Lorsque vous concevez un réseau hybride et multicloud, divers facteurs influencent vos choix d'architecture. Lorsque vous analysez votre conception de réseau hybride et multicloud, tenez compte des considérations de conception suivantes. Pour créer une architecture cohérente, évaluez ces considérations collectivement, et non individuellement.
Connectivité hybride et multicloud
La connectivité hybride et multicloud désigne les connexions de communication qui relient les environnements sur site, Google Cloud et d'autres environnements cloud. Choisir la bonne méthode de connectivité est essentiel au succès des architectures hybrides et multicloud, car ces connexions transportent tout le trafic inter-environnement. Tout problème de performances réseau, comme la bande passante, la latence, la perte de paquets ou la gigue, peut avoir un impact direct sur les performances des applications et des services d'entreprise.
Pour la connectivité entre un environnement sur site et Google Cloud ou d'autres clouds, Google Cloud propose plusieurs options de connectivité, y compris les suivantes:
Connectivité Internet à l'aide d'adresses IP publiques:
Transférez des données entre Google Cloud et un environnement sur site ou un autre environnement cloud via Internet. Cette option utilise les adresses IP externes publiques d'une instance, idéalement avec un chiffrement en transit au niveau de la couche application.
Connectivité sécurisée via les API avec chiffrement TLS (Transport Layer Security) sur l'Internet public. Cette option nécessite que les API d'application ou cibles soient accessibles publiquement depuis Internet et que l'application exécute le chiffrement en transit.
Connectivité privée et sécurisée sur Internet public à l'aide de Cloud VPN ou de passerelles VPN gérées par le client. Cette option inclut l'utilisation d'une appliance virtuelle réseau (NVA) avec des solutions SD-WAN (Software-Defined WAN) de partenaires Google Cloud. Ces solutions sont disponibles sur Google Cloud Marketplace.
Connectivité privée via un transport privé à l'aide de Cloud Interconnect (Dedicated Interconnect ou Partner Interconnect) qui offre des performances plus déterministes et est assorti d'un SLA. Si le chiffrement en transit est requis au niveau de la couche de connectivité réseau, vous pouvez utiliser le VPN haute disponibilité via Cloud Interconnect ou MACsec pour Cloud Interconnect.
Cross-Cloud Interconnect offre aux entreprises qui utilisent des environnements multicloud la possibilité d'établir une connectivité privée et sécurisée entre les clouds (entre Google Cloud et les fournisseurs de services cloud compatibles dans certains emplacements). Cette option offre des performances de taux de ligne avec des options de haute disponibilité de 99,9% et 99,99%, ce qui permet à terme de réduire le coût total de possession (TCO) sans la complexité et le coût de gestion de l'infrastructure. De plus, si le chiffrement en transit est requis au niveau de la couche de connectivité réseau pour une sécurité accrue, interconnexion cross-cloud accepte le chiffrement MACsec pour Cloud Interconnect.
Envisagez d'utiliser Network Connectivity Center lorsque votre cas d'utilisation correspond à l'architecture de votre solution cloud. Network Connectivity Center est un framework d'orchestration qui fournit une connectivité réseau entre les ressources de spoke, telles que les clouds privés virtuels (VPC), les dispositifs de routeur ou les connexions hybrides qui sont connectées à une ressource de gestion centrale appelée hub. Un hub Network Connectivity Center est compatible avec les spokes VPC ou les spokes hybrides. Pour en savoir plus, consultez la section Échange de routes avec la connectivité VPC. De plus, pour faciliter l'échange de routes avec l'instance Cloud Router, Network Connectivity Center permet l'intégration de dispositifs virtuels de réseau tiers. Cette intégration inclut les routeurs SD-WAN tiers compatibles avec les partenaires Google Cloud Network Connectivity Center.
