概覽
VMware Engine 是 Google 提供的一項服務,可説明您在 Google Cloud 上遷移並運行您的 VMware 工作負載。
VMware Engine 提供全代管式 VMware 軟體定義資料中心 (SDDC),其由以下元件組成:VMware vSphere 和 vCenter Server、vSAN 和 NSX-T。VMware Engine 包括 HCX,可在 Google Cloud 上的專用環境中用於雲遷移,以支援企業生產工作負載。您可以使用 VMware Engine 通過 Google Cloud Console 直接連接到專用的 VMware 環境,從而將本地工作負載遷移或擴展到 Google Cloud。這種功能可讓您在無需考慮重構應用的費用或複雜性的情況下遷移到雲,還可讓您與本地環境一致的方式運行和管理工作負載。在 Google Cloud 上運行 VMware 工作負載時,可以減少運營負擔,同時還可以從擴縮能力和靈活性中獲益,並保持現有工具、政策和流程的連續性。
VMware Engine 基於 Google Cloud 可擴縮的高性能基礎架構構建而成,提供完全冗餘且專用的 100 Gbps 網路,可提供高達 99.99% 的可用性以滿足需要。Cloud 網路服務(例如 Cloud Interconnect 和 Cloud VPN)可讓您輕鬆地從本地環境訪問雲環境。與雲服務的這些連接的高頻寬針對性能和靈活性進行了優化,同時最大限度地降低費用和運營開銷。集成了一站式端到端支援,提供此服務和 Google Cloud 的其餘服務之間的無縫體驗。
遷移工作負載後,您就可以訪問各種 Google Cloud 服務,例如 BigQuery、Cloud Operations、Cloud Storage、Anthos 和 Cloud AI。Google Cloud 還提供完全集成的結算功能以及身份管理和存取權限控制功能,可統一您使用其他 Google Cloud 產品和服務的體驗。
使用場景
下圖是一個一種典型的參考架構,展示了您可以如何將 VMware 環境遷移或擴展到 Google Cloud,同時從 Google Cloud 服務中獲益。 VMware Engine 為以下使用場景提供了解決方案。
初始配置要求
在開始將您的 VMware Engine 部署到 Google Cloud 之前,請務必閱讀初始配置要求。
系統元件
概括來講,VMware Engine 組件如下所示:
一、Google Cloud:
A. VMware Engine:
NSX-T
HCX
vCenter
vSAN
B. 您的 Google Cloud 組織:
具有 VPC 網路的 Google Cloud 專案
與本地系統的 Cloud Interconnect(使用合作夥伴互連或專用互連)或 Cloud VPN 連接
與 VMware Engine 區域的專用服務訪問通道連接
C. 專用服務訪問通道連接
二、(可選)本地資源:
A. 網路
B. 存儲
C. HCX(推薦用於第 2 層連接,也稱為 L2 拉伸)
D. vCenter
私有雲是一種獨立的 VMware 堆疊,由 ESXi 主機、vCenter、vSAN、NSX-T 和 HCX 組成。這些元件統稱為 Google Cloud VMware Engine 元件,並在雲管理員創建私有雲時部署。然後,您的組織中的使用者可以通過建立專用服務訪問通道連接,從其 VPC 網路以私密方式訪問 VMware Engine 私有雲。下圖展示了此架構。
專用服務訪問通道是一種專用連接,將您的 VPC 網路與 Google 或協力廠商擁有的網路連接起來。提供服務的 Google 或協力廠商實體也稱為服務提供方。
對於您的每個連接到 VMware Engine 的 VPC 網路,當您在 Google Cloud 中創建專用服務訪問通道連接時,系統會創建服務提供方 VPC 網路。您的 Google Cloud 專案包含一個共用 VPC 網路,可用於連接到 Memorystore 和 Cloud SQL 等其他 Google Cloud 服務。例如,您可以將本地 MySQL 或 PostgreSQL 虛擬機器直接原樣遷移到 VMware Engine,然後使用 Google Cloud 的嵌入式 Database Migration Service 將其遷移到 Cloud SQL,同時仍允許 VMware Engine 工作負載訪問這些資料庫。
VMware 不要求您在本地使用 NSX-T。此外,使用 HCX 對於任何使用場景都不是必需的,因為您可以使用其他機制來實現第 2 層 (L2) 拉伸和工作負載遷移。但是,我們建議使用 HCX,以實現高效的工作負載遷移和便利,因為如果您選擇此選項,則在您創建私有雲時會自動部署此功能。
重要提示:在部署私有雲之前,請考慮網路要求中所述就緒性和初始配置要求。
網路功能
下面簡要介紹了 VMware Engine 中的網路功能:
