Présentation de la passerelle NCC

Une passerelle NCC est un type de spoke qui peut être associé au hub Network Connectivity Center. Il s'agit d'un produit régional qui permet de sécuriser le trafic Cross-Cloud Network. NCC Gateway vous permet d'activer des fonctions de sécurité telles que Security Service Edge (SSE) tiers, un composant de sécurité fourni dans le cloud de Secure Access Service Edge (SASE), et de mettre fin aux connexions d'interconnexion.

La passerelle NCC offre les fonctionnalités suivantes :

  • Intégration SSE simplifiée : vous pouvez intégrer le SSE de manière fluide avec un routage transparent pour améliorer la protection et les performances des utilisateurs vers les applications.
  • Déploiement régional : vous pouvez déployer NCC Gateway dans différentes régions en fonction de la proximité physique des centres de données ou d'autres fournisseurs de cloud.
  • Sécuriser le personnel distant : vous pouvez connecter de manière sécurisée le personnel distant (par exemple, celui des filiales, des centres de données et des bureaux distants) aux applications privées dans Google Cloud, sur site ou chez d'autres fournisseurs de cloud, ainsi qu'aux applications publiques, comme Palo Alto Networks Prisma Access et Symantec Cloud Secure Web Gateway (Cloud SWG).
  • Sécurité renforcée : vous pouvez activer des fonctions de sécurité telles que SSE pour le trafic multicloud.
  • Gestion simplifiée : NCC Gateway vous aide à réduire la complexité et les coûts opérationnels associés à la gestion des réseaux VPC et des connexions aux réseaux distants.
  • Visibilité sur les performances : NCC Gateway vous permet d'obtenir des insights sur les performances du réseau grâce à des métriques et des données de télémétrie.

Avantages

La passerelle NCC offre les avantages suivants :

  • Expérience d'application optimale avec une latence réduite : consommation cloud à haute bande passante du service SSE avec NCC Gateway et performances améliorées grâce au backbone privé de Google.

  • Sécurité unifiée pour l'ensemble du trafic utilisateur : amélioration de la sécurité grâce à une pile de sécurité unique et unifiée, et réduction de la surface d'attaque en limitant les points d'entrée et de sortie.

  • Gestion simplifiée grâce à Network Connectivity Center.

Termes clés

Pour comprendre la passerelle NCC, familiarisez-vous avec la terminologie suivante :

Pièce jointe hybride : connexions hybrides que vous configurez pour accéder directement à la passerelle NCC.

Fonction de service de sécurité : services associés à la passerelle NCC. Par exemple, pour la protection utilisateur-application, vous devez associer un service SSE à NCC Gateway.

Réseau VPC d'application ou de charge de travail : un réseau VPC de charge de travail est généralement un réseau qui utilise des conteneurs de machine virtuelle (VM) Compute Engine ou Google Kubernetes Engine (GKE) comme charges de travail. Les réseaux VPC de charge de travail peuvent être des réseaux VPC standards ou des VPC partagés avec un projet hôte et plusieurs projets de service. Les réseaux VPC de charge de travail doivent être configurés en tant que spokes dans le hub.

Groupes de spokes : méthode permettant de regrouper des spokes dans un hub Network Connectivity Center. Les groupes de spokes vous permettent de séparer les spokes dans différents domaines de routage. Un groupe de spokes peut contenir plusieurs spokes, mais un spoke ne peut appartenir qu'à un seul groupe. Pour en savoir plus sur les groupes de spokes pour différentes topologies, consultez Topologies de connectivité prédéfinies.

Topologie d'inspection hybride : vous permet d'ajouter des spokes de passerelle NCC à un groupe pour appliquer des règles. Pour en savoir plus sur la topologie d'inspection hybride, consultez Topologie d'inspection hybride.

Secure Access Connect : vous permet de connecter des produits SSE tiers à la passerelle NCC pour le traitement de la sécurité et la sortie Internet sécurisée. Pour en savoir plus sur Secure Access Connect, consultez la présentation de Secure Access Connect.

