Connectivité inter-VPC Cross-Cloud Network à l'aide de Network Connectivity Center

Ce document fournit une architecture de référence que vous pouvez utiliser pour déployer une topologie de réseau inter-VPC Cross-Cloud Network dans Google Cloud. Cette conception de réseau permet le déploiement de services logiciels sur les réseaux Google Cloud et externes, comme les centres de données sur site ou d'autres fournisseurs de services cloud (CSP).

Ce document s'adresse aux administrateurs réseau, aux architectes cloud et aux architectes d'entreprise qui créeront la connectivité réseau. Cela inclut également les architectes cloud qui planifient le déploiement des charges de travail. Ce document suppose que vous disposez de connaissances de base sur le routage et la connectivité Internet.

Cette conception est compatible avec plusieurs connexions externes, plusieurs réseaux de cloud privé virtuel (VPC) d'accès aux services contenant des services et des points d'accès aux services, ainsi que plusieurs réseaux VPC de charge de travail.

Dans ce document, le terme points d'accès aux services fait référence aux points d'accès aux services mis à disposition à l'aide de l'accès aux services privés Google Cloud et de Private Service Connect. Network Connectivity Center est un modèle de plan de contrôle en étoile (hub-and-spoke) pour la gestion de la connectivité réseau dansGoogle Cloud. La ressource hub fournit une gestion centralisée de la connectivité pour les spokes VPC Network Connectivity Center.

Le hub Network Connectivity Center est un plan de contrôle mondial qui apprend et distribue les routes entre les différents types de spokes qui y sont connectés. Les spokes VPC injectent généralement des routes de sous-réseau dans la table de routage de hub centralisée. Les spokes hybrides injectent généralement des routes dynamiques dans la table de routage du hub centralisé. À l'aide des informations du plan de contrôle du hub Network Connectivity Center, Google Cloudétablit automatiquement la connectivité du plan de données entre les spokes Network Connectivity Center.

Network Connectivity Center est l'approche recommandée pour interconnecter les VPC et permettre une croissance évolutive sur Google Cloud. Si vous devez insérer des appliances virtuelles réseau (NVA) dans le chemin du trafic, vous pouvez utiliser la fonctionnalité d'appliance de routeur pour les routes dynamiques, ou utiliser des routes statiques ou basées sur des règles avec l'appairage de réseaux VPC pour interconnecter les VPC. Pour en savoir plus, consultez Connectivité inter-VPC du réseau multicloud avec l'appairage de réseaux VPC.

Architecture

Le diagramme suivant présente une vue d'ensemble de l'architecture des réseaux et des différents flux de paquets qu'elle prend en charge.

L'architecture contient les éléments généraux suivants :