多 VPC 連接:VMware Engine 可讓您將同一私有雲連接到多個 VPC 網路(總共最多三個;如果使用區域性互聯網服務,則為兩個)。這些 VPC 網路可以是使用方 VPC 網路或代管式合作夥伴服務 (MPS)。
子網:您可以在私有雲中創建管理和工作負載子網。
動態路由:由 NSX 管理的 VMware Engine 子網會通過邊界閘道協議 (BGP) 自動通告到 Google 網路的其餘部分以及您的本地位置。
區域和全球路由功能:您可以控制連接私有雲的服務提供方共用 VPC 網路是只能在區域內路由還是在全球範圍內路由。
公共 IP 服務和互聯網閘道(入站流量和出站流量):VMware Engine 有它自己的公共 IP 服務用於入站流量和互聯網閘道出站流量。這是一項區域級服務。
防火牆政策:VMware Engine 允許您使用 NSX 分散式防火牆(東-西)和 NSX 網關防火牆(南-北)創建 L4 和 L7 防火牆政策。例如,您可以強制執行精細控制,以通過公共 IP 位址訪問工作負載(如 Web 伺服器)。
實現東-西安全性的服務鏈:提供註冊合作夥伴安全解決方案(IDS、IPS 或 NGFW)的功能來配置網路服務,以檢查虛擬機器之間的東-西流量移動情況。
NSX-T 分散式入侵偵測服務 (IDS):在 VMware Engine 中運行的 NSX 版本支持用於威脅檢測和報告的 NSX 分散式 IDS。此功能需要 VMware 的額外許可。如需瞭解詳情,請參閱 VMware NSX 分散式 IDS/IPS。
端點保護:通過與支援的協力廠商進行合作夥伴集成,可以保護 VMware Engine 支援的虛擬機器,抵禦惡意軟體和病毒攻擊。如需瞭解詳情,請參閱官方 VMware 文檔。
對其他 Google 服務的專用訪問通道:VMware Engine 使用專用 Google 訪問通道和專用服務訪問通道與其他 Google Cloud 服務集成。如需查看受支援服務的完整清單,請參閱服務的專用訪問通道選項。
DNS 功能
a. 用於訪問管理設備的 DNS:使用 Cloud DNS 的 VMware Engine 管理設備(例如 vCenter 和 NSX Manager)的全球位址解析可讓您在沒有使用者干預的情況下訪問設備。
b. 用於工作負載的 DNS:對於每個私有雲,您可以選擇最適合自己的 DNS 設置。NSX-T DNS 服務可讓您將 DNS 查詢轉發到特定 DNS 伺服器,在 VMware Engine 中或在本地創建 DNS 伺服器,或使用 Cloud DNS 或 Compute Engine。
DHCP 伺服器:包含 NSX-T 分段的 DHCP 伺服器支援。
DHCP 中繼:DHCP 中繼可讓組織與本地 IP 位址管理 (IPAM) 系統集成。
點到網站 VPN:點到網站 VPN 閘道可讓您從私有雲的用戶端電腦遠端連接到 VMware Engine 網路。如需從您的電腦連接到 VMware Engine,您需要 VPN 用戶端。您可以下載適用於 Windows 的 OpenVPN 用戶端或適用於 macOS 的 Viscosity。
網站到網站第 2 層 VPN 和第 3 層 VPN:這些服務是在 NSX 中分別使用第 2 層 VPN 和 IPsec VPN 直接配置的。
負載均衡:此服務使用 NSX-T 的內置負載均衡功能,其中包括 L4 和 L7 支持以及健康檢查。
支援部分 IP 多播路由:支援協定獨立多播 (PIM),如 VMware 文檔中所述。
支援部分 IPv6:此功能允許組織將 IPv6 用於 VMware Engine 支持的應用,如 NSX-T 3.0 設計指南中所述。
長距離虛擬機器遷移 (vMotion):本地和雲端之間或者 VMware Engine 內部雲端到遠端支持即時遷移(應用繼續運行)和冷遷移(應用已關閉),並且具有嵌入式 WAN 優化、加密和複製支援的移動性。之所以有這種可能性,是因為 VMware HCX 包含在該服務中。
高級網路操作:您可以使用內置的 NSX 工具和插樁,例如埠鏡像、Traceflow、資料包捕獲以及帶有輪詢和陷阱的 SNMP v1/v2/v3 等等。
網路和位址範圍
Google Cloud VMware Engine 會在部署 VMware Engine 服務的每個區域創建一個網路。該網路是一個第 3 層位址空間,預設情況下路由處於啟用狀態。在此區域中創建的所有私有雲和子網可以相互通信,無需任何額外配置。您可以使用 NSX-T 為工作負載虛擬機器創建網路分段(子網)。 您可以配置任何不與本地網路、私有雲的管理網路或任何 VPC 子網重疊的 RFC 1918 地址範圍。以非公開方式使用的公共 IP (PUPI) 位址也受支援。
預設情況下,所有子網都可以互相通信,從而減少私有雲之間路由的配置開銷。同一區域內多個私有雲之間的資料流程量仍位於同一第 3 層網路中,並且通過該區域內的本地網路基礎架構進行傳輸,因此,這些私有雲之間的通信不需要出站流量。當您在不同的私有雲中部署不同的工作負載時,此方法可消除 WAN 或出站流量性能損失。
