Ringkasan NCC Gateway

NCC Gateway adalah jenis spoke yang dapat dilampirkan ke hub Network Connectivity Center. Ini adalah produk regional yang memungkinkan keamanan untuk traffic Cross-Cloud Network. Dengan Gateway NCC, Anda dapat mengaktifkan fungsi keamanan seperti Security Service Edge (SSE) pihak ketiga, komponen keamanan yang dikirimkan melalui cloud dari secure access service edge (SASE), dan menghentikan koneksi interconnect.

NCC Gateway menawarkan fitur berikut:

  • Integrasi SSE yang disederhanakan: Anda dapat mengintegrasikan SSE dengan lancar menggunakan pengarah transparan untuk meningkatkan perlindungan dan performa pengguna ke aplikasi.
  • Deployment regional: Anda dapat men-deploy NCC Gateway di berbagai region berdasarkan kedekatan fisik dengan pusat data atau penyedia cloud lainnya.
  • Tenaga kerja jarak jauh yang aman: Anda dapat menghubungkan tenaga kerja jarak jauh—seperti yang ada di cabang, pusat data, dan kantor jarak jauh—ke aplikasi pribadi di Google Cloud, di lokal, atau penyedia cloud lainnya dan ke aplikasi publik, seperti Palo Alto Networks Prisma Access dan Symantec Cloud Secure Web Gateway (Cloud SWG).
  • Keamanan yang ditingkatkan: Anda dapat mengaktifkan fungsi keamanan seperti SSE untuk traffic multicloud.
  • Pengelolaan yang disederhanakan: NCC Gateway membantu Anda mengurangi kompleksitas dan biaya operasional yang terkait dengan pengelolaan jaringan VPC dan koneksi ke jaringan jarak jauh.
  • Visibilitas performa: NCC Gateway memungkinkan Anda mendapatkan insight tentang performa jaringan dengan metrik dan data telemetri.

Manfaat

NCC Gateway memberikan manfaat berikut:

  • Pengalaman aplikasi yang optimal dengan latensi yang lebih rendah: konsumsi layanan SSE dengan bandwidth tinggi dan cloud-first dengan NCC Gateway serta performa yang ditingkatkan melalui backbone pribadi Google.

  • Keamanan terpadu untuk semua traffic pengguna: postur keamanan yang lebih baik dengan satu stack keamanan terpadu dan mengurangi permukaan serangan dengan membatasi titik masuk dan keluar.

  • Pengelolaan yang disederhanakan melalui Network Connectivity Center.

Istilah utama

Untuk memahami Gateway NCC, pahami terminologi berikut:

Lampiran hybrid: koneksi hybrid yang Anda konfigurasikan untuk langsung diarahkan ke NCC Gateway.

Fungsi layanan keamanan: layanan yang dilampirkan ke Gateway NCC. Misalnya, untuk perlindungan pengguna ke aplikasi, Anda harus melampirkan layanan SSE ke Gateway NCC.

Jaringan VPC aplikasi atau workload: jaringan VPC workload biasanya adalah jaringan yang menggunakan virtual machine (VM) Compute Engine atau penampung Google Kubernetes Engine (GKE) sebagai workload. Jaringan VPC beban kerja dapat berupa jaringan VPC reguler atau VPC Bersama dengan project host dan beberapa project layanan. Jaringan VPC beban kerja harus dikonfigurasi sebagai spoke di hub.

Grup spoke: cara mengelompokkan spoke dalam hub Network Connectivity Center. Grup spoke memungkinkan Anda memisahkan spoke ke dalam domain pemilihan rute yang berbeda. Grup spoke dapat berisi beberapa spoke, tetapi spoke hanya dapat menjadi bagian dari satu grup. Untuk mengetahui informasi mendetail tentang grup spoke untuk berbagai topologi, lihat Topologi konektivitas preset.

Topologi pemeriksaan campuran: memungkinkan Anda menambahkan spoke Gateway NCC ke grup untuk menerapkan kebijakan. Untuk informasi tentang topologi pemeriksaan campuran, lihat Topologi pemeriksaan campuran.

