Ce document fournit une architecture de référence que vous pouvez utiliser pour déployer une topologie de réseau hub-and-spoke Cross-Cloud Network dans Google Cloud. Cette conception de réseau permet le déploiement de services logiciels sur des réseaux Google Cloud et externes, comme des centres de données sur site ou d'autres fournisseurs de services cloud (CSP).
Cette conception est compatible avec plusieurs connexions externes, plusieurs réseaux de cloud privé virtuel (VPC) d'accès aux services et plusieurs réseaux VPC de charge de travail.
Ce document s'adresse aux administrateurs réseau qui créent la connectivité réseau et aux architectes cloud qui planifient le déploiement des charges de travail. Dans ce document, nous partons du principe que vous maîtrisez les concepts de base du routage et de la connectivité Internet.
Architecture
Le diagramme suivant présente une vue d'ensemble de l'architecture des réseaux et des quatre flux de paquets qu'elle prend en charge.
L'architecture contient les éléments généraux suivants :
| Composant | Objectif | Interactions |
|---|---|---|
| Réseaux externes (réseau sur site ou d'un autre fournisseur de services cloud) | Héberge les clients des charges de travail qui s'exécutent dans les VPC de charge de travail et dans les VPC d'accès aux services. Les réseaux externes peuvent également héberger des services. | Échange des données avec les réseaux de cloud privé virtuel de Google Cloudvia le réseau de transit. Il se connecte au réseau de transit à l'aide de Cloud Interconnect ou d'un VPN haute disponibilité. Met fin à l'une des extrémités des flux suivants :
|
| Réseau VPC de transit | Il sert de hub pour le réseau externe, le réseau VPC d'accès aux services et les réseaux VPC de charge de travail. | Connecte le réseau externe, le réseau VPC d'accès aux services et les réseaux VPC de charge de travail à l'aide d'une combinaison de Cloud Interconnect, de VPN haute disponibilité et d'appairage de réseaux VPC. |
| Réseau VPC d'accès aux services | Fournit un accès aux services nécessaires aux charges de travail exécutées dans les réseaux VPC de charge de travail ou les réseaux externes. Fournit également des points d'accès aux services gérés hébergés dans d'autres réseaux. | Échange des données avec les réseaux externes et de charge de travail via le réseau de transit. Se connecte au VPC de transit à l'aide d'un VPN haute disponibilité. Le routage transitif fourni par le VPN haute disponibilité permet au trafic externe d'atteindre les VPC de services gérés via le réseau VPC d'accès aux services. Met fin à l'une des extrémités des flux suivants :
|
| Réseau VPC des services gérés | Héberge les services gérés dont les clients ont besoin dans d'autres réseaux. | Échange des données avec les réseaux externes, d'accès aux services et de charge de travail. Se connecte au réseau VPC d'accès aux services à l'aide de l'accès privé aux services, qui utilise l'appairage de réseaux VPC, ou à l'aide de Private Service Connect. Met fin à une extrémité des flux provenant de tous les autres réseaux. |
| Réseaux VPC de charge de travail | Héberge les charges de travail nécessaires aux clients d'autres réseaux. | Échange des données avec les réseaux VPC externes et d'accès aux services via le réseau VPC de transit. Se connecte au réseau de transit à l'aide de l'appairage de réseaux VPC. Se connecte à d'autres réseaux VPC de charge de travail à l'aide de spokes VPC Network Connectivity Center. Met fin à l'une des extrémités des flux suivants :
|
Le diagramme suivant présente une vue détaillée de l'architecture qui met en évidence les quatre connexions entre les réseaux :
Descriptions des connexions
Cette section décrit les quatre connexions illustrées dans le diagramme précédent.
Connexion 1 : entre les réseaux externes et le réseau VPC de transit
Cette connexion entre les réseaux externes et les réseaux VPC de transit s'effectue via Cloud Interconnect ou un VPN haute disponibilité. Les routes sont échangées à l'aide du protocole BGP entre les routeurs Cloud du réseau VPC de transit et les routeurs externes du réseau externe.
