Ce document fournit une architecture de référence que vous pouvez utiliser pour déployer une topologie de réseau en étoile Cross-Cloud Network qui utilise des appliances virtuelles réseau (NVA) pour transmettre le trafic.
Ce document s'adresse aux administrateurs réseau qui créent la connectivité réseau et aux architectes cloud qui planifient le déploiement des charges de travail. Ce document part du principe que vous maîtrisez les concepts de base du routage, de la connectivité Internet et du logiciel NVA que vous souhaitez déployer. Pour utiliser cette architecture de référence, vous devez connaître le guide de conception Cross-Cloud Network.
Cette conception est compatible avec plusieurs connexions externes à des emplacements sur site ou de fournisseur de services cloud (CSP, Cloud Service Provider), ainsi qu'avec plusieurs réseaux VPC de charge de travail.
Cette conception suppose un déploiement dans une seule région. Il offre une affinité régionale, mais pas de basculement régional. Si vous souhaitez déployer votre application dans plusieurs régions, vous pouvez utiliser l'archétype de déploiement multirégionalGoogle Cloud .
Cette conception place les NVA dans tous les flux, à l'exception de ceux qui se trouvent dans et entre les réseaux VPC de charge de travail. Vous pouvez faire en sorte que les flux ignorent les NVA en ajoutant les routes basées sur des règles d'ignorance appropriées. Seuls les flux entre le réseau externe et le réseau VPC d'accès aux services ont besoin de NVA, car tous les autres flux peuvent être inspectés par Cloud Next Generation Firewall.
Architecture
Le diagramme suivant présente une vue d'ensemble de l'architecture des réseaux et des flux qu'elle prend en charge.
L'architecture contient les éléments généraux suivants :
| Composant | Objectif | Interactions |
|---|---|---|
| Réseaux externes (réseau sur site ou d'un autre fournisseur de services cloud) | Héberge les clients des charges de travail qui s'exécutent dans les VPC de charge de travail et dans les VPC d'accès aux services. Les réseaux externes peuvent également héberger des services. | échange des données avec les réseaux VPC de Google Cloudpar le biais des NVA hébergées dans le réseau VPC de routage. Se connecte au réseau VPC de routage à l'aide de Cloud Interconnect ou d'un VPN haute disponibilité. Met fin à l'une des extrémités des flux suivants :
|
| Réseau VPC de routage (également appelé réseau VPC de transit) | Fait office de hub pour le réseau externe, le réseau VPC d'accès aux services et les réseaux VPC de charge de travail. Héberge les NVA utilisées pour traiter le trafic entre les réseaux. | Connecte le réseau externe, le réseau VPC d'accès aux services et les réseaux VPC de charge de travail à l'aide d'une combinaison de Cloud Interconnect, de VPN haute disponibilité et d'appairage de réseaux VPC. Lorsque le trafic provenant des réseaux externes, d'accès aux services et de charge de travail transite par le réseau de routage, les routes basées sur des règles l'envoient aux NVA. |
| Réseau VPC d'accès aux services | Fournit des points d'accès aux services gérés hébergés dans d'autres réseaux. Le réseau d'accès aux services peut également héberger directement des services si nécessaire. | Échange des données avec les réseaux externes et de charge de travail via le réseau de routage. Se connecte au VPC de routage à l'aide du VPN haute disponibilité. Le routage transitif, fourni par le VPN haute disponibilité, permet au trafic externe d'atteindre les VPC de services gérés via le réseau VPC d'accès aux services. Si le réseau VPC d'accès aux services héberge directement les services, il met fin à une extrémité des flux provenant de tous les autres réseaux. |
| Réseau VPC des services gérés | Héberge les services gérés dont les clients ont besoin dans d'autres réseaux. | Échange des données avec les réseaux externes, d'accès aux services et de charge de travail. Se connecte au réseau VPC d'accès aux services à l'aide de l'accès privé aux services, qui utilise l'appairage de réseaux VPC, ou à l'aide de Private Service Connect. Met fin à une extrémité des flux provenant de tous les autres réseaux. |
| Réseaux VPC de charge de travail | Héberge les charges de travail nécessaires aux clients d'autres réseaux. | Échange des données avec les réseaux VPC externes et d'accès aux services via le réseau VPC de routage. Se connecte au réseau de routage à l'aide de l'appairage de réseaux VPC. Se connecte à d'autres réseaux VPC de charge de travail à l'aide de Network Connectivity Center. Met fin à l'une des extrémités des flux suivants :
|
| Réseau VPC avec accès à Internet | Fournit un accès à Internet pour les charges de travail qui en ont besoin. | Fournit un accès sortant à Internet pour les charges de travail qui doivent télécharger des mises à jour ou d'autres données depuis Internet. Les données transitent par les NVA et sortent via Cloud NAT. Met fin à l'une des extrémités des flux suivants :
|
Descriptions des connexions
Le diagramme suivant présente une vue détaillée de l'architecture qui met en évidence les quatre connexions entre les réseaux :
Cette section décrit les quatre connexions illustrées dans le diagramme précédent.
