Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerke/Best Practices

Auf dieser Seite werden Best Practices für Netzwerke für die Google Cloud VMware Engine vorgestellt.

Routingprobleme vermeiden

Kommunikation innerhalb der VMware Engine und mit dem Rest des Internets werden über Ebene 3 weitergeleitet, mit Ausnahme von Netzwerken, die von lokalen oder aus anderen privaten VMware Engine-Clouds stammen.

Um Probleme mit der Konfiguration zu vermeiden, dem Einrichten des Routings zur und von der VMware Engine-Umgebung Best Practices:

Cloud Router konfigurieren, der dem lokalen Hybrid zugeordnet ist Cloud VPN- oder Cloud Interconnect-Verbindung mit Zusammenfassung benutzerdefinierte Anzeigen für VMware Engine-Bereiche und die Bereiche anderer Compute Engine- wie Google Kubernetes Engine und Compute Engine.
Verwenden Sie einen zusammenhängenden IP-Adressbereich für Subnetze von NSX-Segmenten.
Um die Anzahl der Routen zu minimieren, die für den Nutzer den Rest von Google, fassen Sie die NSX-Segmentrouten auf Tier-0 wie folgt zusammen:
- Wenn NAT erforderlich ist, fassen Sie die NAT-IP-Adressen aus Tier-0 und nicht aus /32 zusammen.
- Fasse die IPsec-Endpunkt-IPs (/32s) auf tier-0 zusammen.
- DNS-Profil-IPs (/32s) auf Tier-0 zusammenfassen.
Aktivieren Sie NSX-T DHCP-Relay. je nachdem, ob sich die DHCP-Dienste in der VMware Engine befinden oder woanders hin.
Wenden Sie bei der Umverteilung von statischen Tier-0-Routen in das BGP eine Routenzuordnung auf um zu verhindern, dass 0/0 weitergegeben wird.

Geeignete Option für den Internetzugang auswählen

VMware Engine bietet die folgenden Optionen zum Konfigurieren des Internetzugriffs und öffentlichen IP-Adressen. Überlegen Sie, welche Vor- und Nachteile in der folgenden Tabelle, um die am besten geeignete Option auszuwählen:

Option für den Internetzugriff	Vorteile	Nachteile
VMware Engine-Internetdienst und öffentlicher IP-Dienst	Es fallen keine zusätzlichen Kosten an. In den Kosten für die VMware Engine-Dienst Die Einrichtung ist einfach. Ist SLA-gestützt.	Hat eine feste Konfiguration. BYOIP wird nicht unterstützt. Das Kontingent und die Bandbreite sind begrenzt, wodurch sie besser für PoC- oder kleine Bereitstellungen. Bietet keinen Einblick in Messwerte für ein- und ausgehenden Traffic. Schließt sich mit den anderen beiden Optionen gegenseitig aus Erfordert Drittanbieter-Appliances, um die erweiterte Traffic-Verwaltung zu verwenden (z. B. wie L7-Firewallinspektion oder komplexes Load-Balancing). Application Level Gateway (ALG) wird nicht unterstützt.
Datenübertragung über das VPC-Internet-Edge des Kunden	Hat eine skalierbare Konfiguration. Unterstützt BYOIP. Vollständige Transparenz und Monitoring Kann mit L7-Prüfung, erweitertem Load-Balancing und Produkten von Drittanbietern. Kann in Google-native Load-Balancer und Cloud Service Mesh eingebunden werden. Kann in Google Cloud Armor eingebunden werden für den DDoS-Schutz.	Dafür fallen Kosten für die Datenübertragung und öffentliche IP-Adressen an. Erfordert eine komplexere Konfiguration. Es gibt kein SLA für den kombinierten Dienst.
Datenübertragung über lokale Verbindungen	Verwendet vorhandene Konfigurationen. Zentralisiert Sicherheit und Load-Balancing lokal. Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme von Gebühren für die Datenübertragung von Cloud Interconnect.	Die geringste Anzahl an Änderungen ist zulässig. Bietet eingeschränkten globalen Support. Bei einigen Arbeitslasten könnten Internetdienste aufgeteilt werden.

Option für den Internetzugriff

Vorteile

Nachteile

VMware Engine-Internetdienst und öffentlicher IP-Dienst

Es fallen keine zusätzlichen Kosten an. In den Kosten für die VMware Engine-Dienst

Die Einrichtung ist einfach.

Ist SLA-gestützt.

Hat eine feste Konfiguration.

BYOIP wird nicht unterstützt.

Das Kontingent und die Bandbreite sind begrenzt, wodurch sie besser für PoC- oder kleine Bereitstellungen.

Bietet keinen Einblick in Messwerte für ein- und ausgehenden Traffic.

Schließt sich mit den anderen beiden Optionen gegenseitig aus

Erfordert Drittanbieter-Appliances, um die erweiterte Traffic-Verwaltung zu verwenden (z. B. wie L7-Firewallinspektion oder komplexes Load-Balancing).

Application Level Gateway (ALG) wird nicht unterstützt.

Datenübertragung über das VPC-Internet-Edge des Kunden

Hat eine skalierbare Konfiguration.

Unterstützt BYOIP.

Vollständige Transparenz und Monitoring

Kann mit L7-Prüfung, erweitertem Load-Balancing und Produkten von Drittanbietern.