Produits SSE compatibles

La passerelle NCC est compatible avec les connexions aux produits SSE suivants :

Cas d'utilisation

NCC Gateway est idéal pour les organisations qui souhaitent sécuriser l'accès des collaborateurs hybrides aux applications. NCC Gateway offre une sécurité aux équipes hybrides grâce à un écosystème de partenaires intégré qui vous permet de vous connecter aux fournisseurs SSE de votre choix. La passerelle NCC vous permet de sécuriser votre accès aux applications privées hébergées dans Google Cloud, sur site, chez d'autres fournisseurs de services cloud, ainsi qu'aux applications publiques hébergées sur Internet et aux applications SaaS. La passerelle NCC vous permet de créer des déploiements régionaux pour une proximité optimale avec les centres de données et de gérer le trafic interrégional sur le backbone privé de Google Cloud.

Voici quelques exemples d'utilisation pour les utilisateurs Google Cloud  :

  • Rediriger les utilisateurs Branch vers Internet
  • Rediriger les utilisateurs Branch vers des applications privées
  • Applications privées vers Internet

Certains partenaires compatibles proposent un ou plusieurs des cas d'utilisation suivants :

  • Mobinautes sur Internet
  • Utilisateurs mobiles vers des applications privées
  • Rediriger les utilisateurs vers les applications partenaires
  • Applications privées vers applications partenaires

Flux de trafic

Cette section décrit les chemins de flux de trafic dans NCC Gateway en fonction de chaque cas d'utilisation.

Flux de trafic dans les cas d'utilisation pour les utilisateurs Google Cloud

Rediriger les utilisateurs Branch vers Internet

Dans le diagramme suivant, le trafic transite depuis un utilisateur de filiale sur site via la passerelle NCC et la pile SSE tierce vers Internet.

Orientez les utilisateurs vers le flux de trafic Internet.
Flux de trafic Internet pour les utilisateurs de filiales (cliquez pour agrandir).

Rediriger les utilisateurs Branch vers des applications privées

Dans le diagramme suivant, le trafic transite de l'utilisateur de la filiale sur site par la passerelle NCC, traverse le SSE tiers, puis repasse par la passerelle NCC vers une application privée.

Dirigez les utilisateurs vers un flux de trafic d'application privée.
Flux de trafic des utilisateurs de filiales vers une application privée (cliquez pour agrandir).

Applications privées vers Internet

Dans le schéma suivant, le trafic transite de Google Cloudpar la passerelle NCC, traverse le SSE tiers, puis repasse par la passerelle NCC pour accéder à Internet.

Flux de trafic Internet vers les applications privées.
Flux de trafic Internet des applications privées (cliquez pour agrandir).

Flux de trafic dans les cas d'utilisation pour les partenaires acceptés

Mobinautes sur Internet

Dans le diagramme suivant, le trafic transite des utilisateurs mobiles vers Internet via le SSE tiers. Dans ce cas, le trafic ne passe pas par la passerelle NCC.

Utilisateurs mobiles vers le flux de trafic Internet.
Flux de trafic des utilisateurs mobiles vers Internet (cliquez pour agrandir).

Utilisateurs mobiles vers des applications privées

Dans le diagramme suivant, le trafic transite des utilisateurs mobiles par le service SSE tiers et la passerelle NCC vers une application privée hébergée dans un réseau VPC.

Flux de trafic des utilisateurs mobiles vers une application privée.
Flux de trafic des utilisateurs mobiles vers une application privée (cliquez pour agrandir).

Rediriger les utilisateurs vers les applications partenaires

Dans le diagramme suivant, le trafic transite de l'utilisateur de la filiale sur site par la passerelle NCC, traverse le SSE tiers, puis repasse par la passerelle NCC pour revenir à la filiale sur site.

Flux de trafic des utilisateurs de Branch vers les applications partenaires.
Flux de trafic des utilisateurs de Branch vers les applications partenaires (cliquez pour agrandir).

