Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques de mise en réseau

Cette page présente les bonnes pratiques de mise en réseau pour Google Cloud VMware Engine.

Éviter les problèmes de routage

Les communications au sein de VMware Engine et avec le reste d'Internet sont acheminées au niveau de la couche 3, à l'exception des réseaux étendus à partir de réseaux sur site ou d'autres clouds privés VMware Engine.

Pour éviter les problèmes de configuration, et éventuellement de performances ou de limites lors de la configuration du routage vers et depuis l'environnement VMware Engine, suivez ces bonnes pratiques:

Configurez Cloud Router associé à la connexion Cloud VPN ou Cloud Interconnect hybride sur site avec des annonces personnalisées récapitulatives pour les plages VMware Engine et les plages d'autres services de calcul Google, tels que Google Kubernetes Engine et Compute Engine.
Utilisez un espace d'adresses IP contigu pour les sous-réseaux de segments NSX.
Pour réduire le nombre de routes annoncées au reste de Google, résumez les routes de segment NSX au niveau de niveau 0 comme suit:
- Si le NAT est requis, résumez les adresses IP NAT en dehors du niveau 0 plutôt qu'en /32.
- Résumez les adresses IP des points de terminaison IPSec (/32) au niveau 0.
- Résumez les adresses IP (/32) du profil DNS au niveau de l'étage 0.
Activez le relais DHCP NSX-T en fonction de l'emplacement des services DHCP (dans VMware Engine ou ailleurs).
Lorsque vous redistribuez des routes statiques de niveau 0 dans BGP, appliquez un mappage de route pour empêcher la redistribution de 0/0.

Choisir une option d'accès à Internet appropriée

VMware Engine propose les options suivantes pour configurer l'accès Internet et les adresses IP publiques. Tenez compte des avantages et des inconvénients de chacune d'elles, comme indiqué dans le tableau suivant, pour choisir l'option la plus appropriée:

Option d'accès à Internet	Avantages	Inconvénients
Service Internet et d'adresse IP publique de VMware Engine	n'entraîne aucuns frais supplémentaires ; Inclus dans le coût du service VMware Engine. est facile à configurer ; est couvert par un contrat de niveau de service ;	Ils ont une configuration fixe. Non compatible avec l'utilisation de vos propres adresses IP (BYOIP). Le quota et la bande passante sont limités, ce qui le rend plus adapté aux tests ou aux petits déploiements. Ne fournit aucune visibilité sur les métriques d'entrée/de sortie. S'exclut mutuellement des deux autres options. Nécessite des appareils tiers pour utiliser une gestion du trafic avancée (telle que l'inspection de pare-feu de couche 7 ou l'équilibrage de charge complexe). Non compatible avec la passerelle de couche application (ALG).
Transfert de données via le point de terminaison Internet du VPC du client	Offre une configuration évolutive. Compatible avec BYOIP. Fournit une visibilité et une surveillance complètes. Peut être combiné à l'inspection de niveau L7, à l'équilibrage de charge avancé et à des produits tiers. Peut être intégré aux équilibreurs de charge natifs Google et à Cloud Service Mesh. Peut être intégré à Google Cloud Armor pour la protection DDoS.	Entraîne des coûts de transfert de données et d'adresse IP publique. Nécessite une configuration plus complexe. Aucun contrat de niveau de service ne s'applique au service combiné.
Transfert de données via des connexions sur site	Utilise les configurations existantes. Centralise la sécurité et l'équilibrage de charge sur site. Ne génère pas de coûts Google Cloud supplémentaires, sauf pour les frais de transfert de données Cloud Interconnect.	Permet le moins de modifications possible. Offre une assistance mondiale limitée. Cela peut entraîner une division des services Internet pour certaines charges de travail.

Option d'accès à Internet

Avantages

Inconvénients

Service Internet et d'adresse IP publique de VMware Engine

n'entraîne aucuns frais supplémentaires ; Inclus dans le coût du service VMware Engine.

est facile à configurer ;

est couvert par un contrat de niveau de service ;

Ils ont une configuration fixe.

Non compatible avec l'utilisation de vos propres adresses IP (BYOIP).

Le quota et la bande passante sont limités, ce qui le rend plus adapté aux tests ou aux petits déploiements.

Ne fournit aucune visibilité sur les métriques d'entrée/de sortie.

S'exclut mutuellement des deux autres options.

Nécessite des appareils tiers pour utiliser une gestion du trafic avancée (telle que l'inspection de pare-feu de couche 7 ou l'équilibrage de charge complexe).

Non compatible avec la passerelle de couche application (ALG).

Transfert de données via le point de terminaison Internet du VPC du client

Offre une configuration évolutive.

Compatible avec BYOIP.

Fournit une visibilité et une surveillance complètes.

Peut être combiné à l'inspection de niveau L7, à l'équilibrage de charge avancé et à des produits tiers.