Connexion 1 : entre les réseaux externes et le réseau VPC de routage
Cette connexion entre les réseaux externes et les réseaux VPC de routage s'effectue via Cloud Interconnect ou VPN haute disponibilité. Les routeurs cloud du réseau VPC de routage et les routeurs externes du réseau externe échangent des routes à l'aide de BGP.
- Les routeurs des réseaux externes annoncent les routes des sous-réseaux externes aux routeurs cloud VPC de routage. La préférence des routes peut être exprimée à l'aide des métriques et des attributs BGP.
- Les routeurs cloud du réseau VPC de routage annoncent les routes pour les préfixes des VPC de Google Cloudaux réseaux externes. Ces routes doivent être annoncées à l'aide des annonces de routage personnalisées Cloud Router.
Connexion 2 : entre les réseaux VPC de routage et les réseaux VPC d'accès aux services
Cette connexion entre les réseaux VPC de routage et les réseaux VPC d'accès aux services s'effectue via un VPN haute disponibilité. Les routes sont échangées à l'aide de BGP entre les routeurs Cloud régionaux dans les réseaux VPC de routage et les réseaux VPC d'accès aux services.
- Les routeurs Cloud Router VPN haute disponibilité du VPC de routage annoncent les routes pour les préfixes de réseau externe, les VPC de charge de travail et les autres VPC d'accès aux services au routeur Cloud Router du VPC d'accès aux services. Ces routes doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.
- Le réseau VPC d'accès aux services annonce ses sous-réseaux et ceux de tous les réseaux VPC de services gérés associés au réseau VPC de routage. Les routes de VPC des services gérés doivent être annoncées à l'aide des annonces de routage personnalisées Cloud Router.
Connexion 3 : entre les réseaux VPC de routage et les réseaux VPC de charge de travail
Cette connexion entre les réseaux VPC de routage et les réseaux VPC de charge de travail est implémentée à l'aide de l'appairage de réseaux VPC. Cette connexion permet la communication entre les réseaux VPC de charge de travail et les autres réseaux connectés au réseau VPC de routage. Ces autres réseaux incluent les réseaux externes et les réseaux VPC d'accès aux services.
- Le réseau VPC de charge de travail exporte automatiquement les sous-réseaux vers le réseau VPC de routage.
Connexion 4 : entre les réseaux VPC de charge de travail
Les réseaux VPC de charge de travail sont connectés à l'aide de spokes VPC Network Connectivity Center du même hub. Par conséquent, le trafic d'un réseau VPC de charge de travail à un autre transite directement entre les réseaux. Le trafic ne transite pas par le réseau VPC de routage.
Flux de trafic
Le schéma suivant montre les quatre flux activés par cette architecture de référence.
Le tableau suivant décrit les flux du diagramme :
| Source | Destination | Description |
|---|---|---|
| Réseau externe | Réseau VPC d'accès aux services |
|
| Réseau VPC d'accès aux services | Réseau externe |
|
| Réseau externe | Réseau VPC de charge de travail |
|
| Réseau VPC de charge de travail | Réseau externe |
|
| Réseau VPC de charge de travail | Réseau VPC d'accès aux services |
|
| Réseau VPC d'accès aux services | Réseau VPC de charge de travail |
|
| Réseau VPC de charge de travail | Réseau VPC de charge de travail | Le trafic qui quitte un réseau VPC de charge de travail suit la route la plus spécifique vers l'autre réseau VPC de charge de travail via Network Connectivity Center. Le trafic retour inverse ce chemin. Ce trafic ne passe pas par les NVA. |
Produits utilisés
Cette architecture de référence utilise les produits Google Cloud suivants :
- Cloud privé virtuel (VPC) : système virtuel qui fournit des fonctionnalités de mise en réseau mondiales et évolutives pour vos charges de travail Google Cloud . Le VPC inclut l'appairage de réseaux VPC, Private Service Connect, l'accès aux services privés et le VPC partagé.
