Se usó la API de Cloud Translation para traducir esta página.

Prácticas recomendadas para redes

En esta página, se presentan las prácticas recomendadas de herramientas de redes para Google Cloud VMware Engine.

Evita problemas de enrutamiento

Comunicaciones dentro de VMware Engine y con el resto de Internet se enrutan en la capa 3, excepto en las redes que se extienden desde entornos locales o desde otras nubes privadas de VMware Engine.

Para evitar problemas con la configuración y posiblemente el rendimiento o los límites configura el enrutamiento hacia y desde el entorno de VMware Engine, sigue estas prácticas recomendadas:

Configura el Cloud Router asociado con el híbrido local Conexión de Cloud VPN o Cloud Interconnect con resumen anuncios personalizados para los rangos de VMware Engine y los rangos de otras aplicaciones servicios, como Google Kubernetes Engine y Compute Engine.
Usa un espacio de direcciones IP contiguo para las subredes de segmentos de NSX.
Para minimizar la cantidad de rutas que se anuncian al resto de Google, resume las rutas de segmento de NSX en el nivel 0 de la siguiente manera:
- Si se requiere NAT, resume las IP de NAT fuera del nivel 0 en lugar de las de /32.
- Resume las IP de los extremos de IPsec (/32) en el nivel 0.
- Resume las IP de perfiles de DNS (/32's) en nivel 0.
Habilita NSX-T DHCP Relay en función de si los servicios de DHCP residirán en VMware Engine o en otro lugar.
Cuando redistribuyas las rutas estáticas de nivel 0 en BGP, aplica un mapa de rutas para evitar que se redistribuya 0/0.

Elige una opción de acceso a Internet adecuada

VMware Engine ofrece las siguientes opciones para configurar el acceso a Internet y direcciones IP públicas. Considera las ventajas y desventajas de cada una, ya que en la siguiente tabla, para elegir la opción más adecuada:

Opción de acceso a Internet	Ventajas	Desventajas
Servicio de IP pública y de Internet de VMware Engine	No genera cargos adicionales. Está incluido en el costo del servicio de VMware Engine. Son fáciles de configurar. Se respalda con ANS.	Tiene una configuración fija. No es compatible con BYOIP. Tiene una cuota y un ancho de banda limitados, lo que lo hace más adecuado para PoC o implementaciones pequeñas. No proporciona visibilidad de las métricas de entrada/salida. Es mutuamente excluyente con las otras dos opciones. Necesita dispositivos de terceros para usar la administración de tráfico avanzada (como la inspección de firewall de L7 o el balanceo de cargas complejo). No es compatible con la puerta de enlace a nivel de la aplicación (ALG).
Transferencia de datos a través del perímetro de Internet de la VPC del cliente	Tiene una configuración escalable. Admite BYOIP. Proporciona visibilidad y supervisión completas. Se puede combinar con la inspección L7, el balanceo de cargas avanzado y productos de terceros. Se puede integrar con balanceadores de cargas nativos de Google y Cloud Service Mesh. Se puede integrar en Google Cloud Armor. para la protección contra DSD.	Genera costos de IP pública y transferencia de datos. Requiere una configuración más compleja. No tiene ningún ANS para el servicio combinado.
Transferencia de datos a través de conexiones locales	Usa las configuraciones existentes. Centraliza la seguridad y el balanceo de cargas en el entorno local. No genera costos adicionales de Google Cloud, excepto los cargos por transferencia de datos de Cloud Interconnect.	Permite la menor cantidad de cambios. Ofrece asistencia global limitada. Es posible que se dividan los servicios de Internet para algunas cargas de trabajo.

Opción de acceso a Internet

Ventajas

Desventajas

Servicio de IP pública y de Internet de VMware Engine

No genera cargos adicionales. Está incluido en el costo del servicio de VMware Engine.

Son fáciles de configurar.

Se respalda con ANS.

Tiene una configuración fija.

No es compatible con BYOIP.

Tiene una cuota y un ancho de banda limitados, lo que lo hace más adecuado para PoC o implementaciones pequeñas.

No proporciona visibilidad de las métricas de entrada/salida.

Es mutuamente excluyente con las otras dos opciones.

Necesita dispositivos de terceros para usar la administración de tráfico avanzada (como la inspección de firewall de L7 o el balanceo de cargas complejo).

No es compatible con la puerta de enlace a nivel de la aplicación (ALG).

Transferencia de datos a través del perímetro de Internet de la VPC del cliente

Tiene una configuración escalable.

Admite BYOIP.

Proporciona visibilidad y supervisión completas.