- Les routeurs des réseaux externes annoncent les routes des sous-réseaux externes aux routeurs cloud du VPC de transit. En général, les routeurs externes d'un emplacement donné annoncent les routes provenant du même emplacement externe comme étant plus préférables que les routes provenant d'autres emplacements externes. La préférence des routes peut être exprimée à l'aide des métriques et des attributs BGP.
- Les routeurs cloud du réseau VPC de transit annoncent les routes pour les préfixes des VPC de Google Cloudvers les réseaux externes. Ces routes doivent être annoncées à l'aide des annonces de routage personnalisées Cloud Router.
Connexion 2 : entre les réseaux VPC de transit et les réseaux VPC d'accès aux services
Cette connexion entre les réseaux VPC de transit et les réseaux VPC d'accès aux services s'effectue via un VPN haute disponibilité avec des tunnels distincts pour chaque région. Les routes sont échangées à l'aide de BGP entre les routeurs Cloud régionaux des réseaux VPC de transit et les réseaux VPC d'accès aux services.
- Les routeurs Cloud Router VPN haute disponibilité du VPC de transit annoncent les routes pour les préfixes de réseau externe, les VPC de charge de travail et les autres VPC d'accès aux services au routeur Cloud Router du VPC d'accès aux services. Ces routes doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.
- Le réseau VPC d'accès aux services annonce ses sous-réseaux et ceux de tous les réseaux VPC de services gérés associés au réseau VPC de transit. Les routes VPC des services gérés et les routes de sous-réseau VPC d'accès aux services doivent être annoncées à l'aide des annonces de routage personnalisées Cloud Router.
Connexion 3 : entre les réseaux VPC de transit et les réseaux VPC de charge de travail
Cette connexion entre les réseaux VPC de transit et les réseaux VPC de charge de travail est implémentée via l'appairage de VPC. Les sous-réseaux et les routes de préfixe sont échangés à l'aide de mécanismes d'appairage de VPC. Cette connexion permet la communication entre les réseaux VPC de charge de travail et les autres réseaux connectés au réseau VPC de transit, y compris les réseaux externes et les réseaux VPC d'accès aux services.
- Le réseau VPC de transit utilise l'appairage de réseaux VPC pour exporter les routes personnalisées. Ces routes personnalisées incluent toutes les routes dynamiques apprises par le réseau VPC de transit. Les réseaux VPC de charge de travail importent ces routes personnalisées.
- Le réseau VPC de charge de travail exporte automatiquement les sous-réseaux vers le réseau VPC de transit. Aucune route personnalisée n'est exportée des VPC de charge de travail vers le VPC de transit.
Connexion 4 : entre les réseaux VPC de charge de travail
- Les réseaux VPC de charge de travail peuvent être connectés à l'aide de spokes VPC Network Connectivity Center. Il s'agit d'une configuration facultative. Vous pouvez l'omettre si vous ne souhaitez pas que les réseaux VPC de charge de travail communiquent entre eux.
Flux de trafic
Le schéma suivant montre les quatre flux activés par cette architecture de référence.
Le tableau suivant décrit les flux du diagramme :
| Source | Destination | Description |
|---|---|---|
| Réseau externe | Réseau VPC d'accès aux services |
|
| Réseau VPC d'accès aux services | Réseau externe |
|
| Réseau externe | Réseau VPC de charge de travail |
|
| Réseau VPC de charge de travail | Réseau externe |
|
| Réseau VPC de charge de travail | Réseau VPC d'accès aux services |
|
| Réseau VPC d'accès aux services | Réseau VPC de charge de travail |
|
| Réseau VPC de charge de travail | Réseau VPC de charge de travail | Le trafic qui quitte un VPC de charge de travail suit la route la plus spécifique vers l'autre VPC de charge de travail via Network Connectivity Center. Le trafic retour inverse ce chemin. |
Produits utilisés
Cette architecture de référence utilise les produits Google Cloud suivants :
- Cloud privé virtuel (VPC) : système virtuel qui fournit des fonctionnalités de mise en réseau mondiales et évolutives pour vos charges de travail Google Cloud . Le VPC inclut l'appairage de réseaux VPC, Private Service Connect, l'accès aux services privés et le VPC partagé.