Composant	Objectif	Interactions
Réseaux externes (réseau sur site ou autre réseau CSP)	Héberge les clients des charges de travail qui s'exécutent dans les VPC de charge de travail et dans les VPC d'accès aux services. Les réseaux externes peuvent également héberger des services.	Échange des données avec les réseaux VPC de Google Cloudvia le réseau de transit. Il se connecte au réseau de transit à l'aide de Cloud Interconnect ou d'un VPN haute disponibilité. Met fin à l'une des extrémités des flux suivants : D'un compte externe à un autre External-to-services-access External-to-Private-Service-Connect-consumer Externe à la charge de travail
Réseau VPC de transit (également appelé réseau VPC de routage dans Network Connectivity Center)	Il sert de hub pour le réseau externe, le réseau VPC d'accès aux services et les réseaux VPC de charge de travail.	Connecte le réseau externe, le réseau VPC d'accès aux services, le réseau consommateur Private Service Connect et les réseaux VPC de charge de travail à l'aide d'une combinaison de Cloud Interconnect, de VPN haute disponibilité et de Network Connectivity Center.
Réseau VPC d'accès aux services	Fournit l'accès aux services nécessaires aux charges de travail exécutées dans les réseaux VPC de charge de travail ou les réseaux externes. Il fournit également des points d'accès aux services gérés hébergés dans d'autres réseaux.	Échange des données avec les réseaux consommateurs externes, de charge de travail et Private Service Connect via le réseau de transit. Se connecte au VPC de transit à l'aide d'un VPN haute disponibilité. Le routage transitif fourni par le VPN haute disponibilité permet au trafic externe d'atteindre les VPC des services gérés via le réseau VPC d'accès aux services. Met fin à l'une des extrémités des flux suivants : External-to-services-access Workload-to-services-access Services-access-to-Private-Service-Connect-consumer
Réseau VPC des services gérés	Héberge les services gérés dont les clients ont besoin dans d'autres réseaux.	Échange des données avec les réseaux externes, d'accès aux services, Private Service Connect et de charge de travail. Se connecte au réseau VPC d'accès aux services à l'aide de l'accès privé aux services, qui utilise l'appairage de réseaux VPC. Le VPC des services gérés peut également se connecter au VPC client Private Service Connect à l'aide de Private Service Connect ou de l'accès privé aux services. Met fin à une extrémité des flux provenant de tous les autres réseaux.
VPC client Private Service Connect	Héberge les points de terminaison Private Service Connect accessibles depuis d'autres réseaux. Ce VPC peut également être un VPC de charge de travail.	Échange des données avec les réseaux VPC externes et d'accès aux services via le réseau VPC de transit. Se connecte au réseau de transit et à d'autres réseaux VPC de charge de travail à l'aide de spokes VPC Network Connectivity Center.
Réseaux VPC de charge de travail	Héberge les charges de travail nécessaires aux clients d'autres réseaux. Cette architecture permet d'utiliser plusieurs réseaux VPC de charge de travail.	Échange des données avec les réseaux VPC externes et d'accès aux services via le réseau VPC de transit. Se connecte au réseau de transit, aux réseaux de consommateurs Private Service Connect et à d'autres réseaux VPC de charge de travail à l'aide de spokes VPC Network Connectivity Center. Met fin à l'une des extrémités des flux suivants : Externe à la charge de travail Workload-to-services-access Workload-to-Private-Service-Connect-consumer Charge de travail à charge de travail
Network Connectivity Center	Le hub Network Connectivity Center intègre une base de données de routage mondiale qui sert de plan de contrôle réseau pour les routes de sous-réseau VPC et de connexion hybride dans n'importe quelle région Google Cloud .	Interconnecte plusieurs réseaux VPC et hybrides dans une topologie tout-à-tout en créant un chemin de données qui utilise la table de routage du plan de contrôle.

Le diagramme suivant présente une vue détaillée de l'architecture qui met en évidence les quatre connexions entre les composants :

Descriptions des connexions

Cette section décrit les quatre connexions illustrées dans le diagramme précédent. La documentation Network Connectivity Center fait référence au réseau VPC de transit en tant que VPC de routage. Bien que ces réseaux aient des noms différents, ils ont le même objectif.

Connexion 1 : entre les réseaux externes et les réseaux VPC de transit

Cette connexion entre les réseaux externes et les réseaux VPC de transit s'effectue via Cloud Interconnect ou un VPN haute disponibilité. Les routes sont échangées à l'aide du protocole BGP entre les routeurs Cloud du réseau VPC de transit et entre les routeurs externes du réseau externe.

• Les routeurs des réseaux externes annoncent les routes des sous-réseaux externes aux routeurs cloud du VPC de transit. En général, les routeurs externes d'un emplacement donné annoncent les routes du même emplacement externe comme étant plus préférables que les routes d'autres emplacements externes. La préférence des routes peut être exprimée à l'aide des métriques et des attributs BGP.
• Les routeurs Cloud Router du réseau VPC de transit annoncent les routes pour les préfixes des VPC de Google Cloudaux réseaux externes. Ces routes doivent être annoncées à l'aide des annonces de routage personnalisées Cloud Router.
• Network Connectivity Center vous permet de transférer des données entre différents réseaux sur site à l'aide du réseau backbone de Google. Lorsque vous configurez les rattachements de VLAN d'interconnexion en tant que spokes hybrides Network Connectivity Center, vous devez activer le transfert de données de site à site.
• Les rattachements de VLAN Cloud Interconnect qui proviennent des mêmes préfixes de réseau externe sont configurés en tant que spoke Network Connectivity Center unique.

Connexion 2 : entre les réseaux VPC de transit et les réseaux VPC d'accès aux services

Cette connexion entre les réseaux VPC de transit et les réseaux VPC d'accès aux services s'effectue via un VPN haute disponibilité avec des tunnels distincts pour chaque région. Les routes sont échangées à l'aide du protocole BGP entre les routeurs Cloud régionaux dans les réseaux VPC de transit et dans les réseaux VPC d'accès aux services.

• Les routeurs Cloud Router VPN haute disponibilité du VPC de transit annoncent les routes pour les préfixes de réseau externe, les VPC de charge de travail et les autres VPC d'accès aux services au routeur Cloud Router du VPC d'accès aux services. Ces routes doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.
• Le VPC d'accès aux services annonce ses sous-réseaux et ceux de tous les réseaux VPC de services gérés associés au réseau VPC de transit. Les routes VPC des services gérés et les routes de sous-réseau VPC d'accès aux services doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.

