Présentation de la passerelle NCC

La passerelle NCC est un type de spoke qui peut être associé au hub Network Connectivity Center. Il s'agit d'un produit régional qui assure la sécurité du trafic Cross-Cloud Network. NCC Gateway vous permet d'activer des fonctions de sécurité telles que des services de sécurité périphérique (SSE) tiers, un composant de sécurité cloud du Secure Access Service Edge (SASE), et de mettre fin aux connexions d'interconnexion.

La passerelle NCC propose les fonctionnalités suivantes:

  • Intégration simplifiée du SSE: vous pouvez intégrer le SSE de manière transparente avec une orientation transparente pour améliorer la protection et les performances de l'utilisateur à l'application.
  • Déploiement régional: vous pouvez déployer la passerelle NCC dans différentes régions en fonction de la proximité physique avec des centres de données ou d'autres fournisseurs cloud.
  • Main-d'œuvre à distance sécurisée: vous pouvez connecter de manière sécurisée les équipes à distance (comme celles des filiales, des centres de données et des bureaux à distance) à des applications privées dans Google Cloud, sur site ou auprès d'autres fournisseurs cloud, ainsi qu'à des applications publiques, comme Palo Alto Networks Prisma Access et Symantec Cloud Secure Web Gateway (Cloud SWG).
  • Sécurité renforcée: vous pouvez activer des fonctions de sécurité telles que le chiffrement côté serveur pour le trafic multicloud.
  • Gestion simplifiée: la passerelle NCC vous aide à réduire la complexité et les coûts opérationnels associés à la gestion des réseaux VPC et des connexions aux réseaux distants.
  • Visibilité des performances: le NCC Gateway vous permet d'obtenir des insights sur les performances du réseau grâce à des métriques et des données de télémétrie.

Avantages

La passerelle NCC offre les avantages suivants:

  • Expérience optimale des applications avec une latence réduite: consommation du service SSE avec une bande passante élevée et une priorité au cloud avec le NCC Gateway, ainsi que performances améliorées grâce au backbone privé de Google.

  • Sécurité unifiée pour tout le trafic utilisateur: meilleure posture de sécurité avec une seule pile de sécurité unifiée et réduction de la surface d'attaque en limitant les points d'entrée et de sortie.

  • Gestion simplifiée via Network Connectivity Center.

Termes clés

Pour comprendre la passerelle NCC, familiarisez-vous avec la terminologie suivante:

Partie jointe hybride: connexions hybrides que vous configurez pour qu'elles atterrissent directement sur le NCC Gateway.

Fonction de service de sécurité: services associés à la passerelle NCC. Par exemple, pour la protection de l'utilisateur à l'application, vous devez associer un service SSE à NCC Gateway.

Réseau VPC d'application ou de charge de travail: un réseau VPC de charge de travail est généralement un réseau qui utilise des conteneurs de machine virtuelle (VM) Compute Engine ou Google Kubernetes Engine (GKE) comme charges de travail. Les réseaux VPC de charge de travail peuvent être des réseaux VPC standards ou des VPC partagés avec un projet hôte et plusieurs projets de service. Les réseaux VPC de charge de travail doivent être configurés en tant que spokes dans le hub.

Groupes de spokes: permet de regrouper des spokes dans un hub Network Connectivity Center. Les groupes de spokes vous permettent de séparer les spokes en différents domaines de routage. Un groupe de spokes peut contenir plusieurs spokes, mais un spoke ne peut appartenir qu'à un seul groupe. Pour en savoir plus sur les groupes de spokes pour différentes topologies, consultez la section Topologies de connectivité prédéfinies.

Topologie d'inspection hybride: vous permet d'ajouter des spokes de passerelle NCC à un groupe pour appliquer des règles. Pour en savoir plus sur la topologie d'inspection hybride, consultez la page Topologie d'inspection hybride.