Peut être intégré aux équilibreurs de charge natifs Google et à Cloud Service Mesh.

Peut être intégré à Google Cloud Armor pour la protection DDoS.

Entraîne des coûts de transfert de données et d'adresse IP publique.

Nécessite une configuration plus complexe.

Aucun contrat de niveau de service ne s'applique au service combiné.

Transfert de données via des connexions sur site

Utilise les configurations existantes.

Centralise la sécurité et l'équilibrage de charge sur site.

Ne génère pas de coûts Google Cloud supplémentaires, sauf pour les frais de transfert de données Cloud Interconnect.

Permet le moins de modifications possible.

Offre une assistance mondiale limitée.

Cela peut entraîner une division des services Internet pour certaines charges de travail.

Pour en savoir plus, consultez Configurer l'accès à Internet pour les VM de charge de travail.

Implémenter la chaîne de services à l'aide de dispositifs réseau virtuels tiers

VMware Engine prend en charge l'enchaînement de services réseau à l'aide de topologie de routage de couche 3. Dans ce mode, vous pouvez déployer et connecter un appareil virtuel réseau tiers dans VMware Engine pour fournir des services réseau en ligne aux VM VMware, tels que l'équilibrage de charge, le pare-feu de nouvelle génération (NGFW) et la détection et la prévention des intrusions. Vous pouvez déployer ces appliances de différentes manières, en fonction des exigences de segmentation et de connectivité des applications.

Plusieurs topologies de déploiement sont possibles, avec des configurations et des liens plus riches dans la chaîne de services (par exemple, des équilibreurs de charge devant des pare-feu). Il est également possible de déployer ces appareils dans des topologies actives-actives à l'aide de battements de cœur et de redondance basés sur le plan de données, si le fournisseur les prend en charge.

Les sections suivantes présentent des exemples de topologie de déploiement qui utilisent un dispositif de pare-feu basé sur une VM.

Derrière une passerelle de niveau 1

Dans cette topologie de déploiement, l'appareil tiers sert de passerelle par défaut pour plusieurs réseaux de l'environnement. Vous pouvez utiliser l'appliance pour inspecter le trafic entre eux, ainsi que le trafic entrant et sortant de l'environnement VMware Engine.

Le schéma suivant montre le fonctionnement d'une passerelle de niveau 1 dans VMware Engine:

L'appareil tiers sert de passerelle par défaut pour plusieurs réseaux de l'environnement.

Pour mettre en œuvre cette topologie, procédez comme suit:

Configurez des routes statiques au niveau du niveau 1 pour qu'elles pointent vers la VM de l'appliance et atteignent les réseaux derrière elle.
Au niveau de la couche 0, redistribuez les routes statiques de niveau 1 dans BGP.
En ce qui concerne la prise en charge du routage inter-VLAN invité, les charges de travail invitées VMware sont limitées à 10 cartes d'interface réseau virtuelles. Dans certains cas d'utilisation, vous devez vous connecter à plus de 10 VLAN pour générer la segmentation de pare-feu requise. Dans ce cas, vous pouvez utiliser le marquage VLAN pour l'ISV. Les VM invitées des fournisseurs de logiciels indépendants (ISV, Independent Software Vendors) doivent être dimensionnées pour prendre en charge et distribuer le trafic entre plusieurs ensembles d'appliances ISV selon les besoins.

Derrière une passerelle de niveau 0

Dans cette topologie de déploiement, une passerelle de niveau 0 sert de passerelle par défaut pour l'appareil tiers, avec une ou plusieurs passerelles de niveau 1 derrière l'appareil. La passerelle de niveau 0 peut être utilisée pour fournir une connectivité routée pour la même zone de sécurité et prendre en charge l'inspection dans les zones de sécurité ou avec le reste de Google Cloud. Cette topologie permet des communications de grande envergure de segment à segment sans inspection de couche 7.

Le schéma suivant montre comment fonctionne une passerelle de niveau 0 dans VMware Engine:

L'appliance tierce est associée à une ou plusieurs passerelles de niveau 1.

Pour mettre en œuvre cette topologie, procédez comme suit:

Configurez une route statique par défaut sur chaque passerelle de niveau 1 pointant vers le NGFW.
Configurez des routes statiques pour atteindre les segments de charge de travail au niveau de la couche 0 avec le NGFW comme saut suivant.
Redistribuez ces routes statiques dans BGP à l'aide d'un mappage de route pour éviter que 0/0 ne soit redistribué.

Étape suivante

Découvrez les bonnes pratiques concernant le calcul, la sécurité, le stockage, la migration et les coûts.
Essayez VMware Engine. Pour en savoir plus, consultez la page Fonctionnalités, avantages et cas d'utilisation.
Découvrez des architectures de référence, des schémas, des tutoriels et des bonnes pratiques concernant Google Cloud. Pour en savoir plus, consultez le Centre d'architecture cloud.