- Network Connectivity Center : framework d'orchestration qui simplifie la connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub.
- Cloud Interconnect : service qui étend votre réseau externe au réseau Google via une connexion à haute disponibilité et à faible latence.
- Cloud VPN : service qui étend de manière sécurisée votre réseau de pairs au réseau de Google via un tunnel VPN IPsec.
- Cloud Router : offre distribuée et entièrement gérée qui fournit des fonctionnalités de speaker et de répondeur BGP (Border Gateway Protocol). Cloud Router fonctionne avec Cloud Interconnect, Cloud VPN et les appliances de routeur pour créer des routes dynamiques dans les réseaux VPC en fonction des routes reçues par BGP et des routes apprises personnalisées.
- Compute Engine : service de calcul sécurisé et personnalisable qui vous permet de créer et d'exécuter des machines virtuelles au sein de l'infrastructure de Google.
- Cloud Load Balancing : portefeuille d'équilibreurs de charge hautes performances, évolutifs, mondiaux et régionaux.
- Cloud Next Generation Firewall : service de pare-feu entièrement distribué offrant des fonctionnalités de protection avancées, une microsegmentation et une gestion simplifiée pour protéger vos charges de travail Google Cloud contre les attaques internes et externes.
Considérations de conception
Cette section décrit les facteurs de conception, les bonnes pratiques et les recommandations de conception à prendre en compte lorsque vous utilisez cette architecture de référence pour développer une topologie qui répond à vos exigences spécifiques en termes de sécurité, de fiabilité et de performances.
Sécurité et conformité
La liste suivante décrit les considérations de sécurité et de conformité pour cette architecture de référence :
- Pour des raisons de conformité, vous pouvez choisir de déployer Cloud Interconnect dans une seule région. Si vous souhaitez conserver tout le trafic dans une seule région, vous pouvez utiliser une topologie à 99,9 %. Pour en savoir plus, consultez Établir une disponibilité de 99,9 % pour Dedicated Interconnect et Établir une disponibilité de 99,9 % pour Partner Interconnect.
- Utilisez Cloud Next Generation Firewall pour sécuriser le trafic entre les réseaux VPC des charges de travail.
- Si vous avez besoin d'inspecter le trafic de couche 7, activez le service de détection et de prévention des intrusions (éventuellement avec la compatibilité avec l'inspection TLS) pour bloquer les activités malveillantes et protéger vos charges de travail contre les menaces. Le service permet de prendre en charge la protection contre les failles de sécurité, les logiciels espions et les virus. Ce service consiste à créer des points de terminaison de pare-feu zonaux gérés par Google, qui utilisent la technologie d'interception des paquets afin d'inspecter de manière transparente les charges de travail sans nécessiter de réarchitecture des routes. Cloud Next Generation Firewall Enterprise entraîne des frais de traitement des données et de point de terminaison de pare-feu zonal.
- Activez Google Threat Intelligence pour les règles de stratégie de pare-feu afin d'autoriser ou de bloquer les connexions en fonction des données Google Threat Intelligence.
- Utilisez des objets de géolocalisation pour les règles de stratégie de pare-feu afin d'autoriser le trafic provenant uniquement des pays autorisés et de bloquer les pays soumis à un embargo.
- Activez la journalisation et la surveillance en fonction de vos besoins en termes de trafic et de conformité. Vous pouvez utiliser les journaux de flux VPC pour obtenir des insights sur vos modèles de trafic.
- Utilisez Cloud IDS pour obtenir des informations supplémentaires sur votre trafic.
- Si les NVA doivent se connecter à des emplacements Internet pour télécharger des mises à jour, configurez Cloud NAT dans le réseau VPC d'accès à Internet.
- Si vous souhaitez que les clients de votre réseau externe puissent accéder directement aux API Google, créez une route basée sur des règles dans le réseau VPC de routage comme suit :
- Plage source : plage agrégée pour votre réseau externe.
