Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para redes

En esta página, se presentan las prácticas recomendadas de herramientas de redes para Google Cloud VMware Engine.

Evita problemas de enrutamiento

Las comunicaciones dentro de VMware Engine y con el resto de Internet se enrutan en la capa 3, excepto las redes que se extienden desde las instalaciones locales o desde otras nubes privadas de VMware Engine.

Para evitar problemas con la configuración y, posiblemente, el rendimiento o los límites cuando configures el enrutamiento hacia y desde el entorno de VMware Engine, sigue estas prácticas recomendadas:

Configura el Cloud Router asociado a la conexión híbrida local de Cloud VPN o Cloud Interconnect mediante anuncios personalizados de resumen para los rangos de VMware Engine y los rangos de otros servicios de procesamiento de Google, como Google Kubernetes Engine y Compute Engine.
Usa el espacio de direcciones IP contiguo para las subredes de segmentos NSX.
Para minimizar la cantidad de rutas que se anuncian al resto de Google, resume las rutas del segmento NSX en el nivel 0 de la siguiente manera:
- Si se requiere NAT, resume las IP de NAT fuera del nivel 0 en lugar de las de /32.
- Resume las IP de extremos de IPsec (/32's) en el nivel 0.
- Resume las IP de perfiles de DNS (/32's) en nivel 0.
Habilita la retransmisión de DHCP de NSX-T según si los servicios de DHCP residirán en VMware Engine o en otro lugar.
Cuando redistribuyas rutas estáticas de nivel 0 en BGP, aplica un mapa de ruta para evitar que se redistribuya 0/0.

Elige una opción adecuada de acceso a Internet

VMware Engine ofrece las siguientes opciones para configurar el acceso a Internet y las direcciones IP públicas. Ten en cuenta las ventajas y desventajas de cada una, como se indica en la siguiente tabla, para elegir la opción más adecuada:

Opción de acceso a Internet	Ventajas	Desventajas
Servicio de IP pública y de Internet de VMware Engine	No se generan cargos adicionales. Se incluye en el costo del servicio de VMware Engine. Son fáciles de configurar. Cuenta con respaldo del ANS.	Tiene una configuración fija. No es compatible con BYOIP. Tiene cuota y ancho de banda limitados, lo que lo hace más adecuado para PoC o implementaciones pequeñas. No proporciona visibilidad de las métricas de entrada/salida. Es mutuamente excluyente con las otras dos opciones. Necesita dispositivos de terceros para usar la administración avanzada del tráfico (como la inspección de firewall L7 o el balanceo de cargas complejo). No es compatible con la puerta de enlace a nivel de la aplicación (ALG).
Transferencia de datos a través del perímetro de Internet de la VPC del cliente	Tiene una configuración escalable. Admite BYOIP. Proporciona visibilidad y supervisión completas. Se puede combinar con la inspección de L7, el balanceo de cargas avanzado y productos de terceros. Se puede integrar en balanceadores de cargas nativos de Google y en Cloud Service Mesh. Se puede integrar en Google Cloud Armor para brindar protección contra DSD.	Genera costos de IP pública y transferencia de datos. Requiere una configuración más compleja. No tiene ningún ANS para el servicio combinado.
Transferencia de datos a través de conexiones locales	Usa los parámetros de configuración existentes. Centraliza la seguridad y el balanceo de cargas en el entorno local. No genera costos adicionales de Google Cloud, excepto los cargos de transferencia de datos de Cloud Interconnect.	Permite la menor cantidad de cambios. Ofrece asistencia global limitada. Podría conducir a la división de los servicios de Internet para algunas cargas de trabajo.

Opción de acceso a Internet

Ventajas

Desventajas

Servicio de IP pública y de Internet de VMware Engine

No se generan cargos adicionales. Se incluye en el costo del servicio de VMware Engine.

Son fáciles de configurar.

Cuenta con respaldo del ANS.

Tiene una configuración fija.

No es compatible con BYOIP.

Tiene cuota y ancho de banda limitados, lo que lo hace más adecuado para PoC o implementaciones pequeñas.

No proporciona visibilidad de las métricas de entrada/salida.

Es mutuamente excluyente con las otras dos opciones.

Necesita dispositivos de terceros para usar la administración avanzada del tráfico (como la inspección de firewall L7 o el balanceo de cargas complejo).

No es compatible con la puerta de enlace a nivel de la aplicación (ALG).

Transferencia de datos a través del perímetro de Internet de la VPC del cliente

Tiene una configuración escalable.

Admite BYOIP.

Proporciona visibilidad y supervisión completas.