Kann in Google-native Load-Balancer und Cloud Service Mesh eingebunden werden.

Kann in Google Cloud Armor eingebunden werden für den DDoS-Schutz.

Dafür fallen Kosten für die Datenübertragung und öffentliche IP-Adressen an.

Erfordert eine komplexere Konfiguration.

Es gibt kein SLA für den kombinierten Dienst.

Datenübertragung über lokale Verbindungen

Verwendet vorhandene Konfigurationen.

Zentralisiert Sicherheit und Load-Balancing lokal.

Es fallen keine zusätzlichen Google Cloud-Kosten an, mit Ausnahme von Gebühren für die Datenübertragung von Cloud Interconnect.

Die geringste Anzahl an Änderungen ist zulässig.

Bietet eingeschränkten globalen Support.

Bei einigen Arbeitslasten könnten Internetdienste aufgeteilt werden.

Weitere Informationen finden Sie unter Internetzugriff für Arbeitslast-VMs konfigurieren.

Service Chaining mit virtuellen Netzwerk-Appliances von Drittanbietern implementieren

VMware Engine unterstützt Verkettungen von Netzwerkdiensten mithilfe von Layer 3 weitergeleitete Topologien. In diesem Modus können Sie eine virtuelle Netzwerk-Appliance eines Drittanbieters in der VMware Engine, Inline-Netzwerkdienste für VMware-VMs bereitstellen, z. B. Load Balancing, Firewalling der nächsten Generation (NGFW) sowie Einbruchserkennung und -prävention. Ich können diese Appliances je nach Segmentierung auf unterschiedliche Weise und Konnektivitätsanforderungen von Anwendungen.

Es sind mehrere Bereitstellungstopologien mit umfangreicheren Konfigurationen und Links in der Dienstkette (z. B. Lastenausgleichsmodule vor Firewalls). Es ist auch möglich, diese Appliances in Aktiv-Aktiv-Topologien bereitzustellen, indem Sie Datenplane-basierte Heartbeats und Redundanz verwenden, wenn der Anbieter dies unterstützt.

Die folgenden Abschnitte zeigen beispielhafte Bereitstellungstopologien, die eine VM-basiertes Firewallgerät

Hinter einem Tier-1-Gateway

In dieser Bereitstellungstopologie dient die Drittanbieter-Appliance als Standard Gateway für mehrere Netzwerke in der Umgebung. Sie können die Appliance verwenden. den Traffic zwischen ihnen sowie den eingehenden und die VMware Engine-Umgebung verlassen.

Das folgende Diagramm zeigt, wie ein Tier-1-Gateway in VMware Engine funktioniert:

Eine Drittanbieter-Appliance dient als Standardgateway für mehrere Netzwerke in der Umgebung.

So implementieren Sie diese Topologie:

Konfigurieren Sie statische Routen auf tier-1 so, dass sie auf die VM der Appliance verweisen und die Netzwerke dahinter erreichen.
Verteilen Sie auf Stufe 0 statische Routen der Stufe 1 an das BGP.
Support für Inter-VLAN-Routing für Gäste VMware-Gastarbeitslasten sind auf 10 virtuelle NICs beschränkt. In einigen Anwendungsfällen Sie müssen sich mit mehr als 10 VLANs verbinden, um die Firewall zu erstellen. Segmentierung erforderlich. In diesem Fall können Sie VLAN-Tagging für den ISV verwenden. Die Gast-VMs von unabhängigen Softwareanbietern (ISVs) sollten so groß sein, dass sie den Traffic auf mehrere Gruppen von ISV-Appliances zu verteilen, und wie erforderlich.

Hinter einem Tier-0-Gateway

In dieser Bereitstellungstopologie dient ein Tier-0-Gateway als Standardgateway für die Drittanbieter-Appliance mit einem oder mehreren Tier-1-Gateways hinter der Appliance. Das Tier-0-Gateway kann verwendet werden, um weitergeleitete Konnektivität für denselben Sicherheitszone und unterstützen die Prüfung über alle Sicherheitszonen hinweg oder mit dem Rest der Google Cloud Diese Topologie ermöglicht eine umfangreiche Segment-zu-Segment-Methode, ohne Layer-7-Prüfung.

Das folgende Diagramm zeigt, wie ein Tier-0-Gateway in VMware Engine funktioniert:

Die Drittanbieter-Appliance hat ein oder mehrere Tier-1-Gateways hinter sich.

So implementieren Sie diese Topologie:

Konfigurieren Sie eine statische Standardroute auf jedem Tier-1-Gateway, das auf die NGFW
Konfigurieren Sie statische Routen zum Erreichen von Arbeitslastsegmenten auf Tier-0 mit die NGFW als nächsten Hop.
Verteilen Sie diese statischen Routen mit einer Routenzuordnung in BGP um um zu verhindern, dass 0/0 weitergegeben wird.

Nächste Schritte

Mehr über Best Practices für Computing erfahren Sicherheit, Speicherplatz, Migration und Kosten.
Testen Sie die VMware Engine. Unter Funktionen, Vorteile und Nutzung Cases.
Referenzarchitekturen, Diagramme, Anleitungen und Best Practices ansehen zu Google Cloud. Besuchen Sie das Cloud Architecture Center für erhalten Sie weitere Informationen.