Esta página foi traduzida pela API Cloud Translation.

Práticas recomendadas de rede

Esta página apresenta as práticas recomendadas de rede para o Google Cloud VMware Engine.

Evitar problemas no trajeto

As comunicações no VMware Engine e com o restante da Internet são roteadas na camada 3, exceto para redes que são estendidas no local ou de outras nuvens privadas do VMware Engine.

Para evitar problemas com a configuração e possivelmente desempenho ou limites ao configurar o roteamento de e para o ambiente do VMware Engine, siga estas práticas recomendadas:

Configure o Cloud Router associado à conexão híbrida do Cloud VPN ou do Cloud Interconnect local com divulgações personalizadas resumidas para intervalos do VMware Engine e para os intervalos de outros serviços de computação do Google, como o Google Kubernetes Engine e o Compute Engine.
Use um espaço de endereço IP contíguo para sub-redes de segmento NSX.
Para minimizar o número de rotas anunciadas para o restante do Google, resuma as rotas do segmento NSX no nível 0 da seguinte maneira:
- Se for necessário NAT, resuma os IPs NAT do nível 0 em vez dos IPs /32.
- Resumir os IPs de endpoint IPsec (/32) no nível 0.
- Resumir os IPs de perfil de DNS (/32) no nível 0.
Ative o NSX-T DHCP Relay com base se os serviços DHCP vão residir no VMware Engine ou em outro lugar.
Ao redistribuir rotas estáticas de nível 0 no BGP, aplique um mapa de rotas para evitar que 0/0 seja redistribuído.

Escolher uma opção adequada de acesso à Internet

O VMware Engine oferece as seguintes opções para configurar o acesso à Internet e endereços IP públicos. Considere as vantagens e desvantagens de cada um, conforme listado na tabela a seguir, para escolher a opção mais apropriada:

Opção de acesso à Internet	Vantagens	Desvantagens
Internet e serviço de IP público do VMware Engine	Não gera cobranças adicionais. Incluído no custo do serviço do VMware Engine. É fácil de configurar. Tem suporte no SLA.	tem uma configuração fixa; Não oferece suporte a BYOIP. Tem cota e largura de banda limitadas, o que o torna mais adequado para PoC ou implantações pequenas. Não fornece visibilidade das métricas de entrada/saída. É mutuamente exclusivo com as outras duas opções. precisam de dispositivos de terceiros para usar o gerenciamento de tráfego avançado, como inspeção de firewall L7 ou balanceamento de carga complexo; Não oferece suporte ao Application Level Gateway (ALG).
Transferência de dados pela borda de Internet VPC do cliente	Tem uma configuração escalonável. Oferece suporte ao BYOIP. Proporciona visibilidade e monitoramento totais. Pode ser combinado com inspeção L7, balanceamento de carga avançado e produtos de terceiros. Pode ser integrada a balanceadores de carga nativos do Google e ao Cloud Service Mesh. Pode ser integrado ao Google Cloud Armor para proteção contra DDoS.	Tem custos com transferência de dados e IP público. Exige configuração mais complexa. Não tem SLA para o serviço combinado.
Transferência de dados por conexões locais	Usa as configurações atuais. Centraliza a segurança e o balanceamento de carga no local. Não gera custos adicionais do Google Cloud, exceto as cobranças de transferência de dados do Cloud Interconnect.	Permite a menor quantidade de alterações. Oferece suporte global limitado. Pode resultar na divisão dos serviços de Internet para algumas cargas de trabalho.

Opção de acesso à Internet

Vantagens

Desvantagens

Internet e serviço de IP público do VMware Engine

Não gera cobranças adicionais. Incluído no custo do serviço do VMware Engine.

É fácil de configurar.

Tem suporte no SLA.

tem uma configuração fixa;

Não oferece suporte a BYOIP.

Tem cota e largura de banda limitadas, o que o torna mais adequado para PoC ou implantações pequenas.

Não fornece visibilidade das métricas de entrada/saída.

É mutuamente exclusivo com as outras duas opções.

precisam de dispositivos de terceiros para usar o gerenciamento de tráfego avançado, como inspeção de firewall L7 ou balanceamento de carga complexo;

Não oferece suporte ao Application Level Gateway (ALG).

Transferência de dados pela borda de Internet VPC do cliente

Tem uma configuração escalonável.

Oferece suporte ao BYOIP.

Proporciona visibilidade e monitoramento totais.

