Présentation de Network Connectivity Center

Network Connectivity Center est un framework d'orchestration qui simplifie la connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub. Network Connectivity Center accepte trois types de spokes:

  • Rayons de cloud privé virtuel (VPC)
  • Spokes VPC de producteur (bêta)
  • Spokes hybrides composés des éléments suivants :
    • Tunnels VPN haute disponibilité
    • Rattachements de VLAN Cloud Interconnect
    • VM d'appareil de routeur

Avec la connectivité en hub et spoke, vous pouvez effectuer les opérations suivantes:

  • Connecter plusieurs réseaux VPC entre eux Les réseaux VPC peuvent être situés dans différents projets de la même organisation Google Cloud ou dans différentes organisations.
  • Connecter plusieurs réseaux VPC à des réseaux sur site ou dans d'autres clouds Ces réseaux externes peuvent être accessibles via n'importe quel type de spoke hybride. Cette approche est connue sous le nom de connectivité site à cloud.
  • Utilisez des VM de dispositif de routeur pour gérer la connectivité entre vos réseaux VPC.
  • Utiliser un réseau VPC Google Cloud en tant que réseau étendu (WAN) d'entreprise pour connecter des réseaux situés en dehors de Google Cloud. Vous pouvez établir une connectivité entre vos sites externes à l'aide de n'importe quel type de rayon hybride. Cette approche est connue sous le nom de connectivité site à cloud.

Fonctionnement

Lorsqu'un hub utilise des spokes VPC, vous pouvez configurer la connectivité entre ces réseaux VPC connectés au hub en échangeant des routes de sous-réseau entre tous ou certains des réseaux VPC.

Lorsqu'un hub utilise à la fois des spokes VPC et des spokes hybrides, la connectivité de n'importe quel spoke à n'importe quel autre spoke est prise en charge pour tous ces spokes.

Lorsqu'un hub utilise des spokes hybrides situés dans un seul réseau VPC, vous pouvez également configurer le transfert de données de site à site afin que les routes dynamiques dont les sauts suivants sont des spokes hybrides (par exemple, un VLAN Cloud Interconnect) soient annoncées à un réseau sur site par les sessions BGP des autres spokes hybrides de ce réseau VPC.

Pour obtenir une description détaillée des hubs et des spokes, consultez les sections suivantes.

Hubs

Un hub Network Connectivity Center est une ressource globale à laquelle vous associez des spokes. Un même hub peut contenir des rayons provenant de plusieurs régions. Toutefois, si l'un des spokes d'un hub utilise la fonctionnalité de transfert de données de site à site, les ressources associées à ces spokes doivent toutes se trouver sur le même réseau VPC. Les spokes qui n'utilisent pas le transfert de données de site à site peuvent être associés à n'importe quel réseau VPC de votre projet.

Spokes

Un spoke représente une ou plusieurs ressources réseau Google Cloud connectées à un hub.

Lorsque vous créez un spoke, vous devez l'associer à au moins une ressource de connectivité compatible, appelée ressource de sauvegarde.

Un spoke peut utiliser n'importe laquelle des ressources Google Cloud suivantes comme ressource de sauvegarde.

Spokes VPC

Les spokes VPC vous permettent de connecter deux réseaux VPC ou plus à un hub afin que ces réseaux puissent échanger des routes de sous-réseau IPv4. Les spokes VPC associés à un seul hub peuvent faire référence à des réseaux VPC dans le même projet ou dans un autre projet (y compris un projet d'une autre organisation).

Pour en savoir plus sur les spokes VPC, consultez la section Présentation des spokes VPC.

Les spokes VPC fournissent une connectivité entre les plages de sous-réseaux IPv4 provenant de plusieurs réseaux VPC.

Spokes VPC de producteur (bêta)

Si vous disposez d'un spoke VPC existant qui consomme un service d'un réseau de producteur dans un autre projet via l'appairage de réseaux VPC, vous pouvez rendre le service accessible aux autres spokes de votre hub Network Connectivity Center en créant un spoke VPC de producteur.

Pour en savoir plus sur les spokes VPC de producteur, consultez la section Spokes VPC de producteur.

