网络最佳实践
本页面介绍了 Google Cloud VMware Engine 的网络最佳实践。
防止出现路由问题
VMware Engine 内以及与互联网的其余部分的通信 在第 3 层路由(从本地延伸的网络除外) 或其他 VMware Engine 私有云
为防止在设置往返 VMware Engine 环境的路由时出现配置问题以及可能出现的性能问题或限制,请遵循以下最佳实践:
- 配置与本地混合服务关联的 Cloud Router 路由器 带有摘要的 Cloud VPN 或 Cloud Interconnect 连接 自定义广告 以及其他 Google 计算 VMware Engine 例如 Google Kubernetes Engine 和 Compute Engine。
- 为 NSX 段子网使用连续的 IP 地址空间。
为了尽可能减少向 请汇总层级 0 的 NSX 细分路由,如下所示:
- 如果需要 NAT,请对第 0 层级(而非 /32)中的 NAT IP 进行汇总。
- 汇总 Tier-0 处的 IPsec 端点 IP (/32)。
- 在第 0 层汇总 DNS 配置文件 IP (/32)。
启用 NSX-T DHCP 中继 具体取决于 DHCP 服务是驻留在 VMware Engine 中还是 。
将第 0 层级静态路由重新分布到 BGP 时,请应用路由映射,以防止重新分布 0/0。
选择合适的互联网访问选项
VMware Engine 提供以下选项来配置互联网访问权限 和公共 IP 地址考虑每种方式的优缺点, 以选择最合适的选项:
| 互联网访问选项 | 优势 | 缺点 |
|---|---|---|
| VMware Engine 互联网和公共 IP 服务 |
|
|
| 通过客户的 VPC 互联网边缘进行数据传输 |
|
|
| 通过本地连接进行数据传输 |
|
|
如需了解详情,请参阅为工作负载虚拟机配置互联网访问权限。
使用第三方虚拟网络设备实现服务链
VMware Engine 支持使用第 3 层链接网络服务 路由拓扑在此模式下,您可以在 VMware Engine 中部署和连接第三方网络虚拟设备,以向 VMware 虚拟机提供内嵌网络服务,例如负载均衡、新一代防火墙 (NGFW) 以及入侵检测和防范。您 可以通过多种方式部署这些设备,具体取决于 应用场景和连接要求
可以使用多种部署拓扑,配置更丰富 服务链中的链接(例如,防火墙前面的负载平衡器)。 此外,您还可以使用基于数据平面的心跳和冗余功能(如果供应商支持)在活跃-活跃拓扑中部署这些设备。
以下部分展示了使用 基于虚拟机的防火墙设备。
在第 1 层级网关后面
在此部署拓扑中,第三方设备用作默认 在环境中的多个网络之间建立专用网关。您可以使用 检查它们之间的流量,以及进入和 退出 VMware Engine 环境
下图展示了第 1 层网关在 VMware Engine 中的运作方式:
如需实现此拓扑,请执行以下操作:
- 在 Tier-1 上将静态路由配置为指向设备虚拟机 及其背后的网络
- 在层级 0 上,将 Tier-1 静态路由重新分布到 BGP。
- 关于支持服务 适用于访客 VLAN 路由, VMware 访客工作负载仅限 10 个虚拟 NIC。在某些使用场景中 您需要连接到 10 个以上的 VLAN 才能产生防火墙 需要细分。在这种情况下,您可以对 ISV 使用 VLAN 标记。独立软件供应商 (ISV) 的客户虚拟机应按需调整大小,以支持并在多套 ISV 设备之间分配流量。
位于第 0 层级网关后面
在此部署拓扑中,层级 0 网关用作 在设备后面有一个或多个 Tier-1 网关的第三方设备。 第 0 层级网关可用于为同一安全区域提供路由连接,并支持跨安全区域或与 Google Cloud 的其余部分进行检查。此拓扑支持大规模分段至分段 无需进行第 7 层检查的通信。
下图展示了第 0 层网关在 VMware Engine 中的运作方式:
如需实现此拓扑,请执行以下操作:
- 在每个 Tier-1 网关上配置一个指向 NGFW。
- 配置静态路由以通过如下方式访问 Tier-0 上的工作负载段 NGFW 作为下一个跃点。
- 使用路由映射将这些静态路由重新分布到 BGP,以防止重新分布 0/0。
后续步骤
- 了解计算、安全、存储、迁移和费用方面的最佳实践。
- 试用 VMware Engine。如需了解详情,请参阅功能、优势和使用场景。
- 探索有关 Google Cloud 的参考架构、图表、教程和最佳做法。如需了解详情,请访问云架构中心。