從概念上講,可將私有雲創建為由 vCenter 伺服器管理的獨立 VMware 堆疊(ESXi 主機、vCenter、vSAN 和 NSX)環境。管理組件部署在為 vSphere/vSAN 子網 CIDR 範圍選擇的網路中。在部署期間,網路 CIDR 範圍被劃分為不同的子網。
VMware Engine 中的管理子網
VMware Engine 使用多個 IP 位址範圍。某些 IP 地址範圍是強制性的,有些則取決於您計畫部署的服務。IP 位址空間不得與任何本地子網、VPC 子網或計畫的工作負載子網重疊。以下部分介紹了一組位址範圍以及使用這些範圍的相應服務。
重要提示:VMware Engine 中可以存在重疊的子網,並且您可以在 NSX 路由器中創建 NAT 條目以連接到世界其他國家/地區。此設置支持一些在兩個或多個環境中需要相同的 CIDR 範圍的使用場景(例如,在同一私有雲中模擬生產環境和非生產環境時)。請謹慎配置路由和 NAT,以避免因實現重疊的 IP 地址範圍而導致的衝突。
下圖簡要展示了以下幾個部分介紹的服務的管理子網:
vSphere/vSAN CIDR
初始化和創建私有雲需要以下 IP 位址範圍:
名稱 | 說明 | 地址範圍 |
vSphere/vSAN CIDR | VMware 管理網路必需。必須在創建私有雲時指定。 對 vMotion 來說也是必需的。 | /21、/22、/23 或 /24 |
注意:您以後無法更改 CIDR 範圍,因此請確保在部署私有雲時正確設置該範圍。
創建私有雲時,系統會自動創建多個管理子網。管理子網使用本文檔前面部分介紹的 vSphere/vSAN CIDR 分配。
下面是使用此 CIDR 範圍創建的不同子網的示例架構和說明:
系統管理:ESXi 主機的管理網路、DNS 伺服器和 vCenter 伺服器的 VLAN 和子網。
vMotion:適用於 ESXi 主機 vMotion 網路的 VLAN 和子網。
vSAN:適用於 ESXi 主機 vSAN 網路的 VLAN 和子網。
NsxtEdgeUplink1:適用于外部網路 VLAN 上行鏈路的 VLAN 和子網。
NsxtEdgeUplink2:適用于外部網路 VLAN 上行鏈路的 VLAN 和子網。
NsxtEdgeTransport:適用於控制 NSX-T 中第 2 層網路覆蓋範圍的傳輸區域的 VLAN 和子網。
NsxtHostTransport:主機傳輸區域的 VLAN 和子網。
範例:
指定的 vSphere/vSAN 子網 CIDR 範圍分為多個子網。下表提供了使用 192.168.0.0 作為 CIDR 範圍的允許首碼(從 /21 到 /24)的細分示例。
指定的 vSphere/vSAN 子網 CIDR/首碼 | 192.168.0.0/21 | 192.168.0.0/22 | 192.168.0.0/23 | 192.168.0.0/24 |
系統管理 | 192.168.0.0/24 | 192.168.0.0/24 | 192.168.0.0/25 | 192.168.0.0/26 |
vMotion | 192.168.1.0/24 | 192.168.1.0/25 | 192.168.0.128/26 | 192.168.0.64/27 |
vSAN | 192.168.2.0/24 | 192.168.1.128/25 | 192.168.0.192/26 | 192.168.0.96/27 |
NSX-T 主機傳輸 | 192.168.4.0/23 | 192.168.2.0/24 | 192.168.1.0/25 | 192.168.0.128/26 |
NSX-T 邊緣傳輸 | 192.168.7.208/28 | 192.168.3.208/28 | 192.168.1.208/28 | 192.168.0.208/28 |
NSX-T 邊緣上行鏈路 1 | 192.168.7.224/28 | 192.168.3.224/28 | 192.168.1.224/28 | 192.168.0.224/28 |
NSX-T 邊緣上行鏈路 2 | 192.168.7.240/28 | 192.168.3.240/28 | 192.168.1.240/28 | 192.168.0.240/28 |
根據您選擇的 CIDR 範圍,每個子網的子網路遮罩會發生變化。例如,如果您選擇 vSphere/vSAN CIDR /21,則系統將創建以下子網:/24 系統管理子網、/24 vMotion 子網、/24 vSAN 子網、/23 NSX-T 主機傳輸子網、/28 NSX-T 邊緣傳輸子網、/28 NSX-T 邊緣上行鏈路 1 和 /28 NSX-T 邊緣上行鏈路 2。
