Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerke/Best Practices

Auf dieser Seite finden Sie Best Practices für die Netzwerkkonfiguration in der Google Cloud VMware Engine.

Routingprobleme vermeiden

Kommunikation innerhalb der VMware Engine und mit dem Rest des Internets werden über Ebene 3 weitergeleitet, mit Ausnahme von Netzwerken, die von lokalen oder aus anderen privaten VMware Engine-Clouds stammen.

Beachten Sie die folgenden Best Practices, um Probleme mit der Konfiguration und möglicherweise Leistungseinbußen oder Einschränkungen beim Einrichten des Routings zu und von der VMware Engine-Umgebung zu vermeiden:

Konfigurieren Sie den Cloud Router, der mit der lokalen Hybrid-Cloud VPN- oder Cloud Interconnect-Verbindung verknüpft ist, mit zusammenfassenden benutzerdefinierten Anzeigen für VMware Engine-Bereiche und die Bereiche anderer Google-Rechendienste wie der Google Kubernetes Engine und der Compute Engine.
Verwenden Sie einen zusammenhängenden IP-Adressbereich für NSX-Segmentsubnetze.
Um die Anzahl der Routen zu minimieren, die für den Nutzer den Rest von Google, fassen Sie die NSX-Segmentrouten auf Tier-0 wie folgt zusammen:
- Wenn NAT erforderlich ist, fassen Sie die NAT-IP-Adressen aus Tier-0 und nicht aus /32 zusammen.
- Fassen Sie IPSec-Endpunkt-IPs (/32) auf Tier 0 zusammen.
- DNS-Profil-IPs (/32s) auf Tier-0 zusammenfassen.
Aktivieren Sie NSX-T DHCP Relay, je nachdem, ob sich die DHCP-Dienste in VMware Engine oder anderswo befinden.
Wenn Sie statische Tier-0-Routen in BGP neu verteilen, wenden Sie eine Routentabelle an, um zu verhindern, dass 0/0 neu verteilt wird.

Geeignete Option für den Internetzugang auswählen

VMware Engine bietet die folgenden Optionen zum Konfigurieren des Internetzugriffs und öffentlichen IP-Adressen. Überlegen Sie, welche Vor- und Nachteile in der folgenden Tabelle, um die am besten geeignete Option auszuwählen:

Internetzugriffsoption	Vorteile	Nachteile
Internet- und öffentlicher IP-Dienst von VMware Engine	Es fallen keine zusätzlichen Kosten an. In den Kosten für die VMware Engine-Dienst Die Einrichtung ist einfach. Sie wird durch ein SLA unterstützt.	Hat eine feste Konfiguration. BYOIP wird nicht unterstützt. Das Kontingent und die Bandbreite sind begrenzt, was sie für PoCs oder kleine Bereitstellungen besser geeignet macht. Bietet keinen Einblick in Messwerte für ein- und ausgehenden Traffic. Schließt sich mit den anderen beiden Optionen gegenseitig aus Erfordert Drittanbieter-Appliances, um die erweiterte Traffic-Verwaltung zu verwenden (z. B. wie L7-Firewallinspektion oder komplexes Load-Balancing). Unterstützt keine Application Level Gateways (ALGs).
Datenübertragung über die VPC-Internet-Edge des Kunden	Sie haben eine skalierbare Konfiguration. Unterstützt BYOIP. Vollständige Transparenz und Monitoring Kann mit L7-Prüfung, erweitertem Load-Balancing und Produkten von Drittanbietern. Kann in native Load Balancer von Google und Cloud Service Mesh eingebunden werden. Kann für den DDoS-Schutz in Google Cloud Armor eingebunden werden.	Es fallen Kosten für die Datenübertragung und die öffentliche IP-Adresse an. Erfordert eine komplexere Konfiguration. Es gibt kein SLA für den kombinierten Dienst.
Datenübertragung über lokale Verbindungen	Verwendet vorhandene Konfigurationen. Zentralisiert Sicherheit und Load-Balancing lokal. Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme von Gebühren für die Datenübertragung von Cloud Interconnect.	Die geringste Anzahl an Änderungen ist zulässig. Bietet eingeschränkten globalen Support. Dies kann bei einigen Arbeitslasten zu getrennten Internetdiensten führen.

Internetzugriffsoption

Vorteile

Nachteile

Internet- und öffentlicher IP-Dienst von VMware Engine

Es fallen keine zusätzlichen Kosten an. In den Kosten für die VMware Engine-Dienst

Die Einrichtung ist einfach.

Sie wird durch ein SLA unterstützt.

Hat eine feste Konfiguration.

BYOIP wird nicht unterstützt.

Das Kontingent und die Bandbreite sind begrenzt, was sie für PoCs oder kleine Bereitstellungen besser geeignet macht.

Bietet keinen Einblick in Messwerte für ein- und ausgehenden Traffic.

Schließt sich mit den anderen beiden Optionen gegenseitig aus

Erfordert Drittanbieter-Appliances, um die erweiterte Traffic-Verwaltung zu verwenden (z. B. wie L7-Firewallinspektion oder komplexes Load-Balancing).

Unterstützt keine Application Level Gateways (ALGs).

Datenübertragung über die VPC-Internet-Edge des Kunden

Sie haben eine skalierbare Konfiguration.

Unterstützt BYOIP.

