La puerta de enlace de NCC es un tipo de radio que se puede conectar al concentrador de Network Connectivity Center. Es un producto regional que habilita la seguridad para el tráfico de Cross-Cloud Network. NCC Gateway te permite habilitar funciones de seguridad, como el perímetro de servicio de seguridad (SSE) de terceros, un componente de seguridad que se entrega en la nube del perímetro de servicio de acceso seguro (SASE), y finalizar las conexiones de interconexión.
La puerta de enlace de NCC ofrece las siguientes funciones:
- Integración optimizada de SSE: Puedes integrar SSE sin problemas con una dirección transparente para mejorar la protección y el rendimiento de los usuarios a la aplicación.
- Implementación regional: Puedes implementar la puerta de enlace de NCC en varias regiones según la proximidad física a los centros de datos o a otros proveedores de servicios en la nube.
- Fuerza laboral remota segura: Puedes conectar de forma segura a la fuerza laboral remota, como las que se encuentran en las subastas, los centros de datos y las oficinas remotas, a aplicaciones privadas en Google Cloud, de forma local o en otros proveedores de servicios en la nube, y a aplicaciones públicas, como Palo Alto Networks Prisma Access y Symantec Cloud Secure Web Gateway (Cloud SWG).
- Seguridad mejorada: Puedes habilitar funciones de seguridad, como SSE, para el tráfico multinube.
- Administración simplificada: La puerta de enlace de NCC te ayuda a reducir la complejidad y los costos operativos asociados con la administración de redes de VPC y las conexiones a redes remotas.
- Visibilidad del rendimiento: La puerta de enlace de NCC te permite obtener estadísticas sobre el rendimiento de la red con métricas y datos de telemetría.
Beneficios
La puerta de enlace de NCC proporciona los siguientes beneficios:
Experiencia óptima de la aplicación con latencia reducida: consumo de servicio de SSE centrado en la nube con ancho de banda alto y la puerta de enlace de NCC, y rendimiento mejorado a través de la red troncal privada de Google.
Seguridad unificada para todo el tráfico de los usuarios: Mejora la postura de seguridad con una sola pila de seguridad unificada y reduce la superficie de ataque limitando los puntos de entrada y salida.
Administración simplificada a través de Network Connectivity Center
Términos clave
Para comprender la puerta de enlace de NCC, familiarízate con la siguiente terminología:
Conexión híbrida: Son conexiones híbridas que configuras para que lleguen directamente a la puerta de enlace de NCC.
Función de servicio de seguridad: Son los servicios conectados a la puerta de enlace de NCC. Por ejemplo, para la protección de usuario a aplicación, debes adjuntar un servicio de SSE a NCC Gateway.
Red de VPC de la aplicación o la carga de trabajo: Por lo general, una red de VPC de carga de trabajo es una red que usa contenedores de máquinas virtuales (VM) de Compute Engine o Google Kubernetes Engine (GKE) como cargas de trabajo. Las redes de VPC de las cargas de trabajo pueden ser redes de VPC normales o VPC compartidas con un proyecto host y varios proyectos de servicio. Las redes de VPC de la carga de trabajo deben configurarse como radios en el concentrador.
Grupos de radios: Es una forma de agrupar radios dentro de un concentrador de Network Connectivity Center. Los grupos de aristas te permiten separar las aristas en diferentes dominios de enrutamiento. Un grupo de radios puede contener varios radios, pero un radio solo puede pertenecer a un grupo. Para obtener información detallada sobre los grupos de radios para diferentes topologías, consulta Topologías de conectividad predeterminadas.
Topología de inspección híbrida: Te permite agregar radios de la puerta de enlace de NCC a un grupo para aplicar políticas. Para obtener información sobre la topología de inspección híbrida, consulta Topología de inspección híbrida.
Secure Access Connect: Te permite conectar productos de SSE de terceros a la puerta de enlace de NCC para el procesamiento de seguridad y la salida a Internet segura. Para obtener información sobre Secure Access Connect, consulta la descripción general de Secure Access Connect.
Productos de SSE compatibles
La puerta de enlace de NCC admite conexiones a los siguientes productos de SSE:
Casos de uso
La puerta de enlace de NCC es ideal para las organizaciones que desean proteger el acceso de la fuerza laboral híbrida a las aplicaciones. NCC Gateway proporciona seguridad para el personal híbrido a través de un ecosistema de socios integrado para que te conectes con los proveedores de SSE que elijas. La puerta de enlace de NCC te permite proteger tu acceso a las aplicaciones privadas que se alojan en Google Cloud, en las instalaciones, en otros proveedores de servicios en la nube y en las aplicaciones públicas alojadas en Internet y en las aplicaciones de SaaS. La puerta de enlace de NCC te permite crear implementaciones regionales para una proximidad óptima del centro de datos y administrar el tráfico entre regiones en la red principal privada de Google Cloud.
