网络最佳实践
本页介绍了 Google Cloud VMware Engine 的网络最佳实践。
防止路由问题
VMware Engine 内的通信以及与互联网的其余部分的通信都在第 3 层进行路由,但从本地网络或其他 VMware Engine 私有云延伸的网络除外。
为防止在设置往返 VMware Engine 环境的路由时出现配置问题以及可能出现的性能问题或限制,请遵循以下最佳实践:
- 为与本地混合 Cloud VPN 或 Cloud Interconnect 连接关联的 Cloud Router 配置 VMware Engine 范围和其他 Google 计算服务(例如 Google Kubernetes Engine 和 Compute Engine)范围的摘要自定义通告。
- 为 NSX 段子网使用连续的 IP 地址空间。
为了尽量减少向 Google 的其余部分通告的路由数量,请按如下方式在第 0 层汇总 NSX 路段路由:
- 如果需要 NAT,请对第 0 层级(而非 /32)中的 NAT IP 进行汇总。
- 在第 0 层级汇总 IPsec 端点 IP (/32)。
- 在第 0 层汇总 DNS 配置文件 IP (/32)。
根据 DHCP 服务将位于 VMware Engine 中还是其他位置,启用 NSX-T DHCP 中继。
将第 0 层级静态路由重新分布到 BGP 时,请应用路由映射,以防止重新分布 0/0。
选择合适的互联网访问选项
VMware Engine 提供以下选项来配置互联网访问权限和公共 IP 地址。请考虑下表中列出的每种方法的优缺点,以选择最合适的选项:
| 互联网访问选项 | 优势 | 缺点 |
|---|---|---|
| VMware Engine 互联网和公共 IP 服务 |
|
|
| 通过客户的 VPC 互联网边缘进行的数据传输 |
|
|
| 通过本地连接进行数据传输 |
|
|
如需了解详情,请参阅为工作负载虚拟机配置互联网访问权限。
使用第三方虚拟网络设备实现服务链接
VMware Engine 支持使用第 3 层路由拓扑来串联网络服务。在此模式下,您可以在 VMware Engine 中部署和连接第三方网络虚拟设备,以向 VMware 虚拟机提供内嵌网络服务,例如负载均衡、新一代防火墙 (NGFW) 以及入侵检测和防范。您可以通过多种方式部署这些设备,具体取决于应用的分片和连接要求。
可以采用多种部署拓扑,服务链中包含更丰富的配置和链接(例如,防火墙前面的负载平衡器)。此外,您还可以使用基于数据平面的心跳和冗余功能(如果供应商支持)在活跃-活跃拓扑中部署这些设备。
以下部分展示了使用基于虚拟机的防火墙设备的示例部署拓扑。
在第 1 层级网关后面
在此部署拓扑中,第三方设备充当环境中多个网络的默认网关。您可以使用该设备检查它们之间的流量,以及进入和离开 VMware Engine 环境的流量。
下图展示了第 1 层网关在 VMware Engine 中的运作方式:
如需实现此拓扑,请执行以下操作:
- 在 Tier-1 上配置静态路由,使其指向设备虚拟机并到达其后面的网络。
- 在第 0 层,将第 1 层静态路由重新分布到 BGP。
- 关于对来宾 VLAN 间路由的支持,VMware 来宾工作负载仅限于 10 个虚拟 NIC。在某些用例中,您需要连接到 10 多个 VLAN,才能实现所需的防火墙细分。在这种情况下,您可以对 ISV 使用 VLAN 标记。独立软件供应商 (ISV) 的客户虚拟机应按需调整大小,以支持并在多套 ISV 设备之间分配流量。
位于第 0 层级网关后面
在此部署拓扑中,第 0 层级网关充当第三方设备的默认网关,设备后面有一个或多个第 1 层级网关。第 0 层级网关可用于为同一安全区域提供路由连接,并支持跨安全区域或与 Google Cloud 的其余部分进行检查。这种拓扑结构支持大规模段到段通信,而无需第 7 层检查。
下图展示了第 0 层网关在 VMware Engine 中的运作方式:
如需实现此拓扑,请执行以下操作:
- 在每个第 1 层网关上配置指向 NGFW 的默认静态路由。
- 配置静态路由,以便通过 NGFW 作为下一个跃点访问第 0 层级的工作负载细分。
- 使用路由映射将这些静态路由重新分布到 BGP,以防止重新分布 0/0。
后续步骤
- 了解有关计算、安全、存储、迁移和费用的最佳实践。
- 试用 VMware Engine。如需了解详情,请参阅功能、优势和使用场景。
- 探索有关 Google Cloud 的参考架构、图表、教程和最佳做法。如需了解详情,请访问云架构中心。