O gateway do NCC é um tipo de spoke que pode ser anexado ao hub do Network Connectivity Center. Ele é um produto regional que permite a segurança do tráfego da rede entre nuvens. Com o gateway do NCC, é possível ativar funções de segurança, como o Secure Access Service Edge (SASE) de terceiros, um componente de segurança fornecido pela nuvem de SASE e encerrar conexões de interconexão.
O gateway do NCC oferece os seguintes recursos:
- Integração simplificada do SSE: você pode integrar o SSE de maneira simples com o direcionamento transparente para melhorar a proteção e a performance do usuário para o aplicativo.
- Implantação regional: é possível implantar o NCC Gateway em várias regiões com base na proximidade física de data centers ou outros provedores de nuvem.
- Força de trabalho remota segura: é possível conectar com segurança forças de trabalho remotas, como as de filiais, data centers e escritórios remotos, a aplicativos particulares em Google Cloud, no local ou em outros provedores de nuvem, e a aplicativos públicos, como o Prisma Access da Palo Alto Networks e o Symantec Cloud Secure Web Gateway (Cloud SWG).
- Segurança reforçada: é possível ativar funções de segurança, como SSE para tráfego multicloud.
- Gerenciamento simplificado: o gateway do NCC ajuda a reduzir a complexidade e os custos operacionais associados ao gerenciamento de redes VPC e conexões com redes remotas.
- Visibilidade de desempenho: o gateway do NCC permite que você tenha insights sobre o desempenho da rede com métricas e dados de telemetria.
Vantagens
O gateway do NCC oferece os seguintes benefícios:
Experiência ideal do aplicativo com latência reduzida: consumo de alta largura de banda do serviço SSE em primeiro lugar na nuvem com o gateway NCC e desempenho aprimorado pelo backbone particular do Google.
Segurança unificada para todo o tráfego de usuários: postura de segurança aprimorada com uma única pilha de segurança unificada e superfície de ataque reduzida ao limitar os pontos de entrada e saída.
Gerenciamento simplificado pelo Network Connectivity Center.
Termos-chave
Para entender o gateway do NCC, familiarize-se com a terminologia a seguir:
Anexo híbrido: conexões híbridas configuradas para chegar diretamente ao gateway do NCC.
Função de serviço de segurança: serviços anexados ao gateway do NCC. Por exemplo, para proteção de usuário para aplicativo, é necessário anexar um serviço de SSE ao gateway do NCC.
Rede VPC de aplicativo ou carga de trabalho: uma rede VPC de carga de trabalho geralmente usa máquinas virtuais (VMs) do Compute Engine ou contêineres do Google Kubernetes Engine (GKE) como cargas de trabalho. As redes VPC de carga de trabalho podem ser redes VPC regulares ou VPCs compartilhadas com um projeto host e vários projetos de serviço. As redes VPC de carga de trabalho precisam ser configuradas como spokes no hub.
Grupos de spokes: uma maneira de agrupar spokes em um hub do Network Connectivity Center. Com os grupos de spoke, é possível separar os spokes em diferentes domínios de roteamento. Um grupo de spokes pode conter vários spokes, mas um spoke só pode pertencer a um grupo. Para informações detalhadas sobre grupos de spoke para diferentes topologias, consulte Topologias de conectividade predefinidas.
Topologia de inspeção híbrida: permite adicionar spokes do gateway do NCC a um grupo para aplicar políticas. Para informações sobre a topologia de inspeção híbrida, consulte Topologia de inspeção híbrida.
Secure Access Connect: permite conectar produtos de SSE de terceiros ao gateway do NCC para processamento de segurança e saída segura da Internet. Para informações sobre o Secure Access Connect, consulte Visão geral do Secure Access Connect.
Produtos compatíveis com SSE
O gateway do NCC é compatível com conexões aos seguintes produtos de SSE:
Casos de uso
O NCC Gateway é ideal para organizações que querem proteger o acesso de uma força de trabalho híbrida aos aplicativos. O NCC Gateway oferece segurança para colaboradores híbridos com um ecossistema de parceiros integrado para que você possa se conectar aos provedores de SSE da sua escolha. Com o NCC Gateway, é possível proteger seu acesso a aplicativos particulares hospedados em Google Cloud, no local, em outros provedores de nuvem e em aplicativos públicos hospedados na Internet e em aplicativos SaaS. O gateway do NCC permite criar implantações regionais para otimizar a proximidade do data center e gerenciar o tráfego entre regiões no backbone particular do Google Cloud.