Se puede combinar con la inspección L7, el balanceo de cargas avanzado y productos de terceros.

Se puede integrar con balanceadores de cargas nativos de Google y Cloud Service Mesh.

Se puede integrar en Google Cloud Armor. para la protección contra DSD.

Genera costos de IP pública y transferencia de datos.

Requiere una configuración más compleja.

No tiene ningún ANS para el servicio combinado.

Transferencia de datos a través de conexiones locales

Usa las configuraciones existentes.

Centraliza la seguridad y el balanceo de cargas en el entorno local.

No genera costos adicionales de Google Cloud, excepto los cargos por transferencia de datos de Cloud Interconnect.

Permite la menor cantidad de cambios.

Ofrece asistencia global limitada.

Es posible que se dividan los servicios de Internet para algunas cargas de trabajo.

Si deseas obtener más información, consulta Configura el acceso a Internet para las VMs de carga de trabajo.

Implementa el encadenamiento de servicios con dispositivos virtuales de red de terceros

VMware Engine admite el encadenamiento de servicios de red mediante topologías enrutadas de la capa 3. En este modo, puedes implementar y conectar un dispositivo virtual de red de terceros en VMware Engine proporcionar servicios de red intercalados a VMs de VMware, como balanceo de cargas, firewall de nueva generación (NGFW) y detección y prevención de intrusiones. Tú puede implementar estos dispositivos de varias maneras, según la segmentación de seguridad y conectividad de las aplicaciones.

Son posibles varias topologías de implementación, con configuraciones y vínculos más enriquecidos en la cadena de servicios (por ejemplo, balanceadores de cargas frente a firewalls). También es posible implementar estos dispositivos en topologías activas-activas mediante el uso de pings y redundancia basados en el plano de datos, si el proveedor los admite.

En las siguientes secciones, se muestran topologías de implementación de muestra que usan un Dispositivo de firewall basado en VM.

Detrás de una puerta de enlace de nivel 1

En esta topología de implementación, el dispositivo de terceros funciona como de enlace para varias redes en el entorno. Puedes usar el dispositivo para inspeccionar el tráfico entre ellos, así como el tráfico que entra y salir del entorno de VMware Engine.

En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 1 en VMware Engine:

Un dispositivo de terceros sirve como puerta de enlace predeterminada para varias redes en el entorno.

Para implementar esta topología, haz lo siguiente:

Configura rutas estáticas en el nivel 1 para que apunten a la VM del dispositivo y lleguen a las redes que se encuentran detrás de ella.
En el nivel 0, redistribuye las rutas estáticas de nivel 1 en BGP.
En lo que respecta a la compatibilidad con el enrutamiento entre VLAN de invitado, las cargas de trabajo de invitado de VMware se limitan a 10 NIC virtuales. En algunos casos de uso, debes conectarte a más de 10 VLAN para generar la segmentación de firewall requerida. En este caso, puedes usar el etiquetado de VLAN para el ISV. El tamaño de las VMs invitadas de los proveedores de software independientes (ISV) debe ser compatible y distribuir el tráfico entre varios conjuntos de dispositivos ISV según sea necesario.

Detrás de una puerta de enlace de nivel 0

En esta topología de implementación, una puerta de enlace de nivel 0 funciona como la puerta de enlace predeterminada del dispositivo de terceros con una o más puertas de enlace de nivel 1 detrás del dispositivo. La puerta de enlace de nivel 0 puede usarse para proporcionar conectividad enrutada a la misma zona de seguridad y admitir la inspección en todas las zonas de seguridad o con el resto de en Google Cloud. Esta topología permite una segmentación de segmento a segmento sin la inspección de capa 7.

En el siguiente diagrama, se muestra cómo funciona una puerta de enlace de nivel 0 en VMware Engine:

El dispositivo de terceros tiene una o más puertas de enlace de nivel 1 detrás de él.

Para implementar esta topología, haz lo siguiente:

Configura una ruta estática predeterminada en cada puerta de enlace de nivel 1 que apunte al NGFW.
Configura rutas estáticas para llegar a los segmentos de cargas de trabajo en el nivel 0 con el NGFW como el siguiente salto.
Redistribuye estas rutas estáticas en BGP con un mapa de ruta evita que se redistribuya 0/0.

¿Qué sigue?

Lee sobre las prácticas recomendadas para el procesamiento, seguridad, almacenamiento, migración y costos.
Prueba VMware Engine. Visita las funciones, los beneficios y los casos de uso para obtener más información.
Explora arquitecturas de referencia, diagramas, instructivos y prácticas recomendadas sobre Google Cloud. Para obtener más información, visita Cloud Architecture Center.