Netzwerke/Best Practices
Auf dieser Seite werden Best Practices für Netzwerke für die Google Cloud VMware Engine vorgestellt.
Routingprobleme vermeiden
Kommunikation innerhalb der VMware Engine und mit dem Rest des Internets werden über Ebene 3 weitergeleitet, mit Ausnahme von Netzwerken, die von lokalen oder aus anderen privaten VMware Engine-Clouds stammen.
Um Probleme mit der Konfiguration zu vermeiden, dem Einrichten des Routings zur und von der VMware Engine-Umgebung Best Practices:
- Cloud Router konfigurieren, der dem lokalen Hybrid zugeordnet ist Cloud VPN- oder Cloud Interconnect-Verbindung mit Zusammenfassung benutzerdefinierte Anzeigen für VMware Engine-Bereiche und die Bereiche anderer Compute Engine- wie Google Kubernetes Engine und Compute Engine.
- Verwenden Sie einen zusammenhängenden IP-Adressbereich für Subnetze von NSX-Segmenten.
Um die Anzahl der Routen zu minimieren, die für den Nutzer den Rest von Google, fassen Sie die NSX-Segmentrouten auf Tier-0 wie folgt zusammen:
- Wenn NAT erforderlich ist, fassen Sie die NAT-IP-Adressen aus Tier-0 und nicht aus /32 zusammen.
- Fasse die IPsec-Endpunkt-IPs (/32s) auf tier-0 zusammen.
- DNS-Profil-IPs (/32s) auf Tier-0 zusammenfassen.
Aktivieren Sie NSX-T DHCP-Relay. je nachdem, ob sich die DHCP-Dienste in der VMware Engine befinden oder woanders hin.
Wenden Sie bei der Umverteilung von statischen Tier-0-Routen in das BGP eine Routenzuordnung auf um zu verhindern, dass 0/0 weitergegeben wird.
Geeignete Option für den Internetzugang auswählen
VMware Engine bietet die folgenden Optionen zum Konfigurieren des Internetzugriffs und öffentlichen IP-Adressen. Überlegen Sie, welche Vor- und Nachteile in der folgenden Tabelle, um die am besten geeignete Option auszuwählen:
Option für den Internetzugriff | Vorteile | Nachteile |
---|---|---|
VMware Engine-Internetdienst und öffentlicher IP-Dienst |
|
|
Datenübertragung über das VPC-Internet-Edge des Kunden |
|
|
Datenübertragung über lokale Verbindungen |
|
|
Weitere Informationen finden Sie unter Internetzugriff für Arbeitslast-VMs konfigurieren.
Service Chaining mit virtuellen Netzwerk-Appliances von Drittanbietern implementieren
VMware Engine unterstützt Verkettungen von Netzwerkdiensten mithilfe von Layer 3 weitergeleitete Topologien. In diesem Modus können Sie eine virtuelle Netzwerk-Appliance eines Drittanbieters in der VMware Engine, Inline-Netzwerkdienste für VMware-VMs bereitstellen, z. B. Load Balancing, Firewalling der nächsten Generation (NGFW) sowie Einbruchserkennung und -prävention. Ich können diese Appliances je nach Segmentierung auf unterschiedliche Weise und Konnektivitätsanforderungen von Anwendungen.
Es sind mehrere Bereitstellungstopologien mit umfangreicheren Konfigurationen und Links in der Dienstkette (z. B. Lastenausgleichsmodule vor Firewalls). Es ist auch möglich, diese Appliances in Aktiv-Aktiv-Topologien bereitzustellen, indem Sie Datenplane-basierte Heartbeats und Redundanz verwenden, wenn der Anbieter dies unterstützt.
Die folgenden Abschnitte zeigen beispielhafte Bereitstellungstopologien, die eine VM-basiertes Firewallgerät
Hinter einem Tier-1-Gateway
In dieser Bereitstellungstopologie dient die Drittanbieter-Appliance als Standard Gateway für mehrere Netzwerke in der Umgebung. Sie können die Appliance verwenden. den Traffic zwischen ihnen sowie den eingehenden und die VMware Engine-Umgebung verlassen.
Das folgende Diagramm zeigt, wie ein Tier-1-Gateway in VMware Engine funktioniert:
So implementieren Sie diese Topologie:
- Konfigurieren Sie statische Routen auf tier-1 so, dass sie auf die VM der Appliance verweisen und die Netzwerke dahinter erreichen.
- Verteilen Sie auf Stufe 0 statische Routen der Stufe 1 an das BGP.
- Support für Inter-VLAN-Routing für Gäste VMware-Gastarbeitslasten sind auf 10 virtuelle NICs beschränkt. In einigen Anwendungsfällen Sie müssen sich mit mehr als 10 VLANs verbinden, um die Firewall zu erstellen. Segmentierung erforderlich. In diesem Fall können Sie VLAN-Tagging für den ISV verwenden. Die Gast-VMs von unabhängigen Softwareanbietern (ISVs) sollten so groß sein, dass sie den Traffic auf mehrere Gruppen von ISV-Appliances zu verteilen, und wie erforderlich.
Hinter einem Tier-0-Gateway
In dieser Bereitstellungstopologie dient ein Tier-0-Gateway als Standardgateway für die Drittanbieter-Appliance mit einem oder mehreren Tier-1-Gateways hinter der Appliance. Das Tier-0-Gateway kann verwendet werden, um weitergeleitete Konnektivität für denselben Sicherheitszone und unterstützen die Prüfung über alle Sicherheitszonen hinweg oder mit dem Rest der Google Cloud Diese Topologie ermöglicht eine umfangreiche Segment-zu-Segment-Methode, ohne Layer-7-Prüfung.
Das folgende Diagramm zeigt, wie ein Tier-0-Gateway in VMware Engine funktioniert:
So implementieren Sie diese Topologie:
- Konfigurieren Sie eine statische Standardroute auf jedem Tier-1-Gateway, das auf die NGFW
- Konfigurieren Sie statische Routen zum Erreichen von Arbeitslastsegmenten auf Tier-0 mit die NGFW als nächsten Hop.
- Verteilen Sie diese statischen Routen mit einer Routenzuordnung in BGP um um zu verhindern, dass 0/0 weitergegeben wird.
Nächste Schritte
- Mehr über Best Practices für Computing erfahren Sicherheit, Speicherplatz, Migration und Kosten.
- Testen Sie die VMware Engine. Unter Funktionen, Vorteile und Nutzung Cases.
- Referenzarchitekturen, Diagramme, Anleitungen und Best Practices ansehen zu Google Cloud. Besuchen Sie das Cloud Architecture Center für erhalten Sie weitere Informationen.