注意:創建您的私有雲基礎架構所需的唯一 CIDR 範圍是 vSphere/vSAN CIDR 範圍。僅當您想要添加其他功能(例如用於虛擬機器遷移的 HCX 或適用於公共互聯網訪問的 Edge 服務)時,才需要額外的 CIDR 範圍。請注意,工作負載子網的 CIDR 範圍在 NSX 中直接配置。
HCX 部署 CIDR 範圍
您的私有雲上的 HCX 需要以下 IP 位址範圍:
名稱 | 說明 | 地址範圍 |
HCX 部署 CIDR 範圍 | 部署 HCX 網路必需。在創建私有雲期間,該範圍是可選的。 | /27 或更大 |
已分配的地址範圍
VMware Engine 的專用服務訪問通道需要以下 IP 位址:
名稱 | 說明 | 地址範圍 |
已分配的地址範圍 | 用於與 Google Cloud 服務(包括 VMware Engine)的專用服務連接的地址範圍。 | /24 或更大 |
邊緣服務和用戶端子網
如需啟用 VMware Engine 提供的邊緣網路服務,則需要以下 IP 位址範圍:
名稱 | 說明 | 地址範圍 |
邊緣服務 CIDR 範圍 | 如果啟用了可選的邊緣服務(例如點到網站 VPN、互聯網訪問和公共 IP 位址),則該範圍是必需的。範圍按區域確定。 | /26 |
用戶端子網 | 對於點到網站 VPN 是必需的。DHCP 位址從用戶端子網提供給 VPN 連接。 | /24 |
適用於服務的 Google 專用訪問通道選項
Google Cloud 為在 VMware Engine 或您的 Google VPC 網路中運行的工作負載提供了多種專用訪問通道選項。專用服務訪問通道可在您的 VPC 網路與 VMware Engine 服務之間提供專用連接。使用專用 Google 訪問通道時,VMware 工作負載無需離開 Google Cloud 網路即可訪問其他 Google Cloud API 和服務。
專用服務訪問
VMware Engine 可使用專用服務訪問通道和專用 IP 位址,將您的 VPC 網路連接到 Google 組織的租戶資料夾中的服務提供方 VPC 網路。
如需瞭解如何配置專用服務訪問通道,請參閱配置專用服務訪問通道。專用服務訪問通道會創建 VPC 網路對等互連連接,因此導入和匯出路由非常重要。
Google 和協力廠商(統稱為服務提供方)可以提供託管在 VPC 網路中且具有內部 IP 位址的服務。通過專用服務訪問通道,您可以訪問這些內部 IP 位址。專用連接可實現以下功能:
您的 VPC 網路中的虛擬機器實例和 VMware 虛擬機器僅使用內部 IP 位址進行通信。虛擬機器實例不需要訪問互聯網或具備外部 IP 位址,通過專用服務訪問通道即可訪問可用服務。
VMware 虛擬機器與 Google Cloud 支援的服務之間的通信,這些服務支援使用內部 IP 位址的專用服務訪問通道。
如果您擁有使用 Cloud VPN 或 Cloud Interconnect 到 VPC 網路的本地連接,則可以使用現有的“本地連接”連接到您的 VMware Engine 私有雲。
如果您在自己的專案中使用共用 VPC 網路,則必須在宿主項目中創建分配的 IP 位址範圍和專用連接,以允許服務專案中的虛擬機器實例與環境建立連接。
您可以設置獨立於 VMware Engine 私有雲創建的專用服務訪問通道。您還可以在創建 VPC 網路要連接到的私有雲之前或之後創建專用連接。
因此,在配置專用服務訪問通道時,您需要分配內部 IP 位址範圍,然後創建上一部分中所述的專用連接。此分配的範圍是預留的 CIDR 位址塊,用於專用服務訪問通道連接,並且不能在本地 VPC 網路中使用。此範圍僅為服務提供方預留,可防止您的 VPC 網路與服務提供方的 VPC 網路之間存在重疊。在創建專用服務連接時,您必須指定分配。如需瞭解服務提供方端,請參閱啟用專用服務訪問通道。
為了避免 IP 位址重疊,我們建議在專用服務連接中分配所有 VMware Engine 子網。在以下螢幕截圖中,VMware Engine CIDR 位址塊用於專用服務連接,並且系統分配了 gcve-2 CIDR 位址塊以防止 IP 地址重疊:
Service Networking 不會針對接收到的動態路由檢查是否存在重疊的位址,因此您需要將專用服務訪問通道與為非 VMware 服務預留的首碼關聯。這樣做可以防止 IP 位址重疊引起的問題,因為您預留了 CIDR 範圍,因此無法在您的 VPC 網路中使用它們。
在配置專用服務訪問通道時,請確保正確配置 VPC 對等互連連接,以在 servicenetworking-googleapis-com 專用連接上導入和匯出所有路由。您還需要記下對等互連的專案 ID,以便在 VMware Engine 中設置專用連接時使用它。服務提供方 VPC 網路會自動連接到包含私有雲(一個私有 vCenter 和單個 NSX-T 安裝)的 VMware Engine 服務。
