Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas de rede

Esta página apresenta as práticas recomendadas de rede para o Google Cloud VMware Engine.

Evite problemas de planeamento de trajeto

As comunicações no VMware Engine e com o resto da Internet são encaminhadas na camada 3, exceto para redes que são expandidas a partir de localizações ou de outras nuvens privadas do VMware Engine.

Para evitar problemas com a configuração e, possivelmente, o desempenho ou os limites ao configurar o encaminhamento de e para o ambiente do VMware Engine, siga estas práticas recomendadas:

Configure o Cloud Router associado à ligação híbrida do Cloud VPN ou do Cloud Interconnect com anúncios personalizados para intervalos do VMware Engine e os intervalos de outros serviços de computação da Google, como o Google Kubernetes Engine e o Compute Engine.
Use um espaço de endereços IP contíguo para sub-redes de segmentos NSX.
Para minimizar o número de rotas anunciadas ao resto da Google, resuma as rotas de segmento NSX no nível 0 da seguinte forma:
- Se for necessário NAT, resuma os IPs NAT fora do nível 0 em vez de /32.
- Resuma os IPs dos pontos finais IPsec (/32) no nível 0.
- Resuma os IPs do perfil de DNS (/32) no nível 0.
Ative a transmissão DHCP do NSX-T com base no facto de os serviços DHCP residirem no VMware Engine ou noutro local.
Quando redistribuir rotas estáticas de nível 0 para o BGP, aplique um mapa de rotas para impedir a redistribuição de 0/0.

Escolha uma opção de acesso à Internet adequada

O VMware Engine oferece as seguintes opções para configurar o acesso à Internet e os endereços IP públicos. Considere as vantagens e as desvantagens de cada uma, conforme indicado na tabela seguinte, para escolher a opção mais adequada:

Opção de acesso à Internet	Vantagens	Desvantagens
Serviço de IP público e Internet do VMware Engine	Não incorre em custos adicionais. Incluído no custo do serviço VMware Engine. É fácil de configurar. Está de acordo com o SLA.	Tem uma configuração fixa. Não é compatível com BYOIP. Tem uma quota e uma largura de banda limitadas, o que a torna mais adequada para testes de conceito ou implementações pequenas. Não oferece visibilidade das métricas de entrada/saída. É mutuamente exclusiva com as outras duas opções. Precisa de dispositivos de terceiros para usar a gestão de tráfego avançada (como a inspeção de firewall de nível 7 ou o equilíbrio de carga complexo). Não é compatível com o gateway ao nível da aplicação (ALG).
Transferência de dados através do limite da Internet da VPC do cliente	Tem uma configuração escalável. Suporta BYOIP. Oferece visibilidade e monitorização completas. Pode ser combinado com a inspeção da camada 7, o equilíbrio de carga avançado e produtos de terceiros. Podem ser integrados com equilibradores de carga nativos da Google e a Cloud Service Mesh. Pode ser integrado com o Google Cloud Armor para proteção contra DDoS.	Incorre em custos de transferência de dados e de IP público. Requer uma configuração mais complexa. Não tem nenhum SLA para o serviço combinado.
Transferência de dados através de ligações no local	Usa configurações existentes. Centraliza a segurança e o balanceamento de carga no local. Não incorre em custos Google Cloud adicionais, exceto em custos de transferência de dados do Cloud Interconnect.	Permite o menor número de alterações. Oferece suporte global limitado. Pode levar à divisão dos serviços de Internet para algumas cargas de trabalho.

Opção de acesso à Internet

Vantagens

Desvantagens

Serviço de IP público e Internet do VMware Engine

Não incorre em custos adicionais. Incluído no custo do serviço VMware Engine.

É fácil de configurar.

Está de acordo com o SLA.

Tem uma configuração fixa.

Não é compatível com BYOIP.

Tem uma quota e uma largura de banda limitadas, o que a torna mais adequada para testes de conceito ou implementações pequenas.

Não oferece visibilidade das métricas de entrada/saída.

É mutuamente exclusiva com as outras duas opções.

Precisa de dispositivos de terceiros para usar a gestão de tráfego avançada (como a inspeção de firewall de nível 7 ou o equilíbrio de carga complexo).

Não é compatível com o gateway ao nível da aplicação (ALG).

Transferência de dados através do limite da Internet da VPC do cliente

Tem uma configuração escalável.

Suporta BYOIP.

Oferece visibilidade e monitorização completas.

Pode ser combinado com a inspeção da camada 7, o equilíbrio de carga avançado e produtos de terceiros.

