NCC-Gateway – Übersicht

NCC-Gateway ist ein Spoke-Typ, der an den Network Connectivity Center-Hub angehängt werden kann. Es ist ein regionales Produkt, das die Sicherheit für den Traffic im Cross-Cloud-Netzwerk ermöglicht. Mit NCC Gateway können Sie Sicherheitsfunktionen wie Security Service Edge (SSE) von Drittanbietern aktivieren, eine cloudbasierte Sicherheitskomponente von Secure Access Service Edge (SASE), und Interconnect-Verbindungen beenden.

NCC Gateway bietet die folgenden Funktionen:

  • Optimierte SSE-Integration: Sie können SSE nahtlos mit transparenter Steuerung integrieren, um den Schutz und die Leistung von Nutzern und Anwendungen zu verbessern.
  • Regionale Bereitstellung: Sie können das NCC-Gateway in verschiedenen Regionen bereitstellen, je nach physischer Nähe zu Rechenzentren oder anderen Cloud-Anbietern.
  • Sichere Remote-Arbeitskräfte: Sie können Remote-Arbeitskräfte, z. B. in Niederlassungen, Rechenzentren und Remote-Standorten, sicher mit privaten Anwendungen in Google Cloud, lokal oder bei anderen Cloud-Anbietern sowie mit öffentlichen Anwendungen wie Palo Alto Networks Prisma Access und Symantec Cloud Secure Web Gateway (Cloud SWG) verbinden.
  • Erweiterte Sicherheit: Sie können Sicherheitsfunktionen wie SSE für Multi-Cloud-Traffic aktivieren.
  • Vereinfachte Verwaltung: Mit dem NCC-Gateway können Sie die Komplexität und die Betriebskosten für die Verwaltung von VPC-Netzwerken und Verbindungen zu Remote-Netzwerken reduzieren.
  • Leistungstransparenz: Mit dem NCC-Gateway erhalten Sie anhand von Messwerten und Telemetriedaten Einblicke in die Netzwerkleistung.

Vorteile

NCC Gateway bietet folgende Vorteile:

  • Optimale Anwendungsleistung mit reduzierter Latenz: Cloud-first-Nutzung des SSE-Dienstes mit hoher Bandbreite über das NCC-Gateway und verbesserte Leistung durch das private Backbone von Google.

  • Einheitliche Sicherheit für den gesamten Nutzerverkehr: Verbesserter Sicherheitsstatus mit einem einzigen einheitlichen Sicherheitsstack und reduzierte Angriffsfläche durch Begrenzung der Ein- und Ausgangspunkte.

  • Vereinfachte Verwaltung über das Network Connectivity Center.

Wichtige Begriffe

Machen Sie sich mit den folgenden Begriffen vertraut, um NCC Gateway zu verstehen:

Hybrid-Anschluss: Hybridverbindungen, die so konfiguriert sind, dass sie direkt am NCC-Gateway landen.

Sicherheitsdienstfunktion: Dienste, die mit dem NCC-Gateway verbunden sind. Für den Schutz von Nutzern bis hin zu Anwendungen müssen Sie beispielsweise einen SSE-Dienst an das NCC-Gateway anhängen.

VPC-Netzwerk für Anwendungen oder Arbeitslasten: Ein VPC-Netzwerk für Arbeitslasten ist in der Regel ein Netzwerk, das Compute Engine-VMs (virtuelle Maschinen) oder GKE-Container (Google Kubernetes Engine) als Arbeitslasten verwendet. VPC-Netzwerke für Arbeitslasten können reguläre VPC-Netzwerke oder freigegebene VPCs mit einem Hostprojekt und mehreren Dienstprojekten sein. Die Arbeitslast-VPC-Netzwerke müssen als Spokes im Hub konfiguriert werden.

Spoke-Gruppen: Eine Möglichkeit, Spokes innerhalb eines Network Connectivity Center-Hubs zu gruppieren. Mit Spoke-Gruppen können Sie Speichen in verschiedene Routing-Domains unterteilen. Eine Speichengruppe kann mehrere Speichen enthalten, eine Speiche kann jedoch nur einer Gruppe angehören. Detaillierte Informationen zu Spoke-Gruppen für verschiedene Topologien finden Sie unter Vordefinierte Konnektivitätstopologien.

Hybride Prüftopologie: Sie können einer Gruppe NCC-Gateway-Spokes hinzufügen, um Richtlinien anzuwenden. Informationen zur hybriden Prüftopologie finden Sie unter Hybride Prüftopologie.

