Visão geral do gateway do NCC

O gateway do NCC é um tipo de spoke que pode ser anexado ao hub do Network Connectivity Center. É um produto regional que oferece segurança para o tráfego da rede entre nuvens. O gateway do NCC permite ativar funções de segurança, como o Security Service Edge (SSE) de terceiros, um componente de segurança entregue na nuvem do Secure Access Service Edge (SASE), e encerrar conexões de interconexão.

O Gateway do NCC oferece os seguintes recursos:

• Integração simplificada do SSE: é possível integrar o SSE perfeitamente com a direção transparente para melhorar a proteção e o desempenho do usuário para o aplicativo.
• Implantação regional: é possível implantar o NCC Gateway em várias regiões com base na proximidade física de data centers ou outros provedores de nuvem.
• Força de trabalho remota segura: é possível conectar com segurança as forças de trabalho remotas, como as que estão em filiais, data centers e escritórios remotos, a aplicativos privados no Google Cloud, no local ou em outros provedores de nuvem e a aplicativos públicos, como o Prisma Access da Palo Alto Networks e o Cloud Secure Web Gateway (Cloud SWG) da Symantec.
• Segurança aprimorada: é possível ativar funções de segurança, como o SSE, para tráfego multinuvem.
• Gerenciamento simplificado: o Gateway do NCC ajuda a reduzir a complexidade e os custos operacionais associados ao gerenciamento de redes VPC e conexões com redes remotas.
• Visibilidade de desempenho: o NCC Gateway permite que você tenha insights sobre o desempenho da rede com métricas e dados de telemetria.

Vantagens

O gateway do NCC oferece os seguintes benefícios:

• Experiência de aplicativo ideal com latência reduzida: consumo de alta largura de banda do serviço SSE com o Gateway do NCC e desempenho aprimorado pela backbone particular do Google.

• Segurança unificada para todo o tráfego de usuários: postura de segurança aprimorada com uma única pilha de segurança unificada e redução da superfície de ataque ao limitar os pontos de entrada e saída.

• Gerenciamento simplificado pelo Network Connectivity Center.

Termos-chave

Para entender o gateway do NCC, familiarize-se com a seguinte terminologia:

Anexo híbrido: conexões híbridas que você configura para serem direcionadas diretamente ao NCC Gateway.

Função de serviço de segurança: serviços anexados ao gateway do NCC. Por exemplo, para proteção do usuário ao aplicativo, é necessário anexar um serviço SSE ao gateway do NCC.

Rede VPC de aplicativo ou carga de trabalho: uma rede VPC de carga de trabalho normalmente usa contêineres de máquina virtual (VM) do Compute Engine ou do Google Kubernetes Engine (GKE) como cargas de trabalho. As redes VPC de carga de trabalho podem ser redes VPC normais ou VPCs compartilhadas com um projeto host e vários projetos de serviço. As redes VPC de carga de trabalho precisam ser configuradas como spokes no hub.

Grupos de spokes: uma maneira de agrupar spokes em um hub do Network Connectivity Center. Os grupos de aros permitem que você separe os aros em diferentes domínios de roteamento. Um grupo de spokes pode conter vários spokes, mas um spoke só pode pertencer a um grupo. Para informações detalhadas sobre grupos de spoke para diferentes topologias, consulte Topologias de conectividade predefinidas.

Topologia de inspeção híbrida: permite adicionar spokes do NCC Gateway a um grupo para aplicar políticas. Para informações sobre a topologia de inspeção híbrida, consulte Topologia de inspeção híbrida.

Secure Access Connect: permite conectar produtos SSE de terceiros ao gateway do NCC para processamento de segurança e saída segura da Internet. Para informações sobre o Secure Access Connect, consulte Visão geral do Secure Access Connect.

Produtos SSE com suporte

O gateway NCC oferece suporte a conexões com os seguintes produtos de SSE:

• Symantec Cloud SWG
• Palo Alto Networks Prisma Access

Casos de uso

O NCC Gateway é ideal para organizações que querem proteger o acesso de uma força de trabalho híbrida aos aplicativos. O gateway do NCC oferece segurança para a força de trabalho híbrida por meio de um ecossistema de parceiros integrado para que você possa se conectar aos provedores de SSE de sua preferência. O NCC Gateway permite proteger seu acesso a aplicativos particulares hospedados em Google Cloud, no local, em outros provedores de nuvem e em aplicativos públicos hospedados na Internet e em aplicativos SaaS. O gateway NCC permite criar implantações regionais para a proximidade ideal do data center e gerenciar o tráfego entre regiões na backbone particular do Google Cloud.

