Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerke/Best Practices

Auf dieser Seite werden Best Practices für Netzwerke für die Google Cloud VMware Engine vorgestellt.

Routingprobleme vermeiden

Die Kommunikation innerhalb von VMware Engine und mit dem Rest des Internets wird auf Ebene 3 weitergeleitet, mit Ausnahme von Netzwerken, die aus lokalen Umgebungen oder anderen privaten Clouds von VMware Engine erweitert werden.

Folgen Sie diesen Best Practices, um Probleme mit der Konfiguration und möglicherweise Leistung oder Limits beim Einrichten des Routings zur und von der VMware Engine-Umgebung zu vermeiden:

Konfigurieren Sie den Cloud Router, der der lokalen Hybrid-Cloud VPN- oder Cloud Interconnect-Verbindung zugeordnet ist, mit zusammenfassenden benutzerdefinierten Advertisings für VMware Engine-Bereiche und die Bereiche anderer Google Compute-Dienste wie Google Kubernetes Engine und Compute Engine.
Verwenden Sie einen zusammenhängenden IP-Adressbereich für Subnetze von NSX-Segmenten.
Fassen Sie die NSX-Segmentrouten bei Tier-0 wie folgt zusammen, um die Anzahl der Routen zu minimieren, die für den Rest von Google angekündigt werden:
- Wenn NAT erforderlich ist, fassen Sie die NAT-IP-Adressen aus Tier-0 und nicht aus /32 zusammen.
- Fasse die IPsec-Endpunkt-IPs (/32s) auf tier-0 zusammen.
- DNS-Profil-IPs (/32s) auf Tier-0 zusammenfassen.
Aktivieren Sie NSX-T DHCP-Relay abhängig davon, ob sich DHCP-Dienste in VMware Engine oder an einer anderen Stelle befinden.
Wenn Sie statische Routen der Stufe 0 in das BGP umverteilen, wenden Sie eine Routenzuordnung an, um zu verhindern, dass 0/0 umverteilt wird.

Geeignete Option für den Internetzugang auswählen

VMware Engine bietet die folgenden Optionen zum Konfigurieren des Internetzugriffs und von öffentlichen IP-Adressen. Berücksichtigen Sie bei der Wahl der jeweils passenden Option die jeweiligen Vor- und Nachteile, wie in der folgenden Tabelle aufgeführt:

Option für den Internetzugriff	Vorteile	Nachteile
VMware Engine-Internetdienst und öffentlicher IP-Dienst	Es fallen keine zusätzlichen Kosten an. Er ist in den Kosten des VMware Engine-Dienstes enthalten. Die Einrichtung ist einfach. Ist SLA-gestützt.	Hat eine feste Konfiguration. BYOIP wird nicht unterstützt. Da das Kontingent und die Bandbreite begrenzt sind, ist es besser für PoC oder kleine Bereitstellungen geeignet. Bietet keinen Einblick in Messwerte für ein- und ausgehenden Traffic. Schließt sich mit den anderen beiden Optionen gegenseitig aus Erfordert Drittanbieter-Appliances, um die erweiterte Trafficverwaltung zu verwenden (z. B. L7-Firewallprüfung oder komplexes Load-Balancing). Application Level Gateway (ALG) wird nicht unterstützt.
Datenübertragung über das VPC-Internet-Edge des Kunden	Hat eine skalierbare Konfiguration. Unterstützt BYOIP. Vollständige Transparenz und Monitoring Kann mit L7-Prüfung, erweitertem Load-Balancing und Produkten von Drittanbietern kombiniert werden. Kann in Google-native Load-Balancer und Cloud Service Mesh eingebunden werden. Kann für DDoS-Schutz in Google Cloud Armor eingebunden werden.	Dafür fallen Kosten für die Datenübertragung und öffentliche IP-Adressen an. Erfordert eine komplexere Konfiguration. Es gibt kein SLA für den kombinierten Dienst.
Datenübertragung über lokale Verbindungen	Verwendet vorhandene Konfigurationen. Zentralisiert Sicherheit und Load-Balancing lokal. Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme der Gebühren für die Cloud Interconnect-Datenübertragung.	Die geringste Anzahl an Änderungen ist zulässig. Bietet eingeschränkten globalen Support. Bei einigen Arbeitslasten könnten Internetdienste aufgeteilt werden.

Option für den Internetzugriff

Vorteile

Nachteile

VMware Engine-Internetdienst und öffentlicher IP-Dienst

Es fallen keine zusätzlichen Kosten an. Er ist in den Kosten des VMware Engine-Dienstes enthalten.

Die Einrichtung ist einfach.

Ist SLA-gestützt.

Hat eine feste Konfiguration.

BYOIP wird nicht unterstützt.

Da das Kontingent und die Bandbreite begrenzt sind, ist es besser für PoC oder kleine Bereitstellungen geeignet.

Bietet keinen Einblick in Messwerte für ein- und ausgehenden Traffic.

Schließt sich mit den anderen beiden Optionen gegenseitig aus

Erfordert Drittanbieter-Appliances, um die erweiterte Trafficverwaltung zu verwenden (z. B. L7-Firewallprüfung oder komplexes Load-Balancing).

Application Level Gateway (ALG) wird nicht unterstützt.

Datenübertragung über das VPC-Internet-Edge des Kunden

Hat eine skalierbare Konfiguration.

Unterstützt BYOIP.