Spokes hybrides

Un spoke hybride représente une ou plusieurs ressources de connectivité réseau connectées à un hub. Un type de spoke hybride peut être l'une des ressources suivantes auxquelles un spoke est associé:

  • VM d'appareil de routeur
  • Tunnels VPN haute disponibilité
  • Rattachements de VLAN Cloud Interconnect

Un même spoke hybride peut être associé à plusieurs ressources du même type. Par exemple, un spoke hybride peut référencer deux tunnels VPN haute disponibilité ou plus, mais ce même spoke hybride ne peut pas également référencer des VM d'appareil de routeur ou des rattachements de VLAN Cloud Interconnect. Un spoke hybride doit se trouver dans le même projet que le hub Network Connectivity Center.

Le transfert de données de site à site à l'aide de spokes hybrides nécessite que les spokes se trouvent sur le même réseau VPC. Pour plus d'informations, consultez la page Présentation du transfert de données de site à site.

Spokes d'appareil de routeur

Un spoke associé à une instance de VM d'appareil de routeur est compatible avec les cas d'utilisation suivants:

  • Connectivité IPv4 de site à cloud: permet d'établir une connectivité entre un site externe et vos ressources réseau VPC.
  • Transfert de données de site à site IPv4: utilisez le réseau de Google dans le cadre d'un réseau étendu (WAN) comprenant vos sites externes pour transférer des données entre tous les sites.
  • Connectivité IPv4 entre les réseaux VPC: utilisez un dispositif virtuel de réseau tiers pour établir la connectivité entre vos réseaux VPC.

Tous les spokes de site à site connectés à un même hub doivent disposer de toutes leurs ressources de sauvegarde dans le même réseau VPC.

Spokes de tunnel VPN haute disponibilité

Un spoke associé à des tunnels Cloud VPN (VPN haute disponibilité) est compatible avec les cas d'utilisation suivants:

  • Connectivité IPv4 de site à cloud: établissez une connectivité entre un site externe et les ressources de votre réseau VPC.
  • Transfert de données de site à site IPv4: utilisez le réseau de Google dans le cadre d'un réseau étendu (WAN) comprenant vos sites externes pour transférer des données entre tous les sites.

Tous les appareils associés à partir d'un même spoke, ainsi que tous les tunnels Cloud VPN et les rattachements de VLAN, doivent se trouver sur le même réseau VPC.

Spokes de rattachement de VLAN Cloud Interconnect

Un spoke associé à des rattachements de VLAN Cloud Interconnect est compatible avec les cas d'utilisation suivants:

  • Connectivité IPv4 de site à cloud: tous les appareils associés à partir d'un même spoke doivent se trouver sur le même réseau VPC.
  • Transfert de données IPv4 de site à site: tous les tunnels Cloud VPN, rattachements de VLAN, ou les deux, doivent se trouver sur le même réseau VPC.

Échange de routes avec une connectivité VPC

Les spokes du Network Connectivity Center sont compatibles avec l'échange de plages d'adresses IPv4 de sous-réseau qui utilisent des adresses privées, à l'exclusion des adresses IPv4 publiques utilisées en mode privé. Les routes dynamiques (routes apprises par les spokes hybrides via BGP) peuvent également être échangées avec des spokes VPC ou d'autres spokes hybrides. Les routes statiques d'un réseau VPC spoke ne peuvent pas être échangées avec d'autres spokes VPC du hub.

Importation de sous-réseaux de hub pour les spokes hybrides

Vous pouvez annoncer automatiquement les plages de sous-réseaux IP de spoke VPC sur les réseaux sur site et d'autres fournisseurs cloud via BGP en activant l'importation de sous-réseaux de hub pour les spokes hybrides. Lorsque cette option est activée, tous les nouveaux sous-réseaux VPC créés ou supprimés et présents dans la table de routage du hub sont automatiquement importés par les spokes hybrides et annoncés via BGP à leurs pairs distants.

Pour annoncer automatiquement les plages d'adresses IP de sous-réseaux de spoke VPC aux spokes hybrides, utilisez l'option --include-import-ranges avec le champ ALL_IPV4_RANGES lors de la création du spoke. Par défaut, le champ --include-import-ranges est vide, ce qui signifie qu'aucun sous-réseau de hub n'est importé dans des spokes hybrides nouveaux ou existants tant que l'option ALL_IPV4_RANGES n'est pas spécifiée.