- Plage de destination :
199.36.153.4/30 - Prochain saut :
default-internet-gateway
Si vous souhaitez que vos VM Google Cloud accèdent aux API Google via des connexions privées, procédez comme suit :
- Dans chaque réseau VPC, activez l'accès privé à Google.
- Dans chaque réseau de charge de travail, créez une route basée sur des règles pour accéder aux API Google :
- Plage source : plage d'adresses du sous-réseau VPC de la charge de travail.
- Plage de destination :
199.36.153.4/30 - Prochain saut :
default-internet-gateway
- Créez une règle de réponse DNS pour l'accès privé à Google qui s'applique au réseau VPC de routage et à tous les réseaux VPC de charge de travail.
Dans la stratégie de réponse DNS, créez une règle comme suit :
- Nom DNS :
*.googleapis.com. Données locales :
name="*.googleapis.com.",type="A",ttl=3600,rrdatas="199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7"
- Nom DNS :
Fiabilité
La liste suivante décrit les considérations relatives à la fiabilité pour cette architecture de référence :
- Pour obtenir une disponibilité de 99,99 % pour Cloud Interconnect, vous devez vous connecter à deux régions Google Cloud différentes, même si vous n'avez de VM que dans une seule région.
- Pour améliorer la fiabilité et minimiser l'exposition aux défaillances régionales, vous pouvez dupliquer votre déploiement dans plusieurs régions à l'aide de l'archétype de déploiement multirégional.Google Cloud
- Pour gérer le trafic attendu entre le VPC d'accès aux services et les autres réseaux, créez un nombre suffisant de tunnels VPN. Les tunnels VPN individuels sont soumis à des limites de bande passante. Les mêmes consignes s'appliquent si vous utilisez un VPN haute disponibilité entre vos réseaux externes et le réseau VPC de routage.
Optimisation des performances
La liste suivante décrit les considérations relatives aux performances pour cette architecture de référence :
- Vous pouvez améliorer les performances du réseau en augmentant l'unité de transmission maximale (MTU) de vos réseaux et connexions. Pour en savoir plus, consultez Unité de transmission maximale.
- La communication entre le VPC de routage et les ressources de charge de travail s'effectue via l'appairage de réseaux VPC, qui fournit un débit à pleine vitesse pour toutes les VM du réseau, sans frais supplémentaires. Tenez compte des quotas et limites d'appairage de réseaux VPC lorsque vous planifiez votre déploiement.
- Vous pouvez connecter votre réseau externe au réseau VPC de routage à l'aide de VPN haute disponibilité ou de Cloud Interconnect. Pour en savoir plus sur l'équilibre entre les coûts et les performances, consultez Choisir un produit de connectivité réseau.
Déploiement
L'architecture de ce document crée trois ensembles de connexions à un réseau VPC de routage central, ainsi qu'une connexion différente entre les réseaux VPC de charge de travail. Une fois toutes les connexions entièrement configurées, tous les réseaux du déploiement peuvent communiquer entre eux.
Ce déploiement suppose que vous créez des connexions entre le réseau externe et les réseaux VPC de routage dans une région. Toutefois, les sous-réseaux de charge de travail peuvent se trouver dans n'importe quelle région. Si vous placez des charges de travail dans une seule région, vous n'avez besoin de créer des sous-réseaux que dans cette région.
Pour déployer cette architecture de référence, effectuez les tâches suivantes :
- Identifier les régions où placer la connectivité et les charges de travail
- Créer vos réseaux et sous-réseaux VPC
- Créer des tags de ressources pour régir les règles de pare-feu
- Créer et associer des stratégies de pare-feu réseau
- Créer des connexions entre des réseaux externes et votre réseau VPC de routage
- Créer des connexions entre votre réseau VPC de routage et les réseaux VPC d'accès aux services
- Créer des connexions entre votre réseau VPC de routage et vos réseaux VPC de charge de travail
- Connecter vos réseaux VPC de charge de travail
- Installer des NVA
- Créer un routage de service
- Configurer l'accès à Internet dans le réseau d'accès à Internet
- Tester la connectivité aux charges de travail
Identifier les régions où placer la connectivité et les charges de travail
En général, vous devez placer la connectivité, les sous-réseaux VPC et les charges de travail Google Cloud à proximité de vos réseaux sur site ou d'autres clients cloud. Pour en savoir plus sur le placement des charges de travail, consultez Sélecteur de régionsGoogle Cloud et Bonnes pratiques pour la sélection des régions Compute Engine.