Applications privées vers applications partenaires

Dans le schéma suivant, le trafic transite des applications privées par la passerelle NCC, traverse le SSE tiers, puis repasse par la passerelle NCC pour atteindre les applications partenaires.

Flux de trafic des applications privées vers les applications partenaires.
Flux de trafic des applications privées vers les applications partenaires (cliquez pour agrandir).

Capacité de traitement

La capacité de traitement d'un spoke de passerelle NCC correspond à sa bande passante provisionnée. Vous devez provisionner suffisamment de bande passante pour tenir compte de chaque sens de flux de trafic, en gardant à l'esprit que les paquets peuvent entrer et sortir du spoke de passerelle plusieurs fois pour chaque sens de flux pour certains flux de trafic.

Considérez les exemples suivants pour calculer la capacité de traitement requise d'un spoke de passerelle.

Exemple : Rediriger les utilisateurs vers Internet

Supposons que le réseau sur site d'une filiale soit connecté à Internet, comme indiqué dans le cas d'utilisation Utilisateurs de la filiale vers Internet. Les paquets traversent la passerelle NCC une fois dans chaque sens, et la succursale et Internet ont besoin d'une bande passante de 1 Gbit/s en duplex intégral : 1 Gbit/s pour le trafic du réseau sur site de la succursale vers Internet et 1 Gbit/s pour le trafic d'Internet vers le réseau de la succursale. Dans ce cas, l'utilisateur a besoin de 2 Gbit/s de capacité de traitement. Cet exemple suppose également que le partenaire SSE ne supprime aucun paquet. Si le partenaire SSE que vous avez choisi recommande une bande passante supérieure à celle calculée dans cet exemple, suivez sa recommandation.

Exemple : Brancher les utilisateurs sur des applications privées

Supposons que le réseau sur site d'une filiale soit connecté àGoogle Cloud , comme indiqué dans le cas d'utilisation Utilisateurs de filiales vers des applications privées, et que la filiale et les applications privées aient besoin d'une bande passante de 1 Gbit/s en duplex intégral : 1 Gbit/s pour le trafic de la filiale vers les applications et 1 Gbit/s pour le trafic des applications vers la filiale. Cet exemple suppose également que le partenaire SSE ne supprime aucun paquet. Si le partenaire SSE que vous avez choisi recommande une bande passante supérieure à celle calculée dans cet exemple, suivez sa recommandation.

Le spoke NCC Gateway qui connecte le réseau sur site de la filiale au hub Network Connectivity Center a besoin de deux rattachements de VLAN de 1 Gbit/s pour répondre aux exigences du contrat de niveau de service Cloud Interconnect. Ainsi, un rattachement de VLAN peut fournir 1 Gbit/s de bande passante en duplex intégral entre la filiale et les applications privées, même si un rattachement de VLAN est hors connexion (par exemple, en raison de la maintenance de la connexion d'interconnexion).

La capacité de traitement requise pour le spoke de passerelle est de 4 Gbit/s pour les raisons suivantes :

  • Le trafic du réseau sur site de la filiale vers le hub Network Connectivity Center nécessite une bande passante de 1 Gbit/s. Ce trafic nécessite 2 Gbit/s de bande passante de passerelle, car il est traité par la passerelle aux deux endroits suivants :

    • 1 Gbit/s pour les paquets provenant des rattachements de VLAN qui se connectent à la branche et entrent dans le spoke de passerelle
    • 1 Gbit/s lorsque les paquets quittent le spoke de passerelle et entrent dans le hub

  • Le trafic du hub Network Connectivity Center vers le réseau sur site de la filiale nécessite également 1 Gbit/s de bande passante. Ce trafic nécessite 2 Gbit/s de bande passante de passerelle supplémentaires, car il est traité par la passerelle aux deux endroits suivants :

    • 1 Gbit/s lorsque les paquets quittent le hub et entrent dans le spoke de passerelle
    • 1 Gbit/s lorsque les paquets quittent le spoke de passerelle et sont envoyés aux rattachements de VLAN qui se connectent à la filiale