- Network Connectivity Center : framework d'orchestration qui simplifie la connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub.
- Cloud Interconnect : service qui étend votre réseau externe au réseau Google via une connexion à haute disponibilité et à faible latence.
- Cloud VPN : service qui étend de manière sécurisée votre réseau de pairs au réseau de Google via un tunnel VPN IPsec.
- Cloud Router : offre distribuée et entièrement gérée qui fournit des fonctionnalités de speaker et de répondeur BGP (Border Gateway Protocol). Cloud Router fonctionne avec Cloud Interconnect, Cloud VPN et les appliances de routeur pour créer des routes dynamiques dans les réseaux VPC en fonction des routes reçues par BGP et des routes apprises personnalisées.
Considérations de conception
Cette section décrit les facteurs de conception, les bonnes pratiques et les recommandations de conception à prendre en compte lorsque vous utilisez cette architecture de référence pour développer une topologie qui répond à vos exigences spécifiques en termes de sécurité, de fiabilité et de performances.
Sécurité et conformité
La liste suivante décrit les considérations de sécurité et de conformité pour cette architecture de référence :
- Pour des raisons de conformité, vous pouvez choisir de déployer des charges de travail dans une seule région. Si vous souhaitez conserver tout le trafic dans une seule région, vous pouvez utiliser une topologie à 99,9 %. Pour en savoir plus, consultez Établir une disponibilité de 99,9 % pour Dedicated Interconnect et Établir une disponibilité de 99,9 % pour Partner Interconnect.
- Utilisez Cloud Next Generation Firewall pour sécuriser le trafic entrant et sortant des réseaux VPC d'accès aux services et de charge de travail. Pour sécuriser le trafic qui transite entre les réseaux externes et le réseau de transit, vous devez utiliser des pare-feu externes ou des pare-feu NVA.
- Activez la journalisation et la surveillance en fonction de vos besoins en termes de trafic et de conformité. Vous pouvez utiliser les journaux de flux VPC pour obtenir des insights sur vos modèles de trafic.
- Utilisez Cloud IDS pour obtenir des informations supplémentaires sur votre trafic.
Fiabilité
La liste suivante décrit les considérations relatives à la fiabilité pour cette architecture de référence :
- Pour obtenir une disponibilité de 99,99 % pour Cloud Interconnect, vous devez vous connecter à deux régions Google Cloud différentes.
- Pour améliorer la fiabilité et minimiser l'exposition aux défaillances régionales, vous pouvez distribuer les charges de travail et les autres ressources cloud dans plusieurs régions.
- Pour gérer le trafic attendu, créez un nombre suffisant de tunnels VPN. Les tunnels VPN individuels sont soumis à des limites de bande passante.
Optimisation des performances
La liste suivante décrit les considérations relatives aux performances pour cette architecture de référence :
- Vous pouvez améliorer les performances du réseau en augmentant l'unité de transmission maximale (MTU) de vos réseaux et connexions. Pour en savoir plus, consultez Unité de transmission maximale.
- La communication entre le VPC de transit et les ressources de charge de travail s'effectue via l'appairage de réseaux VPC, qui fournit un débit à pleine vitesse pour toutes les VM du réseau, sans frais supplémentaires. Tenez compte des quotas et limites d'appairage de réseaux VPC lorsque vous planifiez votre déploiement. Vous disposez de plusieurs options pour connecter votre réseau externe au réseau de transit. Pour en savoir plus sur l'équilibre entre les coûts et les performances, consultez Choisir un produit de connectivité réseau.
