Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerke/Best Practices

Auf dieser Seite finden Sie Best Practices für Netzwerke in der Google Cloud VMware Engine.

Routingprobleme vermeiden

Die Kommunikation innerhalb von VMware Engine und mit dem Rest des Internets wird auf Layer 3 weitergeleitet, mit Ausnahme von Netzwerken, die von lokalen oder anderen privaten VMware Engine-Clouds gestreckt werden.

Beachten Sie die folgenden Best Practices, um Probleme mit der Konfiguration und möglicherweise Leistungseinbußen oder Einschränkungen beim Einrichten des Routings zu und von der VMware Engine-Umgebung zu vermeiden:

Konfigurieren Sie den Cloud Router, der mit der lokalen Hybrid-Cloud VPN- oder Cloud Interconnect-Verbindung verknüpft ist, mit zusammenfassenden benutzerdefinierten Anzeigen für VMware Engine-Bereiche und die Bereiche anderer Google-Rechendienste wie der Google Kubernetes Engine und der Compute Engine.
Verwenden Sie einen zusammenhängenden IP-Adressbereich für NSX-Segmentsubnetze.
Um die Anzahl der Routen zu minimieren, die an den Rest von Google angekündigt werden, fassen Sie die NSX-Segmentrouten auf Tier 0 so zusammen:
- Wenn NAT erforderlich ist, fassen Sie die NAT-IP-Adressen aus Tier 0 zusammen, anstatt /32-Adressen zu verwenden.
- Fassen Sie die IPSec-Endpunkt-IPs (/32) auf Tier 0 zusammen.
- Fassen Sie die DNS-Profil-IPs (/32) auf Stufe 0 zusammen.
Aktivieren Sie NSX-T DHCP Relay, je nachdem, ob sich die DHCP-Dienste in VMware Engine oder anderswo befinden.
Wenn Sie statische Tier-0-Routen in BGP neu verteilen, wenden Sie eine Routentabelle an, um zu verhindern, dass 0/0 neu verteilt wird.

Geeignete Internetzugriffsoption auswählen

VMware Engine bietet die folgenden Optionen zum Konfigurieren des Internetzugriffs und öffentlicher IP-Adressen. Berücksichtigen Sie die Vor- und Nachteile der einzelnen Optionen, die in der folgenden Tabelle aufgeführt sind, um die am besten geeignete Option auszuwählen:

Internetzugriffsoption	Vorteile	Nachteile
Internet- und öffentlicher IP-Dienst von VMware Engine	Es fallen keine zusätzlichen Kosten an. In den Kosten für den VMware Engine-Dienst enthalten. Die Einrichtung ist einfach. Sie wird durch ein SLA unterstützt.	Sie haben eine feste Konfiguration. BYOIP wird nicht unterstützt. Das Kontingent und die Bandbreite sind begrenzt, was es für PoCs oder kleine Bereitstellungen besser geeignet macht. Bietet keine Informationen zu Ein-/Ausgabemesswerten. Schließt die beiden anderen Optionen aus. Erfordert Appliances von Drittanbietern für die erweiterte Traffic-Verwaltung (z. B. L7-Firewall-Prüfung oder komplexes Load Balancing). Unterstützt keine Application Level Gateways (ALGs).
Datenübertragung über die VPC-Internet-Edge des Kunden	Sie haben eine skalierbare Konfiguration. Unterstützt BYOIP. Bietet vollständige Transparenz und Überwachung. Kann mit L7-Inspektion, erweitertem Load Balancing und Drittanbieterprodukten kombiniert werden. Kann in native Load Balancer von Google und Cloud Service Mesh eingebunden werden. Kann für den DDoS-Schutz in Google Cloud Armor eingebunden werden.	Es fallen Kosten für die Datenübertragung und die öffentliche IP-Adresse an. Erfordert eine komplexere Konfiguration. Es gibt kein SLA für den kombinierten Dienst.
Datenübertragung über lokale Verbindungen	Verwendet vorhandene Konfigurationen. Zentralisiert Sicherheit und Load Balancing lokal. Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme der Gebühren für die Cloud Interconnect-Datenübertragung.	Ermöglicht die geringsten Änderungen. Bietet nur begrenzten globalen Support. Dies kann bei einigen Arbeitslasten zu getrennten Internetdiensten führen.

Internetzugriffsoption

Vorteile

Nachteile

Internet- und öffentlicher IP-Dienst von VMware Engine

Es fallen keine zusätzlichen Kosten an. In den Kosten für den VMware Engine-Dienst enthalten.

Die Einrichtung ist einfach.

Sie wird durch ein SLA unterstützt.

Sie haben eine feste Konfiguration.

BYOIP wird nicht unterstützt.

Das Kontingent und die Bandbreite sind begrenzt, was es für PoCs oder kleine Bereitstellungen besser geeignet macht.

Bietet keine Informationen zu Ein-/Ausgabemesswerten.

Schließt die beiden anderen Optionen aus.

Erfordert Appliances von Drittanbietern für die erweiterte Traffic-Verwaltung (z. B. L7-Firewall-Prüfung oder komplexes Load Balancing).

Unterstützt keine Application Level Gateways (ALGs).

Datenübertragung über die VPC-Internet-Edge des Kunden

Sie haben eine skalierbare Konfiguration.

Unterstützt BYOIP.

Bietet vollständige Transparenz und Überwachung.

