello 0, ridistribuisci le route statiche di primo livello in BGP.
- Per quanto riguarda il supporto per il routing inter-VLAN guest, i carichi di lavoro guest VMware sono limitati a 10 NIC virtuali. In alcuni casi d'uso, è necessario connettersi a più di 10 VLAN per produrre la segmentazione del firewall necessaria. In questo caso, puoi utilizzare il tagging VLAN per l'ISV. Le VM guest dei fornitori di software indipendenti (ISV) devono essere dimensionate in modo da supportare e distribuire il traffico tra più insiemi di appliance ISV, come richiesto.
Dietro un gateway di livello 0
In questa topologia di deployment, un gateway di livello 0 funge da gateway predefinito l'appliance di terze parti con uno o più gateway di livello 1 dietro l'appliance. Il gateway di livello 0 può essere utilizzato per fornire connettività instradata per la stessa zona di sicurezza e supportare l'ispezione tra le zone di sicurezza o con il resto di Google Cloud. Questa topologia consente comunicazioni da segmento a segmento su larga scala senza ispezione di livello 7.
Il seguente diagramma mostra il funzionamento di un gateway di livello 0 in VMware Engine:
Per implementare questa topologia, segui questi passaggi:
- Configurare una route statica predefinita su ciascun gateway di livello 1 che punta al NGFW.
- Configura le route statiche per raggiungere i segmenti di carico di lavoro di livello 0 con il NGFW come hop successivo.
- Ridistribuisci queste route statiche in BGP con una mappa di route a impediscono la ridistribuzione di 0/0.
Passaggi successivi
- Scopri le best practice per computing, sicurezza, archiviazione, migrazione e costi.
- Prova VMware Engine. Per ulteriori informazioni, consulta funzionalità, vantaggi e casi d'uso.
- Esplora le architetture di riferimento, i diagrammi, i tutorial e le best practice su Google Cloud. Visita il Cloud Architecture Center per ulteriori informazioni.