Os casos de uso para Google Cloud usuários incluem o seguinte:
- Direcionar usuários da filial à Internet
- Direcionar usuários da filial para aplicativos particulares
- Aplicativos particulares na Internet
Alguns parceiros compatíveis oferecem um ou mais dos seguintes casos de uso:
- Usuários de dispositivos móveis na Internet
- Usuários de dispositivos móveis para aplicativos particulares
- Direcionar usuários para aplicativos de parceiros
- De apps particulares para apps de parceiros
Fluxos de tráfego
Esta seção descreve os caminhos de fluxo de tráfego no NCC Gateway, dependendo de cada caso de uso.
Fluxo de tráfego nos casos de uso para usuários do Google Cloud
Direcionar usuários da filial à Internet
No diagrama a seguir, o tráfego flui de um usuário de filial local pelo gateway do NCC e pela pilha SSE de terceiros até a Internet.
Direcionar usuários da filial para aplicativos particulares
No diagrama a seguir, o tráfego flui do usuário da filial local pelo gateway do NCC, passa pelo SSE de terceiros e volta pelo gateway do NCC para um aplicativo particular.
Aplicativos particulares na Internet
No diagrama a seguir, o tráfego flui de Google Cloud pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para a Internet.
Fluxo de tráfego nos casos de uso para parceiros compatíveis
Usuários de dispositivos móveis na Internet
No diagrama a seguir, o tráfego flui de usuários de dispositivos móveis pelo SSE de terceiros até a Internet. Nesse caso, o tráfego não passa pelo gateway do NCC.
Usuários de dispositivos móveis para aplicativos particulares
No diagrama a seguir, o tráfego flui de usuários de dispositivos móveis pelo serviço SSE de terceiros e o gateway NCC para um aplicativo privado hospedado em uma rede VPC.
Direcionar usuários para aplicativos de parceiros
No diagrama a seguir, o tráfego flui do usuário da filial local pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para a filial local.
De apps particulares para apps de parceiros
No diagrama a seguir, o tráfego flui de aplicativos particulares pelo gateway do NCC, atravessa o SSE de terceiros e volta pelo gateway do NCC para aplicativos de parceiros.
Capacidade de processamento
A capacidade de processamento de um spoke do gateway do NCC é a largura de banda provisionada. Você precisa provisionar largura de banda suficiente para cada direção de fluxo de tráfego, lembrando que os pacotes podem entrar e sair do raio do gateway mais de uma vez para cada direção de fluxo em alguns fluxos de tráfego.
Considere os exemplos a seguir para calcular a capacidade de processamento necessária de um raio de gateway.
Exemplo: direcionar usuários para a Internet
Suponha que a rede local de uma filial esteja conectada à Internet, conforme mostrado no caso de uso Usuários da filial na Internet. Os pacotes atravessam o gateway do NCC uma vez em cada direção, e a filial e a Internet precisam de 1 Gbps de largura de banda full-duplex: 1 Gbps para o tráfego da rede local da filial para a Internet e 1 Gbps para o tráfego da Internet para a rede da filial. Nesse caso, o usuário precisa de 2 Gbps de capacidade de processamento. Este exemplo também pressupõe que o parceiro de SSE não descarta nenhum pacote. Se o parceiro de SSE escolhido recomendar uma largura de banda maior do que a calculada neste exemplo, siga a recomendação do parceiro.
Exemplo: ramificar usuários para aplicativos particulares
Suponha que a rede local de uma filial esteja conectada ao Google Cloud , conforme mostrado no caso de uso Usuários da filial para aplicativos particulares, e que a filial e os aplicativos particulares precisem de 1 Gbps de largura de banda full-duplex: 1 Gbps para tráfego da filial para os aplicativos e 1 Gbps para tráfego dos aplicativos para a filial. Este exemplo também pressupõe que o parceiro de SSE não descarta nenhum pacote. Se o parceiro de SSE escolhido recomendar uma largura de banda maior do que a calculada neste exemplo, siga a recomendação do parceiro.
O spoke do gateway do NCC que conecta a rede local da filial ao hub do Network Connectivity Center precisa de dois anexos da VLAN de 1 Gbps para atender aos requisitos do SLA do Cloud Interconnect. Assim, é possível que um anexo da VLAN forneça 1 Gbps de largura de banda full-duplex entre a filial e os aplicativos particulares, mesmo quando um anexo da VLAN está off-line (por exemplo, devido à manutenção da conexão de interconexão).
