Best practice per il networking

Questa pagina presenta le best practice di networking per Google Cloud VMware Engine.

Evitare problemi di routing

Le comunicazioni all'interno di VMware Engine e con il resto di internet vengono inoltrate a livello 3, ad eccezione delle reti estese dall'on-premise o da altri cloud privati VMware Engine.

Per evitare problemi di configurazione e, eventualmente, di prestazioni o limiti durante la configurazione del routing verso e da VMware Engine, segui queste best practice:

  • Configura il router cloud associato alla connessione Cloud VPN o Cloud Interconnect ibrida on-premise con annunci personalizzati di riepilogo per gli intervalli di VMware Engine e gli intervalli di altri servizi di calcolo Google, come Google Kubernetes Engine e Compute Engine.
  • Utilizza uno spazio di indirizzi IP contiguo per le sottoreti del segmento NSX.
  • Per ridurre al minimo il numero di route annunciati al resto di Google, riepiloga i route dei segmenti NSX a livello 0 come segue:

    • Se è necessario NAT, riepiloga gli IP NAT al di fuori del livello 0 anziché /32.
    • Riepiloga gli IP degli endpoint IPsec (/32) a livello 0.
    • Riepiloga gli IP del profilo DNS (/32) a livello 0.
  • Attiva NSX-T DHCP Relay in base al fatto che i servizi DHCP si trovino in VMware Engine o altrove.

  • Quando ridistribuisci le route statiche di primo livello in BGP, applica una mappa di route per impedire la ridistribuzione di 0/0.

Scegli un'opzione di accesso a internet adatta

VMware Engine offre le seguenti opzioni per configurare l'accesso a internet e gli indirizzi IP pubblici. Valuta i vantaggi e gli svantaggi di ciascuno, come elencato nella tabella seguente, per scegliere l'opzione più appropriata:

Opzione di accesso a internet Vantaggi Svantaggi
Servizio internet e IP pubblico di VMware Engine
  • Non comporta costi aggiuntivi. Incluso nel costo del servizio VMware Engine.
  • È facile da configurare.
  • È supportato dallo SLA.
  • Ha una configurazione fissa.
  • Non supporta BYOIP.
  • Ha una quota e una larghezza di banda limitate, il che lo rende più adatto per PoC o piccoli implementazioni.
  • Non fornisce visibilità sulle metriche di ingresso/uscita.
  • È mutuamente esclusivo con le altre due opzioni.
  • Per utilizzare la gestione avanzata del traffico (ad esempio l'ispezione del firewall L7 o il bilanciamento del carico complesso), sono necessarie appliance di terze parti.
  • Non supporta Application Level Gateway (ALG).
Trasferimento di dati tramite l'edge internet della VPC del cliente
  • Ha una configurazione scalabile.
  • Supporta BYOIP.
  • Offre visibilità e monitoraggio completi.
  • Può essere combinato con l'ispezione L7, il bilanciamento del carico avanzato e prodotti di terze parti.
  • Può essere integrato con i bilanciatori del carico nativi di Google e Cloud Service Mesh.
  • Richiede una configurazione più complessa.
  • Non ha alcun SLA per il servizio combinato.
Trasferimento di dati tramite connessioni on-premise
  • Utilizza le configurazioni esistenti.
  • Centralizza la sicurezza e il bilanciamento del carico on-premise.
  • Consente il minor numero di modifiche.
  • Offre un supporto globale limitato.
  • Potrebbe portare alla suddivisione dei servizi internet per alcuni carichi di lavoro.

Per ulteriori informazioni, consulta Configura l'accesso a internet per le VM dei carichi di lavoro.

Implementare il chaining dei servizi utilizzando appliance di rete virtuali di terze parti

VMware Engine supporta l'accodamento dei servizi di rete utilizzando topologie con routing di livello 3. In questa modalità, puoi eseguire il deployment e collegare un'appliance virtuale di rete di terze parti in VMware Engine per fornire servizi di rete in linea alle VM VMware, come il bilanciamento del carico, i firewall di nuova generazione (NGFW) e il rilevamento e la prevenzione delle intrusioni. Puoi eseguire il deployment di queste appliance in diversi modi, a seconda dei requisiti di segmentazione e connettività delle applicazioni.

Sono possibili diverse topologie di deployment, con configurazioni e maglie più complete nella catena di servizi (ad esempio, bilanciatori del carico davanti ai firewall). È anche possibile implementare queste appliance in topologie attive/attive utilizzando heartbeat e ridondanza basati sul piano dati, se il fornitore li supporta.

Le sezioni seguenti mostrano topologie di deployment di esempio che utilizzano un dispositivo firewall basato su VM.

Dietro un gateway di primo livello

In questa topologia di deployment, l'appliance di terze parti funge da gateway predefinito per diverse reti nell'ambiente. Puoi utilizzare l'appliance per ispezionare il traffico tra i due, nonché il traffico in entrata e in uscita dall'ambiente VMware Engine.

Il seguente diagramma mostra il funzionamento di un gateway di primo livello in VMware Engine:

L'appliance di terze parti funge da gateway predefinito per diverse reti nell'ambiente.

Per implementare questa topologia:

  1. Configura le route statiche di livello 1 in modo che rimandino alla VM dell'appliance e raggiungano le reti dietro di essa.
  2. A livello 0, ridistribuisci le route statiche di primo livello in BGP.
  3. Per quanto riguarda il supporto per il routing inter-VLAN guest, i carichi di lavoro guest VMware sono limitati a 10 NIC virtuali. In alcuni casi d'uso, è necessario connettersi a più di 10 VLAN per produrre la segmentazione del firewall necessaria. In questo caso, puoi utilizzare il tagging VLAN per l'ISV. Le VM guest dei fornitori di software indipendenti (ISV) devono essere dimensionate in modo da supportare e distribuire il traffico tra più insiemi di appliance ISV, come richiesto.

Dietro un gateway di primo livello

In questa topologia di deployment, un gateway di primo livello funge da gateway predefinito per l'appliance di terze parti con uno o più gateway di secondo livello dietro l'appliance. Il gateway di livello 0 può essere utilizzato per fornire connettività instradata per la stessa zona di sicurezza e supportare l'ispezione tra le zone di sicurezza o con il resto di Google Cloud. Questa topologia consente comunicazioni da segmento a segmento su larga scala senza ispezione di livello 7.

Il seguente diagramma mostra il funzionamento di un gateway di livello 0 in VMware Engine:

L'appliance di terze parti ha uno o più gateway di primo livello.

Per implementare questa topologia:

  1. Configura una route statica predefinita su ogni gateway di primo livello che rimandi al NGFW.
  2. Configura le route statiche per raggiungere i segmenti di workload di livello 0 con il NGFW come hop successivo.
  3. Ridistribuisci queste route statiche in BGP con una mappa route per impedire la ridistribuzione di 0/0.

Passaggi successivi