Ce document fournit une architecture de référence que vous pouvez utiliser pour déployer une topologie de réseau hub-and-spoke Cross-Cloud Network (réseau multicloud) dans Google Cloud. Cette conception de réseau permet de déployer des services logiciels dans Google Cloud et des réseaux externes, tels que des centres de données sur site ou d'autres fournisseurs de services cloud (CSP).
Cette conception prend en charge plusieurs connexions externes, plusieurs réseaux de cloud privé virtuel (VPC) d'accès aux services et plusieurs réseaux VPC de charge de travail.
Ce document s'adresse aux administrateurs réseau qui créent la connectivité réseau et aux architectes cloud qui planifient le déploiement des charges de travail. Dans ce document, nous partons du principe que vous maîtrisez les bases du routage et de la connectivité Internet.
Architecture
Le diagramme suivant présente une vue d'ensemble de l'architecture des réseaux et des quatre flux de paquets compatibles avec cette architecture.
L'architecture contient les éléments généraux suivants:
| Composant | Objectif | Interactions |
|---|---|---|
| Réseaux externes (réseau sur site ou autre réseau de fournisseur de services cloud) | Héberge les clients des charges de travail exécutées dans les VPC de charge de travail et les VPC d'accès aux services. Les réseaux externes peuvent également héberger des services. | Échange des données avec les réseaux de cloud privé virtuel (VPC) de Google Cloud via le réseau de transit. Se connecte au réseau de transit à l'aide de Cloud Interconnect ou d'un VPN haute disponibilité. Met fin à une extrémité des flux suivants:
|
| Réseau VPC de transit | Il sert de hub au réseau externe, au réseau VPC d'accès aux services et aux réseaux VPC de la charge de travail. | Connecte le réseau externe, le réseau VPC d'accès aux services et les réseaux VPC de charge de travail à l'aide d'une combinaison de Cloud Interconnect, de VPN haute disponibilité et d'appairage de réseaux VPC. |
| Réseau VPC d'accès aux services | Fournit un accès aux services requis par les charges de travail exécutées dans les réseaux VPC de charge de travail ou les réseaux externes. Fournit également des points d'accès aux services gérés hébergés sur d'autres réseaux. | Échange des données avec les réseaux externes et de charge de travail via le réseau de transit. Se connecte au VPC de transit à l'aide d'un VPN haute disponibilité. Le routage transitif fourni par le VPN haute disponibilité permet au trafic externe d'atteindre les VPC de services gérés via le réseau VPC d'accès aux services. Met fin à une extrémité des flux suivants:
|
| Réseau VPC de services gérés | Héberge les services gérés dont les clients d'autres réseaux ont besoin. | Échange des données avec les réseaux externes, d'accès aux services et de charge de travail. Se connecte au réseau VPC d'accès aux services à l'aide de l'accès privé aux services, qui utilise l'appairage de réseaux VPC, ou à l'aide de Private Service Connect. Met fin à une extrémité des flux de tous les autres réseaux. |
| Réseaux VPC de charge de travail | Héberge les charges de travail dont les clients d'autres réseaux ont besoin. | Échange des données avec les réseaux VPC externes et d'accès aux services via le réseau VPC de transit. Se connecte au réseau de transit à l'aide de l'appairage de réseaux VPC. Se connecte à d'autres réseaux VPC de charge de travail à l'aide de spokes VPC Network Connectivity Center. Met fin à une extrémité des flux suivants:
|
Le diagramme suivant présente une vue détaillée de l'architecture qui met en évidence les quatre connexions entre les réseaux:
Descriptions des connexions
Cette section décrit les quatre connexions illustrées dans le schéma précédent.
Connexion 1: entre les réseaux externes et le réseau VPC de transit
Cette connexion entre les réseaux externes et les réseaux VPC de transit se fait via Cloud Interconnect ou un VPN haute disponibilité. Les routes sont échangées à l'aide de BGP entre les routeurs Cloud du réseau VPC de transit et les routeurs externes du réseau externe.