Créer vos réseaux et sous-réseaux VPC
Pour créer vos réseaux et sous-réseaux VPC, effectuez les tâches suivantes :
- Créez ou identifiez les projets dans lesquels vous allez créer vos réseaux VPC. Vous avez besoin d'un projet de routage dans lequel vous établissez votre connectivité externe, et d'un autre projet pour héberger vos réseaux VPC d'accès aux services et de charges de travail. Pour obtenir des conseils, consultez Segmentation du réseau et structure du projet. Si vous prévoyez d'utiliser des réseaux VPC partagé, provisionnez vos projets en tant que projets hôtes de VPC partagé.
- Planifiez l'allocation des adresses IP pour vos réseaux. Vous pouvez préallouer et réserver vos plages en créant des plages internes. L'attribution de blocs d'adresses pouvant être agrégés simplifie la configuration et les opérations ultérieures.
- Créez un réseau et un sous-réseau VPC de routage dans le projet de routage. Si vous pensez avoir plusieurs régions, activez le routage mondial.
- Créez un réseau et un sous-réseau VPC avec accès à Internet dans le projet de routage.
- Créez un réseau et un sous-réseau VPC pour l'accès aux services dans le projet hôte. Si vous pensez avoir plusieurs régions, activez le routage mondial.
- Créez des réseaux et des sous-réseaux VPC pour les charges de travail dans les projets hôtes. Si vous pensez avoir plusieurs régions, activez le routage mondial.
Créer des tags de ressources pour régir les règles Cloud Next Generation Firewall
Créez les tags suivants. Vous pouvez les nommer comme vous le souhaitez. Les noms listés ne sont fournis qu'à titre d'exemple.
- Pour le réseau VPC de routage :
- Key (Clé) :
routing-vpc-tags - Valeur :
routing-vpc-multinic - Objectif :
GCE_FIREWALL - Purpose-data : nom du réseau VPC de routage.
- Key (Clé) :
Pour chaque réseau VPC de charge de travail :
Key (Clé) :
WORKLOAD_NAME-tagsRemplacez
WORKLOAD_NAMEpar le nom du réseau VPC de la charge de travail.Valeurs :
WORKLOAD_NAME-clients,WORKLOAD_NAME-wwwRemplacez
WORKLOAD_NAMEpar le nom du réseau VPC de la charge de travail.Objectif :
GCE_FIREWALLPurpose-data : nom du réseau VPC de la charge de travail.
Pour le réseau d'accès à Internet :
- Key (Clé) :
internet-tag - Valeur :
internet-vpc - Objectif :
GCE_FIREWALL - Purpose-data : nom du réseau d'accès à Internet.
- Key (Clé) :
Créer et associer des stratégies de pare-feu réseau
Cette section vous montre les règles Cloud NGFW à créer et à associer pour votre déploiement.
- Créez une stratégie de pare-feu de réseau au niveau mondial dans le projet de routage.
- Créez les règles de pare-feu suivantes dans la stratégie :
- Règle permettant d'autoriser le trafic entrant provenant des plages d'adresses IP de vérification de l'état pour les ports utilisés, tels que
tcp:80,443. - Règle permettant d'autoriser le trafic Identity-Aware Proxy.
- Règle permettant d'autoriser le trafic entrant à partir de plages internes telles que les réseaux d'accès aux services, de charge de travail et externes.
- Règle permettant d'autoriser le trafic entrant provenant des plages d'adresses IP de vérification de l'état pour les ports utilisés, tels que
- Associez la stratégie au réseau VPC de routage.
- En fonction des charges de travail dans vos VPC d'accès aux charges de travail et aux services, créez des règles et des stratégies de pare-feu dans le projet d'hébergement des charges de travail pour régir ce trafic.
Créer des connexions entre des réseaux externes et votre réseau VPC de routage
Cette section suppose une connectivité dans une seule région.
- Configurez la connectivité entre les réseaux externes et votre réseau de routage. Pour comprendre comment aborder ce problème, consultez Connectivité externe et hybride. Pour obtenir de l'aide concernant le choix d'un produit de connectivité, consultez Choisir un produit de connectivité réseau.
