Diese Seite wurde von der Cloud Translation API übersetzt.

NCC-Gateway – Übersicht

NCC-Gateway ist ein Spoke-Typ, der an den Network Connectivity Center-Hub angehängt werden kann. Es ist ein regionales Produkt, das die Sicherheit für den Traffic des cloudübergreifenden Netzwerks ermöglicht. Mit NCC Gateway können Sie Sicherheitsfunktionen wie SSE (Security Service Edge) von Drittanbietern aktivieren, eine in der Cloud bereitgestellte Sicherheitskomponente von SASE (Secure Access Service Edge), und Interconnect-Verbindungen beenden.

Das NCC-Gateway bietet die folgenden Funktionen:

Optimierte SSE-Integration: Sie können SSE nahtlos mit transparenter Steuerung integrieren, um den Schutz und die Leistung von Nutzern und Anwendungen zu verbessern.
Regionale Bereitstellung: Sie können das NCC Gateway in verschiedenen Regionen bereitstellen, je nach physischer Nähe zu Rechenzentren oder anderen Cloud-Anbietern.
Sichere Remote-Mitarbeiter: Sie können Remote-Mitarbeiter, z. B. in Niederlassungen, Rechenzentren und Remote-Büros, sicher mit privaten Anwendungen in Google Cloud, lokal oder bei anderen Cloud-Anbietern sowie mit öffentlichen Anwendungen wie Palo Alto Networks Prisma Access und Symantec Cloud Secure Web Gateway (Cloud SWG) verbinden.
Erhöhte Sicherheit: Sie können Sicherheitsfunktionen wie SSE für Multicloud-Traffic aktivieren.
Vereinfachte Verwaltung: Mit NCC Gateway können Sie die Komplexität und die Betriebskosten für die Verwaltung von VPC-Netzwerken und Verbindungen zu Remote-Netzwerken reduzieren.
Leistungstransparenz: Mit dem NCC Gateway erhalten Sie anhand von Messwerten und Telemetriedaten Einblicke in die Netzwerkleistung.

Vorteile

Das NCC-Gateway bietet folgende Vorteile:

Optimale Anwendungsleistung mit geringerer Latenz: Cloud-First-Nutzung des SSE-Dienstes mit hoher Bandbreite über das NCC-Gateway und verbesserte Leistung durch das private Backbone von Google.
Einheitliche Sicherheit für den gesamten Nutzer-Traffic: Verbesserter Sicherheitsstatus durch einen einzigen einheitlichen Sicherheits-Stack und eine verringerte Angriffsfläche durch die Begrenzung von Ein- und Ausgangspunkten.
Vereinfachte Verwaltung über das Network Connectivity Center.

Wichtige Begriffe

Machen Sie sich mit der folgenden Terminologie vertraut, um NCC Gateway zu verstehen:

Hybrid-Anhang: Hybridverbindungen, die Sie so konfigurieren, dass sie direkt auf dem NCC-Gateway landen.

Sicherheitsdienstfunktion: Dienste, die an das NCC-Gateway angehängt sind. Für den Schutz von Nutzern vor Anwendungen müssen Sie beispielsweise einen SSE-Dienst an das NCC Gateway anhängen.

VPC-Netzwerk für Anwendungen oder Arbeitslasten: Ein VPC-Netzwerk für Arbeitslasten ist in der Regel ein Netzwerk, in dem Compute Engine-VMs oder Google Kubernetes Engine-Container als Arbeitslasten verwendet werden. VPC-Netzwerke für Arbeitslasten können reguläre VPC-Netzwerke oder freigegebene VPCs mit einem Hostprojekt und mehreren Dienstprojekten sein. Die Arbeitslast-VPC-Netzwerke müssen als Spokes im Hub konfiguriert werden.

Spoke-Gruppen: Eine Möglichkeit, Spokes in einem Network Connectivity Center-Hub zu gruppieren. Mit Spoke-Gruppen können Sie Spokes in verschiedene Routing-Domains unterteilen. Eine Spoke-Gruppe kann mehrere Spokes enthalten, aber ein Spoke kann nur einer Gruppe angehören. Ausführliche Informationen zu Spoke-Gruppen für verschiedene Topologien finden Sie unter Voreingestellte Verbindungstopologien.

Hybride Prüftopologie: Sie können einer Gruppe NCC Gateway-Spokes hinzufügen, um Richtlinien anzuwenden. Informationen zur hybriden Prüftopologie finden Sie unter Hybride Prüftopologie.

