Cette page a été traduite par l'API Cloud Translation.

Bonnes pratiques de mise en réseau

Cette page présente les bonnes pratiques de mise en réseau pour Google Cloud VMware Engine.

Éviter les problèmes de routage

Communications dans VMware Engine et avec le reste d'Internet sont acheminées au niveau de la couche 3, à l'exception des réseaux étendus ou d'autres clouds privés VMware Engine.

Pour éviter les problèmes de configuration et éventuellement les performances ou les limites configuration du routage vers et depuis l'environnement VMware Engine, suivez ces bonnes pratiques:

Configurez le routeur Cloud associé à la connexion Cloud VPN ou Cloud Interconnect hybride sur site avec des annonces personnalisées récapitulatives pour les plages VMware Engine et les plages d'autres services de calcul Google, tels que Google Kubernetes Engine et Compute Engine.
Utilisez un espace d'adresses IP contigu pour les sous-réseaux de segments NSX.
Pour réduire au maximum le nombre de routes annoncées reste de Google, résumez les routes du segment NSX au niveau 0 comme suit:
- Si la NAT est requise, résumez les adresses IP NAT en dehors du niveau 0 plutôt que des adresses /32.
- Résume les adresses IP des points de terminaison IPsec (/32) au niveau 0.
- Résume les adresses IP de profils DNS (/32) au niveau 0.
Activer le relais DHCP NSX-T selon que les services DHCP résident dans VMware Engine ou ailleurs.
Lorsque vous redistribuez des routes statiques de niveau 0 dans BGP, appliquez un mappage de route pour empêcher la redistribution de 0/0.

Choisir une option d'accès à Internet adaptée

VMware Engine propose les options suivantes pour configurer l'accès Internet et les adresses IP publiques. Tenez compte des avantages et des inconvénients de chacune d'elles, comme indiqué dans le tableau suivant, pour choisir l'option la plus appropriée :

Option d'accès à Internet	Avantages	Inconvénients
Internet et service IP public de VMware Engine	Aucuns frais supplémentaires ne sont facturés. Inclus dans le coût du service VMware Engine. est facile à configurer ; s'appuie sur un contrat de niveau de service ;	possède une configuration fixe ; Non compatible avec l'utilisation de vos propres adresses IP (BYOIP). Le quota et la bande passante sont limités, ce qui le rend plus adapté aux tests ou aux petits déploiements. N'offre aucune visibilité sur les métriques d'entrée/de sortie. S'exclue mutuellement avec les deux autres options. Nécessite des dispositifs tiers pour utiliser la gestion avancée du trafic comme l'inspection de pare-feu L7 ou l'équilibrage de charge complexe). Non compatible avec la passerelle de couche application (ALG).
Transfert de données via le point de terminaison Internet du VPC du client	Dispose d'une configuration évolutive. Compatible avec BYOIP. Fournit une visibilité et une surveillance complètes. Peut être combiné à l'inspection L7, à l'équilibrage de charge avancé et des produits tiers. Peut être intégré aux équilibreurs de charge natifs Google et à Cloud Service Mesh. Intégration à Google Cloud Armor pour la protection contre les attaques DDoS.	Cela entraîne des coûts liés au transfert de données et à l'adresse IP publique. Nécessite une configuration plus complexe. n'est associé à aucun contrat de niveau de service pour le service combiné.
Transfert de données via des connexions sur site	Utilise les configurations existantes. Centralise la sécurité et l'équilibrage de charge sur site. N'entraîne aucuns frais Google Cloud supplémentaires, à l'exception de Frais de transfert de données Cloud Interconnect.	Permet le moins de modifications possible. Offre une assistance mondiale limitée. Cela peut entraîner une division des services Internet pour certaines charges de travail.

Option d'accès à Internet

Avantages

Inconvénients

Internet et service IP public de VMware Engine

Aucuns frais supplémentaires ne sont facturés. Inclus dans le coût du service VMware Engine.

est facile à configurer ;

s'appuie sur un contrat de niveau de service ;

possède une configuration fixe ;

Non compatible avec l'utilisation de vos propres adresses IP (BYOIP).

Le quota et la bande passante sont limités, ce qui le rend plus adapté aux tests ou aux petits déploiements.

N'offre aucune visibilité sur les métriques d'entrée/de sortie.

S'exclue mutuellement avec les deux autres options.

Nécessite des dispositifs tiers pour utiliser la gestion avancée du trafic comme l'inspection de pare-feu L7 ou l'équilibrage de charge complexe).

Non compatible avec la passerelle de couche application (ALG).

Transfert de données via le point de terminaison Internet du VPC du client

Dispose d'une configuration évolutive.

Compatible avec BYOIP.

Fournit une visibilité et une surveillance complètes.

Peut être combiné à l'inspection L7, à l'équilibrage de charge avancé et des produits tiers.