Secure Access Connect: memungkinkan Anda menghubungkan produk SSE pihak ketiga ke Gateway NCC untuk pemrosesan keamanan dan internet egress yang aman. Untuk informasi tentang Secure Access Connect, lihat Ringkasan Secure Access Connect.

Produk SSE yang didukung

NCC Gateway mendukung koneksi ke produk SSE berikut:

Kasus penggunaan

NCC Gateway ideal untuk organisasi yang ingin mengamankan akses tenaga kerja campuran ke aplikasi. Gateway NCC menyediakan keamanan untuk tenaga kerja hybrid melalui ekosistem partner terintegrasi agar Anda dapat terhubung ke penyedia SSE pilihan Anda. NCC Gateway memungkinkan Anda mengamankan akses ke aplikasi pribadi yang dihosting di Google Cloud, di lokal, di penyedia cloud lain, dan di aplikasi publik yang dihosting di internet dan aplikasi SaaS. NCC Gateway memungkinkan Anda membuat deployment regional untuk kedekatan pusat data yang optimal dan mengelola traffic lintas region di backbone pribadi Google Cloud.

Kasus penggunaan untuk Google Cloud pengguna mencakup hal berikut:

  • Mengarahkan pengguna ke internet
  • Mengalihkan pengguna ke aplikasi pribadi
  • Aplikasi pribadi ke internet

Beberapa partner yang didukung menawarkan satu atau beberapa kasus penggunaan berikut:

  • Pengguna seluler ke internet
  • Pengguna seluler ke aplikasi pribadi
  • Mengalihkan pengguna ke aplikasi partner
  • Aplikasi pribadi ke aplikasi partner

Arus traffic

Bagian ini menjelaskan jalur alur traffic di NCC Gateway bergantung pada setiap kasus penggunaan.

Alur traffic dalam kasus penggunaan untuk Google Cloud pengguna

Mengarahkan pengguna ke internet

Dalam diagram berikut, traffic mengalir dari pengguna cabang lokal melalui Gateway NCC dan stack SSE pihak ketiga ke internet.

Arahkan pengguna ke alur traffic internet.
Pengguna cabang ke aliran traffic internet (klik untuk memperbesar).

Mengalihkan pengguna ke aplikasi pribadi

Pada diagram berikut, traffic mengalir dari pengguna cabang lokal melalui Gateway NCC, melintasi SSE pihak ketiga, lalu kembali melalui Gateway NCC ke aplikasi pribadi.

Mengarahkan pengguna ke alur traffic aplikasi pribadi.
Mengarahkan pengguna ke aliran traffic aplikasi pribadi (klik untuk memperbesar).

Aplikasi pribadi ke internet

Pada diagram berikut, traffic mengalir dari Google Cloud melalui Gateway NCC, melintasi SSE pihak ketiga, lalu kembali melalui Gateway NCC ke internet.

Aplikasi pribadi ke alur traffic internet.
Aplikasi pribadi ke aliran traffic internet (klik untuk memperbesar).

Alur traffic dalam kasus penggunaan untuk partner yang didukung

Pengguna seluler ke internet

Dalam diagram berikut, traffic mengalir dari pengguna seluler melalui SSE pihak ketiga ke internet. Dalam hal ini, traffic tidak melalui Gateway NCC.

Pengguna seluler ke alur traffic internet.
Aliran traffic internet pengguna seluler (klik untuk memperbesar).

Pengguna seluler ke aplikasi pribadi

Pada diagram berikut, traffic mengalir dari pengguna seluler melalui layanan SSE pihak ketiga dan Gateway NCC ke aplikasi pribadi yang dihosting di jaringan VPC.

Pengguna seluler ke alur traffic aplikasi pribadi.
Pengguna seluler ke aliran traffic aplikasi pribadi (klik untuk memperbesar).

Mengalihkan pengguna ke aplikasi partner

Pada diagram berikut, traffic mengalir dari pengguna cabang lokal melalui Gateway NCC, melintasi SSE pihak ketiga, lalu kembali melalui Gateway NCC ke cabang lokal.