VMware Engine 使用與在服務提供方 VPC 網路中預配的、使用專用服務訪問通道的多個 Google Cloud 服務(例如 Cloud SQL、Memorystore for Redis、Memorystore for Memcached、AI Platform Training 和 GKE 專用集群)的同一連接。如果您要使用這些服務,則可以選擇您用於建立與 VMware Engine 的專用服務連接的 CIDR 範圍。
在 VMware Engine 服務門戶中,連接了區域狀態後,您可以使用相應區域的租戶專案 ID 來查看專用連接。專用連接詳細資訊顯示通過 VPC 對等互連獲知的路由。匯出的路由顯示從該區域獲知和通過 VPC 對等互連匯出的私有雲。
私有雲表示單個 vCenter 和單個 NSX-T 安裝(最多具有 64 個節點)。您可以部署多個私有雲,並且如果您達到了一個私有雲 64 個節點的限制,則可以創建另一個私有雲。這意味著您管理兩個私有雲、兩個 vCenter 安裝和兩個 NSX-T 安裝。
根據您的用例,您可以部署單個私有雲或部署多個私有雲,而不會達到 64 個節點的限制。例如,您可以部署一個私有雲用於資料庫工作負載,部署一個獨立的私有雲用於 VDI 用例,或者部署另一個私有雲用於美洲工作負載以及部署另一個私有雲用於 EMEA 工作負載。或者,您可以根據您的用例,將工作負載分散到同一私有雲內的多個集群中。
專用 Google 訪問通道
借助專用 Google 訪問通道,您可以在無需為 VMware Engine 虛擬機器分配外部 IP 位址的情況下連接到 Google API 和服務。配置專用 Google 訪問通道後,流量會路由到互聯網閘道,然後再路由到請求的服務,且無需離開 Google 網路。
如需瞭解詳情,請參閱“專用 Google 訪問通道:深入瞭解”。
關鍵流量
本部分回顧了一些關鍵流量,並介紹了用於覆蓋所有不同網路流的架構。
下面列出了為 VMware Engine 創建設計方案時需要考慮的一些事項。
VMware Engine 本地和遠端用戶連接
您可以使用以下選項從本地資料中心或遠端位置訪問 VMware Engine 環境:
一、 遠端用戶連接:
二、 本地連接:
A. Cloud VPN
傳統(即將棄用,正在從傳統 VPN 遷移到高可用性 VPN)
重要提示:VMware Engine 中的所有 VPN 選項(使用 NSX 或 HCX)都隱含著額外的封裝開銷。最佳做法是,確保將您的 VPC 網路和互連配置為 1500 位元組的 MTU,以最大限度地減少碎片化需求。
VPN 閘道可在多個網站(例如本地、VPC 網路和私有雲)之間提供安全連接。這些加密的 VPN 連接會遍歷互聯網,並在 VPN 閘道中終止。
當您創建多個連接到同一 VPN 閘道時,所有 VPN 隧道都會共用可用的閘道頻寬。點到網站 VPN 閘道可讓使用者從電腦遠端連接到 VMware Engine。請注意,您只能為每個區域創建一個點到網站 VPN 閘道。
點到網站 VPN 閘道允許 TCP 和 UDP 連接,您可以選擇從電腦連接時使用的協定。此外,已配置的用戶端子網用於 TCP 和 UDP 用戶端,CIDR 位址塊定義的範圍分為兩個子網,一個用於 TCP 用戶端,另一個用於 UDP 用戶端。
點到網站 VPN 會在 VMware Engine 區域網路和用戶端電腦之間發送加密流量。您可以使用點到網站 VPN 訪問您的私有雲網路,包括您的私有雲 vCenter 和工作負載虛擬機器。如需瞭解點到網站 VPN 閘道設置,請參閱在 VMware Engine 網路上配置 VPN 閘道。
您還可以將 Cloud VPN 用於網站到網站的 VPN 連接,或使用 Cloud Interconnect 在本地網路和 VMware Engine 私有雲之間建立連接。您可以在 VPC 網路中預配 Cloud VPN 和 Cloud Interconnect。如需瞭解詳情,請參閱 Cloud VPN 和 Cloud Interconnect 文檔。
注意:Google 即將棄用一些傳統 VPN 功能。如需瞭解詳情,請參閱“傳統 VPN 部分棄用”頁面。
適合 VPN 連接的選項包括 NSX-T IPsec VPN、NSX-T 第 2 層 VPN 和 HCX 第 2 層 VPN,例如,用於配置第 2 層拉伸。NSX-T IPsec VPN 的一個使用場景是端到端加密,其中 VPN 直接在 VMware Engine 私有雲內終結。如需詳細瞭解 NSX-T VPN 功能,請參閱 VMware Virtual Private Network 文檔。
我們建議您在 Cloud Router 路由器或 Cloud VPN 所在的(以及使用邊界閘道協議時存在 VLAN 連接的)VPC 網路中配置專用服務訪問通道;否則,需要配置 VPC 路由。如果架構包含多個 VPC 對等互連連接,請注意 VPC 對等互連不具有傳遞性。
如果配置了路由導入和匯出,則通過互連或 VPN 通告的本地路由會自動通過專用服務訪問通道傳播。這要求您在 VPC 對等互連連接中手動修改導入和匯出路由。