Secure Access Connect: vous permet de connecter des produits SSE tiers à NCC Gateway pour le traitement de la sécurité et la sortie Internet sécurisée. Pour en savoir plus sur Secure Access Connect, consultez la présentation de Secure Access Connect.

Produits SSE compatibles

NCC Gateway est compatible avec les connexions aux produits SSE suivants:

Cas d'utilisation

NCC Gateway est idéal pour les organisations qui souhaitent sécuriser l'accès des collaborateurs hybrides aux applications. NCC Gateway offre une sécurité aux équipes hybrides grâce à un écosystème de partenaires intégré qui vous permet de vous connecter aux fournisseurs de services de sécurité en périphérie (SSE) de votre choix. La passerelle NCC vous permet de sécuriser votre accès aux applications privées hébergées dans Google Cloud, sur site, auprès d'autres fournisseurs de services cloud, dans des applications publiques hébergées sur Internet et dans des applications SaaS. La passerelle NCC vous permet de créer des déploiements régionaux pour une proximité optimale des centres de données et de gérer le trafic interrégional sur le backbone privé de Google Cloud.

Voici quelques cas d'utilisation pour les utilisateurs de Google Cloud :

  • Rediriger les utilisateurs vers Internet
  • Rediriger les utilisateurs vers des applications privées
  • Applications privées sur Internet

Certains partenaires compatibles proposent un ou plusieurs des cas d'utilisation suivants:

  • Utilisateurs mobiles sur Internet
  • Utilisateurs mobiles vers des applications privées
  • Rediriger les utilisateurs vers des applications partenaires
  • Applications privées vers des applications partenaires

Flux de trafic

Cette section décrit les chemins de flux de trafic dans la passerelle NCC en fonction de chaque cas d'utilisation.

Flux de trafic dans les cas d'utilisation pour les utilisateurs Google Cloud

Rediriger les utilisateurs vers Internet

Dans le schéma suivant, le trafic d'un utilisateur de succursale sur site passe par la passerelle NCC et la pile SSE tierce vers Internet.

Redirigez les utilisateurs vers le flux de trafic Internet.
Branchement des utilisateurs vers le flux de trafic Internet (cliquez pour agrandir).

Rediriger les utilisateurs vers des applications privées

Dans le schéma suivant, le trafic passe de l'utilisateur de la succursale sur site à la passerelle NCC, traverse le SSE tiers, puis revient via la passerelle NCC vers une application privée.

Rediriger les utilisateurs vers un flux de trafic d'application privé.
Branchement des utilisateurs vers un flux de trafic d'application privé (cliquez pour agrandir).

Applications privées sur Internet

Dans le schéma suivant, le trafic passe de Google Cloudà la passerelle NCC, traverse le SSE tiers, puis revient via la passerelle NCC vers Internet.

Applications privées au flux de trafic Internet.
Applications privées au flux de trafic Internet (cliquez pour agrandir)

Flux de trafic dans les cas d'utilisation pour les partenaires compatibles

Utilisateurs mobiles sur Internet

Dans le diagramme suivant, le trafic des utilisateurs mobiles passe par le SSE tiers vers Internet. Dans ce cas, le trafic ne passe pas par la passerelle NCC.

Utilisateurs mobiles vers le flux de trafic Internet
Flux de trafic Internet des utilisateurs mobiles (cliquez pour agrandir).

Utilisateurs mobiles vers des applications privées

Dans le diagramme suivant, le trafic des utilisateurs mobiles passe par le service SSE tiers et la passerelle NCC vers une application privée hébergée dans un réseau VPC.

Utilisateurs mobiles vers un flux de trafic d'application privé.
Flux de trafic des utilisateurs mobiles vers une application privée (cliquez pour agrandir).

Rediriger les utilisateurs vers des applications partenaires

Dans le schéma suivant, le trafic passe de l'utilisateur de la branche sur site à la passerelle NCC, traverse le SSE tiers, puis revient via la passerelle NCC vers la branche sur site.

Rediriger les utilisateurs vers le flux de trafic des applications partenaires.
Flux de trafic des utilisateurs de la branche vers les applications partenaires (cliquez pour agrandir).