Peut être intégré aux équilibreurs de charge natifs Google et à Cloud Service Mesh.

Intégration à Google Cloud Armor pour la protection contre les attaques DDoS.

Cela entraîne des coûts liés au transfert de données et à l'adresse IP publique.

Nécessite une configuration plus complexe.

n'est associé à aucun contrat de niveau de service pour le service combiné.

Transfert de données via des connexions sur site

Utilise les configurations existantes.

Centralise la sécurité et l'équilibrage de charge sur site.

N'entraîne aucuns frais Google Cloud supplémentaires, à l'exception de Frais de transfert de données Cloud Interconnect.

Permet le moins de modifications possible.

Offre une assistance mondiale limitée.

Cela peut entraîner une division des services Internet pour certaines charges de travail.

Pour en savoir plus, consultez la page Configurer l'accès Internet pour les VM de charge de travail.

Implémenter un chaînage de service à l'aide de dispositifs de réseau virtuel tiers

VMware Engine prend en charge le chaînage de services réseau à l'aide de la couche 3 et des topologies acheminées. Dans ce mode, vous pouvez déployer et connecter un dispositif virtuel de réseau tiers dans VMware Engine pour fournir des services réseau intégrés aux VM VMware : équilibrage de charge, pare-feu nouvelle génération (NGFW), et détection et prévention des intrusions. Toi peuvent déployer ces dispositifs de plusieurs façons, en fonction et les exigences de connectivité des applications.

Plusieurs topologies de déploiement sont possibles, avec des configurations et des liens plus riches dans la chaîne de services (par exemple, des équilibreurs de charge devant des pare-feu). Il est également possible de déployer ces dispositifs dans des topologies actives-actives en à l'aide des pulsations et de la redondance basées sur le plan de données, si le fournisseur le permet.

Les sections suivantes présentent des exemples de topologie de déploiement qui utilisent un dispositif de pare-feu basé sur une VM.

Derrière une passerelle de niveau 1

Dans cette topologie de déploiement, le dispositif tiers est utilisé passerelle réseau pour plusieurs réseaux de l'environnement. Vous pouvez utiliser l'appliance pour inspecter le trafic entre eux, ainsi que le trafic entrant et sortant de l'environnement VMware Engine.

Le schéma suivant montre le fonctionnement d'une passerelle de niveau 1 dans VMware Engine :

Un dispositif tiers sert de passerelle par défaut pour plusieurs réseaux de l'environnement.

Pour mettre en œuvre cette topologie, procédez comme suit :

Configurez des routes statiques au niveau du niveau 1 pour qu'elles pointent vers la VM de l'appliance et atteignent les réseaux derrière elle.
Au niveau 0, redistribuez les routes statiques de niveau 1 dans BGP.
En ce qui concerne le support pour le routage inter-VLAN invité, Les charges de travail invitées VMware sont limitées à 10 cartes d'interface réseau virtuelles. Dans certains cas d'utilisation, vous devez vous connecter à plus de 10 VLAN pour produire le pare-feu segmentation requise. Dans ce cas, vous pouvez utiliser le marquage VLAN pour l'ISV. Les VM invitées des fournisseurs de logiciels indépendants (ISV, Independent Software Vendors) doivent être dimensionnées pour prendre en charge et distribuer le trafic entre plusieurs ensembles d'appliances ISV selon les besoins.

Derrière une passerelle de niveau 0

Dans cette topologie de déploiement, une passerelle de niveau 0 sert de passerelle par défaut le dispositif tiers avec une ou plusieurs passerelles de niveau 1 derrière l'appareil. La passerelle de niveau 0 peut être utilisée pour fournir une connectivité routée pour la même zone de sécurité et prendre en charge l'inspection dans les zones de sécurité ou avec le reste de Google Cloud. Cette topologie permet des communications de segment à segment à grande échelle sans inspection de couche 7.

Le schéma suivant montre le fonctionnement d'une passerelle de niveau 0 dans VMware Engine:

Le dispositif tiers est géré par une ou plusieurs passerelles de niveau 1.

Pour mettre en œuvre cette topologie, procédez comme suit :

Configurez une route statique par défaut sur chaque passerelle de niveau 1 pointant vers NGFW.
Configurez des routes statiques pour atteindre les segments de charge de travail de niveau 0 avec NGFW comme prochain saut.
Distribuez ces routes statiques dans BGP à l'aide d'un mappage de routes empêche la redistribution des 0/0.

Étape suivante

Découvrez les bonnes pratiques concernant le calcul, la sécurité, le stockage, la migration et les coûts.
Essayez VMware Engine. Pour en savoir plus, consultez la page Fonctionnalités, avantages et cas d'utilisation.
Découvrez des architectures de référence, des diagrammes, des tutoriels et des bonnes pratiques sur Google Cloud. Consultez le Centre d'architecture cloud pour plus d'informations.