Halaman ini diterjemahkan oleh Cloud Translation API.

Praktik terbaik jejaring

Halaman ini menyajikan praktik terbaik jaringan untuk Google Cloud VMware Engine.

Mencegah masalah pemilihan rute

Komunikasi dalam VMware Engine dan dengan sisa internet diarahkan di Lapisan 3, kecuali untuk jaringan yang diperluas dari infrastruktur lokal atau dari cloud pribadi VMware Engine lainnya.

Untuk mencegah masalah terkait konfigurasi dan mungkin performa atau batasan saat menyiapkan perutean ke dan dari lingkungan VMware Engine, ikuti praktik terbaik ini:

Konfigurasikan Cloud Router yang terkait dengan VPN Cloud Interconnect lokal atau koneksi Cloud Interconnect dengan iklan kustom ringkasan untuk rentang VMware Engine dan rentang layanan komputasi Google lainnya, seperti Google Kubernetes Engine dan Compute Engine.
Gunakan ruang alamat IP yang berdekatan untuk subnet segmen NSX.
Untuk meminimalkan jumlah rute yang diumumkan ke seluruh Google, rangkum rute segmen NSX di tingkat 0 sebagai berikut:
- Jika NAT diperlukan, rangkum IP NAT dari tier-0, bukan /32.
- Meringkas IP endpoint IPsec (/32) di tingkat 0.
- Meringkas IP profil DNS (/32) di tingkat-0.
Aktifkan NSX-T DHCP Relay berdasarkan apakah layanan DHCP akan berada di VMware Engine atau di tempat lain.
Saat mendistribusikan ulang rute statis tingkat 0 ke BGP, terapkan peta rute untuk mencegah distribusi ulang 0/0.

Memilih opsi akses internet yang sesuai

VMware Engine menawarkan opsi berikut untuk mengonfigurasi akses internet dan alamat IP publik. Pertimbangkan kelebihan dan kekurangan masing-masing opsi, seperti yang tercantum dalam tabel berikut, untuk memilih opsi yang paling sesuai:

Opsi akses internet	Kelebihan	Kekurangan
Layanan internet dan IP publik VMware Engine	Tidak dikenai biaya tambahan apa pun. Termasuk dalam biaya layanan VMware Engine. Mudah disiapkan. Didukung SLA.	Memiliki konfigurasi tetap. Tidak mendukung BYOIP. Memiliki kuota dan bandwidth yang terbatas, yang membuatnya lebih cocok untuk PoC atau deployment kecil. Tidak memberikan visibilitas terkait metrik masuk/keluar. Saling eksklusif dengan dua opsi lainnya. Memerlukan peralatan pihak ketiga untuk menggunakan pengelolaan traffic lanjutan (seperti pemeriksaan firewall L7 atau load balancing yang kompleks). Tidak mendukung Gateway Tingkat Aplikasi (ALG).
Transfer data melalui edge internet VPC pelanggan	Memiliki konfigurasi skalabel. Mendukung BYOIP. Memberikan visibilitas dan pemantauan penuh. Dapat digabungkan dengan pemeriksaan L7, load balancing lanjutan, dan produk pihak ketiga. Dapat diintegrasikan dengan load balancer native Google dan Cloud Service Mesh. Dapat diintegrasikan dengan Google Cloud Armor untuk melindungi dari DDoS.	Dikenai biaya transfer data dan IP publik. Memerlukan konfigurasi yang lebih kompleks. Tidak memiliki SLA untuk layanan gabungan.
Transfer data melalui koneksi lokal	Menggunakan konfigurasi yang ada. Memusatkan keamanan dan load balancing di infrastruktur lokal. Tidak menimbulkan biaya Google Cloud tambahan, kecuali untuk biaya transfer data Cloud Interconnect.	Memungkinkan paling sedikit perubahan. Menawarkan dukungan global yang terbatas. Dapat menyebabkan pemisahan layanan internet untuk beberapa workload.

Opsi akses internet

Kelebihan

Kekurangan

Layanan internet dan IP publik VMware Engine

Tidak dikenai biaya tambahan apa pun. Termasuk dalam biaya layanan VMware Engine.

Mudah disiapkan.

Didukung SLA.

Memiliki konfigurasi tetap.

Tidak mendukung BYOIP.

Memiliki kuota dan bandwidth yang terbatas, yang membuatnya lebih cocok untuk PoC atau deployment kecil.

Tidak memberikan visibilitas terkait metrik masuk/keluar.

Saling eksklusif dengan dua opsi lainnya.

Memerlukan peralatan pihak ketiga untuk menggunakan pengelolaan traffic lanjutan (seperti pemeriksaan firewall L7 atau load balancing yang kompleks).

Tidak mendukung Gateway Tingkat Aplikasi (ALG).

Transfer data melalui edge internet VPC pelanggan

Memiliki konfigurasi skalabel.

Mendukung BYOIP.

Memberikan visibilitas dan pemantauan penuh.

Dapat digabungkan dengan pemeriksaan L7, load balancing lanjutan, dan produk pihak ketiga.