Secure Access Connect: Mit dieser Funktion können Sie SSE-Produkte von Drittanbietern mit dem NCC-Gateway verbinden, um die Sicherheit zu verarbeiten und einen sicheren Internet-Ausgang zu ermöglichen. Informationen zu Secure Access Connect finden Sie unter Secure Access Connect – Übersicht.

Unterstützte SSE-Produkte

Das NCC Gateway unterstützt Verbindungen zu den folgenden SSE-Produkten:

Anwendungsfälle

NCC Gateway ist ideal für Organisationen, die den Zugriff ihrer hybriden Belegschaft auf Anwendungen sichern möchten. NCC Gateway bietet Sicherheit für hybride Belegschaften über ein integriertes Partnernetzwerk, mit dem Sie eine Verbindung zu SSE-Anbietern Ihrer Wahl herstellen können. Mit dem NCC-Gateway können Sie den Zugriff auf private Anwendungen sichern, die in Google Cloud, lokal, bei anderen Cloud-Anbietern und in öffentlichen Anwendungen gehostet werden, die im Internet und in SaaS-Anwendungen gehostet werden. Mit dem NCC-Gateway können Sie regionale Bereitstellungen für eine optimale Nähe zum Rechenzentrum erstellen und regionenübergreifenden Traffic über das private Backbone von Google Cloudverwalten.

Anwendungsfälle für Google Cloud -Nutzer:

  • Nutzer zum Internet weiterleiten
  • Nutzer zu privaten Anwendungen weiterleiten
  • Private Anwendungen zum Internet

Einige unterstützte Partner bieten einen oder mehrere der folgenden Anwendungsfälle an:

  • Mobile Nutzer zum Internet
  • Mobile Nutzer zu privaten Anwendungen
  • Nutzer an Partneranwendungen weiterleiten
  • Private Apps zu Partner-Apps

Trafficabläufe

In diesem Abschnitt werden die Traffic-Flow-Pfade im NCC-Gateway je nach Anwendungsfall beschrieben.

Traffic Flow in den Anwendungsfällen für Google Cloud -Nutzer

Nutzer zum Internet weiterleiten

Im folgenden Diagramm fließt der Traffic von einem Nutzer in einer lokalen Niederlassung über das NCC-Gateway und den SSE-Stack eines Drittanbieters ins Internet.

Nutzer zum Internet-Trafficfluss weiterleiten
Weiterleitung von Nutzern zum Internet-Trafficfluss (zum Vergrößern anklicken)

Nutzer zu privaten Anwendungen weiterleiten

Im folgenden Diagramm fließt der Traffic vom Nutzer der lokalen Niederlassung über das NCC-Gateway, durch die SSE des Drittanbieters und dann wieder über das NCC-Gateway zu einer privaten Anwendung.

Nutzer zu einem Trafficfluss für private Anwendungen weiterleiten
Weiterleitung von Nutzern zu einer privaten Anwendung (zum Vergrößern anklicken)

Private Anwendungen zum Internet

Im folgenden Diagramm fließt der Traffic von Google Cloudüber das NCC-Gateway, durch den SSE des Drittanbieters und dann zurück über das NCC-Gateway ins Internet.

Private Anwendungen zum Internet-Trafficfluss.
Private Anwendungen für den Internet-Trafficfluss (zum Vergrößern anklicken)

Traffic-Flow in den Anwendungsfällen für unterstützte Partner

Mobile Nutzer zum Internet

Im folgenden Diagramm fließt der Traffic von mobilen Nutzern über die SSE eines Drittanbieters ins Internet. In diesem Fall fließt der Traffic nicht über das NCC-Gateway.

von mobilen Nutzern zum Internet-Trafficfluss.
Mobilnutzer zum Internet-Trafficfluss (zum Vergrößern klicken)

Mobile Nutzer zu privaten Anwendungen

Im folgenden Diagramm fließt der Traffic von mobilen Nutzern über den SSE-Dienst eines Drittanbieters und das NCC-Gateway zu einer privaten Anwendung, die in einem VPC-Netzwerk gehostet wird.

Von mobilen Nutzern zu einem Trafficfluss für private Anwendungen.
Trafficfluss von mobilen Nutzern zu einer privaten Anwendung (zum Vergrößern anklicken)

Nutzer an Partneranwendungen weiterleiten

Im folgenden Diagramm fließt der Traffic vom Nutzer des lokalen Standorts über das NCC-Gateway, durch den SSE des Drittanbieters und dann zurück über das NCC-Gateway zum lokalen Standort.

