Panoramica di NCC Gateway

NCC Gateway è un tipo di spoke che può essere collegato all'hub Network Connectivity Center. È un prodotto regionale che abilita la sicurezza per il traffico della rete cross-cloud. NCC Gateway ti consente di attivare funzioni di sicurezza come il security service edge (SSE) di terze parti, un componente di sicurezza fornito dal cloud del secure access service edge (SASE), nonché di terminare le connessioni di interconnessione.

NCC Gateway offre le seguenti funzionalità:

• Integrazione semplificata di SSE: puoi integrare SSE senza problemi con un sistema di gestione trasparente per migliorare la protezione e le prestazioni da utente ad applicazione.
• Deployment regionale: puoi eseguire il deployment di NCC Gateway in varie regioni in base alla vicinanza fisica ai data center o ad altri provider cloud.
• Risorse umane remote sicure: puoi collegare in modo sicuro le risorse umane remote, ad esempio quelle in filiali, data center e uffici remoti, ad applicazioni private in Google Cloud, on-premise o di altri provider cloud e ad applicazioni pubbliche, come Palo Alto Networks Prisma Access e Symantec Cloud Secure Web Gateway (Cloud SWG).
• Sicurezza avanzata: puoi attivare funzioni di sicurezza come SSE per il traffico multicloud.
• Gestione semplificata: NCC Gateway ti aiuta a ridurre la complessità e i costi operativi associati alla gestione delle reti VPC e delle connessioni alle reti remote.
• Visibilità del rendimento: NCC Gateway ti consente di ottenere informazioni sul rendimento della rete con metriche e dati di telemetria.

Vantaggi

NCC Gateway offre i seguenti vantaggi:

• Esperienza di applicazione ottimale con latenza ridotta: larghezza di banda elevata consumo cloud-first del servizio SSE con NCC Gateway e prestazioni migliorate tramite la backbone privata di Google.

• Sicurezza unificata per tutto il traffico utente: strategia di sicurezza migliorata con un singolo stack di sicurezza unificato e una superficie di attacco ridotta grazie alla limitazione dei punti di ingresso e di uscita.

• Gestione semplificata tramite Network Connectivity Center.

Termini chiave

Per comprendere NCC Gateway, acquisisci familiarità con la seguente terminologia:

Allegato ibrido: le connessioni ibride che configuri in modo che atterrino direttamente su NCC Gateway.

Funzione del servizio di sicurezza: i servizi collegati a NCC Gateway. Ad esempio, per la protezione dall'utente all'applicazione, devi collegare un servizio SSE a NCC Gateway.

Rete VPC per applicazioni o carichi di lavoro: una rete VPC per carichi di lavoro è in genere una rete che utilizza i container di macchine virtuali (VM) Compute Engine o Google Kubernetes Engine (GKE) come carichi di lavoro. Le reti VPC per i carichi di lavoro possono essere reti VPC normali o VPC condivise con un progetto host e più progetti di servizio. Le reti VPC del workload devono essere configurate come spoke nell'hub.

Gruppi di spoke: un modo per raggruppare gli spoke all'interno di un hub di Network Connectivity Center. I gruppi di spoke ti consentono di separare gli spoke in diversi domini di routing. Un gruppo di spoke può contenere più spoke, ma uno spoke può appartenere a un solo gruppo. Per informazioni dettagliate sui gruppi di spoke per diverse topologie, consulta Topologie di connettività predefinite.

Topologia di ispezione ibrida: consente di aggiungere spoke gateway NCC a un gruppo per applicare i criteri. Per informazioni sulla topologia di ispezione ibrida, consulta Topologia di ispezione ibrida.

Secure Access Connect: ti consente di collegare i prodotti SSE di terze parti a NCC Gateway per l'elaborazione della sicurezza e l'uscita sicura su internet. Per informazioni su Secure Access Connect, consulta la panoramica di Secure Access Connect.

Prodotti SSE supportati

NCC Gateway supporta le connessioni ai seguenti prodotti SSE:

• Symantec Cloud SWG
• Palo Alto Networks Prisma Access

Casi d'uso

NCC Gateway è ideale per le organizzazioni che vogliono proteggere l'accesso delle risorse umane ibride alle applicazioni. NCC Gateway fornisce sicurezza per la forza lavoro ibrida tramite un ecosistema di partner integrato per consentirti di connetterti ai fornitori di SSE che preferisci. NCC Gateway ti consente di proteggere l'accesso alle applicazioni private ospitate in Google Cloud, on-premise, in altri provider cloud e in applicazioni pubbliche ospitate su internet e applicazioni SaaS. NCC Gateway consente di creare implementazioni regionali per una maggiore vicinanza ai data center e di gestire il traffico tra regioni sulla dorsale privata di Google Cloud.

