La puerta de enlace de NCC es un tipo de radio que se puede conectar al concentrador de Network Connectivity Center. Es un producto regional que habilita la seguridad para el tráfico de Cross-Cloud Network. NCC Gateway te permite habilitar funciones de seguridad, como el perímetro de servicio de seguridad (SSE) de terceros, un componente de seguridad que se entrega en la nube del perímetro de servicio de acceso seguro (SASE), y finalizar las conexiones de interconexión.
La puerta de enlace de NCC ofrece las siguientes funciones:
- Integración optimizada de SSE: Puedes integrar SSE sin problemas con una dirección transparente para mejorar la protección y el rendimiento de la aplicación para el usuario.
- Implementación regional: Puedes implementar la puerta de enlace de NCC en varias regiones según la proximidad física a los centros de datos o a otros proveedores de servicios en la nube.
- Fuerza laboral remota segura: Puedes conectar de forma segura a las fuerzas laborales remotas, como las de sucursales, centros de datos y oficinas remotas, a aplicaciones privadas en Google Cloud, en las instalaciones o en otros proveedores de servicios en la nube, y a aplicaciones públicas, como Palo Alto Networks Prisma Access y Symantec Cloud Secure Web Gateway (Cloud SWG).
- Seguridad mejorada: Puedes habilitar funciones de seguridad, como SSE, para el tráfico de varias nubes.
- Administración simplificada: La puerta de enlace de NCC te ayuda a reducir la complejidad y los costos operativos asociados con la administración de redes de VPC y conexiones a redes remotas.
- Visibilidad del rendimiento: NCC Gateway te permite obtener estadísticas sobre el rendimiento de la red con métricas y datos de telemetría.
Beneficios
La puerta de enlace de NCC proporciona los siguientes beneficios:
Experiencia óptima de la aplicación con latencia reducida: Consumo de alta velocidad de banda ancha y primero en la nube del servicio de SSE con la puerta de enlace de NCC y rendimiento mejorado a través de la red troncal privada de Google.
Seguridad unificada para todo el tráfico de usuarios: Mejora la estrategia de seguridad con una sola pila de seguridad unificada y reduce la superficie de ataque limitando los puntos de entrada y salida.
Administración simplificada a través de Network Connectivity Center.
Términos clave
Para comprender la puerta de enlace de NCC, familiarízate con la siguiente terminología:
Adjunto híbrido: Son las conexiones híbridas que configuras para que se dirijan directamente a la puerta de enlace de NCC.
Función de servicio de seguridad: Son los servicios que se adjuntan a la puerta de enlace de NCC. Por ejemplo, para la protección de usuario a aplicación, debes adjuntar un servicio de SSE a NCC Gateway.
Red de VPC de la aplicación o la carga de trabajo: Una red de VPC de carga de trabajo suele ser una red que usa contenedores de máquinas virtuales (VM) de Compute Engine o de Google Kubernetes Engine (GKE) como cargas de trabajo. Las redes de VPC de cargas de trabajo pueden ser redes de VPC normales o VPC compartidas con un proyecto host y varios proyectos de servicio. Las redes de VPC de la carga de trabajo deben configurarse como radios en el concentrador.
Grupos de radios: Es una forma de agrupar radios dentro de un concentrador de Network Connectivity Center. Los grupos de radios permiten segregar los radios en diferentes dominios de enrutamiento. Un grupo de radios puede contener varios radios, pero un radio solo puede pertenecer a un grupo. Para obtener información detallada sobre los grupos de radios para diferentes topologías, consulta Topologías de conectividad predeterminadas.
Topología de inspección híbrida: Te permite agregar radios de NCC Gateway a un grupo para aplicar políticas. Para obtener información sobre la topología de inspección híbrida, consulta Topología de inspección híbrida.