Nutzer an den Traffic-Flow von Partneranwendungen weiterleiten
Traffic-Flow von Filialnutzern zu Partneranwendungen (zum Vergrößern anklicken)

Private Apps zu Partner-Apps

Im folgenden Diagramm fließt der Traffic von privaten Anwendungen über das NCC-Gateway, durch die SSE des Drittanbieters und dann zurück über das NCC-Gateway zu Partneranwendungen.

Trafficfluss von privaten Anwendungen zu Partneranwendungen.
Trafficfluss von privaten Anwendungen zu Partneranwendungen (zum Vergrößern anklicken)

Verarbeitungskapazität

Die Verarbeitungskapazität eines NCC-Gateway-Spokes ist seine bereitgestellte Bandbreite. Sie müssen genügend Bandbreite für jede Trafficflussrichtung bereitstellen. Beachten Sie, dass Pakete bei einigen Trafficflüssen mehrmals für jede Flussrichtung den Gateway-Speichen betreten und verlassen können.

Anhand der folgenden Beispiele können Sie die erforderliche Verarbeitungskapazität eines Gateway-Spokes berechnen.

Beispiel: Nutzer zum Internet weiterleiten

Angenommen, das lokale Netzwerk einer Filiale ist mit dem Internet verbunden, wie im Anwendungsfall Filialnutzer mit dem Internet verbinden dargestellt. Die Pakete durchlaufen das NCC-Gateway einmal in jede Richtung. Die Niederlassung und das Internet benötigen eine Full-Duplex-Bandbreite von 1 Gbit/s: 1 Gbit/s für den Traffic vom lokalen Netzwerk der Niederlassung ins Internet und 1 Gbit/s für den Traffic vom Internet in das Niederlassungsnetzwerk. In diesem Fall benötigt der Nutzer eine Verarbeitungskapazität von 2 Gbit/s. In diesem Beispiel wird außerdem davon ausgegangen, dass der SSE-Partner keine Pakete verwirft. Wenn Ihr ausgewählter SSE-Partner eine höhere Bandbreite empfiehlt als in diesem Beispiel berechnet, folgen Sie der Empfehlung des Partners.

Beispiel: Nutzer zu privaten Anwendungen weiterleiten

Angenommen, das lokale Netzwerk einer Niederlassung ist mitGoogle Cloud verbunden, wie im Anwendungsfall Zwischen Niederlassungsnutzern und privaten Anwendungen dargestellt, und die Niederlassung und die privaten Anwendungen benötigen eine Full-Duplex-Bandbreite von 1 Gbit/s: 1 Gbit/s für den Traffic von der Niederlassung zu den Anwendungen und 1 Gbit/s für den Traffic von den Anwendungen zur Niederlassung. In diesem Beispiel wird außerdem davon ausgegangen, dass der SSE-Partner keine Pakete verwirft. Wenn dein ausgewählter SSE-Partner eine höhere Bandbreite empfiehlt als in diesem Beispiel berechnet, folge der Empfehlung des Partners.

Der NCC-Gateway-Spoke, der das lokale Netzwerk der Niederlassung mit dem NCC-Hub verbindet, benötigt zwei VLAN-Anhänge mit 1 Gbit/s, um die SLA-Anforderungen von Cloud Interconnect zu erfüllen. So kann ein VLAN-Anhang eine Full-Duplex-Bandbreite von 1 Gbit/s zwischen dem Zweig und den privaten Anwendungen bereitstellen, auch wenn ein VLAN-Anhang offline ist (z. B. aufgrund der Wartung der Interconnect-Verbindung).

Die erforderliche Verarbeitungskapazität des Gateway-Spokes beträgt 4 Gbit/s aus den folgenden Gründen:

  • Für den Traffic vom lokalen Netzwerk der Niederlassung zum Hub des Network Connectivity Center ist eine Bandbreite von 1 Gbit/s erforderlich. Für diesen Traffic ist eine Gateway-Bandbreite von 2 Gbit/s erforderlich, da er an den folgenden beiden Stellen vom Gateway verarbeitet wird:

    • 1 Gbit/s, wenn Pakete von den VLAN-Anhängen, die mit der Filiale verbunden sind, den Gateway-Spoke betreten
    • 1 Gbit/s, wenn Pakete den Gateway-Spoke verlassen und den Hub erreichen

  • Für den Traffic vom Network Connectivity Center-Hub zum lokalen Netzwerk der Niederlassung ist ebenfalls eine Bandbreite von 1 Gbit/s erforderlich. Für diesen Traffic ist eine zusätzliche Gateway-Bandbreite von 2 Gbit/s erforderlich, da er an den folgenden beiden Stellen vom Gateway verarbeitet wird:

    • 1 Gbit/s, wenn Pakete den Hub verlassen und den Gateway-Speichen betreten
    • 1 Gbit/s, wenn Pakete den Gateway-Spoke verlassen und an die VLAN-Anhänge gesendet werden, die mit dem Branch verbunden sind

Wir empfehlen die folgende Strategie für die Konfiguration der Gateway-Verarbeitungskapazität und der VLAN-Anhangsbandbreite:

  • Die Gateway-Verarbeitungskapazität ist die Summe der in jeder Richtung erforderlichen Bandbreite aller Gateway-NICs.
  • Im Gegensatz zur Gateway-Verarbeitungskapazität ist die Bandbreite des VLAN-Anhang vollduplex. Weisen Sie immer eine ausreichende Anzahl von VLAN-Anhängen zu, um die erforderliche Bandbreite zu unterstützen, auch wenn die VLAN-Anhänge, die eine gemeinsame Interconnect-Verbindung verwenden, ausgefallen sind.

Hinweise

Beachten Sie bei der Verwendung von NCC Gateway Folgendes:

  • NCC Gateway unterstützt nur die Einfügung von SSE-Diensten.
  • Sie können VLAN-Anhänge nur an NCC-Gateway-Spokes anhängen. Cloud-VPNs und Router-Appliances werden nicht unterstützt.
  • Alle NCC-Gateway-Spokes müssen sich in derselben Spoke-Gruppe gateways befinden. Zum Konfigurieren des NCC-Gateways müssen Network Connectivity Center-Hubs die voreingestellte hybride Prüftopologie verwenden.
  • An ein NCC-Gateway kann jeweils nur ein Dienst angehängt werden.
  • Ein Cloud Router muss mit einem NCC-Gateway in derselben Region verknüpft sein.
  • Nur VLAN-Anhänge, die mit einem Cloud Router erstellt wurden, der mit einem NCC-Gateway verknüpft ist, werden mit dem Gateway verbunden.
  • Pro Region und Hub kann es nur einen NCC-Gateway-Spoke geben.
  • NCC-Gateway-Spokes und -Hub müssen sich im selben Projekt befinden.
  • Sie müssen die Verarbeitungskapazität beim Erstellen des Gateway-Spokes angeben. Die Verarbeitungskapazität kann bei Bedarf später geändert werden.
  • Zugewiesene IP-Adressbereiche können nicht geändert werden. Einige IP-Adressbereiche sind für SSE-Partner reserviert.
  • Es gibt keine Richtlinie zur Verkehrslenkung, um einen Teil des Traffics vom NCC-Gateway zu umgehen.
  • Vom Gateway beworbene Routen werden nicht in der VPC-Routentabelle angezeigt. Sie finden sie in der Hub-Routingtabelle der Spoke-Gruppe, in der sich das VPC-Netzwerk befindet.
  • Vom Gateway beworbene Routen werden mit dem Standardmodus zur Auswahl des besten Pfads programmiert.
    • Die Priorität der vom Gateway beworbenen Routen in der Hub-Routentabelle entspricht der effektiven Andromeda-Routenpriorität, z. B. 65536 oder 65537. Die Priorität, mit der die vom Gateway beworbene Route erstellt wird, wird bei der Berechnung der effektiven Andromeda-Routenpriorität berücksichtigt.
    • Statische Routen haben immer eine Priorität zwischen 0-65535 und haben daher Vorrang vor vom Gateway beworbenen Routen für dasselbe Zielpräfix. Wenn Sie also den Internetverkehr über eine vom Gateway beworbene Route mit dem Ziel 0/0 an das Gateway weiterleiten möchten, müssen Sie möglicherweise die vom System generierte Standardroute entfernen.

Ansicht „Aktive Routen“ für Gateways und Hub-Routingtabellen

Sie können Hub-Routentabellen aus der Perspektive einer Region abfragen. Dabei werden die zwischenregionalen Kosten berücksichtigt, wenn Sie eine Route auswählen, unabhängig davon, ob sie über das Gateway führt oder nicht. Mit dieser Abfrage sehen Sie, welche Gateway-Instanz den Traffic empfängt, wenn Sie ein Paket aus dieser Region senden.

Beispiel für eine User Journey

Wenn Sie noch keine bestehende Konnektivitätseinrichtung haben, lesen Sie den Hilfeartikel NCC Gateway-Einrichtung – Übersicht.

Preise

Informationen zu den Preisen finden Sie unter Preise für Network Connectivity Center.

Nächste Schritte