Vous consultez la documentation d'une version précédente de GKE On-Prem. Consulter la documentation la plus récente

Se connecter à Google

Il existe plusieurs façons de connecter au réseau de Google des clusters GKE On-Prem exécutés dans votre centre de données sur site. Les possibilités sont les suivantes :

Connexion Internet standard

Dans certains cas, vous pouvez utiliser Internet comme connexion entre Google et votre centre de données sur site. Exemple :

  • Votre déploiement GKE On-Prem est autonome dans vos locaux et vos composants sur site communiquent rarement avec le réseau de Google. Vous utilisez la connexion principalement pour la gestion des clusters. La rapidité, la fiabilité et la sécurité de la connexion ne sont pas critiques.

  • Votre cluster sur site est autonome, sauf pour l'accès à des services Google tel que Cloud SQL. Le trafic entre votre cluster sur site et le service Google utilise des adresses IP publiques. Vous configurez des règles de pare-feu afin d'assurer la sécurité.

Cloud VPN avec routes statiques

Avec Cloud VPN, le trafic entre Google et votre centre de données sur site parcourt le réseau Internet public, mais il est chiffré. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Avec les routes statiques, vous devez configurer manuellement les routes entre vos réseaux Google Cloud et votre réseau sur site. Utilisez Cloud VPN si la sécurité est importante, mais la rapidité est une préoccupation moindre.

Cloud VPN avec Cloud Router

Avec Cloud VPN et Cloud Router, le trafic entre Google et votre centre de données sur site parcourt le réseau Internet public, mais il est chiffré. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Cloud Router échange de manière dynamique des routes entre vos réseaux Google Cloud et votre réseau sur site. Le routage dynamique est particulièrement important lorsque votre réseau se développe et évolue, car il garantit que l'état de routage approprié est propagé vers votre centre de données sur site.

Interconnexion partenaire

L'interconnexion partenaire fournit une connectivité entre le réseau sur site et le réseau VPC de Google Cloud via un fournisseur de services agréé. Le trafic entre votre centre de données sur site et Google ne transite pas par l'Internet public. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Votre connexion à Google est rapide, sécurisée et fiable.

Interconnexion dédiée

L'interconnexion dédiée fournit une connexion physique directe entre le réseau sur site et le réseau de Google. Cela peut être une solution rentable si vous avez des besoins élevés en bande passante. Le trafic entre votre centre de données sur site et Google ne transite pas par l'Internet public. Les composants sur site peuvent communiquer avec les composants cloud à l'aide d'adresses IP privées. Votre connexion à Google est fiable et sécurisée, et elle est encore plus rapide qu'une connexion utilisant l'interconnexion partenaire.

Choisir un type de connexion

Pour plus d'informations sur le choix d'un type de connexion, consultez les sections suivantes :

Surveillance du réseau

Quelle que soit la façon dont vous établissez une connexion fondamentale à Google, vous pouvez utiliser les informations fournies par la journalisation et la surveillance du réseau. Pour plus d'informations, consultez la section Journalisation et surveillance pour GKE On-Prem.

Améliorer votre connexion fondamentale

Une fois votre connexion fondamentale établie, vous pouvez ajouter des fonctionnalités qui améliorent l'accès, la sécurité et la visibilité. Par exemple, vous pouvez activer l'Accès privé à Google, VPC Service Controls, ou Connect.

Le reste des instructions de cette rubrique suppose que vous utilisez l'une des options suivantes pour votre connexion fondamentale à Google :

Accès privé à Google

L'accès privé à Google permet aux VM qui n'ont que des adresses IP privées d'accéder aux adresses IP des API et services Google. Cela inclut le cas où vos nœuds de cluster GKE On-Prem ne disposent que d'adresses IP privées. L'accès privé à Google est activé au niveau du sous-réseau.

Avec l'accès privé à Google, les requêtes de votre centre de données sur site adressées aux services Google transitent par votre connexion Cloud Interconnect ou Cloud VPN au lieu de traverser le réseau Internet public.

Utilisez l'accès privé à Google dans les situations suivantes :

  • Vos VM sur site sans adresses IP publiques ont besoin de se connecter à des services Google tels que BigQuery, Pub/Sub ou Container Registry.

  • Vous souhaitez vous connecter aux services Google sans passer par le réseau Internet public.

Pour obtenir la liste des services compatibles avec l'accès privé à Google à partir de VM sur site, consultez la section Services compatibles. Pour en savoir plus sur l'utilisation de l'accès privé à Google à partir de VM sur site, consultez la page Configurer l'accès privé à Google pour les hôtes sur site.

Services ne nécessitant pas l'accès privé à Google

Dans certains cas, vous n'avez pas besoin de l'accès privé à Google pour accéder à un service à partir d'une VM qui n'a qu'une adresse IP privée. Exemple :

  • Vous créez une instance Cloud SQL qui possède à la fois une adresse IP publique et une adresse IP privée. Vos composants sur site peuvent ensuite accéder à l'instance Cloud SQL à l'aide de son adresse IP privée. Dans ce cas, vous n'avez pas besoin de l'accès privé à Google, car vous n'avez pas besoin d'accéder à l'adresse IP publique d'un service Google. Cela ne fonctionne que si Cloud Router diffuse l'adresse IP privée de l'instance Cloud SQL sur votre réseau local.

  • Vous disposez d'un cluster GKE dans le cloud de Google et les nœuds du cluster possèdent des adresses IP privées. Vos composants sur site peuvent accéder à un service NodePort ou à un service d'équilibrage de charge interne dans le cluster GKE cloud.

VPC Service Controls

Si vous souhaitez bénéficier d'une protection supplémentaire contre l'exfiltration, vous pouvez utiliser VPC Service Controls. Cette solution vous permet de configurer des périmètres de sécurité autour des ressources de vos services gérés par Google et de contrôler le déplacement des données au-delà des limites de ces périmètres.

Connect

Connect vous permet d'afficher et de gérer vos clusters d'utilisateur sur site depuis Google Cloud Console.

Étape suivante