Pour en savoir plus sur la création de spokes hybrides, consultez la section Utiliser des spokes.

Annonce de routage personnalisée

L'annonce de routage personnalisée dans Cloud Router vous permet de contrôler manuellement les préfixes annoncés par les spokes hybrides. Vous pouvez spécifier des routes annoncées personnalisées (en incluant les routes par défaut, 0.0.0.0/0 pour les routes IPv4 ou ::/0 pour les routes IPv6) pour toutes les sessions BGP lorsque vous n'avez pas besoin d'annonce automatique des sous-réseaux spoke de VPC. Par défaut, les autres sous-réseaux spoke de VPC ne sont pas annoncés, ce qui signifie que les emplacements sur site n'obtiennent pas automatiquement des informations sur la joignabilité de ces plages d'adresses IP.

Éléments à prendre en compte pour l'importation de sous-réseaux de hub

Tenez compte des points suivants lorsque vous utilisez la fonctionnalité d'importation de sous-réseaux de hub.

  • Tous les sous-réseaux de spoke VPC de la table de routage du hub sont annoncés par défaut à un spoke hybride si la valeur ALL_IPV4_RANGES est spécifié dans le champ --include-import-ranges.
  • La priorité de route suivie est la suivante : sous-réseaux du réseau VPC de destination, sous-réseaux du hub et routes personnalisées Cloud Router, dans cet ordre.
  • Network Connectivity Center empêche les chevauchements entre les sous-réseaux VPC de routage et les sous-réseaux de hub avec d'autres spokes VPC.
  • Si une route personnalisée Cloud Router est exactement identique ou chevauche les sous-réseaux VPC ou les sous-réseaux de hub de destination, la route personnalisée de ce routeur Cloud Router est ignorée.
  • Les attributs BGP des sous-réseaux de hub sont les mêmes que ceux des sous-réseaux du VPC de destination du rayon hybride.
  • Les règles Cloud Router sur la session BGP sont également appliquées aux sous-réseaux du hub importés par Network Connectivity Center.
  • Si le réseau VPC de routage du spoke hybride définit le mode de routage dynamique sur regional, seuls les sous-réseaux de hubs de la même région que le spoke hybride sont annoncés.

Exemples de cas d'utilisation

Les sections suivantes décrivent les principaux cas d'utilisation de Network Connectivity Center.

Connecter différents réseaux VPC avec Network Connectivity Center

Lorsque vous associez au moins deux spokes VPC à un hub, Network Connectivity Center fournit une connectivité de sous-réseau IPv4 entre tous les réseaux VPC représentés par les spokes. L'utilisation d'un hub simplifie la gestion de la connectivité du sous-réseau maillé à grande échelle. Consultez les quotas pour connaître le nombre de réseaux VPC pouvant être connectés à un hub.

Le schéma suivant montre deux spokes VPC.

Connectez les spokes à un réseau VPC.
Connecter des spokes à un réseau VPC (cliquez pour agrandir)

Connectivité sur site pour les spokes VPC

Les spokes VPC peuvent se connecter aux réseaux sur site à l'aide de spokes hybrides situés dans d'autres réseaux VPC (routage). Chaque hub Network Connectivity Center accepte plusieurs spokes VPC et rattachements de VLAN Cloud Interconnect, tunnels VPN haute disponibilité ou VM d'appareil de routeur ajoutées en tant que spokes hybrides. Le schéma suivant illustre un exemple de hub avec des spokes VPC et des spokes hybrides dans le même hub Network Connectivity Center.

Échange de routes dynamiques avec des spokes VPC.
Échange de routes dynamiques avec des spokes VPC (cliquez pour agrandir)

Connecter des réseaux à l'aide de VM d'appareil de routeur

Network Connectivity Center peut utiliser des VM d'appareil de routeur dans les deux scénarios de connectivité IPv4 suivants :

  • Connecter un réseau VPC à un réseau sur site ou à un autre réseau de fournisseur cloud à l'aide de routes dynamiques
  • Connecter deux réseaux VPC à l'aide de routes dynamiques

Avec cette option, Cloud Router gère les sessions BGP pour les VM d'appareil de routeur.

