Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas de rede

Esta página apresenta as práticas recomendadas de rede para o Google Cloud VMware Engine.

Evitar problemas no trajeto

As comunicações no VMware Engine e com o restante da Internet são roteadas na camada 3, exceto para redes estendidas de locais ou de outras nuvens privadas do VMware Engine.

Para evitar problemas de configuração e, possivelmente, de desempenho ou limites ao configurar o roteamento de e para o ambiente do VMware Engine, siga estas práticas recomendadas:

Configure o Cloud Router associado à conexão híbrida local do Cloud VPN ou do Cloud Interconnect com anúncios personalizados resumidos para intervalos do VMware Engine e de outros serviços de computação do Google, como o Google Kubernetes Engine e o Compute Engine.
Use um espaço de endereço IP contíguo para sub-redes de segmento NSX.
Para minimizar o número de rotas anunciadas ao para o restante do Google, resuma as rotas do segmento NSX no nível 0 da seguinte maneira:
- Se for necessário NAT, resuma os IPs NAT do nível 0 em vez dos IPs /32.
- Resumir os IPs de endpoint IPsec (/32) no nível 0.
- Resuma os IPs de perfil de DNS (/32) no nível 0.
Ative o redirecionamento NSX-T DHCP. com base na possibilidade de os serviços DHCP residirem no VMware Engine ou em outro lugar.
Ao redistribuir rotas estáticas de nível 0 no BGP, aplique um mapa de rotas para evitar que 0/0 seja redistribuído.

Escolha uma opção de acesso à Internet adequada

O VMware Engine oferece as seguintes opções para configurar o acesso à Internet e endereços IP públicos. Considere as vantagens e desvantagens de cada uma, listados na tabela a seguir, para escolher a opção mais apropriada:

Opção de acesso à Internet	Vantagens	Desvantagens
Serviço de IP público e Internet do VMware Engine	Não gera cobranças extras. Incluído no custo do serviço do VMware Engine. É fácil de configurar. Tem suporte de SLA.	tem uma configuração fixa; Não oferece suporte a BYOIP. Tem cota e largura de banda limitadas, o que a torna mais adequada para PoC ou implantações pequenas. Não oferece visibilidade das métricas de entrada/saída. É mutuamente exclusivo com as outras duas opções. Precisa de dispositivos de terceiros para usar o gerenciamento de tráfego avançado (como como inspeção de firewall L7 ou balanceamento de carga complexo). Não oferece suporte ao Application Level Gateway (ALG).
Transferência de dados pela borda de Internet VPC do cliente	Tem uma configuração escalonável. Suporte para BYOIP. Oferece visibilidade e monitoramento completos. Pode ser combinado com inspeção L7, balanceamento de carga avançado e produtos de terceiros. Pode ser integrado a balanceadores de carga nativos do Google e à Cloud Service Mesh. Pode ser integrado ao Google Cloud Armor para proteção contra DDoS.	Incorre em custos de transferência de dados e IP público. Exige configuração mais complexa. Não tem SLA para o serviço combinado.
Transferência de dados por conexões no local	Usa as configurações atuais. Centraliza a segurança e o balanceamento de carga no local. Não gera custos adicionais do Google Cloud, exceto as taxas de transferência de dados do Cloud Interconnect.	Permite o menor número de mudanças. Oferece suporte global limitado. Pode resultar na divisão dos serviços de Internet para algumas cargas de trabalho.

Opção de acesso à Internet

Vantagens

Desvantagens

Serviço de IP público e Internet do VMware Engine

Não gera cobranças extras. Incluído no custo do serviço do VMware Engine.

É fácil de configurar.

Tem suporte de SLA.

tem uma configuração fixa;

Não oferece suporte a BYOIP.

Tem cota e largura de banda limitadas, o que a torna mais adequada para PoC ou implantações pequenas.

Não oferece visibilidade das métricas de entrada/saída.

É mutuamente exclusivo com as outras duas opções.

Precisa de dispositivos de terceiros para usar o gerenciamento de tráfego avançado (como como inspeção de firewall L7 ou balanceamento de carga complexo).

Não oferece suporte ao Application Level Gateway (ALG).

Transferência de dados pela borda de Internet VPC do cliente

Tem uma configuração escalonável.

Suporte para BYOIP.

Oferece visibilidade e monitoramento completos.

Pode ser combinado com inspeção L7, balanceamento de carga avançado e produtos de terceiros.