Secure Access Connect: Ermöglicht es Ihnen, SSE-Produkte von Drittanbietern mit NCC Gateway zu verbinden, um Sicherheitsvorgänge durchzuführen und einen sicheren Internetzugang zu ermöglichen. Informationen zu Secure Access Connect finden Sie unter Secure Access Connect – Übersicht.

Unterstützte SSE-Produkte

NCC Gateway unterstützt Verbindungen zu den folgenden SSE-Produkten:

Anwendungsfälle

NCC Gateway ist ideal für Organisationen, die den Zugriff von Mitarbeitern im Hybridmodell auf Anwendungen sichern möchten. NCC Gateway bietet Sicherheit für hybride Belegschaften über ein integriertes Partnernetzwerk, mit dem Sie Verbindungen zu SSE-Anbietern Ihrer Wahl herstellen können. Mit NCC Gateway können Sie den Zugriff auf private Anwendungen sichern, die in Google Cloud, lokal, bei anderen Cloud-Anbietern und in öffentlichen Anwendungen im Internet und in SaaS-Anwendungen gehostet werden. Mit NCC Gateway können Sie regionale Bereitstellungen erstellen, um die Nähe zum Rechenzentrum zu optimieren, und regionenübergreifenden Traffic im privaten Backbone von Google Cloudverwalten.

Anwendungsfälle für Google Cloud Nutzer:

Nutzer zum Internet weiterleiten
Nutzer zu privaten Anwendungen weiterleiten
Private Anwendungen im Internet

Einige unterstützte Partner bieten einen oder mehrere der folgenden Anwendungsfälle an:

Mobilfunknutzer im Internet
Mobile Nutzer für private Anwendungen
Nutzer zu Partneranwendungen weiterleiten
Private Apps zu Partner-Apps

Trafficabläufe

In diesem Abschnitt werden die Traffic-Flussrouten im NCC Gateway für die einzelnen Anwendungsfälle beschrieben.

Traffic-Flow in den Anwendungsfällen für Google Cloud Nutzer

Nutzer zum Internet weiterleiten

Im folgenden Diagramm fließt der Traffic von einem Nutzer in einer lokalen Niederlassung über das NCC-Gateway und den SSE-Drittanbieterstack ins Internet.

Nutzer in den Internet-Traffic-Flow einbinden — Branch-Nutzer zum Internet-Trafficfluss (zum Vergrößern klicken).

Nutzer zu privaten Anwendungen weiterleiten

Im folgenden Diagramm fließt der Traffic vom lokalen Zweigstellen-Nutzer über das NCC-Gateway, durchläuft das SSE eines Drittanbieters und wird dann über das NCC-Gateway an eine private Anwendung zurückgeleitet.

Nutzer zu einem privaten Anwendungs-Traffic-Flow weiterleiten. — Traffic-Flow für das Weiterleiten von Nutzern zu einer privaten Anwendung (zum Vergrößern klicken).

Private Anwendungen im Internet

Im folgenden Diagramm fließt der Traffic von Google Cloudüber das NCC-Gateway, durchläuft die SSE eines Drittanbieters und wird dann über das NCC-Gateway zurück ins Internet geleitet.

Private Anwendungen für den Internet-Trafficfluss. — Trafficfluss privater Anwendungen zum Internet (zum Vergrößern klicken)

Traffic-Ablauf in den Anwendungsfällen für unterstützte Partner

Mobilfunknutzer im Internet

Im folgenden Diagramm fließt der Traffic von Mobilfunknutzern über den SSE eines Drittanbieters ins Internet. In diesem Fall wird der Traffic nicht über das NCC-Gateway geleitet.

Mobilgeräte-Nutzer zum Internet-Traffic-Flow. — Traffic-Flow von Mobilgeräten zum Internet (zum Vergrößern klicken).

Mobile Nutzer für private Anwendungen

Im folgenden Diagramm fließt der Traffic von mobilen Nutzern über den SSE-Drittanbieterdienst und das NCC-Gateway zu einer privaten Anwendung, die in einem VPC-Netzwerk gehostet wird.

Nutzer von Mobilgeräten zu einem privaten Anwendungs-Trafficfluss. — Datenfluss von Mobilgeräten zu einer privaten Anwendung (zum Vergrößern klicken)

Nutzer zu Partneranwendungen weiterleiten

Im folgenden Diagramm fließt der Traffic vom lokalen Zweigstellen-Nutzer über das NCC-Gateway, durchläuft das SSE eines Drittanbieters und wird dann über das NCC-Gateway zurück zur lokalen Zweigstelle geleitet.

Nutzer zum Traffic-Flow von Partneranwendungen weiterleiten. — Datenfluss von Branch-Nutzern zu Partneranwendungen (zum Vergrößern klicken).