Secure Access Connect: Te permite conectar productos de SSE de terceros a la puerta de enlace de NCC para el procesamiento de seguridad y la salida segura a Internet. Para obtener información sobre Secure Access Connect, consulta la descripción general de Secure Access Connect.
Productos de SSE compatibles
La puerta de enlace de NCC admite conexiones a los siguientes productos de SSE:
Casos de uso
NCC Gateway es ideal para las organizaciones que desean proteger el acceso de la fuerza laboral híbrida a las aplicaciones. NCC Gateway proporciona seguridad para el personal híbrido a través de un ecosistema de socios integrado que te permite conectarte con los proveedores de SSE que elijas. NCC Gateway te permite proteger tu acceso a aplicaciones privadas alojadas en Google Cloud, en entornos locales, en otros proveedores de servicios en la nube y en aplicaciones públicas alojadas en Internet y aplicaciones de SaaS. NCC Gateway te permite crear implementaciones regionales para optimizar la proximidad del centro de datos y administrar el tráfico entre regiones en la red troncal privada de Google Cloud.
Estos son algunos casos de uso para los usuarios de Google Cloud :
- Cómo dirigir a los usuarios de Branch a Internet
- Dirige a los usuarios a aplicaciones privadas
- Aplicaciones privadas a Internet
Algunos socios admitidos ofrecen uno o más de los siguientes casos de uso:
- Usuarios de dispositivos móviles a Internet
- Usuarios de dispositivos móviles en aplicaciones privadas
- Usuarios de Branch para aplicaciones de socios
- Aplicaciones privadas a aplicaciones de socios
Flujos de tráfico
En esta sección, se describen las rutas de flujo de tráfico en la puerta de enlace de NCC según cada caso de uso.
Flujo de tráfico en los casos de uso para usuarios de Google Cloud
Cómo dirigir a los usuarios de Branch a Internet
En el siguiente diagrama, el tráfico fluye desde un usuario de una sucursal local a través de la puerta de enlace de NCC y la pila de SSE de terceros hasta Internet.
Dirige a los usuarios a aplicaciones privadas
En el siguiente diagrama, el tráfico fluye desde el usuario de la sucursal local a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, regresa a través de la puerta de enlace de NCC a una aplicación privada.
Aplicaciones privadas a Internet
En el siguiente diagrama, el tráfico fluye desde Google Clouda través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, regresa a través de la puerta de enlace de NCC a Internet.
Flujo de tráfico en los casos de uso para socios admitidos
Usuarios de dispositivos móviles a Internet
En el siguiente diagrama, el tráfico fluye desde los usuarios de dispositivos móviles a través del SSE de terceros hacia Internet. En este caso, el tráfico no pasa por la puerta de enlace de NCC.
Usuarios de dispositivos móviles en aplicaciones privadas
En el siguiente diagrama, el tráfico fluye desde los usuarios de dispositivos móviles a través del servicio de SSE de terceros y la puerta de enlace de NCC hacia una aplicación privada alojada en una red de VPC.
Usuarios de Branch para aplicaciones de socios
En el siguiente diagrama, el tráfico fluye desde el usuario de la sucursal local a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, regresa a través de la puerta de enlace de NCC a la sucursal local.
Aplicaciones privadas a aplicaciones de socios
En el siguiente diagrama, el tráfico fluye desde las aplicaciones privadas a través de la puerta de enlace de NCC, atraviesa el SSE de terceros y, luego, regresa a través de la puerta de enlace de NCC a las aplicaciones de socios.
Capacidad de procesamiento
La capacidad de procesamiento de un radio de puerta de enlace de NCC es su ancho de banda aprovisionado. Debes aprovisionar suficiente ancho de banda para tener en cuenta cada dirección de flujo de tráfico, teniendo en cuenta que los paquetes pueden entrar y salir del radio de la puerta de enlace más de una vez para cada dirección de flujo en algunos flujos de tráfico.