Nous vous recommandons la stratégie suivante pour configurer la capacité de traitement de la passerelle et la bande passante du rattachement de VLAN :

  • La capacité de traitement de la passerelle correspond à la somme de la bande passante requise, dans chaque direction, pour toutes les cartes d'interface réseau de la passerelle.
  • Contrairement à la capacité de traitement de la passerelle, la bande passante du rattachement de VLAN est en duplex intégral. Provisionnez toujours un nombre suffisant de rattachements de VLAN pour prendre en charge la bande passante requise, même si les rattachements de VLAN qui utilisent une connexion d'interconnexion commune sont désactivés.

Remarques

Tenez compte des points suivants lorsque vous utilisez NCC Gateway :

  • NCC Gateway n'est compatible qu'avec l'insertion de services SSE.
  • Vous ne pouvez joindre des rattachements de VLAN qu'aux spokes de passerelle NCC. Les appliances Cloud VPN et de routeur ne sont pas prises en charge.
  • Tous les spokes de passerelle NCC doivent se trouver dans le même groupe de spokes gateways. Pour configurer NCC Gateway, les hubs Network Connectivity Center doivent utiliser la topologie d'inspection hybride prédéfinie.
  • Un seul service peut être associé à une passerelle NCC à la fois.
  • Un routeur Cloud Router doit être associé à une passerelle NCC dans la même région.
  • Seuls les rattachements de VLAN créés avec un routeur Cloud Router associé à une passerelle NCC sont rattachés à la passerelle.
  • Vous ne pouvez avoir qu'un seul spoke de passerelle NCC par région et par hub.
  • Les spokes et le hub de la passerelle NCC doivent se trouver dans le même projet.
  • Vous devez spécifier la capacité de traitement au moment de la création du spoke de passerelle. Vous pourrez modifier la capacité de traitement ultérieurement, si nécessaire.
  • Vous ne pouvez pas modifier les plages d'adresses IP attribuées. Certaines plages d'adresses IP sont réservées aux partenaires SSE.
  • Il n'existe aucune règle d'orientation du trafic permettant de contourner un sous-ensemble de trafic provenant de la passerelle NCC.
  • Les routes annoncées de passerelle ne s'affichent pas dans la table de routage VPC. Vous pouvez les consulter dans la table de routage du hub du groupe de spokes auquel appartient le réseau VPC.
  • Les routes annoncées de passerelle sont programmées à l'aide du mode de sélection du meilleur chemin standard.
    • La priorité des routes de passerelle annoncées dans la table de routage du hub reflète la priorité de route Andromeda effective, par exemple 65536 ou 65537. La priorité avec laquelle la route annoncée de la passerelle est créée est prise en compte lors du calcul de la priorité effective de la route Andromeda.
    • Les routes statiques ont toujours une priorité comprise dans la plage 0-65535. Elles ont donc la priorité sur les routes annoncées par la passerelle pour le même préfixe de destination. Par conséquent, si vous souhaitez rediriger le trafic Internet vers la passerelle à l'aide d'une route annoncée par la passerelle avec une destination 0/0, vous devrez peut-être supprimer la route par défaut générée par le système.

Vue "Routes effectives" pour les passerelles et les tables de routage de hub

Vous pouvez interroger les tables de routage du hub du point de vue d'une région, ce qui tient compte du coût interrégional lorsque vous sélectionnez un itinéraire, qu'il passe par la passerelle ou non. Cette requête vous permet de voir quelle instance de passerelle spécifique reçoit le trafic si vous envoyez un paquet depuis cette région spécifique.

Exemple de parcours utilisateur

Si vous n'avez pas de configuration de connectivité préexistante, consultez Présentation de la configuration d'une passerelle NCC.

Tarifs

Pour en savoir plus sur les tarifs, consultez la page Tarifs du Network Connectivity Center.

Étapes suivantes