- Les routeurs des réseaux externes annoncent les routes des sous-réseaux externes aux routeurs cloud VPC de transit. En général, les routeurs externes d'un emplacement donné annoncent les routes de cet emplacement comme étant plus prioritaires que les routes d'autres emplacements externes. La préférence des routes peut être exprimée à l'aide de métriques et d'attributs BGP.
- Les routeurs cloud du réseau VPC de transit annoncent les routes des préfixes des VPC de Google Cloud aux réseaux externes. Ces routes doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.
Connexion 2: entre les réseaux VPC de transit et les réseaux VPC d'accès aux services
Cette connexion entre les réseaux VPC de transit et les réseaux VPC d'accès aux services s'effectue via un VPN haute disponibilité avec des tunnels distincts pour chaque région. Les routes sont échangées à l'aide de BGP entre les routeurs Cloud régionaux des réseaux VPC de transit et les réseaux VPC d'accès aux services.
- Les routeurs Cloud Router VPN haute disponibilité du VPC de transit annoncent des routes pour les préfixes réseau externes, les VPC de charge de travail et d'autres VPC d'accès aux services au routeur Cloud Router du VPC d'accès aux services. Ces routes doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.
- Le réseau VPC d'accès aux services annonce ses sous-réseaux et ceux de tous les réseaux VPC de services gérés associés au réseau VPC de transit. Les routes VPC des services gérés et les routes de sous-réseau VPC d'accès aux services doivent être annoncées à l'aide d'annonces de routage personnalisées Cloud Router.
Connexion 3: entre les réseaux VPC de transit et les réseaux VPC de charge de travail
Cette connexion entre les réseaux VPC de transit et les réseaux VPC de charge de travail est implémentée via l'appairage VPC. Les sous-réseaux et les routes de préfixe sont échangés à l'aide de mécanismes d'appairage de VPC. Cette connexion permet la communication entre les réseaux VPC de la charge de travail et les autres réseaux connectés au réseau VPC de transit, y compris les réseaux externes et les réseaux VPC d'accès aux services.
- Le réseau VPC de transit utilise l'appairage de réseaux VPC pour exporter des routes personnalisées. Ces routes personnalisées incluent toutes les routes dynamiques apprises par le réseau VPC de transit. Les réseaux VPC de la charge de travail importent ces routes personnalisées.
- Le réseau VPC de la charge de travail exporte automatiquement les sous-réseaux vers le réseau VPC de transit. Aucune route personnalisée n'est exportée des VPC de charge de travail vers le VPC de transit.
Connexion 4: entre les réseaux VPC de charge de travail
- Les réseaux VPC de charge de travail peuvent être connectés à l'aide de spokes VPC Network Connectivity Center. Il s'agit d'une configuration facultative. Vous pouvez l'omettre si vous ne souhaitez pas que les réseaux VPC de la charge de travail communiquent entre eux.
Flux de trafic
Le schéma suivant montre les quatre flux activés par cette architecture de référence.
Le tableau suivant décrit les flux du diagramme:
| Source | Destination | Description |
|---|---|---|
| Réseau externe | Réseau VPC d'accès aux services |
|
| Réseau VPC d'accès aux services | Réseau externe |
|
| Réseau externe | Réseau VPC de charge de travail |
|
| Réseau VPC de charge de travail | Réseau externe |
|
| Réseau VPC de charge de travail | Réseau VPC d'accès aux services |
|
| Réseau VPC d'accès aux services | Réseau VPC de charge de travail |
|
| Réseau VPC de charge de travail | Réseau VPC de charge de travail | Le trafic qui quitte un VPC de charge de travail suit la route plus spécifique vers l'autre VPC de charge de travail via Network Connectivity Center. Le trafic retour inverse ce chemin. |
Produits utilisés
Cette architecture de référence utilise les produits Google Cloud suivants :
- Cloud privé virtuel (VPC): système virtuel qui fournit des fonctionnalités de mise en réseau mondiales et évolutives pour vos charges de travail Google Cloud. Le VPC inclut l'appairage de réseaux VPC, Private Service Connect, l'accès aux services privés et le VPC partagé.