Connexion 3 : entre le réseau VPC de transit, les réseaux VPC de charge de travail et les réseaux VPC d'accès aux services Private Service Connect

La connexion entre le réseau VPC de transit, les réseaux VPC de charge de travail et les réseaux VPC de consommateur Private Service Connect se produit lorsque les sous-réseaux et les routes de préfixe sont échangés à l'aide de Network Connectivity Center. Cette connexion permet la communication entre les réseaux VPC de charge de travail, les réseaux VPC d'accès aux services connectés en tant que spokes VPC Network Connectivity Center et les autres réseaux connectés en tant que spokes hybrides Network Connectivity Center. Ces autres réseaux incluent les réseaux externes et les réseaux VPC d'accès aux services qui utilisent respectivement la connexion 1 et la connexion 2.

• Les rattachements Cloud Interconnect ou VPN haute disponibilité dans le réseau VPC de transit utilisent Network Connectivity Center pour exporter les routes dynamiques vers les réseaux VPC de charge de travail.
• Lorsque vous configurez le réseau VPC de charge de travail en tant que spoke du hub Network Connectivity Center, il exporte automatiquement ses sous-réseaux vers le réseau VPC de transit. Vous pouvez également configurer le réseau VPC de transit en tant que spoke VPC. Aucune route statique n'est exportée du réseau VPC de charge de travail vers le réseau VPC de transit. Aucune route statique n'est exportée du réseau VPC de transit vers le réseau VPC de charge de travail.

Connexion 4 : VPC consommateur Private Service Connect avec propagation Network Connectivity Center

• Les points de terminaison Private Service Connect sont organisés dans un VPC commun qui permet aux clients d'accéder aux services gérés propriétaires et tiers.
• Le réseau VPC consommateur Private Service Connect est configuré en tant que spoke VPC Network Connectivity Center. Ce spoke permet la propagation Private Service Connect sur le hub Network Connectivity Center. La propagation Private Service Connect annonce le préfixe d'hôte du point de terminaison Private Service Connect en tant que route dans la table de routage du hub Network Connectivity Center.
• Les réseaux VPC utilisateur d'accès aux services Private Service Connect se connectent aux réseaux VPC de charge de travail et aux réseaux VPC de transit. Ces connexions permettent une connectivité transitive aux points de terminaison Private Service Connect. La propagation de connexions Private Service Connect doit être activée pour le hub Network Connectivity Center.
• Network Connectivity Center crée automatiquement un chemin de données de tous les spokes vers le point de terminaison Private Service Connect.

Flux de trafic

Le diagramme suivant montre les flux activés par cette architecture de référence.

Le tableau suivant décrit les flux du diagramme :

Source	Destination	Description
Réseau externe	Réseau VPC d'accès aux services	Le trafic suit des itinéraires sur les connexions externes au réseau de transit. Les routes sont annoncées par Cloud Router externe. Le trafic suit la route personnalisée vers le réseau VPC d'accès aux services. La route est annoncée sur la connexion VPN haute disponibilité. Si la destination se trouve dans un réseau VPC de services gérés connecté au réseau VPC d'accès aux services par accès aux services privés, le trafic suit les routes personnalisées Network Connectivity Center vers le réseau de services gérés.
Réseau VPC d'accès aux services	Réseau externe	Le trafic suit une route personnalisée à travers les tunnels VPN haute disponibilité vers le réseau de transit. Le trafic suit les routes via les connexions externes pour revenir au réseau externe. Les routes sont apprises à partir des routeurs externes via BGP.
Réseau externe	Réseau VPC de charge de travail ou réseau VPC consommateur Private Service Connect	Le trafic suit des itinéraires sur les connexions externes au réseau de transit. Les routes sont annoncées par Cloud Router externe. Le trafic suit la route de sous-réseau vers le réseau VPC de charge de travail concerné. La route est apprise via Network Connectivity Center.
Réseau VPC de charge de travail ou réseau VPC consommateur Private Service Connect	Réseau externe	Le trafic suit une route dynamique vers le réseau de transit. La route est apprise via une exportation de route personnalisée Network Connectivity Center. Le trafic suit les routes via les connexions externes pour revenir au réseau externe. Les routes sont apprises à partir des routeurs externes via BGP.
Réseau VPC de charge de travail	Réseau VPC d'accès aux services	Le trafic suit les routes vers le réseau VPC de transit. Les routes sont apprises via une exportation de routes personnalisées Network Connectivity Center. Le trafic suit un itinéraire via l'un des tunnels VPN haute disponibilité vers le réseau VPC d'accès aux services. Les routes sont apprises à partir des annonces de routes personnalisées BGP.
Réseau VPC d'accès aux services	Réseau VPC de charge de travail	Le trafic suit une route personnalisée vers le réseau de transit. La route est annoncée sur les tunnels VPN haute disponibilité. Le trafic suit la route de sous-réseau vers le réseau VPC de charge de travail concerné. La route est apprise via Network Connectivity Center.
Réseau VPC de charge de travail	Réseau VPC de charge de travail	Le trafic qui quitte un VPC de charge de travail suit la route la plus spécifique vers l'autre VPC de charge de travail via Network Connectivity Center. Le trafic retour inverse ce chemin.

