Best practice di networking

Questa pagina presenta le best practice di networking per Google Cloud VMware Engine.

Evita problemi di percorso

Le comunicazioni all'interno di VMware Engine e con il resto di internet vengono inoltrate a livello 3, ad eccezione delle reti estese dall'on-premise o da altri cloud privati VMware Engine.

Per evitare problemi di configurazione ed eventualmente prestazioni o limiti quando per configurare il routing da e verso l'ambiente VMware Engine, segui queste best practice:

  • Configura il router Cloud associato all'ibrido on-premise Connessione Cloud VPN o Cloud Interconnect con riepilogo pubblicità personalizzata per gli intervalli di VMware Engine e gli intervalli di altre applicazioni come Google Kubernetes Engine e Compute Engine.
  • Utilizza uno spazio di indirizzi IP contiguo per le sottoreti del segmento NSX.
  • Per ridurre al minimo il numero di route annunciate altri team di Google, riepiloga le route del segmento NSX al livello 0 come segue:

    • Se è richiesto NAT, riepilogare gli IP NAT di livello 0 anziché di /32.
    • Riepiloga gli IP degli endpoint IPsec (/32) di primo livello.
    • Riepiloga gli IP del profilo DNS (/32) di livello 0.
  • Attiva NSX-T DHCP Relay in base al fatto che i servizi DHCP si trovino in VMware Engine o altrove.

  • Quando ridistribuisci le route statiche di primo livello in BGP, applica una mappa di route per impedire la ridistribuzione di 0/0.

Scegli un'opzione di accesso a internet adatta

VMware Engine offre le seguenti opzioni per configurare l'accesso a internet e gli indirizzi IP pubblici. Considera i vantaggi e gli svantaggi di ciascuno, come elencati nella tabella seguente, per scegliere l'opzione più appropriata:

Opzione di accesso a internet Vantaggi Svantaggi
Servizio internet e IP pubblico di VMware Engine
  • Non comporta costi aggiuntivi. Incluso nel costo del servizio VMware Engine.
  • È facile da configurare.
  • È supportato da SLA.
  • Ha una configurazione fissa.
  • Non supporta BYOIP.
  • Ha una quota e una larghezza di banda limitate, il che lo rende più adatto per POC o piccoli deployment.
  • Non offre visibilità sulle metriche in entrata/in uscita.
  • È mutuamente esclusivo con le altre due opzioni.
  • Per utilizzare la gestione avanzata del traffico (ad esempio l'ispezione del firewall L7 o il bilanciamento del carico complesso), sono necessarie appliance di terze parti.
  • Non supporta Application Level Gateway (ALG).
Trasferimento di dati attraverso il perimetro internet VPC del cliente
  • Ha una configurazione scalabile.
  • Supporta BYOIP.
  • Offre visibilità e monitoraggio completi.
  • Può essere combinato con l'ispezione L7, il bilanciamento del carico avanzato e prodotti di terze parti.
  • Può essere integrato con i bilanciatori del carico nativi di Google e Cloud Service Mesh.
  • Richiede una configurazione più complessa.
  • Non ha alcuno SLA per il servizio combinato.
Trasferimento di dati tramite connessioni on-premise
  • Utilizza le configurazioni esistenti.
  • Centralizza la sicurezza e il bilanciamento del carico on-premise.
  • Consente il minor numero di modifiche.
  • Offre assistenza globale limitata.
  • Potrebbe causare la suddivisione dei servizi internet per alcuni carichi di lavoro.

Per ulteriori informazioni, consulta Configurare l'accesso a internet per le VM dei carichi di lavoro.

Implementa il concatenamento dei servizi utilizzando appliance di rete virtuale di terze parti

VMware Engine supporta l'accodamento dei servizi di rete utilizzando topologie con routing di livello 3. In questa modalità, puoi eseguire il deployment e collegare un'appliance virtuale di rete di terze parti in VMware Engine per fornire servizi di rete in linea alle VM VMware, come il bilanciamento del carico, i firewall di nuova generazione (NGFW) e il rilevamento e la prevenzione delle intrusioni. Tu può implementare queste appliance in vari modi, a seconda della segmentazione e i requisiti di connettività delle applicazioni.

Sono possibili diverse topologie di deployment, con configurazioni e nella catena dei servizi (ad esempio, bilanciatori del carico davanti ai firewall). È anche possibile eseguire il deployment di queste appliance in topologie attive-attive usando heartbeat e ridondanza basati su dataplane, se il fornitore li supporta.

Le sezioni seguenti mostrano topologie di deployment di esempio che utilizzano un dispositivo firewall basato su VM.

Dietro un gateway di livello 1

In questa topologia di deployment, l'appliance di terze parti funge da gateway predefinito per diverse reti nell'ambiente. Puoi utilizzare l'appliance per esaminare il traffico tra di essi, nonché quello in entrata e uscire dall'ambiente VMware Engine.

Il seguente diagramma mostra come funziona un gateway di livello 1 in VMware Engine:

L'appliance di terze parti funge da gateway predefinito per diverse reti nell'ambiente.

Per implementare questa topologia, segui questi passaggi:

  1. Configura le route statiche sul livello 1 in modo che rimandino alla VM dell'appliance e raggiungano le reti dietro di essa.
  2. A livello 0, ridistribuisci le route statiche di primo livello in BGP.
  3. Per quanto riguarda il supporto per il routing inter-VLAN guest, i carichi di lavoro guest VMware sono limitati a 10 NIC virtuali. In alcuni casi d'uso, è necessario connettersi a più di 10 VLAN per produrre la segmentazione del firewall necessaria. In questo caso, puoi utilizzare il tagging VLAN per l'ISV. Le VM guest dei fornitori di software indipendenti (ISV) devono essere dimensionate in modo da supportare e distribuire il traffico tra più insiemi di appliance ISV, come richiesto.

Dietro un gateway di livello 0

In questa topologia di deployment, un gateway di livello 0 funge da gateway predefinito l'appliance di terze parti con uno o più gateway di livello 1 dietro l'appliance. Il gateway di livello 0 può essere utilizzato per fornire connettività instradata per la stessa zona di sicurezza e supportare l'ispezione tra le zone di sicurezza o con il resto di Google Cloud. Questa topologia consente comunicazioni da segmento a segmento su larga scala senza ispezione di livello 7.

Il seguente diagramma mostra il funzionamento di un gateway di livello 0 in VMware Engine:

L'appliance di terze parti ha uno o più gateway di livello 1 alle spalle.

Per implementare questa topologia, segui questi passaggi:

  1. Configurare una route statica predefinita su ciascun gateway di livello 1 che punta al NGFW.
  2. Configura le route statiche per raggiungere i segmenti di carico di lavoro di livello 0 con il NGFW come hop successivo.
  3. Ridistribuisci queste route statiche in BGP con una mappa di route a impediscono la ridistribuzione di 0/0.

Passaggi successivi