I casi d'uso per gli Google Cloud utenti includono:

• Indirizzare gli utenti a internet
• Indirizzare gli utenti ad applicazioni private
• Applicazioni private su internet

Alcuni partner supportati offrono uno o più dei seguenti casi d'uso:

• Utenti di dispositivi mobili su internet
• Utenti di dispositivi mobili per applicazioni private
• Indirizzare gli utenti alle applicazioni partner
• Applicazioni private ad applicazioni partner

Flussi di traffico

Questa sezione descrive i percorsi di flusso del traffico in NCC Gateway a seconda di ciascun caso d'uso.

Flusso di traffico nei casi d'uso per Google Cloud utenti

Indirizzare gli utenti a internet

Nel seguente diagramma, il traffico da un utente del ramo on-premise viene inoltrato tramite il gateway NCC e lo stack SSE di terze parti a internet.

Indirizzare gli utenti ad applicazioni private

Nel seguente diagramma, il traffico dall'utente del ramo on-premise passa per il gateway NCC, attraversa l'SSE di terze parti e poi torna indietro attraverso il gateway NCC a un'applicazione privata.

Applicazioni private su internet

Nel seguente diagramma, il traffico passa da Google Cloud tramite il gateway NCC, attraversa l'SSE di terze parti e poi torna a internet tramite il gateway NCC.

Flusso di traffico nei casi d'uso per i partner supportati

Utenti di dispositivi mobili su internet

Nel seguente diagramma, il traffico dagli utenti di dispositivi mobili passa per l'SSE di terze parti e arriva a internet. In questo caso, il traffico non passa per il gateway NCC.

Utenti di dispositivi mobili per applicazioni private

Nel seguente diagramma, il traffico dagli utenti di dispositivi mobili passa attraverso il servizio SSE di terze parti e il gateway NCC fino a un'applicazione privata ospitata in una rete VPC.

Indirizzare gli utenti alle applicazioni partner

Nel seguente diagramma, il traffico dall'utente del ramo on-premise passa attraverso il gateway NCC, attraversa l'SSE di terze parti e poi torna al ramo on-premise tramite il gateway NCC.

Applicazioni private ad applicazioni partner

Nel seguente diagramma, il traffico passa dalle applicazioni private tramite il gateway NCC, attraversa l'SSE di terze parti e poi torna tramite il gateway NCC alle applicazioni partner.

Capacità di elaborazione

La capacità di elaborazione di uno spoke gateway NCC è la sua larghezza di banda provisionata. Devi eseguire il provisioning di una larghezza di banda sufficiente per tenere conto di ogni direzione di flusso di traffico, tenendo presente che i pacchetti potrebbero entrare e uscire dall'hub del gateway più di una volta per ogni direzione di flusso per alcuni flussi di traffico.

Considera gli esempi riportati di seguito per calcolare la capacità di elaborazione richiesta di uno spoke del gateway.

Esempio: indirizzare gli utenti a internet

Supponiamo che la rete on-premise di un ufficio sia connessa a internet come показано nel caso d'uso Utenti dell'ufficio a internet. I pacchetti attraversano il gateway NCC una volta in ogni direzione e la filiale e internet richiedono una larghezza di banda full-duplex di 1 Gbps: 1 Gbps per il traffico dalla rete on-premise della filiale a internet e 1 Gbps per il traffico da internet alla rete della filiale. In questo caso, l'utente ha bisogno di 2 Gbps di capacità di elaborazione. Questo esempio assume inoltre che il partner SSE non perda pacchetti. Se il fornitore SSE scelto consiglia una larghezza di banda superiore a quella calcolata in questo esempio, segui il suo consiglio.

Esempio: indirizzare gli utenti ad applicazioni private

Supponiamo che la rete on-premise di un ufficio sia collegata a Google Cloud come mostrato nel caso d'uso Utenti dell'ufficio per applicazioni private e che l'ufficio e le applicazioni private richiedano una larghezza di banda full-duplex di 1 Gbps: 1 Gbps per il traffico dall'ufficio alle applicazioni e 1 Gbps per il traffico dalle applicazioni all'ufficio. Questo esempio assume inoltre che il partner SSE non perda pacchetti. Se il partner SSE scelto consiglia una larghezza di banda superiore a quella calcolata in questo esempio, segui il consiglio del partner.

Lo spoke del gateway NCC che connette la rete on-premise del ramo all'hub di Network Connectivity Center richiede due collegamenti VLAN da 1 Gbps per soddisfare i requisiti dello SLA di Cloud Interconnect. In questo modo, è possibile per un collegamento VLAN fornire 1 Gbps di larghezza di banda full-duplex tra il ramo e le applicazioni private anche quando un collegamento VLAN è offline (ad esempio a causa della manutenzione della connessione di interconnessione).