另請注意,通過專用服務訪問通道獲知的路由不會自動傳播到本地系統,因為 VPC 網路對等互連不支援傳遞性路由;您的 VPC 網路中的 Cloud Router 路由器不會自動通告從其他網路導入的路由。但是,您可以使用您的 VPC 網路中的 Cloud Router 路由器的自訂 IP 範圍通告來共用通往對等網路中的目的地的路由。對於使用靜態路由的 Cloud VPN 隧道,您必須在本地網路中配置通往對等網路的目的地範圍的靜態路由。
到 VMware Engine 的入站流量
本部分介紹到 VMware Engine 的入站流量的以下選項:
使用 VMware Engine 公共 IP 服務的入站流量
來自您的 VPC 網路的入站流量
來自本地資料中心的入站流量
您選擇的選項取決於您想要將 Google Cloud 基礎架構與互聯網建立對等互連的位置。下圖展示了這些入站流量選項。
以下各部分詳細介紹了每個選項。
使用 VMware Engine 的入站流量
使用 VMware Engine 互聯網閘道時,可為 VMware Engine 門戶私有雲內的資源創建和刪除按需公共 IP 地址。在這種情況下,每個公共 IP 位址都對應一個已配置的唯一私有雲 IP 位址。
公共入站流量可以通過公共 IP 閘道提供,該閘道也負責 NAT,因此來自公共互聯網的用戶會連接到 Google 公共 IP 位址。Google 公共 IP 位址會轉換為 VMware Engine(由 NSX-T 分段支持)中的虛擬機器專用 IP 位址。
重要提示:VMware Engine 公共 IP 位址服務不支援自帶 IP (BYOIP)。公共 IP 位址是從每個區域中 Google 管理的範圍分配的。如果需要 BYOIP,請使用使用方 VPC 網路作為流量入網站進行評估。
創建防火牆規則以允許從外部連接到已公開的公共 IP 位址時,防火牆規則適用於公共 IP 閘道,並且需要在 VMware Engine 門戶上預配這些防火牆規則。
第 0 層邏輯路由器通常用於北-南路由,例如連接到互聯網的虛擬機器。第 1 層邏輯路由器用於東-西路由,您可以為第 1 層配置多個子網。
公共 IP 位址可讓互聯網資源通過專用 IP 位址與私有雲資源進行通信。專用 IP 位址是虛擬機器或您的私有雲 vCenter 上的軟體負載平衡器。公共 IP 位址允許您將在私有雲上運行的服務公開給互聯網。
與公共 IP 位址關聯的資源始終使用公共 IP 位址進行互聯網訪問。預設情況下,公共 IP 位址僅允許出站互聯網訪問,並且來自公共 IP 位址的傳入流量會被拒絕。要允許入站流量,請為特定埠的公共 IP 位址創建防火牆規則。
您組織中的使用者可以公開公共 IP 並將它們分配給私有雲中的特定節點,例如虛擬機工作負載。公共 IP 位址只能分配給一個專用 IP 位址。在取消分配之前,公用 IP 位址將專用於專用 IP 位址。我們建議您不要公開 ESXi 主機或 vCenter。
如果要分配公共 IP 位址,您需要提供名稱、位置或區域以及連接的本地位址。
使用您的 VPC 網路的入站流量
您可以使用 Cloud Load Balancing 通過您的 VPC 網路提供到 VMware Engine 的入站流量。當您根據所需的功能選擇相應的負載等化器時,可以創建一個代管式實例組 (MIG) 或非代管式實例組作為該負載等化器的後端,以通過 VPC 對等互連連接代理流量。在此場景中,您還可以使用 Google Cloud Marketplace 中的協力廠商虛擬網路設備。
如果您要將自己的公共 IP 空間用於 Google,則可以將 Cloud Load Balancing 與自帶 IP (BYOIP) 結合使用,並且可以與 Google Cloud Armor 結合使用,從而幫助保護您的應用和網站免遭分散式拒絕服務攻擊 (DDOS) 和 Web 攻擊(例如 SQL 注入或跨站腳本攻擊)。
使用您的本地網路的入站流量
如需提供本地入站流量,我們建議使用 Cloud Interconnect。如需概念驗證,或者如果您有輸送量低且沒有延遲要求,則可以改用 Cloud VPN。
重要提示:通過 Cloud VPN 進行 HCX 第 2 層擴展不受官方支持。
VMware Engine 的出站流量
對於 VMware Engine 出站流量,您有多個選項:
通過 VMware Engine 互聯網閘道的出站流量
通過您的 VPC 網路的出站流量
通過本地資料中心的出站流量
在以下架構中,您可以從 VMware Engine 的角度查看出站流量的這些選項。
使用 VMware Engine 的公共出站流量
您可以為每個區域單獨配置工作負載的互聯網訪問和公共 IP 服務。您可以通過 Google Cloud 的互聯網邊緣或通過本地連接來定向來自 VMware 工作負載的互聯網綁定流量。
從託管在 VMware Engine 私有雲中的虛擬機器到公共互聯網的流量通過層級 0 閘道進行傳輸。層級 0 閘道將流量轉發到互聯網閘道。互聯網閘道執行來源埠位址轉換 (PAT)。互聯網服務是區域性的,也就是說,需要為每個區域啟用它。