Mengalihkan pengguna ke alur traffic aplikasi partner.
Aliran traffic pengguna cabang ke aplikasi partner (klik untuk memperbesar).

Aplikasi pribadi ke aplikasi partner

Dalam diagram berikut, traffic mengalir dari aplikasi pribadi melalui Gateway NCC, melintasi SSE pihak ketiga, lalu kembali melalui Gateway NCC ke aplikasi partner.

Aliran traffic aplikasi pribadi ke aplikasi partner.
Aliran traffic aplikasi pribadi ke aplikasi partner (klik untuk memperbesar).

Kapasitas pemrosesan

Kapasitas pemrosesan spoke Gateway NCC adalah bandwidth yang disediakan. Anda harus menyediakan bandwidth yang cukup untuk memperhitungkan setiap arah aliran traffic, dengan mengingat bahwa paket mungkin masuk dan keluar spoke gateway lebih dari sekali untuk setiap arah aliran untuk beberapa aliran traffic.

Pertimbangkan contoh berikut untuk menghitung kapasitas pemrosesan yang diperlukan dari spoke gateway.

Contoh: Mengarahkan pengguna ke internet

Misalkan jaringan lokal cabang terhubung ke internet seperti yang ditunjukkan dalam kasus penggunaan Pengguna cabang ke internet. Paket melintasi NCC Gateway sekali di setiap arah dan cabang serta internet memerlukan bandwidth full-duplex 1 Gbps: 1 Gbps untuk traffic dari jaringan lokal cabang ke internet dan 1 Gbps untuk traffic dari internet ke jaringan cabang. Dalam hal ini, pengguna memerlukan kapasitas pemrosesan 2 Gbps. Contoh ini juga mengasumsikan bahwa partner SSE tidak menghapus paket apa pun. Jika partner SSE yang Anda pilih merekomendasikan bandwidth yang lebih tinggi daripada yang dihitung dalam contoh ini, ikuti rekomendasi partner.

Contoh: Mengalihkan pengguna ke aplikasi pribadi

Misalkan jaringan lokal cabang terhubung ke Google Cloud seperti yang ditunjukkan dalam kasus penggunaan Pengguna cabang ke aplikasi pribadi, dan cabang serta aplikasi pribadi memerlukan bandwidth full-duplex 1 Gbps: 1 Gbps untuk traffic dari cabang ke aplikasi dan 1 Gbps untuk traffic dari aplikasi ke cabang. Contoh ini juga mengasumsikan bahwa partner SSE tidak menghapus paket apa pun. Jika partner SSE yang Anda pilih merekomendasikan bandwidth yang lebih tinggi daripada yang dihitung contoh ini, ikuti rekomendasi partner.

Spoke NCC Gateway yang menghubungkan jaringan lokal cabang ke hub Network Connectivity Center memerlukan dua lampiran VLAN 1 Gbps untuk memenuhi persyaratan SLA Cloud Interconnect. Dengan cara ini, satu lampiran VLAN dapat menyediakan bandwidth full-duplex 1 Gbps antara aplikasi cabang dan aplikasi pribadi meskipun satu lampiran VLAN offline (misalnya, karena pemeliharaan koneksi interconnect).

Kapasitas pemrosesan spoke gateway yang diperlukan adalah 4 Gbps karena alasan berikut:

  • Traffic dari jaringan lokal cabang ke hub Network Connectivity Center memerlukan bandwidth 1 Gbps. Traffic ini memerlukan bandwidth gateway sebesar 2 Gbps karena diproses oleh gateway di dua tempat berikut:

    • 1 Gbps saat paket dari lampiran VLAN yang terhubung ke cabang memasuki spoke gateway
    • 1 Gbps saat paket keluar dari spoke gateway dan memasuki hub

  • Traffic dari hub Network Connectivity Center ke jaringan lokal cabang juga memerlukan bandwidth 1 Gbps. Traffic ini memerlukan bandwidth gateway tambahan sebesar 2 Gbps karena diproses oleh gateway di dua tempat berikut:

