Se connecter à Google

Il existe plusieurs façons de connecter au réseau Google Cloud des clusters Google Distributed Cloud, qui s'exécutent dans votre centre de données sur site. Les possibilités sont les suivantes :

Connexion Internet standard

Dans certains cas, vous pouvez utiliser Internet comme connexion entre Google et votre centre de données sur site. Exemple :

  • Votre déploiement Google Distributed Cloud est autonome sur site, et vos composants sur site communiquent rarement avec le réseau Google Cloud. Vous utilisez la connexion principalement pour la gestion des clusters. La rapidité, la fiabilité et la sécurité de la connexion ne sont pas critiques.

  • Votre cluster sur site est autonome, sauf pour l'accès à des services Google tel que Cloud SQL. Le trafic entre votre cluster sur site et le service Google utilise des adresses IP publiques. Vous configurez des règles de pare-feu afin d'assurer la sécurité.

VPN haute disponibilité

Avec le VPN haute disponibilité et Cloud Router, le trafic entre Google et votre centre de données sur site transite par l'Internet public, mais est chiffré. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Cloud Router échange de manière dynamique des routes entre vos réseaux Google Cloud et votre réseau sur site. Le routage dynamique est particulièrement utile lorsque votre réseau se développe et évolue, car il garantit que l'état de routage approprié est propagé à votre centre de données sur site.

Partner Interconnect

L'interconnexion partenaire fournit une connectivité entre le réseau sur site et le réseau Google Cloud via un fournisseur de services agréé. Le trafic entre votre centre de données sur site et Google ne transite pas par l'Internet public. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Votre connexion à Google est rapide, sécurisée et fiable.

Dedicated Interconnect

L'interconnexion dédiée fournit une connexion physique directe entre le réseau sur site et le réseau Google Cloud. Ce type de connexion peut être rentable si vous avez besoin d'une bande passante élevée. Le trafic entre votre centre de données sur site et Google ne transite pas par l'Internet public. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Votre connexion à Google est fiable, sécurisée et encore plus rapide qu'une connexion utilisant l'interconnexion partenaire.

Impact d'une déconnexion temporaire

Pour en savoir plus sur les conséquences d'une déconnexion, consultez la section Impact de la déconnexion temporaire de Google Cloud.

Choisir un type de connexion

Pour obtenir plus d'informations sur le choix d'un type de connexion, consultez les sections suivantes :

Surveillance du réseau

Quelle que soit la façon dont vous établissez une connexion fondamentale à Google, vous pouvez utiliser les informations fournies par la journalisation et la surveillance du réseau. Pour en savoir plus, consultez la page Journalisation et surveillance pour Google Distributed Cloud.

Améliorer votre connexion fondamentale

Une fois votre connexion fondamentale établie, vous pouvez ajouter des fonctionnalités qui améliorent l'accès, la sécurité et la visibilité. Par exemple, vous pouvez activer l'accès privé à Google ou la connexion.

Le reste des instructions de cette rubrique suppose que vous utilisez l'une des options suivantes pour votre connexion fondamentale à Google :

Accès privé à Google

L'Accès privé à Google permet aux VM qui ne disposent que d'adresses IP privées d'accéder aux adresses IP des API et services Google. Ce scénario inclut le cas où les nœuds de votre cluster Google Distributed Cloud ne disposent que d'adresses IP privées. L'accès privé à Google est activé au niveau du sous-réseau.

Avec l'accès privé à Google, les requêtes de votre centre de données sur site adressées aux services Google transitent par votre connexion Cloud Interconnect ou Cloud VPN au lieu de traverser le réseau Internet public.

Utilisez l'accès privé à Google dans les situations suivantes :

  • Vos VM sur site sans adresses IP publiques doivent se connecter à des services Google tels que BigQuery, Pub/Sub ou Container Registry.

  • Vous souhaitez vous connecter aux services Google sans passer par le réseau Internet public.

Pour obtenir la liste des services compatibles avec l'accès privé à Google à partir de VM sur site, consultez la section Services compatibles. Pour en savoir plus sur l'utilisation de l'accès privé à Google à partir de VM sur site, consultez la page Configurer l'accès privé à Google pour les hôtes sur site.

Services ne nécessitant pas l'accès privé à Google

Dans certains cas, vous n'avez pas besoin de l'accès privé à Google pour accéder à un service à partir d'une VM qui ne dispose que d'une adresse IP privée. Exemple :

  • Vous créez une instance Cloud SQL qui possède à la fois une adresse IP publique et une adresse IP privée. Vos composants sur site peuvent ensuite accéder à l'instance Cloud SQL à l'aide de son adresse IP privée. Dans ce cas, vous n'avez pas besoin de l'accès privé à Google, car vous n'avez pas besoin d'accéder à l'adresse IP publique d'un service Google. Cette approche ne fonctionne que si Cloud Router annonce l'adresse IP privée de l'instance Cloud SQL sur votre réseau sur site.

  • Vous disposez d'un cluster Google Distributed Cloud dans Google Cloud et les nœuds du cluster possèdent des adresses IP privées. Vos composants sur site peuvent accéder à un service NodePort ou à un service d'équilibrage de charge interne dans le cluster cloud Google Distributed Cloud.

VPC Service Controls

Si vous souhaitez bénéficier d'une protection supplémentaire contre l'exfiltration, vous pouvez utiliser VPC Service Controls. Cette solution vous permet de configurer des périmètres de sécurité autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites de ces périmètres.

Si vous utilisez VPC Service Controls, des erreurs peuvent se produire lorsque vous exécutez certaines commandes gkectl, telles que "Validation Category: GCP - [UNKNOWN] GCP service: [Stackdriver] could not get GCP services". Pour éviter ces erreurs, ajoutez le paramètre --skip-validation-gcp à vos commandes.

Associer

Connect vous permet d'afficher et de gérer vos clusters d'utilisateur sur site depuis la console Google Cloud.

Étapes suivantes