Considera los siguientes ejemplos para calcular la capacidad de procesamiento requerida de una conexión de radio de puerta de enlace.
Ejemplo: Dirige a los usuarios a Internet
Supongamos que la red local de una sucursal está conectada a Internet, como se muestra en el caso de uso Usuarios de la sucursal a Internet. Los paquetes atraviesan la puerta de enlace de NCC una vez en cada dirección, y la sucursal y la Internet necesitan 1 Gbps de ancho de banda dúplex completo: 1 Gbps para el tráfico de la red local de la sucursal a Internet y 1 Gbps para el tráfico de Internet a la red de la sucursal. En este caso, el usuario necesita 2 Gbps de capacidad de procesamiento. En este ejemplo, también se supone que el socio de SSE no descarta ningún paquete. Si el socio de SSE que elegiste recomienda un ancho de banda mayor que el que se calcula en este ejemplo, sigue la recomendación del socio.
Ejemplo: Dirige a los usuarios a aplicaciones privadas
Supongamos que la red local de una sucursal está conectada aGoogle Cloud , como se muestra en el caso de uso Usuarios de la sucursal a aplicaciones privadas, y que la sucursal y las aplicaciones privadas necesitan un ancho de banda de dúplex completo de 1 Gbps: 1 Gbps para el tráfico de la sucursal a las aplicaciones y 1 Gbps para el tráfico de las aplicaciones a la sucursal. En este ejemplo, también se supone que el socio de SSE no descarta ningún paquete. Si el socio de SSE que elegiste recomienda un ancho de banda mayor que el que se calcula en este ejemplo, sigue la recomendación del socio.
La conexión de puerta de enlace del NCC que conecta la red local de la sucursal al concentrador de Network Connectivity Center necesita dos adjuntos de VLAN de 1 Gbps para cumplir con los requisitos del ANS de Cloud Interconnect. De esta manera, es posible que un adjunto de VLAN proporcione 1 Gbps de ancho de banda dúplex completo entre la sucursal y las aplicaciones privadas, incluso cuando un adjunto de VLAN está sin conexión (por ejemplo, debido al mantenimiento de la conexión de interconexión).
La capacidad de procesamiento requerida del radio de la puerta de enlace es de 4 Gbps por los siguientes motivos:
El tráfico desde la red local de la sucursal al concentrador de Network Connectivity Center requiere 1 Gbps de ancho de banda. Este tráfico requiere 2 Gbps de ancho de banda de la puerta de enlace porque la puerta de enlace lo procesa en los siguientes dos lugares:
- 1 Gbps a medida que los paquetes de los adjuntos de VLAN que se conectan a la rama ingresan al radio de la puerta de enlace
- 1 Gbps cuando los paquetes salen del radio de la puerta de enlace y entran en el concentrador
El tráfico desde el concentrador de Network Connectivity Center hacia la red local de la sucursal también requiere 1 Gbps de ancho de banda. Este tráfico requiere 2 Gbps adicionales de ancho de banda de la puerta de enlace, ya que la puerta de enlace lo procesa en los siguientes dos lugares:
- 1 Gbps cuando los paquetes salen del concentrador y entran en el radio de la puerta de enlace
- 1 Gbps cuando los paquetes salen del radio de la puerta de enlace y se envían a los adjuntos de VLAN que se conectan a la sucursal
Recomendamos la siguiente estrategia para configurar la capacidad de procesamiento de la puerta de enlace y el ancho de banda del adjunto de VLAN:
- La capacidad de procesamiento de la puerta de enlace es la suma del ancho de banda requerido, en cada dirección, entre todas las NIC de la puerta de enlace.
- A diferencia de la capacidad de procesamiento de la puerta de enlace, el ancho de banda del adjunto de VLAN es dúplex completo. Siempre aprovisiona una cantidad suficiente de adjuntos de VLAN para admitir el ancho de banda requerido, incluso si los adjuntos de VLAN que usan una conexión de interconexión común están inactivos.
