Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas de rede

Esta página apresenta as práticas recomendadas de rede para o Google Cloud VMware Engine.

Evitar problemas de roteamento

As comunicações no VMware Engine e com o restante da Internet são roteadas na camada 3, exceto as redes estendidas da rede local ou de outras nuvens privadas do VMware Engine.

Para evitar problemas de configuração e, possivelmente, de desempenho ou limites ao configurar o roteamento de e para o ambiente do VMware Engine, siga estas práticas recomendadas:

Configure o Cloud Router associado à conexão híbrida local do Cloud VPN ou do Cloud Interconnect com anúncios personalizados resumidos para intervalos do VMware Engine e de outros serviços de computação do Google, como o Google Kubernetes Engine e o Compute Engine.
Use o espaço de endereços IP contíguo para sub-redes de segmento do NSX.
Para minimizar o número de rotas anunciadas para o Google, resuma as rotas de segmento do NSX no nível 0 da seguinte maneira:
- Se o NAT for necessário, resuma os IPs NAT fora do nível 0, em vez de /32.
- Resumir os IPs de endpoint IPsec (/32's) no nível 0.
- Resumir os IPs do perfil de DNS (/32's) no nível 0.
Ative o Relay DHCP do NSX-T dependendo se os serviços DHCP vão residir no VMware Engine ou em outro lugar.
Ao redistribuir rotas estáticas de nível 0 no BGP, aplique um mapa de rotas para evitar que 0/0 seja redistribuído.

Escolha uma opção de acesso à Internet adequada

O VMware Engine oferece as seguintes opções para configurar o acesso à Internet e os endereços IP públicos. Considere as vantagens e desvantagens de cada uma, conforme listadas na tabela a seguir, para escolher a opção mais adequada:

Opção de acesso à Internet	Vantagens	Desvantagens
Serviço de IP público e Internet do VMware Engine	Não gera cobranças extras. Incluído no custo do serviço do VMware Engine. É fácil de configurar. Tem suporte de SLA.	Tem uma configuração fixa. Não oferece suporte a BYOIP. Tem cota e largura de banda limitadas, o que a torna mais adequada para PoC ou implantações pequenas. Não oferece visibilidade das métricas de entrada/saída. É mutuamente exclusivo com as outras duas opções. Precisa de dispositivos de terceiros para usar o gerenciamento de tráfego avançado (como inspeção de firewall L7 ou balanceamento de carga complexo). Não oferece suporte a gateway de nível de aplicativo (ALG).
Transferência de dados pela borda da Internet da VPC do cliente	Tem uma configuração escalonável. Suporte para BYOIP. Oferece visibilidade e monitoramento completos. Pode ser combinado com a inspeção L7, o balanceamento de carga avançado e produtos de terceiros. Pode ser integrado a balanceadores de carga nativos do Google e à malha de serviços do Cloud. Pode ser integrado ao Google Cloud Armor para proteção contra DDoS.	Incorre em custos de transferência de dados e IP público. Requer uma configuração mais complexa. Não tem SLA para o serviço combinado.
Transferência de dados por conexões locais	Usa as configurações atuais. Centraliza a segurança e o balanceamento de carga no local. Não gera custos adicionais do Google Cloud, exceto as taxas de transferência de dados do Cloud Interconnect.	Permite o menor número de mudanças. Oferece suporte global limitado. Pode levar a serviços de Internet divididos para algumas cargas de trabalho.

Opção de acesso à Internet

Vantagens

Desvantagens

Serviço de IP público e Internet do VMware Engine

Não gera cobranças extras. Incluído no custo do serviço do VMware Engine.

É fácil de configurar.

Tem suporte de SLA.

Tem uma configuração fixa.

Não oferece suporte a BYOIP.

Tem cota e largura de banda limitadas, o que a torna mais adequada para PoC ou implantações pequenas.

Não oferece visibilidade das métricas de entrada/saída.

É mutuamente exclusivo com as outras duas opções.

Precisa de dispositivos de terceiros para usar o gerenciamento de tráfego avançado (como inspeção de firewall L7 ou balanceamento de carga complexo).

Não oferece suporte a gateway de nível de aplicativo (ALG).

Transferência de dados pela borda da Internet da VPC do cliente

Tem uma configuração escalonável.

Suporte para BYOIP.

Oferece visibilidade e monitoramento completos.

Pode ser combinado com a inspeção L7, o balanceamento de carga avançado e produtos de terceiros.