- Network Connectivity Center: framework d'orchestration qui simplifie la connectivité réseau entre les ressources de spoke connectées à une ressource de gestion centrale appelée hub.
- Cloud Interconnect: service qui étend votre réseau externe au réseau Google via une connexion à haute disponibilité et à faible latence.
- Cloud VPN: service qui étend de manière sécurisée votre réseau de pairs au réseau de Google via un tunnel VPN IPsec.
- Cloud Router: offre distribuée et entièrement gérée qui fournit des fonctionnalités de speaker et de répondeur BGP (Border Gateway Protocol). Cloud Router fonctionne avec Cloud Interconnect, Cloud VPN et les appareils Router pour créer des routes dynamiques dans les réseaux VPC en fonction des routes BGP reçues et des routes apprises personnalisées.
Considérations de conception
Cette section décrit les facteurs de conception, les bonnes pratiques et les recommandations de conception à prendre en compte lorsque vous utilisez cette architecture de référence pour développer une topologie répondant à vos exigences spécifiques en termes de sécurité, de fiabilité et de performances.
Sécurité et conformité
La liste suivante décrit les considérations de sécurité et de conformité pour cette architecture de référence:
- Pour des raisons de conformité, vous pouvez choisir de ne déployer des charges de travail que dans une seule région. Si vous souhaitez conserver tout le trafic dans une seule région, vous pouvez utiliser une topologie de 99,9 %. Pour en savoir plus, consultez les pages Établir une disponibilité de 99,9% pour l'interconnexion dédiée et Établir une disponibilité de 99,9% pour l'interconnexion partenaire.
- Utilisez Cloud Next Generation Firewall pour sécuriser le trafic entrant et sortant des réseaux VPC d'accès aux services et de charges de travail. Pour sécuriser le trafic qui passe entre les réseaux externes et le réseau de transit, vous devez utiliser des pare-feu externes ou des pare-feu NVA.
- Activez la journalisation et la surveillance en fonction de vos besoins en termes de trafic et de conformité. Vous pouvez utiliser les journaux de flux VPC pour obtenir des insights sur vos modèles de trafic.
- Utilisez Cloud IDS pour obtenir des insights supplémentaires sur votre trafic.
Fiabilité
La liste suivante décrit les considérations de fiabilité pour cette architecture de référence:
- Pour obtenir une disponibilité de 99,99% pour Cloud Interconnect, vous devez vous connecter à deux régions Google Cloud différentes.
- Pour améliorer la fiabilité et réduire l'exposition aux défaillances régionales, vous pouvez distribuer des charges de travail et d'autres ressources cloud dans différentes régions.
- Pour gérer le trafic attendu, créez un nombre suffisant de tunnels VPN. Les tunnels VPN individuels sont soumis à des limites de bande passante.
Optimisation des performances
La liste suivante décrit les considérations de performances pour cette architecture de référence:
- Vous pouvez peut-être améliorer les performances du réseau en augmentant l'unité de transmission maximale (MTU) de vos réseaux et connexions. Pour en savoir plus, consultez la section Unité de transmission maximale.
- La communication entre le VPC de transit et les ressources de charge de travail s'effectue via l'appairage de réseaux VPC, qui fournit un débit de ligne complet pour toutes les VM du réseau sans frais supplémentaires. Tenez compte des quotas et limites d'appairage de réseaux VPC lorsque vous planifiez votre déploiement. Vous avez plusieurs options pour connecter votre réseau externe au réseau de transit. Pour en savoir plus sur l'équilibre entre les coûts et les performances, consultez Choisir un produit de connectivité réseau.
Déploiement
L'architecture de ce document crée trois ensembles de connexions à un réseau VPC de transit central, ainsi qu'une autre connexion entre les réseaux VPC de charge de travail. Une fois toutes les connexions entièrement configurées, tous les réseaux du déploiement peuvent communiquer avec tous les autres réseaux.