Los casos de uso para los usuarios de Google Cloud incluyen los siguientes:
- Dirige a los usuarios a Internet
- Dirige a los usuarios a aplicaciones privadas
- Aplicaciones privadas a Internet
Algunos socios admitidos ofrecen uno o más de los siguientes casos de uso:
- Usuarios de dispositivos móviles a Internet
- Usuarios de dispositivos móviles a aplicaciones privadas
- Dirige a los usuarios de Branch a aplicaciones de socios
- Aplicaciones privadas a aplicaciones de socios
Flujos de tráfico
En esta sección, se describen las rutas de flujo de tráfico en la puerta de enlace de NCC según cada caso de uso.
Flujo de tráfico en los casos de uso de los usuarios de Google Cloud
Dirige a los usuarios a Internet
En el siguiente diagrama, el tráfico fluye desde un usuario de la sucursal local a través de la puerta de enlace de NCC y la pila de SSE de terceros a Internet.
Dirige a los usuarios a aplicaciones privadas
En el siguiente diagrama, el tráfico fluye desde el usuario de la sucursal local a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, vuelve a pasar por la puerta de enlace de NCC a una aplicación privada.
Aplicaciones privadas a Internet
En el siguiente diagrama, el tráfico fluye desde Google Cloud a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y luego vuelve a través de la puerta de enlace de NCC a Internet.
Flujo de tráfico en los casos de uso de los socios admitidos
Usuarios de dispositivos móviles a Internet
En el siguiente diagrama, el tráfico fluye de los usuarios de dispositivos móviles a través del SSE de terceros a Internet. En este caso, el tráfico no pasa por la puerta de enlace de NCC.
Usuarios de dispositivos móviles a aplicaciones privadas
En el siguiente diagrama, el tráfico fluye de los usuarios de dispositivos móviles a través del servicio de SSE de terceros y la puerta de enlace de NCC a una aplicación privada alojada en una red de VPC.
Dirige a los usuarios de Branch a aplicaciones de socios
En el siguiente diagrama, el tráfico fluye desde el usuario de la sucursal local a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, vuelve a pasar por la puerta de enlace de NCC a la sucursal local.
Aplicaciones privadas a aplicaciones de socios
En el siguiente diagrama, el tráfico fluye desde las aplicaciones privadas a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, vuelve a pasar por la puerta de enlace de NCC a las aplicaciones de socios.
Capacidad de procesamiento
La capacidad de procesamiento de un radio de puerta de enlace de NCC es su ancho de banda aprovisionado. Debes aprovisionar suficiente ancho de banda para cada dirección del flujo de tráfico, teniendo en cuenta que los paquetes pueden ingresar y salir del radio de la puerta de enlace más de una vez para cada dirección del flujo en algunos flujos de tráfico.
Considera los siguientes ejemplos para calcular la capacidad de procesamiento requerida de un nodo de puerta de enlace.
Ejemplo: Dirige a los usuarios a Internet
Supongamos que la red local de una sucursal está conectada a Internet, como se muestra en el caso de uso Usuarios de la sucursal a Internet. Los paquetes atraviesan la puerta de enlace de NCC una vez en cada dirección, y la sucursal y la Internet necesitan un ancho de banda de dúplex completo de 1 Gbps: 1 Gbps para el tráfico de la red local de la sucursal a Internet y 1 Gbps para el tráfico de Internet a la red de la sucursal. En este caso, el usuario necesita 2 Gbps de capacidad de procesamiento. En este ejemplo, también se supone que el socio de SSE no descarta ningún paquete. Si el socio de SSE que elegiste recomienda un ancho de banda más alto que el que calcula este ejemplo, sigue su recomendación.
Ejemplo: Dirige a los usuarios a aplicaciones privadas
Supongamos que la red local de una sucursal está conectada aGoogle Cloud , como se muestra en el caso de uso de Usuarios de sucursales a aplicaciones privadas, y que la sucursal y las aplicaciones privadas necesitan un ancho de banda de dúplex completo de 1 Gbps: 1 Gbps para el tráfico de la sucursal a las aplicaciones y 1 Gbps para el tráfico de las aplicaciones a la sucursal. En este ejemplo, también se supone que el socio de SSE no descarta ningún paquete. Si el socio de SSE que elegiste recomienda un ancho de banda más alto que el que calcula este ejemplo, sigue su recomendación.
El nodo de la puerta de enlace de NCC que conecta la red local de la sucursal al centro de conectividad de red necesita dos adjuntos de VLAN de 1 Gbps para cumplir con los requisitos del ANS de Cloud Interconnect. De esta manera, es posible que un adjunto de VLAN proporcione 1 Gbps de ancho de banda de dúplex completo entre la sucursal y las aplicaciones privadas, incluso cuando un adjunto de VLAN está sin conexión (por ejemplo, debido al mantenimiento de la conexión de interconexión).