注意:Google Cloud 目前不支援內部負載平衡器的 ICMP。如果您想運行 ping 命令以測試連接,請使用 tcp ping。
使用您的 VPC 網路的公共出站流量
或者,通過 VMware Engine 服務門戶,您可以停用互聯網和公共 IP 服務,並提供來自您的 VPC 網路的公共出站流量。在這種情況下,如果您通告了默認路由 0.0.0.0/0,則可通過您的 VPC 網路進行互聯網訪問。如果要使用此資料包流,請為 VMware Engine 區域停用互聯網訪問並注入默認路由 0.0.0.0/0。
此外,您還必須移除任何分配的公共 IP 位址和點到網站 VPN 閘道,然後才能通過 VPC 網路傳出流量。
預設路由必須在您的 VPC 網路中可見,然後會自動傳播到 VMware Engine。前提條件是在您的 VPC 網路與 VMware Engine 之間的 VPC 對等互連連接上啟用 VPC Service Controls。
如需執行網路位址轉譯 (NAT),您可以部署一個 Compute Engine 實例,或者讓默認路由 0.0.0.0/0 指向與集中式協力廠商虛擬網路設備集群(可在 Cloud Marketplace 中獲取)配對的內部負載等化器,並在該實例中執行來源 NAT,以將來自您的 VPC 網路的出站流量傳輸到公共互聯網。如需瞭解詳情,請參閱如何在您的 VPC 網路中使用路由。
使用本地資料中心的公共出站流量
如果您停用互聯網和公共 IP 服務並從本地提供公共出站流量,則可以通過本地資料中心傳出流量。執行此操作時,互聯網訪問流量會經過您的 VPC 網路,然後再通過 Cloud VPN 或 Cloud Interconnect 到達本地資料中心。
如需通過本地資料中心實現公共出站流量,您需要通告預設 0.0.0.0/0 路由,然後在對等互連連接上啟用 VPC Service Controls,以便正確導入默認路由,如此處所述。如需詳細瞭解 VPC Service Controls,請參閱 VPC Service Controls 文檔。
如果在 VPC 對等互連連接上停用了 VPC Service Controls,則通過本地連接訪問互聯網也會停用,即使默認路由 (0.0.0.0/0) 已通過 VPC 對等互連連接進行通告和傳播也是如此。
服務概覽:私有雲到私有雲
私有雲通過 VMware Engine 服務門戶進行管理。私有雲有自己的 vCenter 伺服器,該伺服器位於自己的管理網域中。VMware 堆疊在 Google Cloud 位置中專用、獨立的裸機硬體節點上運行。私有雲環境旨在消除單點故障。
下圖展示了用於 VMware Engine 中私有雲之間的通信的兩個網路路徑。該路徑取決於私有雲是位於同一區域還是位於不同區域:
VMware Engine 服務內同一區域中兩個私有雲之間的通信是通過直接連接進行的。您可以在同一區域中部署多個私有雲,以便這些私有雲之間的通信在本地進行。
如果私有雲位於不同區域,則連接將經過由 Google 管理和擁有的服務提供方 VPC 網路。只要路由模式設置為全球,情況就會如此。
服務概覽:私有雲到 VPC
本部分介紹了您的 VPC 網路與私有雲之間的連接。您的 VPC 網路會使用專用服務訪問通道模型與服務提供方 VPC 網路建立對等互連,然後擴展與 VMware Engine 區域的連接。服務提供方 VPC 網路上會啟用全球路由,並且您在 VMware Engine 服務門戶中創建的任何網路都會由 NSX-T 中的層級 0 路由器自動通告。請確保對等互連連接已啟用導入和匯出標誌,以便交換路由並在 VMware Engine 與您的 VPC 之間建立連接。
下圖顯示了此情況的流量。
服務概覽:私有雲到共用 VPC
使用共用 VPC 網路時,連接類似於上述將私有雲連接到 VPC 網路的示例。不同之處在於,當您將私有雲連接到共用 VPC 網路時,工作負載存在於服務專案中,它們使用宿主專案共用 VPC 網路中的 IP 位址空間。因此,您必須在配置了共用 VPC 網路和互連或 VPN 的宿主專案中配置專用服務訪問通道。
例如,如果希望服務專案中具有私有雲、IAM 和結算功能,請確保已在宿主專案共用 VPC 網路中建立專用服務訪問通道連接。
服務概覽:私有雲到本地
對於私有雲到本地,您的專案和組織中存在 VPC 網路,並且連接建立在私有雲與本地資料中心之間。
如前文所述,在設置 VMware Engine 時,您必須為專用服務訪問通道連接分配子網(最好也是 VMware Engine 的子網,以避免將來發生衝突)。在分配該子網時,請創建服務提供方 VPC 網路,以將該子網連接到私有雲所在的 VMware Engine 區域。
創建並預配 VPC 對等互連連接後,服務提供方 VPC 網路會連接到您的 VPC 網路。這樣一來,您的 VPC 網路中的所有子網和 IP 位址都可以通過私有雲進行訪問。在配置專用服務訪問通道時,請務必在 VPC 對等互連連接中啟用路由的導入和匯出功能。