Connecter un réseau externe à Google Cloud

Le schéma suivant utilise un spoke hybride avec une VM d'appareil de routeur pour connecter deux réseaux VPC à un réseau externe. La VM Cloud Router dispose d'une interface réseau (carte d'interface réseau) dans chaque réseau VPC.

connecter un réseau externe à Google Cloud ;
Connecter un réseau externe à Google Cloud (cliquez pour agrandir)

Pour plus d'informations sur ce cas d'utilisation, consultez la section Topologies de site à cloud utilisant un dispositif tiers.

Gérer la connectivité entre les réseaux VPC

Le schéma suivant utilise un spoke hybride avec une VM d'appareil de routeur exécutant un logiciel de pare-feu ou d'inspection de paquets spécialisé pour connecter deux réseaux VPC.

Utiliser un pare-feu tiers.
Utiliser un pare-feu tiers (cliquez pour agrandir)

Pour en savoir plus, consultez la section Topologie de VPC à VPC utilisant un dispositif tiers.

Organiser le transfert de données via le réseau de Google (de site à site)

Le transfert de données fournit une connectivité IPv4 entre les réseaux externes à l'aide d'un réseau VPC Google Cloud et de spokes hybrides. Vous pouvez transférer des données entre plusieurs réseaux sur site ou vers d'autres réseaux cloud.

Lorsque vous créez un spoke hybride, vous pouvez activer l'option de transfert de données pour ce spoke. Lorsque le transfert de données est activé pour les spokes hybrides connectés au même hub, les routes dynamiques apprises par chaque VM d'appareil de routeur, tunnel Cloud VPN ou rattachement de VLAN Cloud Interconnect sont annoncées à nouveau sur les autres VM, tunnels ou rattachements de VLAN associés à un spoke hybride connecté au même hub. Le transfert de données nécessite que tous les spokes hybrides fassent référence à des VM d'appareil de routeur, des tunnels Cloud VPN ou des rattachements de VLAN Cloud Interconnect dans un seul réseau VPC.

Par exemple, supposons que vous disposiez de centres de données à New York, Sydney et Tokyo. Après avoir utilisé les ressources compatibles pour connecter votre réseau VPC à chacun de ces sites, vous pouvez créer un spoke pour représenter chaque réseau. Une fois cette configuration terminée, le centre de connectivité réseau fournit une connectivité maillée complète entre les trois sites.

Comme illustré dans le schéma suivant, vous pouvez créer des spokes qui s'appuient sur des ressources de connectivité telles que Cloud VPN, Cloud Interconnect et un dispositif de routeur.

Le schéma ne montre pas l'interconnexion Cross-Cloud Interconnect, mais vous pouvez également utiliser des rattachements de VLAN Cross-Cloud Interconnect.

Transfert de données via le réseau de Google
Transfert de données via le réseau de Google (cliquez pour agrandir)

Pour plus d'informations sur ce cas d'utilisation, consultez la page Présentation du transfert de données de site à site.

Considérations concernant Network Connectivity Center

Avant de configurer le centre de connectivité réseau, consultez les sections suivantes.

Adressage IP

Network Connectivity Center est compatible avec l'adressage IPv4. Il n'est pas compatible avec IPv6. Exemple :

  • Si le transfert de données de site à site est activé pour un spoke, les ressources associées aux spokes acceptent le trafic IPv4. Ces spokes ne peuvent pas échanger de trafic IPv6. Cette instruction s'applique à tous les types de spokes : appareil de routeur, rattachement de VLAN et VPN.

  • Les spokes d'appareil de routeur de site à cloud acceptent le trafic IPv4. Le trafic IPv6 n'est pas accepté.

  • Lorsque vous créez une VM d'appareil de routeur, l'adresse IPv4 interne principale de la VM doit être une adresse RFC 1918.

  • Lorsque les spokes VPC contiennent à la fois des sous-réseaux IPv4 et IPv6, seuls les sous-réseaux IPv4 échangent entre eux.

Routage

Les routes installées par les spokes hybrides Network Connectivity Center sont traitées comme des routes dynamiques.

Pour plus d'informations sur la gestion des routes dynamiques par rapport à d'autres types de routes, consultez la section Applicabilité et ordre dans la documentation sur les VPC.