Produits utilisés

• Cloud privé virtuel (VPC) : système virtuel qui fournit des fonctionnalités de mise en réseau mondiales et évolutives pour vos charges de travail Google Cloud . Le VPC inclut l'appairage de réseaux VPC, Private Service Connect, l'accès aux services privés et le VPC partagé.
• Network Connectivity Center : framework d'orchestration qui simplifie la connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub.
• Cloud Interconnect : service qui étend votre réseau externe au réseau Google via une connexion à haute disponibilité et à faible latence.
• Cloud VPN : service qui étend de manière sécurisée votre réseau de pairs au réseau de Google via un tunnel VPN IPsec.
• Cloud Router : offre distribuée et entièrement gérée qui fournit des fonctionnalités de speaker et de répondeur BGP (Border Gateway Protocol). Cloud Router fonctionne avec Cloud Interconnect, Cloud VPN et les appliances de routeur pour créer des routes dynamiques dans les réseaux VPC en fonction des routes reçues par BGP et des routes apprises personnalisées.
• Cloud Next Generation Firewall : service de pare-feu entièrement distribué offrant des fonctionnalités de protection avancées, une microsegmentation et une gestion simplifiée pour protéger vos charges de travail Google Cloud contre les attaques internes et externes.

Considérations de conception

Cette section décrit les facteurs de conception, les bonnes pratiques et les recommandations de conception à prendre en compte lorsque vous utilisez cette architecture de référence pour développer une topologie qui répond à vos exigences spécifiques en termes de sécurité, de fiabilité et de performances.

Sécurité et conformité

La liste suivante décrit les considérations relatives à la sécurité et à la conformité pour cette architecture de référence :

• Pour des raisons de conformité, vous pouvez choisir de déployer des charges de travail dans une seule région. Si vous souhaitez conserver tout le trafic dans une seule région, vous pouvez utiliser une topologie à 99,9 %.
• Utilisez Cloud Next Generation Firewall (Cloud NGFW) pour sécuriser le trafic entrant et sortant des réseaux VPC d'accès aux services et de charge de travail. Pour inspecter le trafic qui transite entre les réseaux hybrides via le réseau de transit ou entre les réseaux externes et les services gérés Google, vous devez utiliser des pare-feu externes ou des pare-feu NVA.
• Si vous avez besoin d'inspecter le trafic de couche 7, activez le service de détection et de prévention des intrusions (éventuellement avec la prise en charge de l'inspection TLS) pour bloquer les activités malveillantes et protéger vos charges de travail contre les menaces, en prenant en charge les vulnérabilités, les logiciels espions et les antivirus. Pour ce faire, il crée des points de terminaison de pare-feu zonaux gérés par Google, qui utilisent la technologie d'interception des paquets afin d'inspecter de manière transparente les charges de travail sans nécessiter de réarchitecture des routes. Cloud Next Generation Firewall Enterprise entraîne des frais de traitement des données et de point de terminaison de pare-feu zonal.
• Si vous souhaitez autoriser ou bloquer le trafic en fonction des données Google Threat Intelligence, utilisez Google Threat Intelligence. Des frais de traitement des données Cloud Next Generation Firewall Standard vous sont facturés.
• Activez la journalisation des règles de pare-feu et utilisez Firewall Insights pour auditer, vérifier l'effet, comprendre et optimiser vos règles de pare-feu. La journalisation des règles de pare-feu peut entraîner des coûts. Vous pouvez donc envisager de l'utiliser de manière sélective.
• Activez les tests de connectivité pour vous assurer que le trafic se comporte comme prévu.
• Activez la journalisation et la surveillance en fonction de vos besoins en termes de trafic et de conformité. Pour obtenir des insights sur vos modèles de trafic, utilisez les journaux de flux VPC avec Flow Analyzer.
• Utilisez Cloud IDS ou le service de prévention des intrusions Cloud NGFW Enterprise en mode alerte pour obtenir des informations supplémentaires sur votre trafic.