La capacità di elaborazione richiesta dello spoke gateway è di 4 Gbps per i seguenti motivi:

• Il traffico dalla rete on-premise del ramo all'hub Network Connectivity Center richiede 1 Gbps di larghezza di banda. Questo traffico richiede 2 Gbps di larghezza di banda del gateway perché viene elaborato dal gateway nei seguenti due punti:

  • 1 Gbps quando i pacchetti provenienti dai collegamenti VLAN che si connettono al ramo entrano nello spoke del gateway
  • 1 Gbps quando i pacchetti escono dallo spoke del gateway e entrano nell'hub

• Anche il traffico dall'hub del Network Connectivity Center alla rete on-premise del ramo richiede 1 Gbps di larghezza di banda. Questo traffico richiede un'ulteriore larghezza di banda del gateway di 2 Gbps perché viene elaborato dal gateway nei due seguenti punti:

  • 1 Gbps quando i pacchetti escono dall'hub e entrano nello spoke del gateway
  • 1 Gbps quando i pacchetti escono dallo spoke del gateway e vengono inviati ai collegamenti VLAN che si connettono al ramo

Consigliamo la seguente strategia per configurare la capacità di elaborazione del gateway e la larghezza di banda del collegamento VLAN:

• La capacità di elaborazione del gateway è la somma della larghezza di banda richiesta, in ogni direzione, tra tutte le NIC del gateway.
• A differenza della capacità di elaborazione del gateway, la larghezza di banda del collegamento VLAN è full-duplex. Esegui sempre il provisioning di un numero sufficiente di collegamenti VLAN per supportare la larghezza di banda richiesta anche se i collegamenti VLAN che utilizzano una connessione di interconnessione comune non sono attivi.

Considerazioni

Tieni presente le seguenti considerazioni quando utilizzi NCC Gateway:

• NCC Gateway supporta solo l'inserimento di servizi SSE.
• Puoi collegare i collegamenti VLAN solo agli spoke di NCC Gateway. Le VPN e le appliance router Cloud non sono supportate.
• Tutti gli spoke gateway NCC devono essere nello stesso gruppo spoke gateway. Per configurare NCC Gateway, gli hub Network Connectivity Center devono utilizzare la topologia di ispezione ibrida preimpostata.
• È possibile collegare un solo servizio alla volta a un gateway NCC.
• Un router Cloud deve essere collegato a un gateway NCC nella stessa regione.
• Solo i collegamenti VLAN creati con un router Cloud collegato a un gateway NCC sono collegati al gateway.
• Puoi avere un solo spoke gateway NCC per regione e per hub.
• Gli spoke e l'hub del gateway NCC devono trovarsi nello stesso progetto.
• Devi specificare la capacità di elaborazione al momento della creazione dello spoke del gateway. La capacità di elaborazione può essere modificata in un secondo momento, se necessario.
• Non puoi modificare gli intervalli di indirizzi IP assegnati. Alcuni intervalli di indirizzi IP sono riservati ai partner SSE.
• Non esiste un criterio di instradamento del traffico per bypassare un sottoinsieme di traffico dal gateway NCC.
• Le route annunciate dal gateway non vengono visualizzate nella tabella di route VPC. Puoi visualizzarle nella tabella di route dell'hub del gruppo di spoke in cui si trova la rete VPC.
• I route pubblicizzati dal gateway vengono programmati utilizzando la modalità di selezione del percorso migliore standard.
  • La priorità dei route annunciati dal gateway nella tabella dei route dell'hub riflette la priorità effettiva del route di Andromeda, ad esempio 65536 o 65537. La priorità con cui viene creata la route annunciata del gateway viene considerata nel calcolo della priorità route di Andromeda effettiva.
  • Le route statiche hanno sempre una priorità compresa tra 0-65535 e, pertanto, hanno la precedenza sulle route annunciate dal gateway per lo stesso prefisso di destinazione. Pertanto, se vuoi indirizzare il traffico internet al gateway utilizzando una route pubblicizzata dal gateway con una destinazione 0/0, potresti dover rimuovere la route predefinita generata dal sistema.

Visualizzazione delle route operative per le tabelle di route di gateway e hub

Puoi eseguire query sulle tabelle dei percorsi dell'hub dal punto di vista di una regione, tenendo conto del costo interregionale quando selezioni un percorso, che sia tramite il gateway o meno. Questa query consente di vedere quale istanza gateway specifica riceve il traffico se invii un pacchetto da quella determinata regione.

Percorso dell'utente di esempio

Se non hai una configurazione di connettività preesistente, consulta la Panoramica della configurazione del gateway NCC.

Prezzi

Per informazioni sui prezzi, consulta la pagina relativa ai prezzi di Network Connectivity Center.

Passaggi successivi

• Per creare hub e spoke, consulta Utilizzare hub e spoke.
• Per visualizzare un elenco di partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
• Per trovare soluzioni ai problemi comuni, consulta Risolvere i problemi di Network Connectivity Center.
• Per informazioni dettagliate sui comandi API e gcloud, consulta API e riferimenti.