Os casos de uso para Google Cloud usuários incluem:

• Encaminhar usuários para a Internet
• Encaminhar usuários para apps particulares
• Aplicativos particulares para a Internet

Alguns parceiros com suporte oferecem um ou mais dos seguintes casos de uso:

• Usuários de dispositivos móveis para a Internet
• Usuários de dispositivos móveis para apps particulares
• Encaminhar usuários para aplicativos de parceiros
• Aplicativos particulares para aplicativos de parceiros

Fluxos de tráfego

Esta seção descreve os caminhos de fluxo de tráfego no NCC Gateway, dependendo de cada caso de uso.

Fluxo de tráfego nos casos de uso para Google Cloud usuários

Encaminhar usuários para a Internet

No diagrama a seguir, o tráfego flui de um usuário de filial local pelo gateway do NCC e pela pilha SSE de terceiros para a Internet.

Encaminhar usuários para apps particulares

No diagrama a seguir, o tráfego flui do usuário da filial local pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para um aplicativo particular.

Aplicativos particulares para a Internet

No diagrama a seguir, o tráfego flui de Google Cloud pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para a Internet.

Fluxo de tráfego nos casos de uso para parceiros com suporte

Usuários de dispositivos móveis para a Internet

No diagrama a seguir, o tráfego flui dos usuários de dispositivos móveis pelo SSE de terceiros para a Internet. Nesse caso, o tráfego não passa pelo gateway do NCC.

Usuários de dispositivos móveis para apps particulares

No diagrama a seguir, o tráfego flui de usuários de dispositivos móveis pelo serviço SSE de terceiros e pelo gateway NCC para um aplicativo privado hospedado em uma rede VPC.

Encaminhar usuários para aplicativos de parceiros

No diagrama a seguir, o tráfego flui do usuário da filial local pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para a filial local.

Aplicativos particulares para aplicativos de parceiros

No diagrama a seguir, o tráfego flui de aplicativos privados pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para os aplicativos parceiros.

Capacidade de processamento

A capacidade de processamento de um spoke do gateway do NCC é a largura de banda provisionada. É necessário provisionar largura de banda suficiente para cada direção do fluxo de tráfego, lembrando que os pacotes podem entrar e sair do gateway mais de uma vez para cada direção do fluxo em alguns fluxos de tráfego.

Considere os exemplos a seguir para calcular a capacidade de processamento necessária de um link de gateway.

Exemplo: encaminhar usuários para a Internet

Suponha que a rede local de uma filial esteja conectada à Internet, conforme mostrado no caso de uso Usuários da filial para a Internet. Os pacotes atravessam o gateway NCC uma vez em cada direção, e a filial e a Internet precisam de 1 Gbps de largura de banda full-duplex: 1 Gbps para o tráfego da rede local da filial para a Internet e 1 Gbps para o tráfego da Internet para a rede da filial. Nesse caso, o usuário precisa de 2 Gbps de capacidade de processamento. Este exemplo também pressupõe que o parceiro SSE não descarta pacotes. Se o parceiro de SSE escolhido recomendar uma largura de banda maior do que a calculada neste exemplo, siga a recomendação do parceiro.

Exemplo: encaminhar usuários para apps privados

Suponha que a rede local de uma filial esteja conectada a Google Cloud , conforme mostrado no caso de uso Usuários da filial para aplicativos particulares, e que a filial e os aplicativos particulares precisem de 1 Gbps de largura de banda full-duplex: 1 Gbps para tráfego da filial para os aplicativos e 1 Gbps para tráfego dos aplicativos para a filial. Este exemplo também pressupõe que o parceiro SSE não descarta pacotes. Se o parceiro de SSE escolhido recomendar uma largura de banda maior do que a calculada neste exemplo, siga a recomendação do parceiro.

O elo do gateway do NCC que conecta a rede local da filial ao hub do Network Connectivity Center precisa de dois anexos de VLAN de 1 Gbps para atender aos requisitos do SLA do Cloud Interconnect. Dessa forma, é possível que um anexo da VLAN forneça 1 Gbps de largura de banda full-duplex entre a filial e os aplicativos particulares, mesmo quando um anexo da VLAN está off-line (por exemplo, devido à manutenção da conexão de interconexão).