Ressource Cas d'utilisation applicables
Définition des priorités Toutes les ressources de spoke utilisent Cloud Router. Pour en savoir plus sur le modèle de sélection de chemin utilisé par Cloud Router, consultez la section Préfixage de chemin du serveur d'authentification et longueur du chemin du serveur d'authentification dans la présentation de Cloud Router.
ASN Tous les routeurs d'appairage non-Google associés à un même spoke doivent utiliser le même numéro ASN pour annoncer les préfixes au routeur Cloud Router. Ceci est particulièrement important car si deux pairs annoncent le même préfixe avec des numéros ASN ou des chemins AS différents, seul le numéro ASN et le chemin AS d'un des pairs sera annoncé pour ce préfixe. Les différents spokes doivent avoir des ASN différents. Autrement dit, si deux sessions BGP appartiennent à des rayons différents, elles doivent avoir des ASN différents. De plus, si vous utilisez la fonctionnalité de transfert de données, vous devez attribuer des ASN comme décrit dans la section Exigences ASN pour le transfert de données de site à site.
Sessions BGP Les communautés BGP ne sont pas acceptées.

Modifications des annonces de routage lors de l'utilisation de transferts de données site à site

Lorsque vous ajoutez un rattachement de VLAN Cloud Interconnect ou un tunnel Cloud VPN à un spoke hybride, Network Connectivity Center met à jour la session BGP correspondante pour le rattachement de VLAN ou le tunnel Cloud VPN afin qu'il annonce à nouveau les préfixes appris par les sessions BGP des autres rattachements de VLAN Cloud Interconnect ou tunnels Cloud VPN connectés à l'un des spokes hybrides du hub sur lequel l'option de transfert de données de site à site est activée.

Assistance pour d'autres produits

Les sections suivantes décrivent le fonctionnement du centre de connectivité réseau avec d'autres produits et fonctionnalités de mise en réseau.

Spokes VPC et appairage de réseaux VPC

Les spokes VPC de Network Connectivity Center ne sont compatibles qu'avec l'échange de plages d'adresses IPv4 de sous-réseau valides qui utilisent des adresses privées, à l'exclusion des adresses IPv4 publiques utilisées en mode privé, des plages de sous-réseaux IPv6 et des routes statiques et dynamiques :

  • Pour en savoir plus sur les spokes VPC de Network Connectivity Center, consultez la section Présentation des spokes VPC.

  • Pour en savoir plus sur l'échange de routes à l'aide de l'appairage de réseaux VPC, consultez les options d'échange de routes dans la documentation sur l'appairage de réseaux VPC.

Même si les spokes VPC de Network Connectivity Center ne permettent pas l'échange de routes statiques ou dynamiques, un réseau de spoke VPC peut toujours importer les routes statiques et dynamiques d'un autre réseau VPC à l'aide de l'appairage de réseaux VPC. Si l'autre réseau VPC possède des routes dynamiques avec des rattachements de VLAN Cloud Interconnect de saut suivant ou des tunnels Cloud VPN qui se connectent à un réseau sur site, vous pouvez connecter le réseau de spoke VPC au réseau sur site en utilisant les annonces de routage personnalisées Cloud Router et les options d'échange de routes d'appairage de réseaux VPC, comme décrit dans l'exemple de réseau de transit de la documentation concernant l'appairage de réseaux VPC.

Réseaux VPC partagés

Lorsque vous utilisez des réseaux VPC partagés, vous devez créer le hub dans le projet hôte. Cette limitation ne s'applique qu'aux spokes hybrides.

Nous vous recommandons d'attribuer le rôle networkconnectivity.googleapis.com/spokeAdmin aux administrateurs des projets de service. Pour en savoir plus sur ce rôle et des autres rôles Network Connectivity Center, consultez la page Rôles et autorisations.

Anciens réseaux

Les ressources de spoke ne peuvent pas faire partie d'un ancien réseau.

Tunnels VPN

Les tunnels VPN classiques ne sont pas acceptés.

Transfert de données

Si vous utilisez le transfert de données, consultez la section Considérations de la présentation du transfert de données de site à site.

Contrat de niveau de service

Pour en savoir plus sur le contrat de niveau de service de Network Connectivity Center, consultez le Contrat de niveau de service de Network Connectivity Center.

Tarifs

Pour en savoir plus sur les tarifs, consultez la page Tarifs du Network Connectivity Center.

Étapes suivantes