Le présent document du framework d'architecture Google Cloud présente les bonnes pratiques pour déployer votre système en fonction de la conception réseau. Vous apprendrez à choisir et à mettre en œuvre un cloud privé virtuel (VPC), ainsi qu'à tester et gérer la sécurité du réseau.
Principes de base
La conception de la mise en réseau est essentielle à la conception d'un système réussi, car elle vous aide à optimiser les performances et à sécuriser les communications des applications avec des services internes et externes. Lorsque vous choisissez des services de mise en réseau, il est important d'évaluer les besoins de vos applications et de prévoir comment elles vont communiquer entre elles. Par exemple, bien que certains composants nécessitent des services mondiaux, d'autres doivent être géolocalisés dans une région spécifique.
Le réseau privé de Google connecte nos sites régionaux à plus de 100 points de présence du réseau mondial. Google Cloud exploite des technologies de réseau défini par logiciel et des systèmes distribués pour héberger et diffuser vos services dans le monde entier. Le principal composant Google pour la mise en réseau au sein de Google Cloud est le VPC mondial. Le VPC utilise le réseau haut débit mondial de Google pour relier vos applications entre différentes régions tout en garantissant la confidentialité et la fiabilité. Google garantit la diffusion de votre contenu à haut débit grâce à des technologies telles que la bande passante de goulot d'étranglement et le délai de propagation aller-retour (BBR).
Le développement de votre conception de mise en réseau cloud comprend les étapes suivantes :
- Concevoir l'architecture VPC des charges de travail. Commencez par identifier le nombre de projets Google Cloud et de réseaux VPC dont vous aurez besoin.
- Ajouter la connectivité inter-VPC Déterminez comment les charges de travail se connectent à d'autres charges de travail situées dans d'autres réseaux VPC.
- Concevoir une connectivité réseau hybride. Déterminez la manière dont vos VPC de charge de travail se connectent aux environnements sur site ou à d'autres environnements cloud.
Lorsque vous concevez votre réseau Google Cloud, tenez compte des points suivants :
- Un VPC fournit un environnement de mise en réseau privé dans le cloud pour l'interconnexion des services via Compute Engine, Google Kubernetes Engine (GKE) et les Solutions d'informatique sans serveur. Vous pouvez également utiliser un VPC pour accéder en mode privé à des services gérés par Google tels que Cloud Storage, BigQuery et Cloud SQL.
- Les réseaux VPC, y compris leurs routes et règles de pare-feu associées, sont des ressources globales. Ils ne sont associés à aucune région ou zone particulière.
- Les sous-réseaux sont des ressources régionales. Les instances de VM Compute Engine déployées dans différentes zones d'une même région cloud peuvent utiliser des adresses IP du même sous-réseau.
- Le trafic à destination et en provenance des instances peut être contrôlé à l'aide de règles de pare-feu VPC.
- L'administration réseau peut être sécurisée à l'aide de rôles Identity and Access Management (IAM).
- Les réseaux VPC peuvent être connectés en toute sécurité dans des environnements hybrides à l'aide de Cloud VPN ou de Cloud Interconnect.
Pour afficher la liste complète des spécifications VPC, consultez la section Spécifications.
Architecture du VPC de charge de travail
Cette section présente les bonnes pratiques pour concevoir des architectures de VPC de charge de travail adaptées avec votre système.
Se pencher tôt sur la conception des réseaux VPC
Veillez à aborder la conception des réseaux VPC au début du processus de conception de votre infrastructure Google Cloud. Les choix de conception à l'échelle de l'organisation sont souvent difficiles à modifier plus tard dans le processus. Pour plus d'informations, consultez les pages Bonnes pratiques et architectures de référence pour la conception de VPC et Choisir la conception de réseau pour votre zone de destination Google Cloud.
Commencer avec un seul réseau VPC
Pour de nombreux cas d'utilisation incluant des ressources qui ont des exigences communes, un seul réseau VPC fournit toutes les fonctionnalités dont vous avez besoin. Les réseaux VPC uniques sont faciles à créer, à gérer et à comprendre. Pour en savoir plus, consultez la section Spécifications du réseau VPC.