- Configurez BGP comme suit :
- Configurez le routeur à l'emplacement externe indiqué comme suit :
- Annoncez tous les sous-réseaux de cet emplacement externe en utilisant la même valeur MED BGP sur les deux interfaces, par exemple 100. Si les deux interfaces annoncent la même valeur MED, Google Cloud peut utiliser ECMP pour équilibrer la charge du trafic entre les deux connexions.
- Configurez le routeur Cloud Router orienté vers l'extérieur dans le VPC de routage de la région connectée comme suit :
- À l'aide des annonces de routage personnalisées, annoncez toutes les plages de sous-réseaux de toutes les régions sur les deux interfaces Cloud Router externes. Si possible, regroupez-les. Utilisez le même MED sur les deux interfaces, par exemple 100.
- Configurez le routeur à l'emplacement externe indiqué comme suit :
Créer des connexions entre votre réseau VPC de routage et les réseaux VPC d'accès aux services
Le VPC d'accès aux services utilise un VPN haute disponibilité pour se connecter au VPC de routage. Le VPN permet un routage transitif entre le VPC d'accès aux services et les réseaux externes et de charge de travail.
- Estimez le volume de trafic qui doit transiter entre les VPC de routage et d'accès aux services. Adaptez le nombre de tunnels attendu en conséquence.
- Configurez un VPN haute disponibilité entre le VPC de routage et le VPC d'accès aux services en suivant les instructions de la section Créer des passerelles VPN haute disponibilité pour connecter des réseaux VPC. Créez un routeur Cloud Router VPN haute disponibilité dédié dans le réseau de routage. Laissez le routeur orienté vers le réseau externe pour les connexions au réseau externe.
- Configuration du routeur cloud du VPC de routage :
- Pour annoncer les sous-réseaux VPC de charge de travail et de réseau externe au VPC d'accès aux services, utilisez des annonces de routage personnalisées sur Cloud Router du VPC de routage.
- Configuration du routeur cloud VPC d'accès aux services :
- Pour annoncer les sous-réseaux VPC d'accès aux services au VPC de routage, utilisez des annonces de routage personnalisées sur le routeur Cloud Router du VPC d'accès aux services.
- Si vous utilisez l'accès privé aux services pour connecter un VPC de services gérés au VPC d'accès aux services, utilisez également des routes personnalisées pour annoncer ces sous-réseaux.
- Configuration du routeur cloud du VPC de routage :
- Si vous connectez un VPC de services gérés au VPC d'accès aux services à l'aide de l'accès privé aux services, une fois la connexion d'appairage de réseaux VPC établie, mettez à jour le côté VPC d'accès aux services de la connexion d'appairage de réseaux VPC pour exporter les routes personnalisées.
Créer des connexions entre votre réseau VPC de routage et vos réseaux VPC de charge de travail
Créez des connexions d'appairage de réseaux VPC entre votre VPC de routage et chacun de vos VPC de charge de travail :
- Activez l'option Exporter les routes personnalisées pour le côté VPC de routage de chaque connexion.
- Activez l'option Importer des routes personnalisées pour le côté VPC de charge de travail de chaque connexion.
- Dans le scénario par défaut, seules les routes de sous-réseau du VPC de charge de travail sont exportées vers le VPC de routage. Vous n'avez pas besoin d'exporter les routes personnalisées depuis les VPC de charge de travail.
Connecter vos réseaux VPC de charge de travail
Connectez les réseaux VPC de charge de travail à l'aide de spokes VPC Network Connectivity Center. Faites en sorte que tous les spokes fassent partie du même groupe de pairs de spokes Network Connectivity Center. Utilisez un groupe de pairs principal pour autoriser la communication maillée complète entre les VPC.
Utilisez Cloud Next Generation Firewall pour régir le trafic à l'intérieur et entre les réseaux VPC de charge de travail.
La connexion Network Connectivity Center annonce des routes spécifiques entre les réseaux VPC de charge de travail. Le trafic entre ces réseaux suit ces routes.
Installer des NVA
Ces instructions supposent que vous disposez d'une image de VM que vous souhaitez utiliser pour vos NVA.
Créez un groupe d'appliances virtuelles réseau à équilibrage de charge. Pour en savoir plus, consultez Configurer un équilibreur de charge réseau passthrough interne pour les dispositifs tiers.
Créez un modèle d'instance basé sur votre image NVA avec le paramètre suivant :
Balise de réseau :
nva-REGIONRemplacez
REGIONpar le nom de la région.Tag Resource Manager :
routing-vpc-tags=routing-vpc-multinic.Interface réseau pour le réseau VPC de routage sans adresse IP externe.
