Mise en réseau pour la diffusion d'applications Web : Architectures de référence

Last reviewed 2023-11-13 UTC

Ce document fait partie d'une série qui décrit les architectures de mise en réseau et de sécurité pour les entreprises qui migrent les charges de travail de centres de données vers Google Cloud.

La série comprend les documents suivants :

Google propose un ensemble de produits et de fonctionnalités qui facilitent la sécurisation et le scaling de vos applications Web les plus critiques. La figure 1 montre une architecture qui utilise des services Google Cloud pour déployer une application Web avec plusieurs niveaux.

Application Web à plusieurs niveaux classique déployée sur Google Cloud.

Figure 1 : Application Web à plusieurs niveaux classique déployée sur Google Cloud.

Architecture de migration Lift and Shift

Lorsque les applications Web sont transférées vers le cloud, elles doivent pouvoir évoluer et disposer de contrôles de sécurité et d'une visibilité équivalents à ceux de l'environnement sur site. Dans ce but, vous pouvez utiliser des dispositifs virtuels de réseau qui sont disponibles sur Marketplace.

Application déployée avec un équilibreur de charge externe basé sur un dispositif.

Figure 2 : Application déployée avec un équilibreur de charge externe basé sur un dispositif.

Ces dispositifs virtuels offrent des fonctionnalités et une visibilité qui sont cohérentes avec vos environnements sur site. Lorsque vous utilisez un dispositif virtuel de réseau, vous déployez l'image du dispositif logiciel à l'aide de groupes d'instances gérés avec autoscaling. Il vous appartient de surveiller et de gérer l'état des instances de VM qui exécutent le dispositif, ainsi que de gérer les mises à jour logicielles du dispositif.

Après avoir effectué votre changement initial, vous pouvez passer de dispositifs virtuels de réseau autogérés à des services gérés. Google Cloud propose un certain nombre de services gérés pour déployer des applications à grande échelle.

La figure 2 illustre un dispositif virtuel de réseau configuré en tant qu'interface d'une application de niveau Web. Pour obtenir la liste des solutions de l'écosystème partenaire, consultez la page Google Cloud Marketplace dans la console Google Cloud.

Architecture des services hybrides

Google Cloud propose les approches suivantes pour gérer les applications Web à grande échelle:

  • Utiliser le réseau mondial de serveurs de noms DNS Anycast qui offrent une haute disponibilité et une faible latence pour traduire les requêtes de noms de domaine en adresses IP.
  • Utiliser le parc mondial d'équilibreurs de charge d'application externes de Google pour acheminer le trafic vers une application hébergée dans Google Cloud, hébergée sur site ou hébergée sur un autre cloud public. Ces équilibreurs de charge évoluent automatiquement avec votre trafic et s'assurent que chaque requête est dirigée vers un backend opérationnel. En configurant des groupes de points de terminaison du réseau de connectivité hybride, vous pouvez bénéficier des avantages des fonctionnalités de mise en réseau de l'équilibreur de charge d'application externe pour les services exécutés sur votre infrastructure existante en dehors de Google Cloud. Le réseau sur site ou les autres réseaux cloud publics sont connectés en mode privé à votre réseau Google Cloud via un tunnel VPN ou via Cloud Interconnect.
  • Utilisez d'autres services périphériques réseau, tels que Cloud CDN pour la distribution du contenu, Google Cloud Armor pour protéger votre contenu et Identity-Aware Proxy (IAP) pour contrôler l'accès à vos services.

    La figure 3 illustre une connectivité hybride qui utilise l'équilibreur de charge d'application externe.

    Configuration de connectivité hybride avec un équilibreur de charge d'application externe et des services de périphérie réseau.

    Figure 3. Configuration de connectivité hybride avec un équilibreur de charge d'application externe et des services de périphérie réseau.

    La figure 4 illustre une option de connectivité différente, à l'aide de groupes de points de terminaison du réseau de connectivité hybride.

    Configuration de l'équilibreur de charge d'application externe utilisant des groupes de points de terminaison du réseau de connectivité hybride

    Figure 4. Configuration de l'équilibreur de charge d'application externe utilisant des groupes de points de terminaison du réseau de connectivité hybride

  • Utilisez un équilibreur de charge d'application (HTTP/HTTPS) pour acheminer les requêtes en fonction de leurs attributs, tels que l'URI (Uniform Resource Identifier) HTTP. Utilisez un équilibreur de charge réseau proxy pour implémenter le déchargement TLS, créer un proxy TCP ou assurer l'équilibrage de charge externe vers des backends de plusieurs régions. Utilisez un équilibreur de charge réseau passthrough pour conserver les adresses IP sources des clients, éviter la surcharge des proxys et accepter des protocoles supplémentaires tels que UDP, ESP et ICMP,

  • Protégez votre service avec Google Cloud Armor. Ce produit est un produit de défense DDoS et de sécurité WAF de périphérie qui est disponible pour tous les services accessibles via un équilibreur de charge d'application externe global.

  • Utilisez des certificats SSL gérés par Google. Vous pouvez réutiliser des certificats et des clés privées que vous utilisez déjà pour d'autres produits Google Cloud. Cela évite d'avoir à gérer des certificats distincts.

  • Activez la mise en cache sur votre application pour bénéficier de l'empreinte de diffusion d'applications distribuée de Cloud CDN.

  • Utilisez des dispositifs virtuels de réseau pour inspecter et filtrer le trafic nord-sud (vers et depuis Internet) et est-ouest (vers et depuis le réseau sur site ou les réseaux VPC), comme illustré dans la figure 5.

    Configuration d'un dispositif virtuel de réseau à disponibilité élevée utilisant un équilibreur de charge interne et l'appairage de réseaux VPC pour inspecter le trafic.

    Figure 5. Configuration d'un dispositif virtuel de réseau à disponibilité élevée utilisant un équilibreur de charge réseau passthrough interne et l'appairage de réseaux VPC pour inspecter le trafic.

  • Utilisez Cloud IDS pour détecter les menaces dans le trafic nord-sud, comme illustré à la figure 6.

    Configuration Cloud IDS permettant de mettre en miroir et d'inspecter tout le trafic Internet et interne.

    Figure 6. Configuration Cloud IDS permettant de mettre en miroir et d'inspecter tout le trafic Internet et interne.

Architecture distribuée zéro confiance

Vous pouvez développer l'architecture distribuée zéro confiance pour inclure la diffusion d'applications depuis Internet. Dans ce modèle, l'équilibreur de charge d'application externe de Google fournit un équilibrage de charge global sur les clusters GKE qui ont des réseaux maillés Anthos Service Mesh dans des clusters distincts. Dans ce scénario, vous adoptez un modèle d'entrée composite. L'équilibreur de charge de premier niveau fournit la sélection des clusters, tandis qu'une passerelle d'entrée gérée par Cloud Service Mesh fournit une sécurité d'entrée et un équilibrage de charge spécifique au cluster. L'architecture de référence de Cymbal Bank, comme décrit dans le plan de l'application d'entreprise, est un exemple de cette entrée multicluster. Pour en savoir plus sur l'entrée de périphérie de Cloud Service Mesh, consultez la page De la périphérie au réseau : Exposer les applications de maillage de services via GKE Ingress.

La figure 7 montre une configuration dans laquelle un équilibreur de charge d'application externe dirige le trafic depuis Internet vers le maillage de services via une passerelle d'entrée. La passerelle est un proxy dédié dans le maillage de services.

Diffusion d'applications dans un environnement de microservices zéro confiance.

Figure 7 : Diffusion d'applications dans un environnement de microservices zéro confiance.

Étapes suivantes