Compte tenu de la variété d'options de connectivité hybride et multicloud disponibles, la sélection de l'option la plus adaptée nécessite une évaluation approfondie de vos exigences commerciales et techniques. Ces exigences incluent les facteurs suivants:
- Performances du réseau
- Sécurité
- Coût
- Fiabilité et contrat de niveau de service
- Évolutivité
Pour en savoir plus sur la sélection d'une option de connectivité à Google Cloud, consultez la page Choisir un produit de connectivité réseau. Pour obtenir des conseils sur la sélection d'une option de connectivité réseau répondant aux besoins de votre architecture multicloud, consultez la section Modèles pour connecter d'autres fournisseurs de services cloud à Google Cloud.
Projets Google Cloud et VPC
Vous pouvez utiliser les schémas d'architecture réseau décrits dans ce guide avec un ou plusieurs projets, le cas échéant. Un projet dans Google Cloud contient des services et des charges de travail associés qui ont un seul domaine administratif. Les projets constituent la base des processus suivants:
- Créer, activer et utiliser des services Google Cloud
- Gérer les API de services
- Activer la facturation
- Ajout et suppression de collaborateurs
- Gérer les autorisations
Un projet peut contenir un ou plusieurs réseaux VPC. Votre organisation ou la structure des applications que vous utilisez dans un projet doit déterminer si vous devez utiliser un seul projet ou plusieurs projets. Votre organisation ou la structure des applications doit également déterminer comment utiliser les VPC. Pour plus d'informations, consultez la section Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud.
Les facteurs suivants peuvent vous aider à choisir d'utiliser un seul VPC, plusieurs VPC ou un VPC partagé avec un ou plusieurs projets:
- Hiérarchies de ressources organisationnelles.
- Exigences de trafic réseau, de communication et de domaine d'administration entre les charges de travail
- Exigences de sécurité.
- Les exigences de sécurité peuvent nécessiter une inspection de pare-feu de couche 7 par des NVA tiers situés sur le chemin entre certains réseaux ou applications.
- Gestion des ressources.
- Les entreprises qui utilisent un modèle administratif dans lequel l'équipe d'exploitation du réseau gère les ressources réseau peuvent nécessiter une séparation des charges de travail au niveau de l'équipe.
Décisions d'utilisation du VPC.
- L'utilisation de VPC partagés dans plusieurs projets Google Cloud évite d'avoir à gérer plusieurs VPC individuels par charge de travail ou par équipe.
- L'utilisation de VPC partagés permet une gestion centralisée du réseau VPC hôte, y compris les facteurs techniques suivants :
- Configuration de l'appairage
- Configuration du sous-réseau
- Configuration de Cloud Firewall
- Configuration des autorisations
Vous devrez parfois utiliser plusieurs VPC (ou VPC partagés) pour répondre aux exigences d'évolutivité sans dépasser les limites de ressources d'un seul VPC.
Pour en savoir plus, consultez la section Choisir de créer ou non plusieurs réseaux VPC.
Résolution DNS
Dans une architecture hybride et multicloud, il est essentiel que le système de noms de domaine (DNS) soit étendu et intégré entre les environnements où la communication est autorisée. Cette action permet de fournir une communication fluide entre les différents services et applications. Elle permet aussi de gérer la résolution DNS privée entre ces environnements.
Dans une architecture hybride et multicloud avec Google Cloud, vous pouvez utiliser l'appairage DNS et le transfert DNS pour permettre l'intégration DNS entre différents environnements. Grâce à ces fonctionnalités DNS, vous pouvez couvrir les différents cas d'utilisation qui peuvent s'aligner sur différents modèles de communication réseau. Techniquement, vous pouvez utiliser des zones de transfert DNS pour interroger des serveurs DNS sur site et des règles de serveur DNS entrantes pour autoriser les requêtes provenant d'environnements sur site. Vous pouvez également utiliser l'appairage DNS pour transférer des requêtes DNS dans des environnements Google Cloud.
Pour en savoir plus, consultez les bonnes pratiques pour Cloud DNS et les architectures de référence pour le DNS hybride avec Google Cloud.