Simplifier la topologie du réseau VPC
Pour garantir une architecture facile à gérer, fiable et bien comprise, assurez-vous d'utiliser une conception de topologie réseau VPC aussi simple que possible.
Utiliser des réseaux VPC en mode personnalisé
Pour vous assurer que la mise en réseau Google Cloud s'intègre parfaitement à vos systèmes réseau existants, nous vous recommandons d'utiliser le mode personnalisé lorsque vous créez des réseaux VPC. Le mode personnalisé vous aide à intégrer la mise en réseau Google Cloud aux schémas d'adresses IP existants et vous permet de contrôler les régions cloud à inclure dans le VPC. Pour en savoir plus, consultez la page VPC.
Connectivité inter-VPC
Cette section présente les bonnes pratiques pour concevoir une connectivité inter-VPC adaptée à votre système.
Choisir une méthode de connexion VPC
Si vous décidez de mettre en œuvre plusieurs réseaux VPC, vous devez les connecter. Les réseaux VPC sont des espaces locataires isolés au sein du réseau défini par logiciel (SDN) Andromeda de Google. Les réseaux VPC peuvent communiquer entre eux de plusieurs façons. Choisissez la manière dont vous connectez votre réseau en fonction de vos exigences en matière de bande passante, de latence et de contrat de niveau de service (SLA). Pour en savoir plus sur les options de connexion, consultez la page Choisir la méthode de connexion VPC qui répond à vos besoins en termes de coûts, de performances et de sécurité.
Administrez plusieurs groupes de travail à l'aide d'un VPC partagé
Pour les organisations comprenant plusieurs équipes, le VPC partagé constitue un outil efficace pour étendre la simplicité architecturale d'un seul réseau VPC à plusieurs groupes de travail.
Utiliser des conventions de nommage simples
Choisissez des conventions de nommage simples, intuitives et cohérentes. Cela permet aux administrateurs et aux utilisateurs de comprendre l'objectif de chaque ressource, son emplacement et sa différence par rapport aux autres ressources.
Utiliser des tests de connectivité pour vérifier la sécurité du réseau
Dans le contexte de la sécurité réseau, vous pouvez effectuer des tests de connectivité pour vérifier que le trafic que vous souhaitez empêcher entre deux points de terminaison est bien bloqué. Pour vérifier que le trafic est bloqué et pourquoi il l'est, mettez en œuvre un test entre deux points de terminaison et évaluez les résultats. Par exemple, vous pouvez tester une fonctionnalité VPC qui vous permet de définir des règles pour bloquer le trafic. Pour en savoir plus, consultez la présentation des tests de connectivité.
Utiliser Private Service Connect pour créer des points de terminaison privés
Pour créer des points de terminaison privés vous permettant d'accéder aux services Google avec votre propre schéma d'adresses IP, utilisez Private Service Connect. Vous pouvez accéder aux points de terminaison privés depuis votre VPC et par l'intermédiaire d'une connectivité hybride qui se termine dans votre VPC.
Sécuriser et limiter la connectivité externe
Limitez l'accès Internet aux seules ressources qui en ont besoin. De plus, les ressources disposant uniquement d'une adresse IP interne privée peuvent toujours accéder à de nombreux services et API Google via l'accès privé à Google.
Surveiller vos réseaux cloud à l'aide de Network Intelligence Center
Network Intelligence Center fournit une vue complète de vos réseaux Google Cloud dans toutes les régions. Il vous aide à identifier les modèles de trafic et les modes d'accès susceptibles de présenter des risques opérationnels ou de sécurité.
Étapes suivantes
Découvrez les bonnes pratiques de gestion du stockage, dont celles ci-dessous :
- Choisir un type de stockage.
- Choisir les modèles d'accès au stockage et les types de charges de travail.
Découvrez d'autres catégories du framework d'architecture telles que la fiabilité, l'excellence opérationnelle, la sécurité, la confidentialité et la conformité.