Fiabilité

La liste suivante décrit les considérations relatives à la fiabilité pour cette architecture de référence :

• Pour obtenir une disponibilité de 99,99 % pour Cloud Interconnect, vous devez vous connecter à deux régions Google Cloud différentes depuis différentes zones métropolitaines dans deux zones distinctes.
• Pour améliorer la fiabilité et minimiser l'exposition aux défaillances régionales, vous pouvez répartir les charges de travail et les autres ressources cloud dans plusieurs régions.
• Pour gérer le trafic attendu, créez un nombre suffisant de tunnels VPN. Les tunnels VPN individuels sont soumis à des limites de bande passante.

Optimisation des performances

La liste suivante décrit les considérations relatives aux performances pour cette architecture de référence :

• Vous pouvez améliorer les performances du réseau en augmentant l'unité de transmission maximale (MTU) de vos réseaux et connexions. Pour en savoir plus, consultez Unité de transmission maximale.
• La communication entre le VPC de transit et les ressources de charge de travail s'effectue via une connexion Network Connectivity Center. Cette connexion offre un débit à pleine vitesse pour toutes les VM du réseau, sans frais supplémentaires. Vous disposez de plusieurs options pour connecter votre réseau externe au réseau de transit. Pour savoir comment équilibrer les considérations de coût et de performances, consultez Choisir un produit de connectivité réseau.

Déploiement

Cette section explique comment déployer la connectivité inter-VPC du réseau multicloud à l'aide de l'architecture Network Connectivity Center décrite dans ce document.

L'architecture décrite dans ce document crée trois types de connexions à un VPC de transit central, ainsi qu'une connexion entre les réseaux VPC de charge de travail et les réseaux VPC de charge de travail. Une fois Network Connectivity Center entièrement configuré, il établit la communication entre tous les réseaux.

Ce déploiement suppose que vous créez des connexions entre les réseaux externes et de transit dans deux régions, bien que les sous-réseaux de charge de travail puissent se trouver dans d'autres régions. Si les charges de travail sont placées dans une seule région, les sous-réseaux ne doivent être créés que dans cette région.

Pour déployer cette architecture de référence, effectuez les tâches suivantes :

1. Créer une segmentation réseau avec Network Connectivity Center
2. Identifier les régions où placer la connectivité et les charges de travail
3. Créer vos réseaux et sous-réseaux VPC
4. Créer des connexions entre des réseaux externes et votre réseau VPC de transit
5. Créer des connexions entre votre réseau VPC de transit et les réseaux VPC d'accès aux services
6. Établir la connectivité entre votre réseau VPC de transit et les réseaux VPC de charge de travail
7. Configurer des règles Cloud NGFW
8. Tester la connectivité aux charges de travail

Créer une segmentation réseau avec Network Connectivity Center

Avant de créer un hub Network Connectivity Center pour la première fois, vous devez choisir d'utiliser une topologie en maillage complet ou en étoile. La décision de s'engager dans un maillage complet de VPC interconnectés ou dans une topologie en étoile de VPC est irréversible. Pour prendre cette décision irréversible, suivez les consignes générales ci-dessous :

• Si l'architecture métier de votre organisation autorise le trafic entre tous vos réseaux VPC, utilisez le maillage Network Connectivity Center.
• Si le trafic entre certains spokes VPC différents n'est pas autorisé, mais que ces spokes VPC peuvent se connecter à un groupe central de spokes VPC, utilisez une topologie en étoile Network Connectivity Center.

Identifier les régions où placer la connectivité et les charges de travail

En général, vous devez placer la connectivité et les charges de travail Google Cloud à proximité de vos réseaux sur site ou d'autres clients cloud. Pour en savoir plus sur le placement des charges de travail, consultez Google Cloud Sélecteur de région et Bonnes pratiques pour la sélection des régions Compute Engine.

Créer vos réseaux et sous-réseaux VPC

Pour créer vos réseaux et sous-réseaux VPC, effectuez les tâches suivantes :

1. Créez ou identifiez les projets dans lesquels vous allez créer vos réseaux VPC. Pour obtenir des conseils, consultez Segmentation du réseau et structure du projet. Si vous prévoyez d'utiliser des réseaux VPC partagé, provisionnez vos projets en tant que projets hôtes de VPC partagé.