Pode ser combinado com inspeção L7, balanceamento de carga avançado e produtos de terceiros.

Pode ser integrada a balanceadores de carga nativos do Google e ao Cloud Service Mesh.

Pode ser integrado ao Google Cloud Armor para proteção contra DDoS.

Tem custos com transferência de dados e IP público.

Exige configuração mais complexa.

Não tem SLA para o serviço combinado.

Transferência de dados por conexões locais

Usa as configurações atuais.

Centraliza a segurança e o balanceamento de carga no local.

Não gera custos adicionais do Google Cloud, exceto as cobranças de transferência de dados do Cloud Interconnect.

Permite a menor quantidade de alterações.

Oferece suporte global limitado.

Pode resultar na divisão dos serviços de Internet para algumas cargas de trabalho.

Para mais informações, consulte Configurar o acesso à Internet para VMs de carga de trabalho.

Implementar o encadeamento de serviços usando dispositivos de rede virtual de terceiros

O VMware Engine oferece suporte ao encadeamento de serviços de rede usando topologias roteadas da Camada 3. Nesse modo, é possível implantar e conectar um dispositivo virtual de rede de terceiros no VMware Engine para fornecer serviços de rede inline às VMs do VMware, como balanceamento de carga, firewall de última geração (NGFW, na sigla em inglês) e detecção e prevenção de intrusões. É possível implantar esses dispositivos de várias maneiras, dependendo dos requisitos de segmentação e conectividade dos aplicativos.

Várias topologias de implantação são possíveis, com configurações e links mais avançados na cadeia de serviços (por exemplo, balanceadores de carga na frente de firewalls). Também é possível implantar esses dispositivos em topologias ativas-ativas usando sinais de funcionamento e redundância baseados no plano de dados, se o fornecedor oferecer suporte a eles.

As seções a seguir mostram exemplos de topologias de implantação que usam um dispositivo de firewall baseado em VM.

Por trás de um gateway de nível 1

Nesta topologia de implantação, o dispositivo de terceiros serve como o gateway padrão para várias redes no ambiente. É possível usar o dispositivo para inspecionar o tráfego entre eles, bem como o tráfego que entra e sai do ambiente do VMware Engine.

O diagrama a seguir mostra como um gateway de nível 1 funciona no VMware Engine:

O appliance de terceiros atua como gateway padrão para várias redes no ambiente.

Para implementar essa topologia, faça o seguinte:

Configure rotas estáticas no nível 1 para apontar para a VM do dispositivo e alcançar as redes por trás dela.
No nível 0, redistribua as rotas estáticas de nível 1 no BGP.
Com relação ao suporte ao roteamento entre VLANs de convidados, as cargas de trabalho de convidados do VMware são limitadas a 10 NICs virtuais. Em alguns casos de uso, é necessário se conectar a mais de 10 VLANs para produzir a segmentação de firewall necessária. Nesse caso, você pode usar a inclusão de tag VLAN para o ISV. As VMs convidadas de fornecedores independentes de software (ISVs, na sigla em inglês) precisam ser dimensionadas para oferecer suporte e distribuir o tráfego entre vários conjuntos de dispositivos ISV, conforme necessário.

Atrás de um gateway de nível 0

Nesta topologia de implantação, um gateway de nível 0 serve como o gateway padrão para o dispositivo de terceiros com um ou mais gateways de nível 1 atrás do dispositivo. O gateway nível 0 pode ser usado para fornecer conectividade roteada para a mesma zona de segurança e dar suporte à inspeção em zonas de segurança ou com o restante do Google Cloud. Essa topologia permite comunicações entre segmentos em grande escala sem inspeção da camada 7.

O diagrama a seguir mostra como um gateway de nível 0 funciona no VMware Engine:

O appliance de terceiros possui um ou mais gateways de nível 1 por trás dele.

Para implementar essa topologia, faça o seguinte:

Configure uma rota estática padrão em cada gateway do nível 1 apontando para o NGFW.
Configure rotas estáticas para alcançar segmentos de carga de trabalho no nível 0 com o NGFW como o próximo salto.
Redistribua essas rotas estáticas no BGP com um mapa de rotas para evitar que 0/0 seja redistribuído.

A seguir

Leia sobre as práticas recomendadas de compute, segurança, armazenamento, migração e custos.
Teste o VMware Engine. Acesse recursos, benefícios e casos de uso para mais informações.
Confira o conteúdo de migração de dados do Google Cloud. Acesse o Centro de arquitetura do Cloud para mais informações.