Consideraciones
Ten en cuenta las siguientes consideraciones cuando uses NCC Gateway:
- NCC Gateway solo admite la inserción de servicios de SSE.
- Solo puedes adjuntar adjuntos de VLAN a radios de puerta de enlace de NCC. No se admiten las VPNs de Cloud ni los dispositivos de router.
- Todos los radios de puerta de enlace de NCC deben estar en el mismo grupo de radios de puertas de enlace. Para configurar la puerta de enlace de NCC, los concentradores de Network Connectivity Center deben usar la topología de inspección híbrida predeterminada.
- Solo se puede conectar un servicio a una puerta de enlace de NCC a la vez.
- Un Cloud Router debe estar vinculado a una puerta de enlace de NCC en la misma región.
- Solo los adjuntos de VLAN creados con un Cloud Router vinculado a una puerta de enlace de NCC se adjuntan a la puerta de enlace.
- Solo puedes tener un radio de puerta de enlace de NCC por región y por concentrador.
- Los radios y el concentrador de la puerta de enlace de NCC deben estar en el mismo proyecto.
- Debes especificar la capacidad de procesamiento en el momento de la creación del radio de la puerta de enlace. La capacidad de procesamiento se puede cambiar más adelante, si es necesario.
- No puedes cambiar los rangos de direcciones IP asignados. Algunos rangos de direcciones IP están reservados para los socios de SSE.
- No hay una política de dirección del tráfico para omitir un subconjunto de tráfico de la puerta de enlace de NCC.
- Las rutas anunciadas de la puerta de enlace no aparecen en la tabla de rutas de la VPC. Puedes verlas en la tabla de rutas del concentrador del grupo de radios en el que se encuentra la red de VPC.
- Las rutas anunciadas de la puerta de enlace se programan con el modo de selección de la mejor ruta de acceso estándar.
- La prioridad de las rutas anunciadas de la puerta de enlace en la tabla de rutas del centro refleja la prioridad de ruta efectiva de Andromeda, como
65536o65537. La prioridad con la que se crea la ruta anunciada de la puerta de enlace se tiene en cuenta cuando se calcula la prioridad efectiva de la ruta de Andromeda. - Las rutas estáticas siempre tienen una prioridad entre
0-65535y, por lo tanto, tienen precedencia sobre las rutas anunciadas por la puerta de enlace para el mismo prefijo de destino. Por lo tanto, si deseas dirigir el tráfico de Internet a la puerta de enlace con una ruta anunciada de la puerta de enlace con un destino0/0, es posible que debas quitar la ruta predeterminada generada por el sistema.
- La prioridad de las rutas anunciadas de la puerta de enlace en la tabla de rutas del centro refleja la prioridad de ruta efectiva de Andromeda, como
Vista de rutas eficaces para puertas de enlace y tablas de rutas del concentrador
Puedes consultar las tablas de rutas de concentrador desde la perspectiva de una región, lo que tiene en cuenta el costo entre regiones cuando seleccionas una ruta, ya sea a través de la puerta de enlace o no. Esta consulta te permite ver qué instancia de puerta de enlace en particular recibe el tráfico si envías un paquete desde esa región en particular.
Ejemplo de recorrido del usuario
Si no tienes una configuración de conectividad preexistente, consulta la Descripción general de la configuración de la puerta de enlace de NCC.
Precios
Para obtener información sobre los precios, consulta los precios de Network Connectivity Center.
¿Qué sigue?
- Para crear concentradores y radios, consulta Trabaja con concentradores y radios.
- Para ver una lista de socios cuyas soluciones están integradas en Network Connectivity Center, consulta Socios de Network Connectivity Center.
- Para encontrar soluciones a problemas comunes, consulta Soluciona problemas de Network Connectivity Center.
- Para obtener detalles sobre los comandos de la API y
gcloud, consulta API y referencia.