2. Planifiez l'allocation des adresses IP pour vos réseaux. Vous pouvez préallouer et réserver vos plages en créant des plages internes. Cela simplifie la configuration et les opérations ultérieures.

3. Créez un réseau VPC de transit avec le routage global activé.

4. Créez des réseaux VPC pour l'accès aux services. Si vous prévoyez d'avoir des charges de travail dans plusieurs régions, activez le routage global.

5. Créez des réseaux VPC de charge de travail. Si vous prévoyez d'avoir des charges de travail dans plusieurs régions, activez le routage mondial.

Créer des connexions entre des réseaux externes et votre réseau VPC de transit

Cette section suppose une connectivité dans deux régions et que les emplacements externes sont connectés et peuvent basculer les uns vers les autres. Il suppose également qu'il existe une préférence pour que les clients situés dans un emplacement externe accèdent aux services de la région où se trouve l'emplacement externe.

1. Configurez la connectivité entre les réseaux externes et votre réseau de transit. Pour comprendre comment aborder ce sujet, consultez Connectivité externe et hybride. Pour obtenir de l'aide concernant le choix d'un produit de connectivité, consultez Choisir un produit de connectivité réseau.

2. Configurez BGP dans chaque région connectée comme suit :

   • Configurez le routeur à l'emplacement externe indiqué comme suit :
     • Annoncez tous les sous-réseaux de cet emplacement externe en utilisant la même valeur MED BGP sur les deux interfaces, par exemple 100. Si les deux interfaces annoncent le même MED, Google Cloud peut utiliser ECMP pour équilibrer la charge du trafic entre les deux connexions.
     • Annoncez tous les sous-réseaux de l'autre emplacement externe en utilisant un MED de priorité inférieure à celui de la première région, par exemple 200. Annoncez la même valeur MED à partir des deux interfaces.
   • Configurez Cloud Router externe dans le VPC de transit de la région connectée comme suit :
     • Configurez votre routeur Cloud Router avec un numéro ASN privé.
     • Utilisez des annonces de routage personnalisées pour annoncer toutes les plages de sous-réseaux de toutes les régions sur les deux interfaces Cloud Router externes. Si possible, regroupez-les. Utilisez le même MED sur les deux interfaces, par exemple 100.

3. Utilisez les paramètres par défaut pour travailler avec le hub Network Connectivity Center et les spokes hybrides.

   • Créez un hub Network Connectivity Center. Si votre organisation autorise le trafic entre tous vos réseaux VPC, utilisez la configuration maillée complète par défaut.
   • Si vous utilisez interconnexion partenaire, interconnexion dédiée, un VPN haute disponibilité ou une appliance de routeur pour accéder aux préfixes sur site, configurez ces composants en tant que spokes hybrides Network Connectivity Center distincts.
     • Pour annoncer les sous-réseaux de la table de routage du hub Network Connectivity Center aux voisins BGP distants, définissez un filtre pour inclure toutes les plages d'adresses IPv4.
     • Si la connectivité hybride se termine sur Cloud Router dans une région compatible avec le transfert de données, configurez le spoke hybride avec le transfert de données de site à site activé. Cela permet le transfert de données de site à site à l'aide du réseau fédérateur de Google.

Créer des connexions entre votre réseau VPC de transit et les réseaux VPC d'accès aux services

Pour fournir un routage transitif entre les réseaux externes et le VPC d'accès aux services, ainsi qu'entre les VPC de charge de travail et le VPC d'accès aux services, le VPC d'accès aux services utilise un VPN haute disponibilité pour la connectivité.

1. Estimez le volume de trafic qui doit transiter entre les VPC de transit et d'accès aux services dans chaque région. Adaptez le nombre de tunnels attendu en conséquence.

2. Configurez un VPN haute disponibilité entre le réseau VPC de transit et le réseau VPC d'accès aux services dans la région A en suivant les instructions de la section Créer des passerelles VPN haute disponibilité pour connecter des réseaux VPC. Créez un routeur Cloud Router VPN haute disponibilité dédié dans le réseau VPC de transit. Laissez le routeur orienté vers le réseau externe pour les connexions réseau externes.