Dapat diintegrasikan dengan load balancer native Google dan Cloud Service Mesh.

Dapat diintegrasikan dengan Google Cloud Armor untuk melindungi dari DDoS.

Dikenai biaya transfer data dan IP publik.

Memerlukan konfigurasi yang lebih kompleks.

Tidak memiliki SLA untuk layanan gabungan.

Transfer data melalui koneksi lokal

Menggunakan konfigurasi yang ada.

Memusatkan keamanan dan load balancing di infrastruktur lokal.

Tidak menimbulkan biaya Google Cloud tambahan, kecuali untuk biaya transfer data Cloud Interconnect.

Memungkinkan paling sedikit perubahan.

Menawarkan dukungan global yang terbatas.

Dapat menyebabkan pemisahan layanan internet untuk beberapa workload.

Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi akses internet untuk VM workload.

Menerapkan perantaian layanan menggunakan peralatan jaringan virtual pihak ketiga

VMware Engine mendukung perantaian layanan jaringan menggunakan topologi rute Lapisan 3. Dalam mode ini, Anda dapat men-deploy dan menghubungkan alat virtual jaringan pihak ketiga di VMware Engine untuk menyediakan layanan jaringan inline ke VM VMware, seperti load balancing, firewalling generasi berikutnya (NGFW), serta deteksi dan pencegahan penyusupan. Anda dapat men-deploy peralatan ini dengan beberapa cara, bergantung pada persyaratan segmentasi dan konektivitas aplikasi.

Beberapa topologi deployment dapat dilakukan, dengan link dan konfigurasi yang lebih lengkap dalam rantai layanan (misalnya, load balancer di depan firewall). Peralatan ini juga dapat di-deploy dalam topologi aktif-aktif menggunakan redundansi dan detak jantung berbasis dataplane, jika vendor mendukungnya.

Bagian berikut menunjukkan contoh topologi deployment yang menggunakan perangkat firewall berbasis VM.

Di balik gateway tingkat-1

Dalam topologi deployment ini, perangkat pihak ketiga berfungsi sebagai gateway default untuk beberapa jaringan di lingkungan. Anda dapat menggunakan alat ini untuk memeriksa traffic di antara keduanya serta traffic yang masuk dan keluar dari lingkungan VMware Engine.

Diagram berikut menunjukkan cara kerja gateway tingkat 1 di VMware Engine:

Perangkat pihak ketiga berfungsi sebagai gateway default untuk beberapa jaringan di lingkungan.

Untuk menerapkan topologi ini, lakukan hal berikut:

Konfigurasi rute statis di tingkat 1 agar mengarah ke VM appliance dan jangkau jaringan di belakangnya.
Di tingkat 0, distribusikan ulang rute statis tingkat 1 ke BGP.
Sehubungan dengan dukungan untuk perutean antar-VLAN tamu, workload tamu VMware dibatasi hingga 10 NIC virtual. Dalam beberapa kasus penggunaan, Anda harus terhubung ke lebih dari 10 VLAN untuk menghasilkan segmentasi firewall yang diperlukan. Dalam hal ini, Anda dapat menggunakan pemberian tag VLAN ke ISV. VM tamu dari vendor software independen (ISV) harus disesuaikan ukurannya untuk mendukung dan mendistribusikan traffic di antara beberapa rangkaian peralatan ISV sesuai kebutuhan.

Di balik gateway tingkat 0

Dalam topologi deployment ini, gateway tingkat 0 berfungsi sebagai gateway default untuk perangkat pihak ketiga dengan satu atau beberapa gateway tingkat 1 di belakang perangkat. Gateway tingkat-0 dapat digunakan untuk menyediakan konektivitas yang dirutekan untuk zona keamanan yang sama dan mendukung inspeksi di seluruh zona keamanan atau dengan seluruh Google Cloud. Topologi ini memungkinkan komunikasi segmen ke segmen skala besar tanpa pemeriksaan Lapisan 7.

Diagram berikut menunjukkan cara kerja gateway tingkat 0 di VMware Engine:

Perangkat pihak ketiga memiliki satu atau beberapa gateway tingkat 1 di belakangnya.

Untuk menerapkan topologi ini, lakukan hal berikut:

Konfigurasikan rute statis default di setiap gateway tingkat-1 yang mengarah ke NGFW.
Konfigurasikan rute statis untuk menjangkau segmen workload di tingkat 0 dengan NGFW sebagai next hop.
Distribusikan ulang rute statis ini ke BGP dengan peta rute untuk mencegah distribusi ulang 0/0.

Langkah selanjutnya

Baca praktik terbaik untuk compute, keamanan, penyimpanan, migrasi, dan biaya.
Coba VMware Engine. Buka fitur, manfaat, dan kasus penggunaan untuk mengetahui informasi selengkapnya.
Pelajari arsitektur referensi, diagram, tutorial, dan praktik terbaik tentang Google Cloud. Kunjungi Cloud Architecture Center untuk mengetahui informasi lebih lanjut.