    • 1 Gbps saat paket keluar dari hub dan masuk ke spoke gateway
    • 1 Gbps saat paket keluar dari spoke gateway dan dikirim ke lampiran VLAN yang terhubung ke cabang

Sebaiknya gunakan strategi berikut untuk mengonfigurasi kapasitas pemrosesan gateway dan bandwidth lampiran VLAN:

  • Kapasitas pemrosesan gateway adalah jumlah bandwidth yang diperlukan, di setiap arah, di antara semua NIC gateway.
  • Tidak seperti kapasitas pemrosesan gateway, bandwidth lampiran VLAN bersifat full-duplex. Selalu sediakan lampiran VLAN dalam jumlah yang memadai untuk mendukung bandwidth yang diperlukan meskipun lampiran VLAN yang menggunakan koneksi interconnect umum tidak aktif.

Pertimbangan

Perhatikan pertimbangan berikut saat Anda menggunakan NCC Gateway:

  • Gateway NCC hanya mendukung penyisipan layanan SSE.
  • Anda hanya dapat melampirkan lampiran VLAN ke spoke Gateway NCC. Cloud VPN dan perangkat Router tidak didukung.
  • Semua spoke Gateway NCC harus berada dalam grup spoke gateway yang sama. Untuk mengonfigurasi NCC Gateway, hub Network Connectivity Center harus menggunakan topologi pemeriksaan hybrid preset.
  • Hanya satu layanan yang dapat dilampirkan ke Gateway NCC dalam satu waktu.
  • Cloud Router harus ditautkan ke NCC Gateway di region yang sama.
  • Hanya lampiran VLAN yang dibuat dengan Cloud Router yang ditautkan ke Gateway NCC yang akan dilampirkan ke gateway.
  • Anda hanya dapat memiliki satu spoke NCC Gateway per region per hub.
  • Spoke dan hub NCC Gateway harus berada dalam project yang sama.
  • Anda harus menentukan kapasitas pemrosesan pada saat pembuatan spoke gateway. Kapasitas pemrosesan dapat diubah nanti, jika diperlukan.
  • Anda tidak dapat mengubah rentang alamat IP yang ditetapkan. Beberapa rentang alamat IP disediakan untuk partner SSE.
  • Tidak ada kebijakan pengalihan traffic untuk mengabaikan sebagian traffic dari Gateway NCC.
  • Rute yang diiklankan gateway tidak muncul di tabel rute VPC. Anda dapat melihatnya di tabel rute hub grup spoke yang berisi jaringan VPC.
  • Rute yang diiklankan gateway diprogram menggunakan mode pemilihan jalur terbaik standar.
    • Prioritas rute yang diiklankan gateway di tabel rute hub mencerminkan prioritas rute Andromeda yang efektif, seperti, 65536 atau 65537. Prioritas yang digunakan untuk membuat rute yang diiklankan gateway akan dipertimbangkan saat menghitung prioritas rute Andromeda yang efektif.
    • Rute statis selalu memiliki prioritas antara 0-65535, sehingga lebih diutamakan daripada rute yang diiklankan gateway untuk awalan tujuan yang sama. Jadi, jika ingin mengarahkan traffic internet ke gateway menggunakan rute yang diiklankan gateway dengan tujuan 0/0, Anda mungkin perlu menghapus rute default yang dibuat sistem.

Tampilan rute yang efektif untuk gateway dan tabel rute hub

Anda dapat membuat kueri tabel rute hub dari perspektif region, yang memperhitungkan biaya antar-region saat Anda memilih rute, baik melalui gateway maupun tidak. Kueri ini memungkinkan Anda melihat instance gateway tertentu yang menerima traffic jika Anda mengirim paket dari region tertentu tersebut.

Contoh perjalanan pengguna

Jika Anda tidak memiliki penyiapan konektivitas yang sudah ada, lihat Ringkasan penyiapan Gateway NCC.

Harga

Untuk mengetahui informasi tentang harga, lihat Harga Network Connectivity Center.

Langkah selanjutnya