Vollständige Transparenz und Monitoring

Kann mit L7-Prüfung, erweitertem Load-Balancing und Produkten von Drittanbietern kombiniert werden.

Kann in Google-native Load-Balancer und Cloud Service Mesh eingebunden werden.

Kann für DDoS-Schutz in Google Cloud Armor eingebunden werden.

Dafür fallen Kosten für die Datenübertragung und öffentliche IP-Adressen an.

Erfordert eine komplexere Konfiguration.

Es gibt kein SLA für den kombinierten Dienst.

Datenübertragung über lokale Verbindungen

Verwendet vorhandene Konfigurationen.

Zentralisiert Sicherheit und Load-Balancing lokal.

Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme der Gebühren für die Cloud Interconnect-Datenübertragung.

Die geringste Anzahl an Änderungen ist zulässig.

Bietet eingeschränkten globalen Support.

Bei einigen Arbeitslasten könnten Internetdienste aufgeteilt werden.

Weitere Informationen finden Sie unter Internetzugriff für Arbeitslast-VMs konfigurieren.

Service Chaining mit virtuellen Netzwerk-Appliances von Drittanbietern implementieren

VMware Engine unterstützt die Verkettung von Netzwerkdiensten mithilfe von weitergeleiteten Layer-3-Topologien. In diesem Modus können Sie eine virtuelle Appliance des Netzwerks eines Drittanbieters in VMware Engine bereitstellen und verbinden, um Inline-Netzwerkdienste für VMware-VMs bereitzustellen, z. B. Load-Balancing, Firewalls der nächsten Generation und Einbruchserkennung und -prävention. Sie können diese Appliances auf verschiedene Arten bereitstellen, je nach den Segmentierungs- und Verbindungsanforderungen der Anwendungen.

Es sind mehrere Bereitstellungstopologien mit umfangreicheren Konfigurationen und Verknüpfungen in der Dienstkette möglich, z. B. Load-Balancer vor Firewalls. Es ist auch möglich, diese Appliances in Aktiv-Aktiv-Topologien mithilfe von auf Datenebenen basierenden Heartbeats und Redundanz bereitzustellen, sofern der Anbieter sie unterstützt.

Die folgenden Abschnitte zeigen beispielhafte Bereitstellungstopologien, die ein VM-basiertes Firewallgerät verwenden.

Hinter einem Tier-1-Gateway

In dieser Bereitstellungstopologie dient die Drittanbieter-Appliance als Standardgateway für mehrere Netzwerke in der Umgebung. Sie können die Appliance verwenden, um den Traffic zwischen ihnen sowie den Traffic zu prüfen, der in die VMware Engine-Umgebung eintritt und wieder verlässt.

Das folgende Diagramm zeigt, wie ein Tier-1-Gateway in VMware Engine funktioniert:

Eine Drittanbieter-Appliance dient als Standardgateway für mehrere Netzwerke in der Umgebung.

So implementieren Sie diese Topologie:

Konfigurieren Sie statische Routen auf Tier-1 so, dass sie auf die VM der Appliance verweisen und die dahinter liegenden Netzwerke erreichen.
Verteilen Sie auf Stufe 0 statische Routen der Stufe 1 an das BGP.
Im Hinblick auf die Unterstützung von Inter-VLAN-Routing für Gäste sind VMware-Gastarbeitslasten auf 10 virtuelle NICs beschränkt. In einigen Anwendungsfällen müssen Sie eine Verbindung zu mehr als zehn VLANs herstellen, um die erforderliche Firewallsegmentierung zu erzeugen. In diesem Fall können Sie VLAN-Tagging für den ISV verwenden. Die Gast-VMs von unabhängigen Softwareanbietern (ISVs) sollten so dimensioniert sein, dass sie den Traffic nach Bedarf auf mehrere Gruppen von ISV-Appliances verteilen und darauf verteilen.

Hinter einem Tier-0-Gateway

In dieser Bereitstellungstopologie dient ein Tier-0-Gateway als Standardgateway für die Drittanbieter-Appliance mit einem oder mehreren Tier-1-Gateways hinter der Appliance. Das Tier-0-Gateway kann verwendet werden, um weitergeleitete Verbindungen für dieselbe Sicherheitszone bereitzustellen und die Prüfung über Sicherheitszonen hinweg oder mit dem Rest von Google Cloud zu unterstützen. Diese Topologie ermöglicht eine umfangreiche Segment-zu-Segment-Kommunikation ohne Layer-7-Prüfung.

Das folgende Diagramm zeigt, wie ein Tier-0-Gateway in VMware Engine funktioniert:

Die Drittanbieter-Appliance hat ein oder mehrere Tier-1-Gateways hinter sich.

So implementieren Sie diese Topologie:

Konfigurieren Sie eine statische Standardroute auf jedem Tier-1-Gateway, das auf die NGFW verweist.
Konfigurieren Sie statische Routen, um Arbeitslastsegmente auf Tier-0 mit der NGFW als nächsten Hop zu erreichen.
Verteilen Sie diese statischen Routen mit einer Route Map in BGP um, um zu verhindern, dass 0/0 umverteilt wird.

Nächste Schritte

Best Practices für compute, Sicherheit, Speicher, Migration und Kosten
Testen Sie die VMware Engine. Weitere Informationen finden Sie unter Funktionen, Vorteile und Anwendungsfälle.
Entdecken Sie Referenzarchitekturen, Diagramme, Anleitungen und Best Practices zu Google Cloud. Weitere Informationen finden Sie im Cloud Architecture Center.