Vollständige Transparenz und Monitoring

Kann mit L7-Prüfung, erweitertem Load-Balancing und Produkten von Drittanbietern.

Kann in native Load Balancer von Google und Cloud Service Mesh eingebunden werden.

Kann für den DDoS-Schutz in Google Cloud Armor eingebunden werden.

Es fallen Kosten für die Datenübertragung und die öffentliche IP-Adresse an.

Erfordert eine komplexere Konfiguration.

Es gibt kein SLA für den kombinierten Dienst.

Datenübertragung über lokale Verbindungen

Verwendet vorhandene Konfigurationen.

Zentralisiert Sicherheit und Load-Balancing lokal.

Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme von Gebühren für die Datenübertragung von Cloud Interconnect.

Die geringste Anzahl an Änderungen ist zulässig.

Bietet eingeschränkten globalen Support.

Dies kann bei einigen Arbeitslasten zu getrennten Internetdiensten führen.

Weitere Informationen finden Sie unter Internetzugang für Arbeitslast-VMs konfigurieren.

Service Chaining mit virtuellen Netzwerk-Appliances von Drittanbietern implementieren

VMware Engine unterstützt die Verknüpfung von Netzwerkdiensten mithilfe von Layer-3-get routeden Topologien. In diesem Modus können Sie eine virtuelle Netzwerk-Appliance eines Drittanbieters in VMware Engine bereitstellen und verbinden, um VMware-VMs Inline-Netzwerkdienste wie Load Balancing, NGFW (Next-Generation Firewall) sowie Intrusion Detection und Prevention zur Verfügung zu stellen. Ich können diese Appliances je nach Segmentierung auf unterschiedliche Weise und Konnektivitätsanforderungen von Anwendungen.

Es sind mehrere Bereitstellungstopologien mit umfangreicheren Konfigurationen und Verbindungen in der Dienstkette möglich (z. B. Load Balancer vor Firewalls). Es ist auch möglich, diese Appliances in Aktiv/Aktiv-Topologien bereitzustellen, indem Datenebenen-basierte Heartbeats und Redundanz verwendet werden, sofern der Anbieter diese unterstützt.

Die folgenden Abschnitte zeigen beispielhafte Bereitstellungstopologien, die eine VM-basiertes Firewallgerät

Hinter einem Tier-1-Gateway

In dieser Bereitstellungstopologie dient die Drittanbieter-Appliance als Standard Gateway für mehrere Netzwerke in der Umgebung. Sie können die Appliance verwenden. den Traffic zwischen ihnen sowie den eingehenden und die VMware Engine-Umgebung verlassen.

Das folgende Diagramm zeigt, wie ein Tier-1-Gateway in VMware Engine funktioniert:

Eine Drittanbieter-Appliance dient als Standardgateway für mehrere Netzwerke in der Umgebung.

So implementieren Sie diese Topologie:

Konfigurieren Sie statische Routen auf Tier 1, die auf die Appliance-VM verweisen und die Netzwerke dahinter erreichen.
Verteilen Sie auf Stufe 0 statische Routen der Stufe 1 an das BGP.
Support für Inter-VLAN-Routing für Gäste VMware-Gastarbeitslasten sind auf 10 virtuelle NICs beschränkt. In einigen Anwendungsfällen Sie müssen sich mit mehr als 10 VLANs verbinden, um die Firewall zu erstellen. Segmentierung erforderlich. In diesem Fall können Sie VLAN-Tagging für den ISV verwenden. Die Gast-VMs von unabhängigen Softwareanbietern (ISVs) sollten so dimensioniert sein, dass sie den Traffic bei Bedarf zwischen mehreren ISV-Anwendungen unterstützen und verteilen können.

Hinter einem Tier 0-Gateway

In dieser Bereitstellungstopologie dient ein Tier-0-Gateway als Standardgateway für die Drittanbieter-Appliance mit einem oder mehreren Tier-1-Gateways hinter der Appliance. Das Tier-0-Gateway kann verwendet werden, um eine getaktete Verbindung für dieselbe Sicherheitszone bereitzustellen und die Prüfung über Sicherheitszonen hinweg oder mit dem Rest von Google Cloud zu unterstützen. Diese Topologie ermöglicht eine umfangreiche Segment-zu-Segment-Methode, ohne Layer-7-Prüfung.

Das folgende Diagramm zeigt, wie ein Tier-0-Gateway in VMware Engine funktioniert:

Die Drittanbieter-Appliance hat ein oder mehrere Tier-1-Gateways hinter sich.

So implementieren Sie diese Topologie:

Konfigurieren Sie eine statische Standardroute auf jedem Tier-1-Gateway, das auf die NGFW
Konfigurieren Sie statische Routen, um Arbeitslastsegmente auf Stufe 0 mit dem NGFW als nächsten Hop zu erreichen.
Verteilen Sie diese statischen Routen mit einer Routentabelle in BGP um, um zu verhindern, dass 0/0 neu verteilt wird.

Nächste Schritte

Best Practices für Computing, Sicherheit, Speicher, Migration und Kosten
Testen Sie VMware Engine. Unter Funktionen, Vorteile und Nutzung Cases.
Referenzarchitekturen, Diagramme, Anleitungen und Best Practices ansehen zu Google Cloud. Besuchen Sie das Cloud Architecture Center für erhalten Sie weitere Informationen.