Déploiement
L'architecture de ce document crée trois ensembles de connexions à un réseau VPC de transit central, ainsi qu'une connexion différente entre les réseaux VPC de charge de travail. Une fois toutes les connexions entièrement configurées, tous les réseaux du déploiement peuvent communiquer entre eux.
Ce déploiement suppose que vous créez des connexions entre les réseaux externes et de transit dans deux régions. Toutefois, les sous-réseaux de charge de travail peuvent se trouver dans n'importe quelle région. Si vous placez des charges de travail dans une seule région, vous n'avez besoin de créer des sous-réseaux que dans cette région.
Pour déployer cette architecture de référence, effectuez les tâches suivantes :
- Identifier les régions où placer la connectivité et les charges de travail
- Créer vos réseaux et sous-réseaux VPC
- Créer des connexions entre des réseaux externes et votre réseau VPC de transit
- Créer des connexions entre votre réseau VPC de transit et les réseaux VPC d'accès aux services
- Créer des connexions entre votre réseau VPC de transit et vos réseaux VPC de charge de travail
- Connecter vos réseaux VPC de charge de travail
- Tester la connectivité aux charges de travail
Identifier les régions où placer la connectivité et les charges de travail
En général, vous devez placer la connectivité et les charges de travail Google Cloud à proximité de vos réseaux sur site ou d'autres clients cloud. Pour en savoir plus sur le placement des charges de travail, consultez Sélecteur de régionsGoogle Cloud et Bonnes pratiques pour la sélection des régions Compute Engine.
Créer vos réseaux et sous-réseaux VPC
Pour créer vos réseaux et sous-réseaux VPC, effectuez les tâches suivantes :
- Créez ou identifiez les projets dans lesquels vous allez créer vos réseaux VPC. Pour obtenir des conseils, consultez Segmentation du réseau et structure du projet. Si vous prévoyez d'utiliser des réseaux VPC partagé, provisionnez vos projets en tant que projets hôtes de VPC partagé.
- Planifiez l'allocation des adresses IP pour vos réseaux. Vous pouvez préallouer et réserver vos plages en créant des plages internes. L'attribution de blocs d'adresses pouvant être agrégés simplifie la configuration et les opérations ultérieures.
- Créez un réseau VPC de transit avec le routage global activé.
- Créez des réseaux VPC de service. Si vous prévoyez d'avoir des charges de travail dans plusieurs régions, activez le routage global.
- Créez des réseaux VPC de charge de travail. Si vous prévoyez d'avoir des charges de travail dans plusieurs régions, activez le routage global.
Créer des connexions entre des réseaux externes et votre réseau VPC de transit
Cette section suppose une connectivité dans deux régions et que les emplacements externes sont connectés et peuvent basculer les uns vers les autres. Il suppose également qu'il existe une préférence pour que les clients situés dans la zone externe A accèdent aux services de la région A, et ainsi de suite.
- Configurez la connectivité entre les réseaux externes et votre réseau de transit. Pour comprendre comment aborder ce problème, consultez Connectivité externe et hybride. Pour obtenir de l'aide concernant le choix d'un produit de connectivité, consultez Choisir un produit de connectivité réseau.
- Configurez BGP dans chaque région connectée comme suit :
- Configurez le routeur à l'emplacement externe indiqué comme suit :
- Annoncez tous les sous-réseaux de cet emplacement externe en utilisant la même valeur MED BGP sur les deux interfaces, par exemple 100. Si les deux interfaces annoncent la même valeur MED, Google Cloud peut utiliser ECMP pour équilibrer la charge du trafic entre les deux connexions.
- Annoncez tous les sous-réseaux de l'autre emplacement externe en utilisant un MED de priorité inférieure à celui de la première région, par exemple 200. Annoncez la même valeur MED à partir des deux interfaces.
- Configurez le routeur Cloud Router orienté vers l'extérieur dans le VPC de transit de la région connectée comme suit :
- Définissez le numéro ASN de votre routeur cloud sur 16550.