Applications privées vers des applications partenaires

Dans le schéma suivant, le trafic provenant d'applications privées passe par la passerelle NCC, traverse le SSE tiers, puis revient via la passerelle NCC vers les applications partenaires.

Flux de trafic des applications privées vers les applications partenaires.
Flux de trafic des applications privées vers les applications partenaires (cliquez pour agrandir).

Capacité de traitement

La capacité de traitement d'un spoke de passerelle NCC correspond à sa bande passante provisionnée. Vous devez provisionner suffisamment de bande passante pour chaque sens de flux de trafic, en gardant à l'esprit que les paquets peuvent entrer et sortir du rayon de la passerelle plusieurs fois pour chaque sens de flux pour certains flux de trafic.

Examinez les exemples suivants pour calculer la capacité de traitement requise d'un rayon de passerelle.

Exemple: Rediriger les utilisateurs vers Internet

Supposons que le réseau sur site d'une succursale soit connecté à Internet, comme illustré dans le cas d'utilisation Branch users to the internet (Connecter les utilisateurs de la succursale à Internet). Les paquets traversent la passerelle NCC une fois dans chaque sens. La succursale et Internet ont besoin d'une bande passante full-duplex de 1 Gbit/s: 1 Gbit/s pour le trafic du réseau sur site de la succursale vers Internet et 1 Gbit/s pour le trafic d'Internet vers le réseau de la succursale. Dans ce cas, l'utilisateur a besoin de 2 Gbit/s de capacité de traitement. Cet exemple suppose également que le partenaire SSE ne supprime aucun paquet. Si le partenaire SSE que vous avez choisi recommande une bande passante supérieure à celle calculée par cet exemple, suivez ses recommandations.

Exemple: Rediriger les utilisateurs vers des applications privées

Supposons que le réseau sur site d'une succursale soit connecté àGoogle Cloud , comme illustré dans le cas d'utilisation Utilisateurs de succursale vers applications privées, et que la succursale et les applications privées aient besoin d'une bande passante full-duplex de 1 Gbit/s: 1 Gbit/s pour le trafic de la succursale vers les applications et 1 Gbit/s pour le trafic des applications vers la succursale. Cet exemple suppose également que le partenaire SSE ne supprime aucun paquet. Si le partenaire SSE que vous avez choisi recommande une bande passante supérieure à celle calculée par cet exemple, suivez sa recommandation.

Le rayon de la passerelle NCC qui connecte le réseau sur site de la succursale au hub du centre de connectivité réseau nécessite deux rattachements de VLAN 1 Gbit/s pour répondre aux exigences du contrat de niveau de service Cloud Interconnect. De cette manière, un rattachement de VLAN peut fournir 1 Gbit/s de bande passante full-duplex entre la branche et les applications privées, même lorsqu'un rattachement de VLAN est hors connexion (par exemple, en raison de la maintenance de la connexion d'interconnexion).

La capacité de traitement requise du rayon de la passerelle est de 4 Gbit/s pour les raisons suivantes:

  • Le trafic du réseau sur site de la succursale vers le hub du centre de connectivité réseau nécessite 1 Gbit/s de bande passante. Ce trafic nécessite 2 Gbit/s de bande passante de passerelle, car il est traité par la passerelle aux deux endroits suivants:

    • 1 Gbit/s, car les paquets des rattachements de VLAN qui se connectent à la branche entrent dans le spoke de la passerelle
    • 1 Gbit/s lorsque les paquets quittent le rayon de la passerelle et entrent dans le hub

  • Le trafic du hub de Network Connectivity Center vers le réseau sur site de la succursale nécessite également 1 Gbit/s de bande passante. Ce trafic nécessite 2 Gbit/s de bande passante de passerelle supplémentaire, car il est traité par la passerelle aux deux endroits suivants:

    • 1 Gbit/s lorsque les paquets quittent le hub et entrent dans le rayon de la passerelle
    • 1 Gbit/s lorsque les paquets quittent le spoke de la passerelle et sont envoyés aux rattachements de VLAN qui se connectent à la branche

Nous vous recommandons d'utiliser la stratégie suivante pour configurer la capacité de traitement de la passerelle et la bande passante de l'attachement VLAN:

  • La capacité de traitement de la passerelle correspond à la somme de la bande passante requise, dans chaque sens, pour tous les NIC de la passerelle.
  • Contrairement à la capacité de traitement de la passerelle, la bande passante du rattachement de VLAN est en full-duplex. Provisionnez toujours un nombre suffisant de rattachements de VLAN pour prendre en charge la bande passante requise, même si les rattachements de VLAN qui utilisent une connexion d'interconnexion commune sont inactifs.

Remarques

Tenez compte des points suivants lorsque vous utilisez le NCC Gateway:

  • NCC Gateway n'est compatible qu'avec l'insertion de services SSE.
  • Vous ne pouvez joindre des rattachements de VLAN qu'aux spokes de passerelle NCC. Les VPN Cloud et les appareils de routeur ne sont pas compatibles.
  • Tous les spokes de passerelle NCC doivent appartenir au même groupe de spokes passerelles. Pour configurer NCC Gateway, les hubs Network Connectivity Center doivent utiliser la topologie d'inspection hybride prédéfinie.
  • Vous ne pouvez associer qu'un seul service à une passerelle NCC à la fois.
  • Cloud Router doit être associé à une passerelle NCC dans la même région.
  • Seuls les rattachements de VLAN créés avec un routeur Cloud Router associé à une passerelle NCC sont associés à la passerelle.
  • Vous ne pouvez avoir qu'un seul spoke de passerelle NCC par région et par hub.
  • Les spokes et le hub de la passerelle NCC doivent appartenir au même projet.
  • Vous devez spécifier la capacité de traitement au moment de la création du spoke de passerelle. Si nécessaire, vous pourrez modifier la capacité de traitement ultérieurement.
  • Vous ne pouvez pas modifier les plages d'adresses IP attribuées. Certaines plages d'adresses IP sont réservées aux partenaires SSE.
  • Aucune règle de gestion du trafic ne permet de contourner un sous-ensemble de trafic provenant de la passerelle NCC.
  • Les routes annoncées de passerelle n'apparaissent pas dans la table de routage VPC. Vous pouvez les consulter dans la table de routage du hub du groupe de spokes dans lequel se trouve le réseau VPC.
  • Les routes annoncées par la passerelle sont programmées à l'aide du mode de sélection du meilleur chemin standard.
    • La priorité des routes annoncées par la passerelle dans la table de routage du hub reflète la priorité de route Andromeda effective, par exemple 65536 ou 65537. La priorité avec laquelle la route annoncée de la passerelle est créée est prise en compte lors du calcul de la priorité de route Andromeda effective.
    • Les routes statiques ont toujours une priorité comprise entre 0-65535 et ont donc la priorité sur les routes annoncées par la passerelle pour le même préfixe de destination. Par conséquent, si vous souhaitez diriger le trafic Internet vers la passerelle à l'aide d'une route annoncée par la passerelle avec une destination 0/0, vous devrez peut-être supprimer la route par défaut générée par le système.

Vue "Routes effectives" pour les passerelles et les tables de routage du hub

Vous pouvez interroger les tables de routes de hub du point de vue d'une région, ce qui prend en compte les coûts interrégionaux lorsque vous sélectionnez un itinéraire, que ce soit via la passerelle ou non. Cette requête vous permet de voir quelle instance de passerelle reçoit le trafic si vous envoyez un paquet depuis cette région.

Exemple de parcours utilisateur

Si vous n'avez pas de configuration de connectivité préexistante, consultez la présentation de la configuration de la passerelle NCC.

Tarifs

Pour en savoir plus sur les tarifs, consultez la page Tarifs du Network Connectivity Center.

Étapes suivantes