   • Configuration du routeur cloud VPC de transit :
     • Pour annoncer les sous-réseaux VPC de réseau externe et de charge de travail au VPC d'accès aux services, utilisez des annonces de routage personnalisées sur Cloud Router du VPC de transit.
   • Configuration du routeur cloud VPC pour l'accès aux services :
     • Pour annoncer les sous-réseaux du réseau VPC d'accès aux services au VPC de transit, utilisez des annonces de routage personnalisées sur le Cloud Router du réseau VPC d'accès aux services.
     • Si vous utilisez l'accès privé aux services pour connecter un réseau VPC de services gérés au VPC d'accès aux services, utilisez des routes personnalisées pour annoncer également ces sous-réseaux.
   • Du côté du VPC de transit du tunnel VPN haute disponibilité, configurez la paire de tunnels en tant que spoke hybride Network Connectivity Center :
     • Pour prendre en charge le transfert de données interrégions, configurez le spoke hybride avec le transfert de données de site à site activé.
     • Pour annoncer les sous-réseaux de la table de routage du hub Network Connectivity Center aux voisins BGP distants, définissez un filtre pour inclure toutes les plages d'adresses IPv4. Cette action annonce toutes les routes de sous-réseau IPv4 au voisin.
       • Pour installer des routes dynamiques lorsque la capacité est limitée sur le routeur externe, configurez Cloud Router pour qu'il annonce une route récapitulative avec une annonce de routage personnalisée. Utilisez cette approche au lieu d'annoncer la table de routage complète du hub Network Connectivity Center.

3. Si vous connectez un VPC de services gérés au VPC d'accès aux services à l'aide de l'accès privé aux services après l'établissement de la connexion d'appairage de réseaux VPC, vous devez également mettre à jour le côté VPC d'accès aux services de la connexion d'appairage de réseaux VPC pour exporter les routes personnalisées.

Établir la connectivité entre votre réseau VPC de transit et vos réseaux VPC de charge de travail

Pour établir une connectivité inter-VPC à grande échelle, utilisez Network Connectivity Center avec des spokes VPC. Network Connectivity Center prend en charge deux types de modèles de plan de données : le modèle de plan de données en maillage complet et le modèle de plan de données en étoile.

• Si tous vos réseaux peuvent communiquer entre eux, établissez une connectivité maillée complète.
• Si l'architecture de votre entreprise nécessite une topologie point à multipoint, établissez une connectivité en étoile.

Établir une connectivité maillée complète

Les spokes VPC Network Connectivity Center incluent les VPC de transit, les VPC utilisateur Private Service Connect et tous les VPC de charge de travail.

• Bien que Network Connectivity Center crée un réseau entièrement maillé de spokes VPC, les opérateurs réseau doivent autoriser les flux de trafic entre les réseaux sources et les réseaux de destination à l'aide de règles ou de stratégies de pare-feu.
• Configurez tous les VPC de charge de travail, de transit et Private Service Connect consommateur en tant que spokes VPC Network Connectivity Center. Il ne peut pas y avoir de chevauchement de sous-réseaux sur les spokes VPC.
  • Lorsque vous configurez le spoke VPC, annoncez les plages de sous-réseaux d'adresses IP non chevauchantes à la table de routage du hub Network Connectivity Center :
    • Incluez l'exportation des plages de sous-réseaux.
    • Excluez l'exportation des plages de sous-réseaux.
• Si les spokes VPC se trouvent dans des projets différents et qu'ils sont gérés par des administrateurs autres que ceux du hub Network Connectivity Center, les administrateurs de spokes VPC doivent envoyer une demande pour rejoindre le hub Network Connectivity Center dans les autres projets.
  • Utilisez les autorisations Identity and Access Management (IAM) dans le projet hub Network Connectivity Center pour accorder le rôle roles/networkconnectivity.groupUser à cet utilisateur.
• Pour que les connexions de service privé soient accessibles de manière transitoire et mondiale depuis d'autres spokes Network Connectivity Center, activez la propagation des connexions Private Service Connect sur le hub Network Connectivity Center.

Si la communication inter-VPC entièrement maillée entre les VPC de charge de travail n'est pas autorisée, envisagez d'utiliser une topologie en étoile Network Connectivity Center.

Établir une connectivité de topologie en étoile

Les architectures d'entreprise centralisées qui nécessitent une topologie point à multipoint peuvent utiliser une topologie en étoile Network Connectivity Center.