- À l'aide des annonces de routage personnalisées, annoncez toutes les plages de sous-réseaux de toutes les régions sur les deux interfaces Cloud Router orientées vers l'extérieur. Si possible, regroupez-les. Utilisez le même MED sur les deux interfaces, par exemple 100.
- Configurez le routeur à l'emplacement externe indiqué comme suit :
Créer des connexions entre votre réseau VPC de transit et les réseaux VPC d'accès aux services
Pour fournir un routage transitif entre les réseaux externes et le VPC d'accès aux services, ainsi qu'entre les VPC de charge de travail et le VPC d'accès aux services, le VPC d'accès aux services utilise un VPN haute disponibilité pour la connectivité.
- Estimez le volume de trafic qui doit transiter entre les VPC de transit et d'accès aux services dans chaque région. Adaptez le nombre de tunnels attendu en conséquence.
- Configurez un VPN haute disponibilité entre le VPC de transit et le VPC d'accès aux services dans la région A en suivant les instructions de la section Créer des passerelles VPN haute disponibilité pour connecter des réseaux VPC. Créez un routeur Cloud Router VPN haute disponibilité dédié dans le réseau de transit. Laissez le routeur orienté vers le réseau externe pour les connexions au réseau externe.
- Configuration du routeur cloud VPC de transit :
- Pour annoncer les sous-réseaux VPC de charge de travail et de réseau externe au VPC d'accès aux services, utilisez des annonces de routage personnalisées sur Cloud Router du VPC de transit.
- Configuration du routeur cloud VPC pour l'accès aux services :
- Pour annoncer les sous-réseaux VPC d'accès aux services au VPC de transit, utilisez des annonces de routage personnalisées sur le routeur Cloud du VPC d'accès aux services.
- Si vous utilisez l'accès privé aux services pour connecter un VPC de services gérés au VPC d'accès aux services, utilisez également des routes personnalisées pour annoncer ces sous-réseaux.
- Configuration du routeur cloud VPC de transit :
- Si vous connectez un VPC de services gérés au VPC d'accès aux services à l'aide de l'accès privé aux services, une fois la connexion d'appairage de réseaux VPC établie, mettez à jour le côté VPC d'accès aux services de la connexion d'appairage de réseaux VPC pour exporter les routes personnalisées.
Créer des connexions entre votre réseau VPC de transit et vos réseaux VPC de charge de travail
Créez des connexions d'appairage de réseaux VPC entre votre VPC de transit et chacun de vos VPC de charge de travail :
- Activez l'option Exporter les routes personnalisées pour le côté VPC de transit de chaque connexion.
- Activez l'option Importer des routes personnalisées pour le côté VPC de charge de travail de chaque connexion.
- Dans le scénario par défaut, seules les routes de sous-réseau du VPC de charge de travail sont exportées vers le VPC de transit. Vous n'avez pas besoin d'exporter les routes personnalisées depuis les VPC de charge de travail.
Connecter vos réseaux VPC de charge de travail
Connectez les réseaux VPC de charge de travail à l'aide de spokes VPC Network Connectivity Center. Faites en sorte que tous les spokes fassent partie du même groupe de pairs de spokes Network Connectivity Center. Utilisez un groupe de pairs principal pour autoriser la communication maillée complète entre les VPC.
La connexion Network Connectivity Center annonce des routes spécifiques entre les réseaux VPC de charge de travail. Le trafic entre ces réseaux suit ces routes.
Tester la connectivité aux charges de travail
Si vous avez déjà déployé des charges de travail dans vos réseaux VPC, testez-y l'accès dès maintenant. Si vous avez connecté les réseaux avant de déployer les charges de travail, vous pouvez les déployer maintenant et les tester.
Étapes suivantes
- Découvrez les produits Google Cloud utilisés dans ce guide de conception :
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Deepak Michael | Ingénieur client spécialiste en gestion des réseaux
- Victor Moreno | Responsable produit, Mise en réseau cloud
- Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux
Autres contributeurs :
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
- Ammett Williams | Ingénieur relations avec les développeurs
- Ghaleb Al-habian | Spécialiste réseau