Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para redes

En esta página, se presentan las prácticas recomendadas de redes para Google Cloud VMware Engine.

Evita problemas de enrutamiento

Las comunicaciones dentro de VMware Engine y con el resto de Internet se enrutan en la capa 3, excepto las redes que se extienden desde la infraestructura local o desde otras nubes privadas de VMware Engine.

Para evitar problemas con la configuración y, posiblemente, el rendimiento o los límites cuando configures el enrutamiento hacia y desde el entorno de VMware Engine, sigue estas prácticas recomendadas:

Configura el Cloud Router asociado con la conexión híbrida local de Cloud VPN o Cloud Interconnect con anuncios personalizados de resumen para los rangos de VMware Engine y los rangos de otros servicios de procesamiento de Google, como Google Kubernetes Engine y Compute Engine.
Usa un espacio de direcciones IP contiguo para las subredes de segmentos de NSX.
Para minimizar la cantidad de rutas que se anuncian al resto de Google, resume las rutas de segmento de NSX en el nivel 0 de la siguiente manera:
- Si se requiere NAT, resume las IP de NAT fuera del nivel 0 en lugar de /32.
- Resume las IP de los extremos de IPsec (/32) en el nivel 0.
- Resume las IPs del perfil de DNS (/32) en el nivel 0.
Habilita la retransmisión de DHCP de NSX-T según si los servicios de DHCP residirán en VMware Engine o en otro lugar.
Cuando redistribuyas las rutas estáticas de nivel 0 en BGP, aplica un mapa de rutas para evitar que se redistribuya 0/0.

Elige una opción de acceso a Internet adecuada

VMware Engine ofrece las siguientes opciones para configurar el acceso a Internet y las direcciones IP públicas. Ten en cuenta las ventajas y desventajas de cada una, como se indica en la siguiente tabla, para elegir la opción más adecuada:

Opción de acceso a Internet	Ventajas	Desventajas
Servicio de IP pública y de Internet de VMware Engine	No genera cargos adicionales. Está incluido en el costo del servicio de VMware Engine. Es fácil de configurar. Se respalda con ANS.	Tiene una configuración fija. No es compatible con BYOIP. Tiene una cuota y un ancho de banda limitados, lo que lo hace más adecuado para PoC o implementaciones pequeñas. No proporciona visibilidad de las métricas de entrada o salida. Es mutuamente excluyente con las otras dos opciones. Necesita dispositivos de terceros para usar la administración de tráfico avanzada (como la inspección de firewall de L7 o el balanceo de cargas complejo). No es compatible con la puerta de enlace a nivel de aplicación (ALG).
Transferencia de datos a través del perímetro de Internet de la VPC del cliente	Tiene una configuración escalable. Admite BYOIP. Proporciona visibilidad y supervisión completas. Se puede combinar con la inspección de L7, el balanceo de cargas avanzado y productos de terceros. Se puede integrar con balanceadores de cargas nativos de Google y Cloud Service Mesh. Se puede integrar en Google Cloud Armor para la protección contra DSD.	Genera costos de transferencia de datos y de IP pública. Requiere una configuración más compleja. No tiene ningún ANS para el servicio combinado.
Transferencia de datos a través de conexiones locales	Usa las configuraciones existentes. Centraliza la seguridad y el balanceo de cargas de forma local. No genera costos adicionales de Google Cloud, excepto por los cargos de transferencia de datos de Cloud Interconnect.	Permite la menor cantidad de cambios. Ofrece asistencia global limitada. Es posible que se dividan los servicios de Internet para algunas cargas de trabajo.

Opción de acceso a Internet

Ventajas

Desventajas

Servicio de IP pública y de Internet de VMware Engine

No genera cargos adicionales. Está incluido en el costo del servicio de VMware Engine.

Es fácil de configurar.

Se respalda con ANS.

Tiene una configuración fija.

No es compatible con BYOIP.

Tiene una cuota y un ancho de banda limitados, lo que lo hace más adecuado para PoC o implementaciones pequeñas.

No proporciona visibilidad de las métricas de entrada o salida.

Es mutuamente excluyente con las otras dos opciones.

Necesita dispositivos de terceros para usar la administración de tráfico avanzada (como la inspección de firewall de L7 o el balanceo de cargas complejo).

No es compatible con la puerta de enlace a nivel de aplicación (ALG).

Transferencia de datos a través del perímetro de Internet de la VPC del cliente

Tiene una configuración escalable.

Admite BYOIP.

Proporciona visibilidad y supervisión completas.

Se puede combinar con la inspección de L7, el balanceo de cargas avanzado y productos de terceros.