A capacidade de processamento necessária do spoke do gateway é de 4 Gbps pelos seguintes motivos:

• O tráfego da rede local da filial para o hub do Network Connectivity Center requer 1 Gbps de largura de banda. Esse tráfego requer 2 Gbps de largura de banda do gateway porque é processado pelo gateway nos dois seguintes locais:

  • 1 Gbps, como pacotes dos anexos da VLAN que se conectam à filial, entram no spoke do gateway
  • 1 Gbps quando os pacotes saem do spoke do gateway e entram no hub

• O tráfego do hub do Network Connectivity Center para a rede local da filial também requer 1 Gbps de largura de banda. Esse tráfego requer mais 2 Gbps de largura de banda do gateway porque é processado pelo gateway nos dois locais a seguir:

  • 1 Gbps quando os pacotes saem do hub e entram no spoke do gateway
  • 1 Gbps, à medida que os pacotes saem do spoke do gateway e são enviados para os anexos da VLAN que se conectam à filial

Recomendamos a estratégia a seguir para configurar a capacidade de processamento do gateway e a largura de banda do anexo da VLAN:

• A capacidade de processamento do gateway é a soma da largura de banda necessária, em cada direção, entre todas as NICs do gateway.
• Ao contrário da capacidade de processamento do gateway, a largura de banda do anexo da VLAN é full-duplex. Sempre provisione um número suficiente de anexos de VLAN para oferecer suporte à largura de banda necessária, mesmo que os anexos de VLAN que usam uma conexão de interconexão comum estejam inativos.

Considerações

Considere as seguintes considerações ao usar o Gateway do NCC:

• O gateway do NCC só oferece suporte à inserção de serviços de SSE.
• Só é possível anexar anexos da VLAN a spokes do NCC Gateway. Não há suporte para VPNs e dispositivos roteadores do Cloud.
• Todos os spokes do gateway do NCC precisam estar no mesmo grupo de spokes de gateways. Para configurar o gateway do NCC, os hubs do Network Connectivity Center precisam usar a topologia de inspeção híbrida predefinida.
• Apenas um serviço pode ser anexado a um gateway NCC por vez.
• Um Cloud Router precisa estar vinculado a um gateway NCC na mesma região.
• Somente os anexos da VLAN criados com um Cloud Router vinculado a um gateway NCC são anexados ao gateway.
• Só é possível ter um spoke do gateway do NCC por região e por hub.
• Os spokes e o hub do gateway do NCC precisam estar no mesmo projeto.
• É necessário especificar a capacidade de processamento no momento da criação do spoke do gateway. A capacidade de processamento pode ser alterada mais tarde, se necessário.
• Não é possível mudar os intervalos de endereços IP atribuídos. Alguns intervalos de endereços IP são reservados para parceiros do SSE.
• Não há uma política de direcionamento de tráfego para ignorar um subconjunto de tráfego do gateway do NCC.
• As rotas anunciadas do gateway não aparecem na tabela de rotas da VPC. Elas podem ser visualizadas na tabela de rotas do hub do grupo de spoke em que a rede VPC está.
• As rotas anunciadas do gateway são programadas usando o modo de seleção do melhor caminho padrão.
  • A prioridade das rotas anunciadas do gateway na tabela de rotas do hub reflete a prioridade de rota eficaz do Andromeda, como 65536 ou 65537. A prioridade com que a rota anunciada do gateway é criada é considerada ao calcular a prioridade de rota efetiva do Andromeda.
  • As rotas estáticas sempre têm prioridade entre 0-65535 e, portanto, têm precedência sobre as rotas anunciadas do gateway para o mesmo prefixo de destino. Portanto, se você quiser direcionar o tráfego da Internet para o gateway usando uma rota anunciada do gateway com um destino 0/0, talvez seja necessário remover a rota padrão gerada pelo sistema.

Visualização de rotas efetivas para tabelas de rotas de hub e de gateway

É possível consultar as tabelas de rotas de hub na perspectiva de uma região, que considera o custo entre regiões quando você seleciona uma rota, seja pelo gateway ou não. Essa consulta permite que você veja qual instância de gateway específica recebe o tráfego se você enviar um pacote dessa região específica.

Exemplo de jornada do usuário

Se você não tiver uma configuração de conectividade, consulte Visão geral da configuração do gateway do NCC.

Preços

Para mais informações, consulte Preços do Network Connectivity Center.

A seguir

• Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
• Para uma lista de parceiros com soluções integradas à Network Connectivity Center, consulte Parceiros da Network Connectivity Center.
• Para encontrar soluções para problemas comuns, consulte Resolver problemas do Network Connectivity Center.
• Para ver detalhes sobre os comandos da API e do gcloud, consulte APIs e referência.