Interface réseau pour le réseau VPC d'accès à Internet sans adresse IP externe.
Définissez
can IP forwardpour la VM et le système d'exploitation.Créez des routes
ip routeet des règlesiptablespour envoyer du trafic entre les réseaux de routage et d'accès à Internet.
Créez un groupe dgroupe d'instances géré (MIG) régional avec suffisamment de VM pour gérer le trafic attendu.
Créer le routage des services
Cette section explique comment envoyer du trafic via les NVA ou les contourner, selon le cas.
- Dans le réseau VPC de routage, créez une route basée sur des règles avec les paramètres suivants :
- Plage source :
0.0.0.0/0 - Plage de destination :
0.0.0.0/0 - Saut suivant : adresse IP de la règle de transfert de l'équilibreur de charge réseau passthrough interne
- Tags réseau : ne spécifiez aucun tag réseau. Ces paramètres créent une règle qui s'applique à tout le trafic provenant d'un rattachement de VLAN, d'un tunnel VPN ou d'une autre VM du réseau.
- Plage source :
Dans le réseau de routage, créez une route basée sur des règles d'ignorance avec les paramètres suivants :
- Plage source :
0.0.0.0/0 - Plage de destination :
0.0.0.0/0 - Saut suivant : définissez le saut suivant pour ignorer les autres routes basées sur des règles et utiliser le routage par défaut.
Tags réseau :
nva-REGIONRemplacez
REGIONpar le nom de la région.
Ces paramètres créent une règle qui ne s'applique qu'au trafic quittant les VM NVA. Il permet à ce trafic d'ignorer la première route basée sur des règles que vous avez créée et de suivre plutôt la table de routage du VPC.
- Plage source :
Dans chaque réseau de charge de travail, créez des routes basées sur des règles pour chaque sous-réseau avec la configuration suivante :
- Plage source : plage d'adresses du sous-réseau VPC de la charge de travail.
- Plage de destination :
0.0.0.0/0 - Saut suivant : adresse IP de la règle de transfert de l'équilibreur de charge réseau passthrough interne dans le réseau de routage
Dans chaque réseau de charge de travail, créez une route basée sur des règles de saut pour le trafic intrasous-réseau :
- Plage source : plage d'adresses du sous-réseau VPC de la charge de travail.
- Plage de destination : plage d'adresses du sous-réseau VPC de la charge de travail.
- Saut suivant : définissez le saut suivant pour ignorer les autres routes basées sur des règles et utiliser le routage par défaut.
Dans chaque réseau de charge de travail, créez une route basée sur des règles de saut pour le trafic entre sous-réseaux. Une route doit être créée pour chaque autre sous-réseau de charge de travail, sauf si les routes peuvent être agrégées :
- Plage source : plage d'adresses du sous-réseau VPC de la charge de travail.
- Plage de destination : plage des autres sous-réseaux de charge de travail.
- Saut suivant : définissez le saut suivant pour ignorer les autres routes basées sur des règles et utiliser le routage par défaut.
Ces instructions supposent que tout le trafic, à l'exception du trafic au sein d'un sous-réseau VPC et entre les sous-réseaux VPC de charge de travail, est acheminé via les NVA. Si vous souhaitez que le trafic entre les VPC de charge de travail et le VPC d'accès aux services ignore les NVA, installez des routes d'évitement de routage basé sur des règles supplémentaires et configurez des règles Cloud NGFW supplémentaires pour ce trafic.
Configurer l'accès à Internet dans le réseau d'accès à Internet
Pour configurer l'accès sortant à Internet, configurez Cloud NAT dans le réseau d'accès à Internet.
Tester la connectivité aux charges de travail
Si vous avez déjà déployé des charges de travail dans vos réseaux VPC, testez-y l'accès dès maintenant. Si vous avez connecté les réseaux avant de déployer des charges de travail, vous pouvez les déployer maintenant et les tester.
Étapes suivantes
- Découvrez les produits Google Cloud utilisés dans ce guide de conception :
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux
- Deepak Michael | Ingénieur client spécialiste en gestion des réseaux
- Victor Moreno | Responsable produit, Mise en réseau cloud
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
Autre contributeur : Ammett Williams | Ingénieur relations avec les développeurs