Pour en savoir plus sur les mécanismes de redondance permettant de maintenir la disponibilité de Cloud DNS dans une configuration hybride, consultez Ce n'est pas DNS: assurer une haute disponibilité dans un environnement cloud hybride. Regardez également cette démonstration expliquant comment concevoir et configurer un DNS privé multicloud entre AWS et Google Cloud.
Sécurité du réseau cloud
La sécurité du réseau cloud est une couche de base de la sécurité cloud. Pour mieux gérer les risques liés à l'"érosion" du périmètre réseau, elle permet aux entreprises d'intégrer la surveillance de la sécurité, la prévention des menaces et les contrôles de sécurité réseau.
Une approche standard sur site de la sécurité réseau repose principalement sur un périmètre distinct entre la périphérie Internet et le réseau interne d'une organisation. Elle utilise différents systèmes de prévention de la sécurité multicouches dans le chemin réseau, tels que des pare-feu physiques, des routeurs, des systèmes de détection des intrusions, etc.
Avec le cloud computing, cette approche reste applicable dans certains cas d'utilisation. Toutefois, cela ne suffit pas à gérer la taille et la nature distribuée et dynamique des charges de travail cloud (telles que l'autoscaling et les charges de travail conteneurisées). L'approche de sécurité du réseau cloud vous aide à réduire les risques, à répondre aux exigences de conformité et à garantir des opérations sûres et efficaces grâce à plusieurs fonctionnalités cloud first. Pour en savoir plus, consultez la section Avantages de la sécurité réseau cloud. Pour sécuriser votre réseau, consultez également les défis de la sécurité du réseau cloud et les bonnes pratiques générales de sécurité du réseau cloud.
L'adoption d'une architecture cloud hybride nécessite une stratégie de sécurité qui vaut au-delà de la réplication de l'approche sur site. Répliquer cette approche peut limiter la flexibilité de la conception. Cela peut également potentiellement exposer l'environnement cloud à des menaces de sécurité. Commencez plutôt par identifier les fonctionnalités de sécurité réseau cloud-first disponibles qui répondent aux exigences de sécurité de votre entreprise. Vous devrez peut-être également combiner ces fonctionnalités avec des solutions de sécurité tierces de partenaires technologiques Google Cloud, comme des dispositifs virtuels de réseau.
Pour concevoir une architecture cohérente dans tous les environnements d'une architecture multicloud, il est important d'identifier les différents services et fonctionnalités proposés par chaque fournisseur de services cloud. Dans tous les cas, nous vous recommandons d'utiliser une posture de sécurité unifiée offrant une visibilité dans tous les environnements.
Pour protéger vos environnements d'architecture cloud hybride, vous devez également envisager d'utiliser des principes de défense en profondeur.
Enfin, concevez votre solution cloud en tenant compte de la sécurité réseau dès le départ. Intégrez toutes les fonctionnalités requises dans votre conception initiale. Ce travail initial vous évitera d'avoir à apporter des modifications majeures à la conception pour intégrer des fonctionnalités de sécurité plus tard dans le processus de conception.
Toutefois, la sécurité du cloud ne se limite pas à la sécurité du réseau. Elle doit être appliquée tout au long du cycle de développement de l'application, sur l'ensemble de la pile d'applications, du développement à la production et à l'exploitation. Idéalement, vous devez utiliser plusieurs couches de protection (approche de défense en profondeur) et des outils de visibilité de la sécurité. Pour en savoir plus sur la conception et l'exploitation de services sécurisés sur Google Cloud, consultez le pilier Sécurité, confidentialité et conformité du framework d'architecture Google Cloud.
Pour protéger vos données et votre infrastructure précieuses contre un large éventail de menaces, adoptez une approche globale de la sécurité cloud. Pour garder une longueur d'avance sur les menaces existantes, évaluez et affinez en permanence votre stratégie de sécurité.