A capacidade de processamento necessária do spoke do gateway é de 4 Gbps pelos seguintes motivos:
O tráfego da rede local da filial para o hub do Network Connectivity Center requer 1 Gbps de largura de banda. Esse tráfego exige 2 Gbps de largura de banda do gateway porque é processado pelo gateway nos dois locais a seguir:
- 1 Gbps quando os pacotes dos anexos da VLAN que se conectam à ramificação entram no spoke do gateway
- 1 Gbps quando os pacotes saem do spoke do gateway e entram no hub
O tráfego do hub do Network Connectivity Center para a rede local da filial também exige 1 Gbps de largura de banda. Esse tráfego exige mais 2 Gbps de largura de banda do gateway porque é processado pelo gateway nos dois locais a seguir:
- 1 Gbps quando os pacotes saem do hub e entram no raio do gateway
- 1 Gbps quando os pacotes saem do spoke do gateway e são enviados aos anexos da VLAN que se conectam à ramificação
Recomendamos a seguinte estratégia para configurar a capacidade de processamento do gateway e a largura de banda do anexo da VLAN:
- A capacidade de processamento do gateway é a soma da largura de banda necessária, em cada direção, entre todas as NICs do gateway.
- Ao contrário da capacidade de processamento do gateway, a largura de banda do anexo da VLAN é full-duplex. Sempre provisione um número suficiente de anexos da VLAN para oferecer suporte à largura de banda necessária, mesmo que os anexos da VLAN que usam uma conexão de interconexão comum estejam inativos.
Considerações
Considere o seguinte ao usar o gateway do NCC:
- O gateway do NCC oferece suporte apenas à inserção de serviços do SSE.
- Só é possível anexar anexos da VLAN a spokes do gateway do NCC. As VPNs do Cloud e os dispositivos roteadores não são compatíveis.
- Todos os spokes do gateway do NCC precisam estar no mesmo grupo de spokes de gateways. Para configurar o gateway do NCC, os hubs do Network Connectivity Center precisam usar a topologia de inspeção híbrida predefinida.
- Apenas um serviço pode ser anexado a um gateway do NCC por vez.
- Um Cloud Router precisa estar vinculado a um gateway do NCC na mesma região.
- Somente os anexos da VLAN criados com um Cloud Router vinculado a um gateway do NCC são anexados ao gateway.
- Só é possível ter um spoke do gateway do NCC por região e por hub.
- Os spokes e o hub do gateway do NCC precisam estar no mesmo projeto.
- É necessário especificar a capacidade de processamento no momento da criação do spoke do gateway. A capacidade de processamento pode ser alterada depois, se necessário.
- Não é possível mudar os intervalos de endereços IP atribuídos. Alguns intervalos de endereços IP são reservados para parceiros do SSE.
- Não há uma política de direcionamento de tráfego para ignorar um subconjunto de tráfego do gateway do NCC.
- As rotas anunciadas do gateway não aparecem na tabela de rotas da VPC. É possível conferir essas rotas na tabela de rotas do hub do grupo de spokes em que a rede VPC está.
- As rotas anunciadas do gateway são programadas usando o modo padrão de seleção do melhor caminho.
- A prioridade das rotas anunciadas do gateway na tabela de rotas do hub reflete a prioridade efetiva da rota do Andromeda, como
65536ou65537. A prioridade com que a rota anunciada do gateway é criada é considerada ao calcular a prioridade efetiva da rota do Andromeda. - As rotas estáticas sempre têm uma prioridade entre
0-65535e, portanto, têm precedência sobre as rotas anunciadas pelo gateway para o mesmo prefixo de destino. Portanto, se você quiser direcionar o tráfego da Internet para o gateway usando uma rota anunciada do gateway com um destino0/0, talvez seja necessário remover a rota padrão gerada pelo sistema.
- A prioridade das rotas anunciadas do gateway na tabela de rotas do hub reflete a prioridade efetiva da rota do Andromeda, como
Visualização de rotas efetivas para gateways e tabelas de rotas de hub
É possível consultar tabelas de rotas do hub da perspectiva de uma região, o que considera o custo entre regiões ao selecionar uma rota, seja pelo gateway ou não. Com essa consulta, é possível saber qual instância de gateway específica recebe o tráfego se você enviar um pacote dessa região.
Exemplo de jornada do usuário
Se você não tiver uma configuração de conectividade preexistente, consulte Visão geral da configuração do gateway do NCC.
Preços
Para mais informações, consulte Preços do Network Connectivity Center.
A seguir
- Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.
- Para uma lista de parceiros com soluções integradas à Network Connectivity Center, consulte Parceiros da Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte Resolver problemas do Network Connectivity Center.
- Para ver detalhes sobre os comandos da API e do
gcloud, consulte APIs e referência.