下圖顯示了 VMware Engine 中的私有雲與本地資料中心之間的端到端連接。
專用 Google 訪問通道:深入瞭解
如前所述,您可以使用專用 Google 訪問通道連接到 Google API 和服務,無需為您的 Google Cloud 資源提供外部 IP 位址,因此 VMware Engine 服務可以利用這一點並使用互聯網閘道來訪問 Google API。
僅具有內部 IP 位址的虛擬機器實例可以利用專用 Google 訪問通道來訪問 Google API 和服務的外部 IP 位址。配置專用 Google 訪問通道後,流量會路由到互聯網閘道,然後再路由到請求的服務。
如需為 VMware Engine 啟用專用 Google 訪問通道,請在 VMware Engine 環境中配置 DNS 伺服器以使用專用虛擬 IP 位址。如需瞭解詳情,請參閱適用於本地主機的專用 Google 訪問通道和配置適用於本地主機的專用 Google 訪問通道。網域 private.googleapis.com 使用 199.36.153.8/30。
如需管理 DNS 解析,您可以使用 NSX-T 中提供的 DNS 服務將請求轉發到指定的 DNS 伺服器。DNS 伺服器可以是 VMware Engine、Cloud DNS 或本地 DNS 伺服器中的虛擬機器。根據在前面部分中所述的訪問互聯網的方式,使用其中一個選項。
專用 Google 訪問通道支持大多數 Google API 和服務,例如 Cloud Storage、Cloud Spanner 和 BigQuery。專用 Google 訪問通道不支援 App Engine、Memorystore 或 Filestore。如需詳細瞭解專用訪問通道選項,請參閱服務的專用訪問通道選項。
以下示例展示如何將 VMware Engine 與 Google Cloud 服務搭配使用:
從 VMware 虛擬機器訪問 Cloud Storage 以匯出資料或將 Cloud Storage 作為擴展存儲目標。
使用 Cloud Monitoring 來監控您的所有公共、私人和公私兼有的應用。
將資料庫中的資料導入 BigQuery 進行分析。
部署 Anthos 以進行高性能和私有容器化應用部署。
下圖展示了用於與 Google API 和服務的通信的兩個網路路徑。專用 Google 訪問通道配置取決於為 VMware Engine 啟用的互聯網訪問:
如果通過 VMware Engine 提供了互聯網訪問,並且為相應區域啟用了互聯網訪問,則專用 Google 訪問通道和互聯網訪問會使用互聯網閘道。
如果您在本地或通過您的 VPC 網路提供互聯網訪問(通過通告 0.0.0.0/0 路由),則通信會使用服務提供方 VPC 網路互聯網閘道。系統會忽略通過 VMware Engine 互聯網服務進行的訪問。
選項 1:具有 VMware Engine 提供的互聯網訪問的專用 Google 訪問通道
如果您通過 VMware Engine 為區域提供互聯網訪問,則專用 Google 訪問通道和互聯網會使用互聯網閘道並執行 PAT。在這種情況下,除了為專用 Google 訪問通道配置 DNS 解析之外,您不需要任何其他配置。
選項 2:具有本地或客戶 VPC 提供的互聯網訪問的專用 Google 訪問通道
如果您在本地或通過您的 VPC 網路提供互聯網訪問,則需要配置 VMware Engine 服務,以通過組織的租戶 VPC 網路中的互聯網閘道將資料包路由到 Google API。您需要配置 VMware Engine 服務,以通過您的 VPC 網路路由其他流量的資料包,從而通過 VPN 或互連或通過您的 VPC 網路到達本地。
對於所有流量,為 VMware Engine 區域停用互聯網訪問和公共 IP 服務,並在本地注入默認路由 0.0.0.0/0。
如果您在本地或通過 VPC 網路提供互聯網訪問,請先移除所有已分配的公共 IP 位址和點到網站 VPN 閘道,然後再停用公共 IP 服務。請確保路由在您的 VPC 網路中可見,並且路由匯出到租戶 VPC 網路。
最後,訪問 Google API 會使用受限的虛擬 IP 位址,因此 DNS 必須相應地配置所需的 CNAME 和 A 記錄。訪問 Google API 是通過 Google 組織(而不是通過您的 VPC 網路)進行的。
私有雲到代管式合作夥伴服務
通過代管式合作夥伴服務 (MPS),您可以從託管在 MPS 對接網點的硬體和軟體向 Google Cloud 客戶提供關鍵任務軟體即服務 (SaaS) 產品。
對於私有雲與 MPS 之間的流量,VMware Engine 使用多 VPC 連接。此功能不僅可讓您建立與其他使用方 VPC 網路的連接,還可建立與 Google 的 MPS 的連接。下圖是私有雲與 MPS 以及與其他使用方 VPC 網路之間的連接的簡化版本。
Comments