Private Apps zu Partner-Apps

Im folgenden Diagramm fließt der Traffic von privaten Anwendungen über das NCC-Gateway, durchläuft das SSE eines Drittanbieters und wird dann über das NCC-Gateway an Partneranwendungen zurückgegeben.

Trafficfluss von privaten Anwendungen zu Partneranwendungen. — Traffic-Fluss von privaten Anwendungen zu Partneranwendungen (zum Vergrößern klicken)

Verarbeitungskapazität

Die Verarbeitungskapazität eines NCC-Gateway-Spoke entspricht seiner bereitgestellten Bandbreite. Sie müssen genügend Bandbreite für jede Trafficflussrichtung bereitstellen. Dabei ist zu berücksichtigen, dass Pakete für einige Trafficflüsse für jede Flussrichtung mehr als einmal in den Gateway-Spoke eintreten und ihn verlassen können.

Anhand der folgenden Beispiele können Sie die erforderliche Verarbeitungskapazität eines Gateway-Spoke berechnen.

Beispiel: Nutzer zum Internet weiterleiten

Angenommen, das lokale Netzwerk einer Niederlassung ist wie im Anwendungsfall Niederlassungsnutzer mit dem Internet verbinden mit dem Internet verbunden. Die Pakete durchlaufen das NCC-Gateway einmal in jeder Richtung und die Zweigstelle und das Internet benötigen 1 Gbit/s Vollduplex-Bandbreite: 1 Gbit/s für Traffic vom lokalen Netzwerk der Zweigstelle zum Internet und 1 Gbit/s für Traffic vom Internet zum Netzwerk der Zweigstelle. In diesem Fall benötigt der Nutzer eine Verarbeitungskapazität von 2 Gbit/s. In diesem Beispiel wird außerdem davon ausgegangen, dass der SSE-Partner keine Pakete verwirft. Wenn Ihr ausgewählter SSE-Partner eine höhere Bandbreite als in diesem Beispiel berechnet empfiehlt, folgen Sie der Empfehlung des Partners.

Beispiel: Nutzer zu privaten Apps weiterleiten

Angenommen, das lokale Netzwerk einer Niederlassung ist mitGoogle Cloud verbunden, wie im Anwendungsfall Niederlassungsnutzer für private Anwendungen gezeigt. Die Niederlassung und die privaten Anwendungen benötigen eine Vollduplex-Bandbreite von 1 Gbit/s: 1 Gbit/s für Traffic von der Niederlassung zu den Anwendungen und 1 Gbit/s für Traffic von den Anwendungen zur Niederlassung. In diesem Beispiel wird außerdem davon ausgegangen, dass der SSE-Partner keine Pakete verwirft. Wenn Ihr ausgewählter SSE-Partner eine höhere Bandbreite empfiehlt als in diesem Beispiel berechnet, folgen Sie der Empfehlung des Partners.

Für den NCC Gateway-Spoke, der das lokale Netzwerk der Niederlassung mit dem Network Connectivity Center-Hub verbindet, sind zwei 1-Gbit/s-VLAN-Anhänge erforderlich, um die Cloud Interconnect-SLA-Anforderungen zu erfüllen. So kann ein VLAN-Anhang 1 Gbit/s Vollduplex-Bandbreite zwischen der Niederlassung und privaten Anwendungen bereitstellen, auch wenn ein VLAN-Anhang offline ist (z. B. aufgrund von Wartungsarbeiten an der Interconnect-Verbindung).

Die erforderliche Verarbeitungskapazität des Gateway-Spoke beträgt 4 Gbit/s. Das hat folgende Gründe:

Für den Traffic vom lokalen Netzwerk der Niederlassung zum Network Connectivity Center-Hub ist eine Bandbreite von 1 Gbit/s erforderlich. Für diesen Traffic sind 2 Gbit/s Gateway-Bandbreite erforderlich, da er vom Gateway an den folgenden zwei Stellen verarbeitet wird:
- 1 Gbit/s, wenn Pakete von den VLAN-Anhängen, die eine Verbindung zum Zweig herstellen, in den Gateway-Spoke eintreten
- 1 Gbit/s, wenn Pakete den Gateway-Spoke verlassen und in den Hub eintreten
Für Traffic vom Network Connectivity Center-Hub zum lokalen Netzwerk der Niederlassung sind ebenfalls 1 Gbit/s Bandbreite erforderlich. Für diesen Traffic sind zusätzliche 2 Gbit/s Gateway-Bandbreite erforderlich, da er vom Gateway an den folgenden zwei Stellen verarbeitet wird:
- 1 Gbit/s, wenn Pakete den Hub verlassen und in den Gateway-Spoke eintreten
- 1 Gbit/s, wenn Pakete den Gateway-Spoke verlassen und an die VLAN-Anhänge gesendet werden, die mit der Zweigstelle verbunden sind