Pour utiliser une topologie en étoile Network Connectivity Center, procédez comme suit :

1. Dans Network Connectivity Center, créez un hub Network Connectivity Center et spécifiez une topologie en étoile.
2. Pour permettre aux connexions de service privées d'être accessibles de manière transitoire et mondiale depuis d'autres spokes Network Connectivity Center, activez la propagation des connexions Private Service Connect sur le hub Network Connectivity Center.
3. Lorsque vous configurez le hub Network Connectivity Center pour une topologie en étoile, vous pouvez regrouper les VPC dans l'un des deux groupes prédéterminés : les groupes centraux ou les groupes périphériques.

4. Pour regrouper des VPC dans le groupe central, configurez le VPC de transit et les VPC de consommateur Private Service Connect en tant que spoke VPC Network Connectivity Center dans le groupe central.

   Network Connectivity Center crée un réseau entièrement maillé entre les spokes VPC placés dans le groupe central.

5. Pour regrouper les VPC de charge de travail dans le groupe Edge, configurez chacun de ces réseaux en tant que spokes VPC Network Connectivity Center au sein de ce groupe.

   Network Connectivity Center crée un chemin de données point à point entre chaque spoke VPC Network Connectivity Center et tous les VPC du groupe de centres.

Configurer des règles Cloud NGFW

En plus des conseils fournis dans Sécurité et conformité, tenez compte des bonnes pratiques concernant les règles de pare-feu.

Autres points à noter :

• Nous vous recommandons d'utiliser des stratégies de pare-feu réseau au lieu des règles de pare-feu VPC si vos charges de travail s'exécutent sur des VM Compute Engine. Les règles de pare-feu réseau offrent des avantages tels qu'une sécurité et un contrôle des accès précis à l'aide de tags, une gestion simplifiée des règles, une facilité d'utilisation, un ensemble de fonctionnalités plus riche et une résidence des données flexible. Si vous disposez déjà de règles de pare-feu VPC, vous pouvez utiliser l'outil de migration des règles de pare-feu VPC pour vous aider à migrer vers une stratégie de pare-feu réseau mondiale.
• Google Kubernetes Engine crée et gère automatiquement certaines règles de pare-feu VPC pour autoriser le trafic essentiel. Nous vous recommandons donc de ne pas modifier ni supprimer ces règles. Toutefois, les stratégies de pare-feu réseau peuvent toujours être utilisées avec les règles de pare-feu VPC et, éventuellement, modifier l'ordre d'application des stratégies.
• Nous vous recommandons d'utiliser des tags plutôt que des tags réseau avec des règles de pare-feu en raison des contrôles IAM, de l'amélioration de la mise à l'échelle et de la compatibilité avec les stratégies de pare-feu réseau. Toutefois, les tags ne sont pas compatibles avec les stratégies de pare-feu hiérarchiques ni avec les réseaux appairés de Network Connectivity Center. Dans ces cas, vous devez donc créer des règles basées sur des plages CIDR.

1. Si vous souhaitez activer l'inspection de couche 7 sur Cloud NGFW, configurez le service de prévention des intrusions, y compris les profils de sécurité, le point de terminaison de pare-feu et l'association VPC.
2. Créez une stratégie de pare-feu de réseau au niveau mondial et les règles de pare-feu requises. Tenez compte des règles implicites existantes qui autorisent le trafic sortant et refusent le trafic entrant dans chaque réseau VPC.
3. Associez la stratégie aux réseaux VPC.
4. Si vous utilisez déjà des règles de pare-feu VPC dans vos réseaux, vous pouvez modifier l'ordre d'évaluation des stratégies et des règles afin que vos nouvelles règles soient évaluées avant les règles de pare-feu VPC.
5. Vous pouvez également activer la journalisation des règles de pare-feu.

Tester la connectivité aux charges de travail

Si vous avez des charges de travail déjà déployées dans vos réseaux VPC, testez-y l'accès dès maintenant. Si vous avez connecté les réseaux avant de déployer les charges de travail, vous pouvez déployer les charges de travail maintenant et les tester.

Étapes suivantes

• Découvrez les produits Google Cloud utilisés dans ce guide de conception :
  • Réseaux VPC
  • Network Connectivity Center
  • Cloud Interconnect
  • VPN haute disponibilité
• Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.

Contributeurs

Auteurs :

• Eric Yu | Ingénieur client spécialiste en gestion des réseaux
• Deepak Michael | Ingénieur client spécialiste en gestion des réseaux
• Victor Moreno | Responsable produit, Mise en réseau cloud
• Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux

Autres contributeurs :

• Mark Schlagenhauf | Rédacteur technique, Mise en réseau
• Ammett Williams | Ingénieur relations avec les développeurs
• Ghaleb Al-habian | Spécialiste réseau
• Tony Sarathchandra | Senior Product Manager