Kann mit L7-Inspektion, erweitertem Load Balancing und Drittanbieterprodukten kombiniert werden.

Kann in native Load Balancer von Google und Cloud Service Mesh eingebunden werden.

Kann für den DDoS-Schutz in Google Cloud Armor eingebunden werden.

Es fallen Kosten für die Datenübertragung und die öffentliche IP-Adresse an.

Erfordert eine komplexere Konfiguration.

Es gibt kein SLA für den kombinierten Dienst.

Datenübertragung über lokale Verbindungen

Verwendet vorhandene Konfigurationen.

Zentralisiert Sicherheit und Load Balancing lokal.

Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme der Gebühren für die Cloud Interconnect-Datenübertragung.

Ermöglicht die geringsten Änderungen.

Bietet nur begrenzten globalen Support.

Dies kann bei einigen Arbeitslasten zu getrennten Internetdiensten führen.

Weitere Informationen finden Sie unter Internetzugang für Arbeitslast-VMs konfigurieren.

Dienstverknüpfung mit virtuellen Netzwerk-Appliances von Drittanbietern implementieren

VMware Engine unterstützt die Verknüpfung von Netzwerkdiensten mithilfe von Layer-3-get routeden Topologien. In diesem Modus können Sie eine virtuelle Netzwerk-Appliance eines Drittanbieters in VMware Engine bereitstellen und verbinden, um VMware-VMs Inline-Netzwerkdienste wie Load Balancing, NGFW (Next-Generation Firewall) sowie Intrusion Detection und Prevention zur Verfügung zu stellen. Je nach Segmentierungs- und Verbindungsanforderungen der Anwendungen können Sie diese Appliances auf unterschiedliche Weise bereitstellen.

Es sind mehrere Bereitstellungstopologien mit umfangreicheren Konfigurationen und Verbindungen in der Dienstkette möglich (z. B. Load Balancer vor Firewalls). Es ist auch möglich, diese Appliances in Aktiv/Aktiv-Topologien bereitzustellen, indem Datenebenen-basierte Heartbeats und Redundanz verwendet werden, sofern der Anbieter diese unterstützt.

In den folgenden Abschnitten werden Beispielbereitstellungstopologien mit einem VM-basierten Firewallgerät gezeigt.

Hinter einem Tier 1-Gateway

In dieser Bereitstellungstopologie dient die Appliance des Drittanbieters als Standard-Gateway für mehrere Netzwerke in der Umgebung. Sie können die Appliance verwenden, um den Traffic zwischen ihnen sowie den Traffic zu prüfen, der in die VMware Engine-Umgebung ein- und austritt.

Das folgende Diagramm zeigt, wie ein Tier-1-Gateway in VMware Engine funktioniert:

Die Appliance eines Drittanbieters dient als Standard-Gateway für mehrere Netzwerke in der Umgebung.

So implementieren Sie diese Topologie:

Konfigurieren Sie statische Routen auf Tier 1, die auf die Appliance-VM verweisen und die Netzwerke dahinter erreichen.
Verteilen Sie auf Stufe 0 statische Tier-1-Routen in BGP.
Was die Unterstützung für das VLAN-Routing von Gästen angeht, sind VMware-Gastarbeitslasten auf 10 virtuelle NICs beschränkt. In einigen Anwendungsfällen müssen Sie eine Verbindung zu mehr als 10 VLANs herstellen, um die erforderliche Firewall-Segmentierung zu erzielen. In diesem Fall können Sie VLAN-Tagging für den ISV verwenden. Die Größe der Gast-VMs von unabhängigen Softwareanbietern (ISVs) sollte so gewählt werden, dass der Traffic bei Bedarf zwischen mehreren ISV-Appliances unterstützt und verteilt werden kann.

Hinter einem Tier-0-Gateway

In dieser Bereitstellungstopologie dient ein Tier-0-Gateway als Standard-Gateway für die Appliance eines Drittanbieters mit einem oder mehreren Tier-1-Gateways dahinter. Das Tier-0-Gateway kann verwendet werden, um eine getaktete Verbindung für dieselbe Sicherheitszone bereitzustellen und die Prüfung über Sicherheitszonen hinweg oder mit dem Rest von Google Cloud zu unterstützen. Diese Topologie ermöglicht die segmentübergreifende Kommunikation im großen Maßstab ohne Layer 7-Prüfung.

Das folgende Diagramm zeigt, wie ein Tier-0-Gateway in VMware Engine funktioniert:

Die Appliance eines Drittanbieters hat ein oder mehrere Tier-1-Gateways.

So implementieren Sie diese Topologie:

Konfigurieren Sie auf jedem Tier-1-Gateway eine Standard-statische Route, die auf die NGFW verweist.
Konfigurieren Sie statische Routen, um Arbeitslastsegmente auf Stufe 0 mit dem NGFW als nächsten Hop zu erreichen.
Verteilen Sie diese statischen Routen mit einer Routentabelle in BGP neu, um zu verhindern, dass 0/0 neu verteilt wird.

Nächste Schritte

Best Practices für Computing, Sicherheit, Speicher, Migration und Kosten
Testen Sie VMware Engine. Weitere Informationen finden Sie unter Funktionen, Vorteile und Anwendungsfälle.
Referenzarchitekturen, Diagramme, Anleitungen und Best Practices zu Google Cloud kennenlernen. Weitere Informationen finden Sie im Cloud Architecture Center.