网络最佳实践
本页面介绍了 Google Cloud VMware Engine 的网络最佳实践。
防止出现路由问题
VMware Engine 内部以及与互联网的其余部分的通信在第 3 层路由,但从本地或其他 VMware Engine 私有云扩展的网络除外。
在设置进出 VMware Engine 环境的路由时,为防止出现配置问题,以及可能的性能或限制问题,请遵循以下最佳实践:
- 使用 VMware Engine 范围和其他 Google 计算服务(如 Google Kubernetes Engine 和 Compute Engine)范围的摘要自定义通告来配置与本地混合 Cloud VPN 或 Cloud Interconnect 连接关联的 Cloud Router。
- 为 NSX 段子网使用连续的 IP 地址空间。
为了尽可能减少向 Google 的其余部门公布的路由数量,请汇总 Tier-0 中的 NSX 分段路由,如下所示:
- 如果需要 NAT,请汇总层级 0(而不是 /32)中的 NAT IP。
- 汇总层级-0 的 IPsec 端点 IP (/32)。
- 汇总层级 0 的 DNS 配置文件 IP (/32)。
根据 DHCP 服务是位于 VMware Engine 还是其他位置,启用 NSX-T DHCP 中继。
将 Tier-0 静态路由重新分布到 BGP 时,请应用路由映射以防止 0/0 被重新分布。
选择合适的互联网访问选项
VMware Engine 提供以下选项来配置互联网访问和公共 IP 地址。请参考下表中的每种方法的优缺点,选择最合适的选项:
| 互联网访问选项 | 优点 | 缺点 |
|---|---|---|
| VMware Engine 互联网和公共 IP 服务 |
|
|
| 通过客户的 VPC 互联网边缘进行数据传输 |
|
|
| 通过本地连接进行数据传输 |
|
|
如需了解详情,请参阅为工作负载虚拟机配置互联网访问权限。
使用第三方虚拟网络设备实现服务链
VMware Engine 支持使用第 3 层路由拓扑来链接网络服务。在此模式下,您可以在 VMware Engine 中部署和连接第三方网络虚拟设备,以便为 VMware 虚拟机提供内嵌网络服务,如负载均衡、下一代防火墙 (NGFW) 以及入侵检测和防御。您可以通过多种方式部署这些设备,具体取决于应用的分段和连接要求。
可以使用多种部署拓扑,其服务链中的配置和链接更丰富(例如,防火墙前面的负载平衡器)。如果供应商支持,还可以使用基于数据平面的检测信号和冗余,在主动-主动拓扑中部署这些设备。
以下各部分展示了使用基于虚拟机的防火墙设备的部署拓扑示例。
1 级网关背后
在此部署拓扑中,第三方设备充当环境中多个网络的默认网关。您可以使用设备检查它们之间的流量以及进出 VMware Engine 环境的流量。
下图显示了 Tier-1 网关在 VMware Engine 中的工作原理:
如需实现此拓扑,请执行以下操作:
- 在 Tier-1 上配置静态路由以指向设备虚拟机并访问其后面的网络。
- 在层级 0 上,将 Tier-1 静态路由重新分布到 BGP。
- 在支持客机间 VLAN 路由方面,VMware 客机工作负载仅限 10 个虚拟 NIC。在某些使用场景中,您需要连接到 10 个以上的 VLAN 才能产生所需的防火墙分段。在这种情况下,您可以使用 VLAN 标记发送给 ISV。 应调整独立软件供应商 (ISV) 的访客虚拟机的规模,以支持根据需要在多组 ISV 设备之间分配流量。
0 级网关背后
在此部署拓扑中, Tier-0 网关用作第三方设备的默认网关,该设备后面有一个或多个 Tier-1 网关。Tier-0 网关可用于为同一安全区域提供路由连接,并支持跨安全区域或与 Google Cloud 的其余部分进行检查。借助此拓扑,您无需进行第 7 层检查,即可实现大规模段间通信。
下图显示了 Tier-0 网关在 VMware Engine 中的工作原理:
如需实现此拓扑,请执行以下操作:
- 在每个第 1 层级网关上配置指向 NGFW 的默认静态路由。
- 配置静态路由以访问 Tier-0 上的工作负载段,并将 NGFW 作为下一个跃点。
- 使用路由映射将这些静态路由重新分布到 BGP 中,以防止 0/0 被重新分布。
后续步骤
- 了解compute、安全、存储、迁移和费用方面的最佳实践。
- 试用 VMware Engine。如需了解详情,请参阅功能、优势和使用场景。
- 探索有关 Google Cloud 的参考架构、图表、教程和最佳做法。如需了解详情,请访问云架构中心。