Ce déploiement suppose que vous créez des connexions entre les réseaux externes et de transit dans deux régions. Toutefois, les sous-réseaux de charge de travail peuvent se trouver dans n'importe quelle région. Si vous ne placez des charges de travail que dans une seule région, vous n'avez besoin de créer des sous-réseaux que dans cette région.
Pour déployer cette architecture de référence, effectuez les tâches suivantes:
- Identifier les régions où placer la connectivité et les charges de travail
- Créer vos réseaux et sous-réseaux VPC
- Créer des connexions entre des réseaux externes et votre réseau VPC de transit
- Créer des connexions entre votre réseau VPC de transit et les réseaux VPC d'accès aux services
- Créer des connexions entre votre réseau VPC de transit et vos réseaux VPC de charge de travail
- Connecter vos réseaux VPC de charge de travail
- Tester la connectivité aux charges de travail
Identifier les régions où placer la connectivité et les charges de travail
En règle générale, vous devez placer la connectivité et les charges de travail Google Cloud à proximité de vos réseaux sur site ou d'autres clients cloud. Pour en savoir plus sur l'emplacement des charges de travail, consultez Sélecteur de région Google Cloud et Bonnes pratiques pour la sélection des régions Compute Engine.
Créer vos réseaux et sous-réseaux VPC
Pour créer vos réseaux et sous-réseaux VPC, procédez comme suit:
- Créez ou identifiez les projets dans lesquels vous allez créer vos réseaux VPC. Pour obtenir des conseils, consultez la section Segmentation de réseau et structure de projet. Si vous prévoyez d'utiliser des réseaux VPC partagés, provisionnez vos projets en tant que projets hôtes VPC partagés.
- Planifiez les allocations d'adresses IP pour vos réseaux. Vous pouvez préallouer et réserver vos plages en créant des plages internes. L'allocation de blocs d'adresses pouvant être agrégés facilite la configuration et les opérations ultérieures.
- Créez un VPC de réseau de transit avec le routage global activé.
- Créez des réseaux VPC de service. Si vous avez des charges de travail dans plusieurs régions, activez le routage global.
- Créez des réseaux VPC de charge de travail. Si vous avez des charges de travail dans plusieurs régions, activez le routage global.
Créer des connexions entre des réseaux externes et votre réseau VPC de transit
Cette section suppose que la connectivité est établie dans deux régions, que les emplacements externes sont connectés et qu'ils peuvent basculer l'un vers l'autre en cas de défaillance. Il suppose également que les clients situés dans l'emplacement externe A préfèrent accéder aux services de la région A, etc.
- Configurez la connectivité entre les réseaux externes et votre réseau de transit. Pour comprendre comment y penser, consultez la section Connectivité externe et hybride. Pour obtenir des conseils sur le choix d'un produit de connectivité, consultez Choisir un produit de connectivité réseau.
- Configurez BGP dans chaque région connectée comme suit :
- Configurez le routeur à l'emplacement externe donné comme suit :
- Annoncer tous les sous-réseaux de cet emplacement externe à l'aide du même MED BGP sur les deux interfaces, par exemple 100. Si les deux interfaces annoncent le même MED, Google Cloud peut utiliser ECMP pour équilibrer la charge du trafic sur les deux connexions.
- Annoncer tous les sous-réseaux de l'autre emplacement externe à l'aide d'un MED de priorité inférieure à celui de la première région, par exemple 200. Annoncer le même MED à partir des deux interfaces.
- Configurez le routeur Cloud Router orienté vers l'extérieur dans le VPC de transit de la région connectée comme suit :
- Définissez l'ASN de votre routeur cloud sur 16550.
- À l'aide d'annonces de routage personnalisées, annoncez toutes les plages de sous-réseaux de toutes les régions sur les deux interfaces Cloud Router orientées vers l'extérieur. Si possible, agrégez-les. Utilisez le même MED sur les deux interfaces, par exemple 100.