La capacidad de procesamiento requerida del spoke de la puerta de enlace es de 4 Gbps por los siguientes motivos:
El tráfico de la red local de la sucursal al concentrador del Network Connectivity Center requiere 1 Gbps de ancho de banda. Este tráfico requiere 2 Gbps de ancho de banda de la puerta de enlace, ya que la puerta de enlace lo procesa en los siguientes dos lugares:
- 1 Gbps, ya que los paquetes de los adjuntos de VLAN que se conectan a la sucursal ingresan al radio de la puerta de enlace
- 1 Gbps a medida que los paquetes salen del radio de la puerta de enlace y entran en el concentrador
El tráfico del concentrador de Network Connectivity Center a la red local de la sucursal también requiere 1 Gbps de ancho de banda. Este tráfico requiere 2 Gbps adicionales de ancho de banda de la puerta de enlace, ya que la puerta de enlace lo procesa en los siguientes dos lugares:
- 1 Gbps a medida que los paquetes salen del concentrador y entran en el radio de la puerta de enlace
- 1 Gbps a medida que los paquetes salen del radio de la puerta de enlace y se envían a los adjuntos de VLAN que se conectan a la sucursal
Recomendamos la siguiente estrategia para configurar la capacidad de procesamiento de la puerta de enlace y el ancho de banda del adjunto de VLAN:
- La capacidad de procesamiento de la puerta de enlace es la suma del ancho de banda requerido, en cada dirección, entre todas las NIC de la puerta de enlace.
- A diferencia de la capacidad de procesamiento de la puerta de enlace, el ancho de banda del adjunto de VLAN es de dúplex completo. Siempre aprovisiona una cantidad suficiente de adjuntos de VLAN para admitir el ancho de banda requerido, incluso si los adjuntos de VLAN que usan una conexión de interconexión común están inactivos.
Consideraciones
Ten en cuenta las siguientes consideraciones cuando uses la puerta de enlace de NCC:
- NCC Gateway solo admite la inserción de servicios de SSE.
- Solo puedes adjuntar adjuntos de VLAN a radios de la puerta de enlace de NCC. No se admiten las VPN de Cloud ni los dispositivos de router.
- Todos los radios de la puerta de enlace de NCC deben estar en el mismo grupo de radios de puertas de enlace. Para configurar la puerta de enlace de NCC, los concentradores de Network Connectivity Center deben usar la topología de inspección híbrida predeterminada.
- Solo se puede conectar un servicio a una puerta de enlace de NCC a la vez.
- Un Cloud Router debe estar vinculado a una puerta de enlace de NCC en la misma región.
- Solo los adjuntos de VLAN creados con un Cloud Router vinculado a una puerta de enlace de NCC se adjuntan a la puerta de enlace.
- Solo puedes tener un radio de puerta de enlace de NCC por región y por concentrador.
- Los radios y el concentrador de la puerta de enlace de NCC deben estar en el mismo proyecto.
- Debes especificar la capacidad de procesamiento en el momento de la creación del radio de la puerta de enlace. La capacidad de procesamiento se puede cambiar más adelante, si es necesario.
- No puedes cambiar los rangos de direcciones IP asignados. Algunos rangos de direcciones IP están reservados para los socios de SSE.
- No hay una política de control de tráfico para omitir un subconjunto de tráfico de la puerta de enlace de NCC.
- Las rutas anunciadas de la puerta de enlace no aparecen en la tabla de rutas de la VPC. Puedes verlas en la tabla de rutas del concentrador del grupo de radios en el que se encuentra la red de VPC.
- Las rutas anunciadas de la puerta de enlace se programan con el modo de selección de la mejor ruta de acceso estándar.
- La prioridad de las rutas anunciadas de la puerta de enlace en la tabla de rutas del concentrador refleja la prioridad de ruta efectiva de Andromeda, como
65536o65537. La prioridad con la que se crea la ruta anunciada de la puerta de enlace se tiene en cuenta cuando se calcula la prioridad efectiva de la ruta de Andromeda. - Las rutas estáticas siempre tienen una prioridad entre
0-65535y, por lo tanto, tienen prioridad sobre las rutas anunciadas de la puerta de enlace para el mismo prefijo de destino. Por lo tanto, si deseas dirigir el tráfico de Internet a la puerta de enlace con una ruta anunciada de la puerta de enlace con un destino0/0, es posible que debas quitar la ruta predeterminada generada por el sistema.
- La prioridad de las rutas anunciadas de la puerta de enlace en la tabla de rutas del concentrador refleja la prioridad de ruta efectiva de Andromeda, como
Vista de rutas eficaces para las tablas de rutas de concentradores y las puertas de enlace
Puedes consultar las tablas de rutas de concentrador desde la perspectiva de una región, que tiene en cuenta el costo entre regiones cuando seleccionas una ruta, ya sea a través de la puerta de enlace o no. Esta consulta te permite ver qué instancia de puerta de enlace en particular recibe el tráfico si envías un paquete desde esa región en particular.
Ejemplo de recorrido del usuario
Si no tienes una configuración de conectividad preexistente, consulta la descripción general de la configuración de la puerta de enlace de NCC.
Precios
Para obtener información sobre los precios, consulta los precios de Network Connectivity Center.
¿Qué sigue?
- Para crear concentradores y radios, consulta Trabaja con concentradores y radios.
- Para ver una lista de socios cuyas soluciones están integradas en Network Connectivity Center, consulta Socios de Network Connectivity Center.
- Para encontrar soluciones a problemas comunes, consulta Soluciona problemas de Network Connectivity Center.
- Para obtener detalles sobre los comandos de la API y
gcloud, consulta API y referencia.