Podem ser integrados com equilibradores de carga nativos da Google e a Cloud Service Mesh.

Pode ser integrado com o Google Cloud Armor para proteção contra DDoS.

Incorre em custos de transferência de dados e de IP público.

Requer uma configuração mais complexa.

Não tem nenhum SLA para o serviço combinado.

Transferência de dados através de ligações no local

Usa configurações existentes.

Centraliza a segurança e o balanceamento de carga no local.

Não incorre em custos Google Cloud adicionais, exceto em custos de transferência de dados do Cloud Interconnect.

Permite o menor número de alterações.

Oferece suporte global limitado.

Pode levar à divisão dos serviços de Internet para algumas cargas de trabalho.

Para mais informações, consulte o artigo Configure o acesso à Internet para VMs de carga de trabalho.

Implemente o encadeamento de serviços através de dispositivos de rede virtual de terceiros

O VMware Engine suporta o encadeamento de serviços de rede através de topologias encaminhadas da camada 3. Neste modo, pode implementar e ligar um dispositivo virtual de rede de terceiros no VMware Engine para fornecer serviços de rede incorporados a VMs VMware, como equilíbrio de carga, firewall de nova geração (NGFW) e deteção e prevenção de intrusões. Pode implementar estes aparelhos de várias formas, consoante os requisitos de segmentação e conetividade das aplicações.

São possíveis várias topologias de implementação, com configurações mais detalhadas e links na cadeia de serviços (por exemplo, balanceadores de carga à frente de firewalls). Também é possível implementar estes dispositivos em topologias ativo-ativo usando sinais de pulsação e redundância baseados no plano de dados, se o fornecedor os suportar.

As secções seguintes mostram topologias de implementação de exemplo que usam um dispositivo de firewall baseado em VMs.

Atrás de um gateway de nível 1

Nesta topologia de implementação, o dispositivo de terceiros funciona como a gateway predefinida para várias redes no ambiente. Pode usar o dispositivo para inspecionar o tráfego entre eles, bem como o tráfego que entra e sai do ambiente do VMware Engine.

O diagrama seguinte mostra como funciona um gateway de nível 1 no VMware Engine:

O dispositivo de terceiros funciona como o gateway predefinido para várias redes no ambiente.

Para implementar esta topologia, faça o seguinte:

Configure rotas estáticas na camada 1 para apontar para a VM do dispositivo e alcançar as redes atrás da mesma.
No nível 0, redistribua as rotas estáticas de nível 1 para o BGP.
No que diz respeito ao apoio técnico para encaminhamento entre VLANs de convidados, as cargas de trabalho de convidados do VMware estão limitadas a 10 NICs virtuais. Em alguns exemplos de utilização, tem de se ligar a mais de 10 VLANs para produzir a segmentação da firewall necessária. Neste caso, pode usar a etiquetagem de VLAN para o ISV. As VMs convidadas de fornecedores de software independentes (ISVs) devem ter o tamanho adequado para suportar e distribuir o tráfego entre vários conjuntos de dispositivos ISV, conforme necessário.

Atrás de um gateway de nível 0

Nesta topologia de implementação, um gateway de nível 0 funciona como o gateway predefinido para o dispositivo de terceiros com um ou mais gateways de nível 1 atrás do dispositivo. O gateway de nível 0 pode ser usado para fornecer conetividade encaminhada para a mesma zona de segurança e suportar a inspeção em zonas de segurança ou com o resto daGoogle Cloud. Esta topologia permite comunicações de segmento para segmento em grande escala sem inspeção da camada 7.

O diagrama seguinte mostra como funciona um gateway de nível 0 no VMware Engine:

O dispositivo de terceiros tem uma ou mais gateways de nível 1 atrás dele.

Para implementar esta topologia, faça o seguinte:

Configure uma rota estática predefinida em cada gateway de nível 1 que aponte para a NGFW.
Configure rotas estáticas para alcançar segmentos de carga de trabalho na camada 0 com a NGFW como o próximo salto.
Redistribua estas rotas estáticas no BGP com um mapa de rotas para impedir a redistribuição de 0/0.

O que se segue?

Leia acerca das práticas recomendadas para computação, segurança, armazenamento, migração e custos.
Experimente o VMware Engine. Visite funcionalidades, vantagens e exemplos de utilização para mais informações.
Explore arquiteturas de referência, diagramas, tutoriais e práticas recomendadas acerca Google Cloud. Visite o Centro de arquitetura do Google Cloud para mais informações.