Netzwerke/Best Practices
Auf dieser Seite werden Best Practices für Netzwerke für die Google Cloud VMware Engine vorgestellt.
Routingprobleme vermeiden
Die Kommunikation innerhalb von VMware Engine und mit dem Rest des Internets wird auf Ebene 3 weitergeleitet, mit Ausnahme von Netzwerken, die aus lokalen Umgebungen oder anderen privaten Clouds von VMware Engine erweitert werden.
Folgen Sie diesen Best Practices, um Probleme mit der Konfiguration und möglicherweise Leistung oder Limits beim Einrichten des Routings zur und von der VMware Engine-Umgebung zu vermeiden:
- Konfigurieren Sie den Cloud Router, der der lokalen Hybrid-Cloud VPN- oder Cloud Interconnect-Verbindung zugeordnet ist, mit zusammenfassenden benutzerdefinierten Advertisings für VMware Engine-Bereiche und die Bereiche anderer Google Compute-Dienste wie Google Kubernetes Engine und Compute Engine.
- Verwenden Sie einen zusammenhängenden IP-Adressbereich für Subnetze von NSX-Segmenten.
Fassen Sie die NSX-Segmentrouten bei Tier-0 wie folgt zusammen, um die Anzahl der Routen zu minimieren, die für den Rest von Google angekündigt werden:
- Wenn NAT erforderlich ist, fassen Sie die NAT-IP-Adressen aus Tier-0 und nicht aus /32 zusammen.
- Fasse die IPsec-Endpunkt-IPs (/32s) auf tier-0 zusammen.
- DNS-Profil-IPs (/32s) auf Tier-0 zusammenfassen.
Aktivieren Sie NSX-T DHCP-Relay abhängig davon, ob sich DHCP-Dienste in VMware Engine oder an einer anderen Stelle befinden.
Wenn Sie statische Routen der Stufe 0 in das BGP umverteilen, wenden Sie eine Routenzuordnung an, um zu verhindern, dass 0/0 umverteilt wird.
Geeignete Option für den Internetzugang auswählen
VMware Engine bietet die folgenden Optionen zum Konfigurieren des Internetzugriffs und von öffentlichen IP-Adressen. Berücksichtigen Sie bei der Wahl der jeweils passenden Option die jeweiligen Vor- und Nachteile, wie in der folgenden Tabelle aufgeführt:
Option für den Internetzugriff | Vorteile | Nachteile |
---|---|---|
VMware Engine-Internetdienst und öffentlicher IP-Dienst |
|
|
Datenübertragung über das VPC-Internet-Edge des Kunden |
|
|
Datenübertragung über lokale Verbindungen |
|
|
Weitere Informationen finden Sie unter Internetzugriff für Arbeitslast-VMs konfigurieren.
Service Chaining mit virtuellen Netzwerk-Appliances von Drittanbietern implementieren
VMware Engine unterstützt die Verkettung von Netzwerkdiensten mithilfe von weitergeleiteten Layer-3-Topologien. In diesem Modus können Sie eine virtuelle Appliance des Netzwerks eines Drittanbieters in VMware Engine bereitstellen und verbinden, um Inline-Netzwerkdienste für VMware-VMs bereitzustellen, z. B. Load-Balancing, Firewalls der nächsten Generation und Einbruchserkennung und -prävention. Sie können diese Appliances auf verschiedene Arten bereitstellen, je nach den Segmentierungs- und Verbindungsanforderungen der Anwendungen.
Es sind mehrere Bereitstellungstopologien mit umfangreicheren Konfigurationen und Verknüpfungen in der Dienstkette möglich, z. B. Load-Balancer vor Firewalls. Es ist auch möglich, diese Appliances in Aktiv-Aktiv-Topologien mithilfe von auf Datenebenen basierenden Heartbeats und Redundanz bereitzustellen, sofern der Anbieter sie unterstützt.
Die folgenden Abschnitte zeigen beispielhafte Bereitstellungstopologien, die ein VM-basiertes Firewallgerät verwenden.
Hinter einem Tier-1-Gateway
In dieser Bereitstellungstopologie dient die Drittanbieter-Appliance als Standardgateway für mehrere Netzwerke in der Umgebung. Sie können die Appliance verwenden, um den Traffic zwischen ihnen sowie den Traffic zu prüfen, der in die VMware Engine-Umgebung eintritt und wieder verlässt.
Das folgende Diagramm zeigt, wie ein Tier-1-Gateway in VMware Engine funktioniert:
So implementieren Sie diese Topologie:
- Konfigurieren Sie statische Routen auf Tier-1 so, dass sie auf die VM der Appliance verweisen und die dahinter liegenden Netzwerke erreichen.
- Verteilen Sie auf Stufe 0 statische Routen der Stufe 1 an das BGP.
- Im Hinblick auf die Unterstützung von Inter-VLAN-Routing für Gäste sind VMware-Gastarbeitslasten auf 10 virtuelle NICs beschränkt. In einigen Anwendungsfällen müssen Sie eine Verbindung zu mehr als zehn VLANs herstellen, um die erforderliche Firewallsegmentierung zu erzeugen. In diesem Fall können Sie VLAN-Tagging für den ISV verwenden. Die Gast-VMs von unabhängigen Softwareanbietern (ISVs) sollten so dimensioniert sein, dass sie den Traffic nach Bedarf auf mehrere Gruppen von ISV-Appliances verteilen und darauf verteilen.
Hinter einem Tier-0-Gateway
In dieser Bereitstellungstopologie dient ein Tier-0-Gateway als Standardgateway für die Drittanbieter-Appliance mit einem oder mehreren Tier-1-Gateways hinter der Appliance. Das Tier-0-Gateway kann verwendet werden, um weitergeleitete Verbindungen für dieselbe Sicherheitszone bereitzustellen und die Prüfung über Sicherheitszonen hinweg oder mit dem Rest von Google Cloud zu unterstützen. Diese Topologie ermöglicht eine umfangreiche Segment-zu-Segment-Kommunikation ohne Layer-7-Prüfung.
Das folgende Diagramm zeigt, wie ein Tier-0-Gateway in VMware Engine funktioniert:
So implementieren Sie diese Topologie:
- Konfigurieren Sie eine statische Standardroute auf jedem Tier-1-Gateway, das auf die NGFW verweist.
- Konfigurieren Sie statische Routen, um Arbeitslastsegmente auf Tier-0 mit der NGFW als nächsten Hop zu erreichen.
- Verteilen Sie diese statischen Routen mit einer Route Map in BGP um, um zu verhindern, dass 0/0 umverteilt wird.
Nächste Schritte
- Best Practices für compute, Sicherheit, Speicher, Migration und Kosten
- Testen Sie die VMware Engine. Weitere Informationen finden Sie unter Funktionen, Vorteile und Anwendungsfälle.
- Entdecken Sie Referenzarchitekturen, Diagramme, Anleitungen und Best Practices zu Google Cloud. Weitere Informationen finden Sie im Cloud Architecture Center.