Architecture hub-and-spoke

Ce document présente deux options d'architecture pour configurer une topologie de réseau hub-and-spoke dans Google Cloud. L'une utilise la fonctionnalité d'appairage de réseaux du cloud privé virtuel (VPC) et l'autre utilise Cloud VPN.

Présentation

Qu'est-ce qu'un réseau hub-and-spoke ? Quand est-ce utile ? En tant qu'architecte d'entreprise ou administrateur réseau, lorsque vous concevez la topologie Google Cloud pour une grande entreprise, il peut être nécessaire de planifier une isolation au niveau du réseau des ressources utilisées par différents environnements, unités commerciales ou charges de travail. Une telle isolation permet un contrôle précis du trafic réseau pour chaque groupe de ressources. Elle peut également vous aider à répondre aux exigences légales et réglementaires en matière de séparation des données.

Vous pouvez obtenir une isolation des ressources au niveau du réseau dans Google Cloud en déployant les ressources sur des réseaux VPC distincts. Pour permettre aux ressources de ces réseaux VPC d'utiliser des services partagés (tels que des pare-feu ou des métadonnées de configuration) et d'accéder de manière centralisée au cloud à partir de votre réseau sur site, vous pouvez connecter chaque réseau VPC à un réseau VPC hub central. Le schéma suivant illustre un exemple de réseau hub-and-spoke, parfois appelé topologie en étoile.

Schéma du réseau hub-and-spoke.

Dans cet exemple, des réseaux VPC spoke distincts sont utilisés pour les charges de travail des unités commerciales individuelles au sein d'une grande entreprise. Chaque réseau VPC spoke est connecté à un réseau VPC hub central contenant des services partagés et pouvant servir de point d'entrée unique vers le cloud à partir du réseau sur site de l'entreprise.

Architecture utilisant l'appairage de réseaux VPC

Le schéma suivant montre un réseau en étoile utilisant l'appairage de réseaux VPC, qui permet une communication sécurisée entre les ressources de réseaux VPC distincts sur le réseau interne de Google à l'aide d'adresses IP privées, sans que le trafic du réseau inter-VPC ne transite par l'Internet public.

Architecture hub et spoke via l'appairage de réseaux VPC
  • Dans cette architecture, les ressources nécessitant une isolation au niveau du réseau utilisent également des réseaux VPC spoke distincts. Par exemple, l'architecture montre une VM Compute Engine sur le réseau VPC spoke-1. Le réseau VPC spoke-2 dispose d'une VM Compute Engine et d'un cluster Google Kubernetes Engine (GKE).

  • Chaque réseau VPC spoke de cette architecture possède une relation d'appairage avec un réseau VPC de hub central.

  • Chaque réseau VPC spoke dispose d'une passerelle Cloud NAT pour une communication sortante avec Internet.

  • Les connexions d'appairage entre les réseaux VPC spoke et le réseau VPC hub n'autorisent pas le trafic transitif, c'est-à-dire qu'il n'est pas possible de communiquer d'un réseau spoke à l'autre par le biais du hub. Les ressources telles que les nœuds privés GKE et les instances Cloud SQL disposant d'adresses IP privées nécessitent un proxy pour l'accès en dehors de leur réseau VPC.

    Pour contourner la contrainte de non transitivité de l'appairage de réseaux VPC, l'architecture offre la possibilité d'utiliser Cloud VPN. Dans cet exemple, un tunnel VPN entre le réseau VPC spoke-2 et le réseau VPC de hub permet la connectivité du réseau VPC spoke-2 avec les autres spokes. Si vous avez besoin d'une connectivité entre seulement quelques spokes spécifiques, vous pouvez appairer directement ces paires de réseaux VPC.

Architecture utilisant Cloud VPN

L'évolutivité d'une topologie hub-and-spoke qui utilise l'appairage de réseaux VPC est soumise aux limites d'appairage de réseaux VPC. Comme indiqué précédemment, les connexions d'appairage de réseaux VPC n'autorisent pas le trafic transitif au-delà des deux réseaux VPC dans une relation d'appairage. Le schéma suivant illustre une autre architecture de réseau hub-and-spoke qui utilise Cloud VPN pour contourner les limites de l'appairage de réseaux VPC.

Architecture hub-and-spoke via Cloud VPN
  • Dans cette architecture, les ressources nécessitant une isolation au niveau du réseau utilisent également des réseaux VPC spoke distincts.
  • Un tunnel VPN IPSec connecte chaque réseau VPC spoke à un réseau VPC de hub.
  • Chaque réseau VPC spoke dispose d'une passerelle Cloud NAT pour la communication sortante avec l'Internet public.

Lorsque vous choisissez entre les deux architectures décrites jusqu'ici, tenez compte des avantages relatifs de l'appairage de réseaux VPC et de Cloud VPN :

  • L'appairage de réseaux VPC présente une contrainte de non-transitivité, mais il accepte la bande passante complète définie par le type de machine des VM, ainsi que d'autres facteurs qui déterminent la bande passante réseau.
  • Cloud VPN autorise le routage transitif, mais la bande passante totale (entrée et sortie) de chaque tunnel VPN est limitée à 3 Gbit/s.

Alternatives de conception

Considérez les alternatives architecturales suivantes pour l'interconnexion des ressources déployées dans des réseaux VPC distincts dans Google Cloud :

Connectivité spoke à l'aide d'une passerelle dans le réseau VPC de hub
Pour activer la communication entre réseaux spoke, vous pouvez déployer un dispositif virtuel de réseau (NVA) ou un pare-feu nouvelle génération (NGFW) sur le réseau VPC hub afin de servir de passerelle pour le trafic hub-and-spoke Voir Dispositifs réseau centralisés sur Google Cloud.
Appairage de réseaux VPC sans hub
Si vous n'avez pas besoin d'un contrôle centralisé sur la connectivité sur site ou sur les services de partage entre les réseaux VPC, aucun réseau VPC hub n'est nécessaire. Vous pouvez configurer l'appairage pour les paires de réseaux VPC qui nécessitent une connectivité et gérer les interconnexions individuellement. Tenez compte des limites applicables au nombre de relations d'appairage par réseau VPC.
Créer plusieurs réseaux VPC partagés

Créez un réseau VPC partagé pour chaque groupe de ressources que vous souhaitez isoler au niveau du réseau. Par exemple, pour séparer les ressources utilisées pour les environnements de production et de développement, créez un réseau VPC partagé pour la production et un autre réseau VPC partagé pour le développement. Ensuite, appairez les deux réseaux VPC pour permettre la communication entre eux. Les ressources des projets individuels pour chaque application ou service peuvent utiliser les services du réseau VPC partagé approprié.

Pour connecter les réseaux VPC et votre réseau sur site, vous pouvez utiliser des tunnels VPN distincts pour chaque réseau VPC ou des rattachements de VLAN distincts sur la même connexion d'interconnexion dédiée.

Étape suivante