此页面由 Cloud Translation API 翻译。

网络最佳实践

本页介绍了 Google Cloud VMware Engine 的网络最佳实践。

防止路由问题

VMware Engine 内的通信以及与互联网的其余部分的通信都在第 3 层进行路由，但从本地网络或其他 VMware Engine 私有云延伸的网络除外。

为防止在设置往返 VMware Engine 环境的路由时出现配置问题以及可能出现的性能问题或限制，请遵循以下最佳实践：

为与本地混合 Cloud VPN 或 Cloud Interconnect 连接关联的 Cloud Router 配置 VMware Engine 范围和其他 Google 计算服务（例如 Google Kubernetes Engine 和 Compute Engine）范围的摘要自定义通告。
为 NSX 段子网使用连续的 IP 地址空间。
为了尽量减少向 Google 的其余部分通告的路由数量，请按如下方式在第 0 层汇总 NSX 路段路由：
- 如果需要 NAT，请对第 0 层级（而非 /32）中的 NAT IP 进行汇总。
- 在第 0 层级汇总 IPsec 端点 IP (/32)。
- 在第 0 层汇总 DNS 配置文件 IP (/32)。
根据 DHCP 服务将位于 VMware Engine 中还是其他位置，启用 NSX-T DHCP 中继。
将第 0 层级静态路由重新分布到 BGP 时，请应用路由映射，以防止重新分布 0/0。

选择合适的互联网访问选项

VMware Engine 提供了以下选项来配置互联网访问权限和公共 IP 地址。请考虑下表中列出的每种方法的优缺点，以选择最合适的选项：

互联网访问选项	优势	缺点
VMware Engine 互联网和公共 IP 服务	不会产生任何额外费用。包含在 VMware Engine 服务的费用中。易于设置。是否有服务等级协议 (SLA) 的支持。	具有固定的配置。不支持 BYOIP。配额和带宽有限，因此更适合 PoC 或小型部署。无法查看入站/出站指标。与其他两个选项互斥。需要第三方设备才能使用高级流量管理功能（例如第 7 层防火墙检查或复杂的负载均衡）。不支持应用层网关 (ALG)。
通过客户的 VPC 互联网边缘进行的数据传输	具有可伸缩的配置。支持 BYOIP。提供完整的可见性和监控功能。可与 L7 检查、高级负载均衡和第三方产品结合使用。可与 Google 原生负载平衡器和 Cloud Service Mesh 集成。可与 Google Cloud Armor 集成，以实现 DDoS 攻击防护。	会产生数据传输和公共 IP 费用。需要进行更复杂的配置。没有针对组合服务的任何服务等级协议 (SLA)。
通过本地连接进行数据传输	使用现有配置。集中管理本地安全和负载均衡。不会产生额外费用，Cloud Interconnect 数据传输费用除外。 Google Cloud	允许进行最少的更改。提供有限的全球支持。可能会导致某些工作负载使用分屏互联网服务。

互联网访问选项

优势

缺点

VMware Engine 互联网和公共 IP 服务

不会产生任何额外费用。包含在 VMware Engine 服务的费用中。

易于设置。

是否有服务等级协议 (SLA) 的支持。

具有固定的配置。

不支持 BYOIP。

配额和带宽有限，因此更适合 PoC 或小型部署。

无法查看入站/出站指标。

与其他两个选项互斥。

需要第三方设备才能使用高级流量管理功能（例如第 7 层防火墙检查或复杂的负载均衡）。

不支持应用层网关 (ALG)。

通过客户的 VPC 互联网边缘进行的数据传输

具有可伸缩的配置。

支持 BYOIP。

提供完整的可见性和监控功能。

可与 L7 检查、高级负载均衡和第三方产品结合使用。

可与 Google 原生负载平衡器和 Cloud Service Mesh 集成。

可与 Google Cloud Armor 集成，以实现 DDoS 攻击防护。

会产生数据传输和公共 IP 费用。

需要进行更复杂的配置。

没有针对组合服务的任何服务等级协议 (SLA)。

通过本地连接进行数据传输

使用现有配置。

集中管理本地安全和负载均衡。

不会产生额外费用，Cloud Interconnect 数据传输费用除外。 Google Cloud

允许进行最少的更改。

提供有限的全球支持。

可能会导致某些工作负载使用分屏互联网服务。

如需了解详情，请参阅为工作负载虚拟机配置互联网访问权限。

使用第三方虚拟网络设备实现服务链接

VMware Engine 支持使用第 3 层路由拓扑来串联网络服务。在此模式下，您可以在 VMware Engine 中部署和连接第三方网络虚拟设备，以向 VMware 虚拟机提供内嵌网络服务，例如负载均衡、新一代防火墙 (NGFW) 以及入侵检测和防范。您可以通过多种方式部署这些设备，具体取决于应用的分片和连接要求。

可以采用多种部署拓扑，服务链中包含更丰富的配置和链接（例如，防火墙前面的负载平衡器）。此外，您还可以使用基于数据平面的心跳和冗余功能（如果供应商支持）在主动-主动拓扑中部署这些设备。

以下部分显示了使用基于虚拟机的防火墙设备的示例部署拓扑。

在第 1 层级网关后面

在此部署拓扑中，第三方设备充当环境中多个网络的默认网关。您可以使用该设备检查它们之间的流量，以及进入和离开 VMware Engine 环境的流量。

下图展示了第 1 层网关在 VMware Engine 中的运作方式：

第三方设备充当环境中多个网络的默认网关。

如需实现此拓扑，请执行以下操作：

在 Tier-1 上配置静态路由，使其指向设备虚拟机并到达其背后的网络。
在第 0 层，将第 1 层静态路由重新分布到 BGP。
关于对来宾 VLAN 间路由的支持，VMware 来宾工作负载仅限于 10 个虚拟 NIC。在某些用例中，您需要连接到 10 多个 VLAN，才能实现所需的防火墙细分。在这种情况下，您可以对 ISV 使用 VLAN 标签。独立软件供应商 (ISV) 的客户虚拟机应按需调整大小，以支持并在多套 ISV 设备之间分配流量。

位于第 0 层级网关后面

在此部署拓扑中，第 0 层级网关充当第三方设备的默认网关，设备后面有一个或多个第 1 层级网关。第 0 层级网关可用于为同一安全区域提供路由连接，并支持跨安全区域或与Google Cloud的其余部分进行检查。这种拓扑结构支持大规模段到段通信，而无需第 7 层检查。

下图展示了第 0 层网关在 VMware Engine 中的运作方式：

第三方设备背后有一个或多个 Tier 1 网关。

如需实现此拓扑，请执行以下操作：

在每个第 1 层网关上配置指向 NGFW 的默认静态路由。
配置静态路由，以便通过 NGFW 作为下一个跃点访问第 0 层级的工作负载细分。
使用路由映射将这些静态路由重新分布到 BGP，以防止重新分布 0/0。

后续步骤

了解计算、安全、存储、迁移和费用方面的最佳实践。
试用 VMware Engine。如需了解详情，请参阅功能、优势和使用场景。
探索有关 Google Cloud的参考架构、图表、教程和最佳实践。如需了解详情，请访问云架构中心。