Se puede integrar con balanceadores de cargas nativos de Google y Cloud Service Mesh.

Se puede integrar en Google Cloud Armor para la protección contra DSD.

Genera costos de transferencia de datos y de IP pública.

Requiere una configuración más compleja.

No tiene ningún ANS para el servicio combinado.

Transferencia de datos a través de conexiones locales

Usa las configuraciones existentes.

Centraliza la seguridad y el balanceo de cargas de forma local.

No genera costos adicionales de Google Cloud, excepto por los cargos de transferencia de datos de Cloud Interconnect.

Permite la menor cantidad de cambios.

Ofrece asistencia global limitada.

Es posible que se dividan los servicios de Internet para algunas cargas de trabajo.

Para obtener más información, consulta Configura el acceso a Internet para las VMs de cargas de trabajo.

Implementa el encadenamiento de servicios con dispositivos virtuales de red de terceros

VMware Engine admite el encadenamiento de servicios de red mediante topologías enrutadas de la capa 3. En este modo, puedes implementar y conectar una aplicación virtual de red de terceros en VMware Engine para proporcionar servicios de red intercalados a las VMs de VMware, como el balanceo de cargas, el firewall de nueva generación (NGFW) y la detección y prevención de intrusiones. Puedes implementar estos dispositivos de varias maneras, según los requisitos de segmentación y conectividad de las aplicaciones.

Son posibles varias topologías de implementación, con configuraciones y vínculos más enriquecidos en la cadena de servicios (por ejemplo, balanceadores de cargas frente a firewalls). También es posible implementar estos dispositivos en topologías activas-activas mediante el uso de pings y redundancia basados en el plano de datos, si el proveedor los admite.

En las siguientes secciones, se muestran topologías de implementación de muestra que usan un dispositivo de firewall basado en VM.

Detrás de una puerta de enlace de nivel 1

En esta topología de implementación, el dispositivo de terceros funciona como la puerta de enlace predeterminada para varias redes en el entorno. Puedes usar el dispositivo para inspeccionar el tráfico entre ellos, así como el tráfico que entra y sale del entorno de VMware Engine.

En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 1 en VMware Engine:

El dispositivo de terceros funciona como la puerta de enlace predeterminada de varias redes en el entorno.

Para implementar esta topología, haz lo siguiente:

Configura rutas estáticas en el nivel 1 para que apunten a la VM del dispositivo y lleguen a las redes que se encuentran detrás de ella.
En el nivel 0, redistribuye las rutas estáticas de nivel 1 en BGP.
En lo que respecta a la compatibilidad con el enrutamiento entre VLAN de invitado, las cargas de trabajo de invitado de VMware se limitan a 10 NIC virtuales. En algunos casos de uso, debes conectarte a más de 10 VLAN para generar la segmentación de firewall requerida. En este caso, puedes usar el etiquetado de VLAN para el ISV. El tamaño de las VMs invitadas de los proveedores de software independientes (ISV) debe ser compatible y distribuir el tráfico entre varios conjuntos de dispositivos ISV según sea necesario.

Detrás de una puerta de enlace de nivel 0

En esta topología de implementación, una puerta de enlace de nivel 0 funciona como la puerta de enlace predeterminada del dispositivo de terceros con una o más puertas de enlace de nivel 1 detrás del dispositivo. La puerta de enlace de nivel 0 se puede usar para proporcionar conectividad enrutable para la misma zona de seguridad y admitir la inspección en todas las zonas de seguridad o con el resto de Google Cloud. Esta topología permite comunicaciones de segmento a segmento a gran escala sin inspección de la capa 7.

En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 0 en VMware Engine:

El dispositivo de terceros tiene una o más puertas de enlace de nivel 1 detrás de él.

Para implementar esta topología, haz lo siguiente:

Configura una ruta estática predeterminada en cada puerta de enlace de nivel 1 que apunte al NGFW.
Configura rutas estáticas para llegar a los segmentos de cargas de trabajo en el nivel 0 con el NGFW como el siguiente salto.
Vuelve a distribuir estas rutas estáticas en BGP con un mapa de ruta para evitar que se redistribuya 0/0.

¿Qué sigue?

Obtén información sobre las prácticas recomendadas de procesamiento, seguridad, almacenamiento, migración y costos.
Prueba VMware Engine. Visita las funciones, los beneficios y los casos de uso para obtener más información.
Explora arquitecturas de referencia, diagramas, instructivos y prácticas recomendadas sobre Google Cloud. Para obtener más información, visita Cloud Architecture Center.