Prácticas recomendadas para redes
En esta página, se presentan las prácticas recomendadas de herramientas de redes para Google Cloud VMware Engine.
Evita problemas de enrutamiento
Las comunicaciones dentro de VMware Engine y con el resto de Internet se enrutan en la capa 3, excepto las redes que se extienden desde las instalaciones locales o desde otras nubes privadas de VMware Engine.
Para evitar problemas con la configuración y, posiblemente, el rendimiento o los límites cuando configures el enrutamiento hacia y desde el entorno de VMware Engine, sigue estas prácticas recomendadas:
- Configura el Cloud Router asociado a la conexión híbrida local de Cloud VPN o Cloud Interconnect mediante anuncios personalizados de resumen para los rangos de VMware Engine y los rangos de otros servicios de procesamiento de Google, como Google Kubernetes Engine y Compute Engine.
- Usa el espacio de direcciones IP contiguo para las subredes de segmentos NSX.
Para minimizar la cantidad de rutas que se anuncian al resto de Google, resume las rutas del segmento NSX en el nivel 0 de la siguiente manera:
- Si se requiere NAT, resume las IP de NAT fuera del nivel 0 en lugar de las de /32.
- Resume las IP de extremos de IPsec (/32's) en el nivel 0.
- Resume las IP de perfiles de DNS (/32's) en nivel 0.
Habilita la retransmisión de DHCP de NSX-T según si los servicios de DHCP residirán en VMware Engine o en otro lugar.
Cuando redistribuyas rutas estáticas de nivel 0 en BGP, aplica un mapa de ruta para evitar que se redistribuya 0/0.
Elige una opción adecuada de acceso a Internet
VMware Engine ofrece las siguientes opciones para configurar el acceso a Internet y las direcciones IP públicas. Ten en cuenta las ventajas y desventajas de cada una, como se indica en la siguiente tabla, para elegir la opción más adecuada:
Opción de acceso a Internet | Ventajas | Desventajas |
---|---|---|
Servicio de IP pública y de Internet de VMware Engine |
|
|
Transferencia de datos a través del perímetro de Internet de la VPC del cliente |
|
|
Transferencia de datos a través de conexiones locales |
|
|
Si deseas obtener más información, consulta Configura el acceso a Internet para las VMs de carga de trabajo.
Implementa el encadenamiento de servicios con dispositivos de red virtuales de terceros
VMware Engine admite el encadenamiento de servicios de red mediante topologías de enrutamiento de capa 3. En este modo, puedes implementar y conectar un dispositivo virtual de red de terceros en VMware Engine para proporcionar servicios de red intercalados a las VM de VMware, como balanceo de cargas, uso de firewall de nueva generación (NGFW) y detección y prevención de intrusiones. Puedes implementar estos dispositivos de varias maneras, según los requisitos de segmentación y conectividad de las aplicaciones.
Hay varias topologías de implementación posibles, con opciones de configuración y vínculos más completos en la cadena de servicios (por ejemplo, balanceadores de cargas frente a firewalls). También es posible implementar estos dispositivos en topologías de activo a activo mediante señales de monitoreo de funcionamiento basadas en planos de datos y redundancia, si el proveedor los admite.
En las siguientes secciones, se muestran topologías de implementación de muestra que usan un dispositivo de firewall basado en VM.
Detrás de una puerta de enlace de nivel 1
En esta topología de implementación, el dispositivo de terceros sirve como puerta de enlace predeterminada para varias redes en el entorno. Puedes usar el dispositivo para inspeccionar el tráfico entre ellos, así como el tráfico que entra y sale del entorno de VMware Engine.
En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 1 en VMware Engine:
Para implementar esta topología, haz lo siguiente:
- Configura rutas estáticas en tier-1 para que apunten a la VM del dispositivo y llegue a las redes detrás de ella.
- En el nivel 0, redistribuye las rutas estáticas de nivel 1 en BGP.
- En cuanto a la compatibilidad con el enrutamiento entre VLAN de invitado, las cargas de trabajo de invitado de VMware están limitadas a 10 NIC virtuales. En algunos casos de uso, debes conectarte a más de 10 VLAN para producir la segmentación del firewall requerida. En este caso, puedes usar el etiquetado de VLAN para el ISV. Las VM invitadas de los proveedores de software independientes (ISV) deben tener el tamaño para admitir y distribuir el tráfico entre varios conjuntos de dispositivos ISV, según sea necesario.
Detrás de una puerta de enlace de nivel 0
En esta topología de implementación, una puerta de enlace de nivel 0 funciona como la puerta de enlace predeterminada para el dispositivo de terceros con una o más puertas de enlace de nivel 1 detrás del dispositivo. La puerta de enlace de nivel 0 se puede usar a fin de proporcionar conectividad enrutada para la misma zona de seguridad y admitir la inspección en las zonas de seguridad o con el resto de Google Cloud. Esta topología permite comunicaciones de segmento a segmento a gran escala sin inspección de capa 7.
En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 0 en VMware Engine:
Para implementar esta topología, haz lo siguiente:
- Configura una ruta estática predeterminada en cada puerta de enlace de nivel 1 que apunte a NFW.
- Configurar rutas estáticas para alcanzar los segmentos de la carga de trabajo en el nivel 0 con el NGFW como siguiente salto
- Redistribuye estas rutas estáticas en BGP con un mapa de ruta para evitar que se redistribuya 0/0.
¿Qué sigue?
- Obtén información sobre las prácticas recomendadas de compute, seguridad, almacenamiento, migración y costos.
- Prueba VMware Engine. Consulta las funciones, los beneficios y los casos de uso para obtener más información.
- Explora arquitecturas de referencia, diagramas, instructivos y prácticas recomendadas sobre Google Cloud. Visita el Cloud Architecture Center para obtener más información.