Se puede combinar con la inspección de L7, el balanceo de cargas avanzado y productos de terceros.

Se puede integrar en balanceadores de cargas nativos de Google y en Cloud Service Mesh.

Se puede integrar en Google Cloud Armor para brindar protección contra DSD.

Genera costos de IP pública y transferencia de datos.

Requiere una configuración más compleja.

No tiene ningún ANS para el servicio combinado.

Transferencia de datos a través de conexiones locales

Usa los parámetros de configuración existentes.

Centraliza la seguridad y el balanceo de cargas en el entorno local.

No genera costos adicionales de Google Cloud, excepto los cargos de transferencia de datos de Cloud Interconnect.

Permite la menor cantidad de cambios.

Ofrece asistencia global limitada.

Podría conducir a la división de los servicios de Internet para algunas cargas de trabajo.

Si deseas obtener más información, consulta Configura el acceso a Internet para las VMs de carga de trabajo.

Implementa el encadenamiento de servicios con dispositivos de red virtuales de terceros

VMware Engine admite el encadenamiento de servicios de red mediante topologías de enrutamiento de capa 3. En este modo, puedes implementar y conectar un dispositivo virtual de red de terceros en VMware Engine para proporcionar servicios de red intercalados a las VM de VMware, como balanceo de cargas, uso de firewall de nueva generación (NGFW) y detección y prevención de intrusiones. Puedes implementar estos dispositivos de varias maneras, según los requisitos de segmentación y conectividad de las aplicaciones.

Hay varias topologías de implementación posibles, con opciones de configuración y vínculos más completos en la cadena de servicios (por ejemplo, balanceadores de cargas frente a firewalls). También es posible implementar estos dispositivos en topologías de activo a activo mediante señales de monitoreo de funcionamiento basadas en planos de datos y redundancia, si el proveedor los admite.

En las siguientes secciones, se muestran topologías de implementación de muestra que usan un dispositivo de firewall basado en VM.

Detrás de una puerta de enlace de nivel 1

En esta topología de implementación, el dispositivo de terceros sirve como puerta de enlace predeterminada para varias redes en el entorno. Puedes usar el dispositivo para inspeccionar el tráfico entre ellos, así como el tráfico que entra y sale del entorno de VMware Engine.

En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 1 en VMware Engine:

Un dispositivo de terceros sirve como puerta de enlace predeterminada para varias redes en el entorno.

Para implementar esta topología, haz lo siguiente:

Configura rutas estáticas en tier-1 para que apunten a la VM del dispositivo y llegue a las redes detrás de ella.
En el nivel 0, redistribuye las rutas estáticas de nivel 1 en BGP.
En cuanto a la compatibilidad con el enrutamiento entre VLAN de invitado, las cargas de trabajo de invitado de VMware están limitadas a 10 NIC virtuales. En algunos casos de uso, debes conectarte a más de 10 VLAN para producir la segmentación del firewall requerida. En este caso, puedes usar el etiquetado de VLAN para el ISV. Las VM invitadas de los proveedores de software independientes (ISV) deben tener el tamaño para admitir y distribuir el tráfico entre varios conjuntos de dispositivos ISV, según sea necesario.

Detrás de una puerta de enlace de nivel 0

En esta topología de implementación, una puerta de enlace de nivel 0 funciona como la puerta de enlace predeterminada para el dispositivo de terceros con una o más puertas de enlace de nivel 1 detrás del dispositivo. La puerta de enlace de nivel 0 se puede usar a fin de proporcionar conectividad enrutada para la misma zona de seguridad y admitir la inspección en las zonas de seguridad o con el resto de Google Cloud. Esta topología permite comunicaciones de segmento a segmento a gran escala sin inspección de capa 7.

En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 0 en VMware Engine:

El dispositivo de terceros tiene una o más puertas de enlace de nivel 1 detrás de él.

Para implementar esta topología, haz lo siguiente:

Configura una ruta estática predeterminada en cada puerta de enlace de nivel 1 que apunte a NFW.
Configurar rutas estáticas para alcanzar los segmentos de la carga de trabajo en el nivel 0 con el NGFW como siguiente salto
Redistribuye estas rutas estáticas en BGP con un mapa de ruta para evitar que se redistribuya 0/0.

¿Qué sigue?

Obtén información sobre las prácticas recomendadas de compute, seguridad, almacenamiento, migración y costos.
Prueba VMware Engine. Consulta las funciones, los beneficios y los casos de uso para obtener más información.
Explora arquitecturas de referencia, diagramas, instructivos y prácticas recomendadas sobre Google Cloud. Visita el Cloud Architecture Center para obtener más información.