Wir empfehlen die folgende Strategie zum Konfigurieren der Gateway-Verarbeitungskapazität und der Bandbreite des VLAN-Anhang:

Die Verarbeitungskapazität des Gateways ist die Summe der erforderlichen Bandbreite in jeder Richtung für alle Gateway-NICs.
Im Gegensatz zur Verarbeitungskapazität des Gateways ist die Bandbreite des VLAN-Anhang Vollduplex. Stellen Sie immer eine ausreichende Anzahl von VLAN-Anhängen bereit, um die erforderliche Bandbreite zu unterstützen, auch wenn die VLAN-Anhänge, die eine gemeinsame Interconnect-Verbindung verwenden, ausgefallen sind.

Hinweise

Beachten Sie bei der Verwendung von NCC Gateway die folgenden Überlegungen:

NCC Gateway unterstützt nur das Einfügen von SSE-Diensten.
Sie können VLAN-Anhänge nur an NCC-Gateway-Spokes anhängen. Cloud VPNs und Router-Appliances werden nicht unterstützt.
Alle NCC-Gateway-Spokes müssen sich in derselben Spoke-Gruppe gateways befinden. Wenn Sie NCC Gateway konfigurieren möchten, müssen Network Connectivity Center-Hubs die vordefinierte hybride Prüftopologie verwenden.
Es kann jeweils nur ein Dienst an ein NCC-Gateway angehängt werden.
Ein Cloud Router muss mit einem NCC-Gateway in derselben Region verknüpft sein.
Nur VLAN-Anhänge, die mit einem Cloud Router erstellt wurden, der mit einem NCC-Gateway verknüpft ist, werden an das Gateway angehängt.
Pro Region und Hub kann nur ein NCC-Gateway-Spoke vorhanden sein.
NCC-Gateway-Spokes und ‑Hub müssen sich im selben Projekt befinden.
Sie müssen die Verarbeitungskapazität beim Erstellen des Gateway-Spoke angeben. Die Verarbeitungskapazität kann bei Bedarf später geändert werden.
Zugewiesene IP-Adressbereiche können nicht geändert werden. Einige IP-Adressbereiche sind für SSE-Partner reserviert.
Es gibt keine Richtlinie zur Traffic-Steuerung, um eine Teilmenge des Traffics vom NCC-Gateway zu umgehen.
Vom Gateway beworbene Routen werden nicht in der VPC-Routingtabelle angezeigt. Sie können sie in der Hub-Routingtabelle der Spoke-Gruppe sehen, in der sich das VPC-Netzwerk befindet.
Vom Gateway beworbene Routen werden mit dem Standardmodus zur Auswahl des besten Pfads programmiert.
- Die Priorität der Gateway-Routen in der Hub-Routentabelle entspricht der effektiven Andromeda-Routenpriorität, z. B. 65536 oder 65537. Die Priorität, mit der die vom Gateway beworbene Route erstellt wird, wird bei der Berechnung der effektiven Andromeda-Routenpriorität berücksichtigt.
- Statische Routen haben immer eine Priorität zwischen 0-65535 und haben daher Vorrang vor von Gateways beworbenen Routen für dasselbe Zielpräfix. Wenn Sie also Internet-Traffic über eine vom Gateway beworbene Route mit dem Ziel 0/0 an das Gateway weiterleiten möchten, müssen Sie möglicherweise die vom System generierte Standardroute entfernen.

Ansicht „Aktive Routen“ für Gateways und Hub-Routingtabellen

Sie können Hub-Routentabellen aus der Perspektive einer Region abfragen. Dabei werden die Kosten zwischen den Regionen berücksichtigt, wenn Sie eine Route auswählen, unabhängig davon, ob sie über das Gateway verläuft oder nicht. Mit dieser Abfrage können Sie sehen, welche bestimmte Gateway-Instanz den Traffic empfängt, wenn Sie ein Paket aus dieser bestimmten Region senden.

Beispiel für einen Nutzerpfad

Wenn Sie noch keine Verbindung eingerichtet haben, lesen Sie den Abschnitt NCC-Gateway einrichten – Übersicht.

Preise

Informationen zu den Preisen finden Sie unter Preise für Network Connectivity Center.

Nächste Schritte

Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
Eine Liste der Partner, deren Lösungen in das Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
Lösungen für häufige Probleme finden Sie unter Fehlerbehebung beim Network Connectivity Center.
Ausführliche Informationen zur API und zu gcloud-Befehlen finden Sie unter APIs und Referenz.