- Configurez le routeur à l'emplacement externe donné comme suit :
Créer des connexions entre votre réseau VPC de transit et les réseaux VPC d'accès aux services
Pour fournir un routage transitif entre les réseaux externes et le VPC d'accès aux services, et entre les VPC de charge de travail et le VPC d'accès aux services, le VPC d'accès aux services utilise un VPN haute disponibilité pour la connectivité.
- Estimez le volume de trafic qui doit transiter entre les VPC de transit et d'accès aux services dans chaque région. Ajustez le nombre de tunnels prévu en conséquence.
- Configurez un VPN haute disponibilité entre le VPC de transit et le VPC d'accès aux services dans la région A en suivant les instructions de la section Créer des passerelles VPN haute disponibilité pour connecter des réseaux VPC. Créez un routeur Cloud Router VPN haute disponibilité dédié dans le réseau de transit. Laissez le routeur orienté vers le réseau externe pour les connexions réseau externes.
- Configuration du routeur cloud VPC de transit :
- Pour annoncer les sous-réseaux VPC de réseau externe et de charge de travail au VPC d'accès aux services, utilisez des annonces de routage personnalisées sur Cloud Router dans le VPC de transit.
- Configuration du routeur cloud VPC pour l'accès aux services :
- Pour annoncer les sous-réseaux VPC d'accès aux services au VPC de transit, utilisez des annonces de routage personnalisées sur le routeur Cloud Router du VPC d'accès aux services.
- Si vous utilisez l'accès aux services privés pour connecter un VPC de services gérés au VPC d'accès aux services, utilisez également des routes personnalisées pour annoncer ces sous-réseaux.
- Configuration du routeur cloud VPC de transit :
- Si vous connectez un VPC de services gérés au VPC d'accès aux services à l'aide de l'accès aux services privés, après l'établissement de la connexion d'appairage de réseaux VPC, mettez à jour le côté VPC d'accès aux services de la connexion d'appairage de réseaux VPC pour exporter des routes personnalisées.
Créer des connexions entre votre réseau VPC de transit et vos réseaux VPC de charge de travail
Créez des connexions d'appairage de réseaux VPC entre votre VPC de transit et chacun de vos VPC de charge de travail:
- Activez Exporter des routes personnalisées pour le côté VPC de transit de chaque connexion.
- Activez Importer des routes personnalisées pour le côté VPC de la charge de travail de chaque connexion.
- Dans le scénario par défaut, seules les routes de sous-réseau du VPC de charge de travail sont exportées vers le VPC de transit. Vous n'avez pas besoin d'exporter de routes personnalisées à partir des VPC de la charge de travail.
Connecter vos réseaux VPC de charge de travail
Connectez les réseaux VPC de la charge de travail à l'aide de spokes VPC Network Connectivity Center. Faites en sorte que tous les spokes fassent partie du même groupe de pairs de spokes Network Connectivity Center. Utilisez un groupe d'appairage de base pour autoriser une communication maillée complète entre les VPC.
La connexion Network Connectivity Center annonce des routes spécifiques entre les réseaux VPC de la charge de travail. Le trafic entre ces réseaux suit ces routes.
Tester la connectivité aux charges de travail
Si vous avez déjà déployé des charges de travail dans vos réseaux VPC, testez l'accès à celles-ci dès maintenant. Si vous avez connecté les réseaux avant de déployer des charges de travail, vous pouvez les déployer maintenant et les tester.
Étape suivante
- Découvrez les produits Google Cloud utilisés dans ce guide de conception :
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteurs :
- Deepak Michael | Ingénieur client spécialiste en gestion des réseaux
- Victor Moreno | Responsable produit, Mise en réseau cloud
- Osvaldo Costa | Ingénieur client spécialiste en gestion des réseaux
Autres contributeurs :
- Mark Schlagenhauf | Rédacteur technique, Mise en réseau
- Ammett Williams | Ingénieur relations avec les développeurs
- Ghaleb Al-habian | Spécialiste réseau