Pode ser integrado a balanceadores de carga nativos do Google e à malha de serviços do Cloud.

Pode ser integrado ao Google Cloud Armor para proteção contra DDoS.

Incorre em custos de transferência de dados e IP público.

Requer uma configuração mais complexa.

Não tem SLA para o serviço combinado.

Transferência de dados por conexões locais

Usa as configurações atuais.

Centraliza a segurança e o balanceamento de carga no local.

Não gera custos adicionais do Google Cloud, exceto as taxas de transferência de dados do Cloud Interconnect.

Permite o menor número de mudanças.

Oferece suporte global limitado.

Pode levar a serviços de Internet divididos para algumas cargas de trabalho.

Para mais informações, consulte Configurar o acesso à Internet para VMs de carga de trabalho.

Implementar a encadeamento de serviços usando dispositivos de rede virtual de terceiros

O VMware Engine oferece suporte à vinculação de serviços de rede usando topologias roteadas da camada 3. Nesse modo, é possível implantar e conectar um dispositivo virtual de rede de terceiros no VMware Engine para fornecer serviços de rede inline a VMs do VMware, como balanceamento de carga, firewall de última geração (NGFW, na sigla em inglês) e detecção e prevenção de invasões. É possível implantar esses dispositivos de várias maneiras, dependendo da segmentação e dos requisitos de conectividade dos aplicativos.

Várias topologias de implantação são possíveis, com configurações e links mais avançados na cadeia de serviços (por exemplo, balanceadores de carga na frente de firewalls). Também é possível implantar esses dispositivos em topologias ativo-ativo usando batimentos cardíacos e redundância baseados no plano de dados, se o fornecedor oferecer suporte a eles.

As seções a seguir mostram exemplos de topologias de implantação que usam um dispositivo de firewall baseado em VM.

Atrás de um gateway de nível 1

Nesta topologia de implantação, o dispositivo de terceiros funciona como a porta de entrada padrão para várias redes no ambiente. É possível usar o dispositivo para inspecionar o tráfego entre eles, bem como o tráfego que entra e sai do ambiente do VMware Engine.

O diagrama a seguir mostra como um gateway de nível 1 funciona no VMware Engine:

O dispositivo de terceiros serve como gateway padrão para várias redes no ambiente.

Para implementar essa topologia, faça o seguinte:

Configure rotas estáticas no nível 1 para apontar para a VM do dispositivo e acessar as redes por trás dela.
Na camada 0, redistribua as rotas estáticas de nível 1 no BGP.
Em relação ao suporte para roteamento de VLANs entre convidados, as cargas de trabalho de convidados do VMware são limitadas a 10 NICs virtuais. Em alguns casos de uso, é necessário se conectar a mais de 10 VLANs para produzir a segmentação de firewall necessária. Nesse caso, você pode usar a inclusão de tag VLAN para o ISV. As VMs de convidados de fornecedores de software independentes (ISVs, na sigla em inglês) precisam ser dimensionadas para oferecer suporte e distribuir o tráfego entre vários conjuntos de dispositivos ISV, conforme necessário.

Atrás de um gateway de nível 0

Nesta topologia de implantação, um gateway de nível 0 funciona como o gateway padrão do dispositivo de terceiros com um ou mais gateways de nível 1 por trás dele. O gateway de nível 0 pode ser usado para fornecer conectividade roteada para a mesma zona de segurança e oferecer suporte à inspeção em zonas de segurança ou no restante do Google Cloud. Essa topologia permite comunicações de segmento a segmento em grande escala sem inspeção da camada 7.

O diagrama a seguir mostra como um gateway de nível 0 funciona no VMware Engine:

O dispositivo de terceiros tem um ou mais gateways de nível 1.

Para implementar essa topologia, faça o seguinte:

Configure uma rota estática padrão em cada gateway de nível 1 que aponte para o NGFW.
Configure rotas estáticas para alcançar segmentos de carga de trabalho no nível 0 com o NGFW como o próximo salto.
Redistribua essas rotas estáticas no BGP com um mapa de rotas para evitar que 0/0 seja redistribuído.

A seguir

Leia sobre as práticas recomendadas de computação, segurança, armazenamento, migração e custos.
Teste o VMware Engine. Acesse recursos, benefícios e casos de uso para mais informações.
Confira o conteúdo de migração de dados do Google Cloud. Acesse o Centro de arquitetura do Cloud para mais informações.