Pode ser integrado a balanceadores de carga nativos do Google e à Cloud Service Mesh.

Pode ser integrado ao Google Cloud Armor para proteção contra DDoS.

Incorre em custos de transferência de dados e IP público.

Exige configuração mais complexa.

Não tem SLA para o serviço combinado.

Transferência de dados por conexões no local

Usa as configurações atuais.

Centraliza a segurança e o balanceamento de carga no local.

Não gera custos adicionais do Google Cloud, exceto as taxas de transferência de dados do Cloud Interconnect.

Permite o menor número de mudanças.

Oferece suporte global limitado.

Pode resultar na divisão dos serviços de Internet para algumas cargas de trabalho.

Para mais informações, consulte Configurar o acesso à Internet para VMs de carga de trabalho.

Implementar o encadeamento de serviços usando dispositivos de rede virtual de terceiros

O VMware Engine oferece suporte à encadeamento de serviços de rede usando topologias roteadas da camada 3. Nesse modo, é possível implantar e conectar um dispositivo virtual de rede de terceiros no VMware Engine para fornecer serviços de rede inline a VMs do VMware, como balanceamento de carga, firewall de última geração (NGFW, na sigla em inglês) e detecção e prevenção de invasões. Você podemos implantar esses appliances de diversas formas, dependendo da segmentação e os requisitos de conectividade dos aplicativos.

Várias topologias de implantação são possíveis, com configurações e links mais avançados na cadeia de serviços (por exemplo, balanceadores de carga na frente de firewalls). Também é possível distribuir esses appliances em topologias ativas-ativas ao usando sinais de funcionamento e redundância baseados no plano de dados, se o fornecedor oferecer suporte a eles.

As seções a seguir mostram exemplos de topologias de implantação que usam uma dispositivo de firewall baseado em VM.

Atrás de um gateway de nível 1

Nesta topologia de implantação, o dispositivo de terceiros funciona como a porta de entrada padrão para várias redes no ambiente. Você pode usar o dispositivo para inspecionar o tráfego entre eles, bem como o tráfego que entra e ao sair do ambiente do VMware Engine.

O diagrama a seguir mostra como um gateway de nível 1 funciona no VMware Engine:

O appliance de terceiros atua como gateway padrão para várias redes no ambiente.

Para implementar essa topologia, faça o seguinte:

Configurar rotas estáticas no nível 1 para apontar para a VM do dispositivo e as redes por trás dele.
Na camada 0, redistribua as rotas estáticas de nível 1 no BGP.
Em relação ao suporte para roteamento de VLANs entre convidados, as cargas de trabalho de convidados do VMware são limitadas a 10 NICs virtuais. Em alguns casos de uso, você precisa se conectar a mais de 10 VLANs para produzir o firewall e a segmentação por lista é obrigatória. Nesse caso, você pode usar a inclusão de tag VLAN para o ISV. As VMs de convidados de fornecedores de software independentes (ISVs, na sigla em inglês) precisam ser dimensionadas para oferecer suporte e distribuir o tráfego entre vários conjuntos de dispositivos ISV, conforme necessário.

Atrás de um gateway de nível 0

Nessa topologia de implantação, um gateway de nível 0 serve como o gateway padrão para o dispositivo de terceiros com um ou mais gateways de nível 1 por trás do dispositivo. O gateway nível-0 pode ser usado para fornecer conectividade roteada para o mesmo zona de segurança e dar suporte à inspeção nas zonas de segurança ou com o restante Google Cloud. Essa topologia permite comunicações de segmento a segmento em grande escala sem inspeção da camada 7.

O diagrama a seguir mostra como um gateway de nível 0 funciona no VMware Engine:

O dispositivo de terceiros tem um ou mais gateways de nível 1.

Para implementar essa topologia, faça o seguinte:

Configure uma rota estática padrão em cada gateway de nível 1 que aponte para o NGFW.
Configure rotas estáticas para alcançar segmentos de carga de trabalho no nível 0 com o NGFW como o próximo salto.
Redistribua essas rotas estáticas no BGP com um mapa de rotas para impedir que 0/0 seja redistribuído.

A seguir

Leia sobre as práticas recomendadas de computação, segurança, armazenamento, migração custos.
Teste o VMware Engine. Acesse recursos, benefícios e casos de uso para mais informações.
Confira o conteúdo de migração de dados do Google Cloud. Acesse o Centro de arquitetura do Cloud para mais informações.