Lorsque vous concevez un réseau hybride et multicloud, différents facteurs influent sur vos choix d'architecture. Lorsque vous analysez votre conception de mise en réseau hybride et multicloud, tenez compte des considérations de conception suivantes. Pour créer une architecture cohérente, évaluez ces considérations collectivement, et non de manière isolée.
Connectivité hybride et multicloud
La connectivité hybride et multicloud fait référence aux connexions de communication qui relient des environnements sur site, Google Cloud et d'autres environnements cloud. Choisir la bonne méthode de connectivité est essentiel au succès des architectures hybrides et multicloud, car ces connexions transportent tout le trafic entre les environnements. Tout problème de performances réseau, tel que la bande passante, la latence, la perte de paquets ou la gigue, peut avoir un impact direct sur les performances des applications et des services professionnels.
Pour la connectivité entre un environnement sur site et Google Cloud ou d'autres clouds, Google Cloud propose plusieurs options de connectivité au choix, parmi lesquelles:
Connectivité Internet à l'aide d'adresses IP publiques:
Transférez des données entre Google Cloud et un environnement sur site ou un autre environnement cloud sur Internet. Cette option utilise les adresses IP externes publiques d'une instance, idéalement avec le chiffrement en transit de la couche d'application.
Sécurisez la connectivité via les API avec le chiffrement TLS (Transport Layer Security) sur l'Internet public. Cette option nécessite que les API d'application ou cibles soient accessibles publiquement depuis Internet et que l'application exécute le chiffrement en transit.
Une connectivité sécurisée privée sur l'Internet public à l'aide de Cloud VPN ou de passerelles VPN gérées par le client. Cette option inclut l'utilisation d'une appliance virtuelle réseau (NVA) avec des solutions SD-WAN (Software-Defined WAN) de partenaires Google Cloud. Ces solutions sont disponibles sur Google Cloud Marketplace.
Connectivité privée via un transport privé à l'aide de Cloud Interconnect (Dedicated Interconnect ou Partner Interconnect), qui offre des performances plus déterministes et est assorti d'un SLA. Si le chiffrement en transit est requis au niveau de la couche de connectivité réseau, vous pouvez utiliser le VPN haute disponibilité via Cloud Interconnect ou MACsec pour Cloud Interconnect.
Cross-Cloud Interconnect offre aux entreprises qui utilisent des environnements multicloud la possibilité d'établir une connectivité privée et sécurisée entre les clouds (entre Google Cloud et les fournisseurs de services cloud compatibles dans certains emplacements). Cette option offre des performances de taux de ligne avec des options de haute disponibilité de 99,9% et 99,99%, ce qui permet à terme de réduire le coût total de possession (TCO) sans la complexité et le coût de gestion de l'infrastructure. De plus, si le chiffrement en transit est requis au niveau de la couche de connectivité réseau pour plus de sécurité, Cross-Cloud Interconnect est compatible avec MACsec pour le chiffrement Cloud Interconnect.
Envisagez d'utiliser Network Connectivity Center lorsqu'il correspond au cas d'utilisation de l'architecture de votre solution cloud. Network Connectivity Center est un framework d'orchestration qui fournit une connectivité réseau entre les ressources de spoke, telles que les clouds privés virtuels (VPC), les dispositifs de routeur ou les connexions hybrides qui sont connectées à une ressource de gestion centrale appelée hub. Un hub Network Connectivity Center est compatible avec les spokes VPC ou les spokes hybrides. Pour en savoir plus, consultez la section Échange de routes avec une connectivité VPC. De plus, pour faciliter l'échange de routes avec l'instance Cloud Router, Network Connectivity Center permet l'intégration de dispositifs virtuels de réseau tiers. Cette intégration inclut les routeurs SD-WAN tiers compatibles avec les partenaires Google Cloud Network Connectivity Center.
Compte tenu de la variété des options de connectivité hybride et multicloud disponibles, la sélection de la solution la plus adaptée nécessite une évaluation approfondie de vos exigences commerciales et techniques. Ces exigences incluent les facteurs suivants :
- Performances du réseau
- Sécurité
- Coût
- Fiabilité et contrat de niveau de service
- Évolutivité
Pour en savoir plus sur la sélection d'une option de connectivité à Google Cloud, consultez Choisir un produit de connectivité réseau. Pour savoir comment sélectionner une option de connectivité réseau qui répond aux besoins de votre architecture multicloud, consultez la page Modèles pour connecter d'autres fournisseurs de services cloud à Google Cloud.
Projets Google Cloud et VPC
Vous pouvez utiliser les modèles d'architecture de mise en réseau décrits dans ce guide avec un ou plusieurs projets, le cas échéant. Un projet dans Google Cloud contient des services et des charges de travail associés qui ont un seul domaine administratif. Les projets constituent la base des processus suivants:
- Créer, activer et utiliser des services Google Cloud
- Gérer les API de services
- Activation de la facturation
- Ajout et suppression de collaborateurs
- Gérer les autorisations
Un projet peut contenir un ou plusieurs réseaux VPC. Votre organisation ou la structure des applications que vous utilisez dans un projet doit déterminer si vous devez utiliser un seul projet ou plusieurs projets. Votre organisation ou la structure des applications doit également déterminer comment utiliser les VPC. Pour plus d'informations, consultez la section Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud.
Les facteurs suivants peuvent influencer le fait d'utiliser un seul VPC, plusieurs VPC ou un VPC partagé avec un ou plusieurs projets:
- Hiérarchies des ressources organisationnelles.
- Exigences en termes de trafic réseau, de communication et de domaine administratif entre les charges de travail
- Exigences de sécurité.
- Les exigences de sécurité peuvent nécessiter une inspection du pare-feu de couche 7 par des NVA tiers situés sur le chemin entre certains réseaux ou applications.
- Gestion des ressources.
- Les entreprises qui utilisent un modèle administratif dans lequel l'équipe chargée des opérations réseau gère les ressources réseau peuvent nécessiter la séparation des charges de travail au niveau de l'équipe.
Décisions d'utilisation du VPC.
- L'utilisation de VPC partagés entre plusieurs projets Google Cloud évite de gérer plusieurs VPC individuels par charge de travail ou par équipe.
- L'utilisation de VPC partagés permet une gestion centralisée du réseau VPC hôte, y compris les facteurs techniques suivants :
- Configuration de l'appairage
- Configuration du sous-réseau
- Configuration de Cloud Firewall
- Configuration des autorisations
Parfois, vous devrez peut-être utiliser plusieurs VPC (ou plusieurs VPC partagés) pour répondre aux exigences de scaling sans dépasser les limites de ressources d'un seul VPC.
Pour plus d'informations, consultez la section Décider s'il convient de créer plusieurs réseaux VPC.
Résolution DNS
Dans une architecture hybride et multicloud, il est essentiel que le système de noms de domaine (DNS) soit étendu et intégré entre les environnements dans lesquels la communication est autorisée. Cette action permet de faciliter la communication entre différents services et applications. Elle permet aussi de gérer la résolution DNS privée entre ces environnements.
Dans une architecture hybride et multicloud avec Google Cloud, vous pouvez utiliser l'appairage DNS et le transfert DNS pour permettre l'intégration DNS entre différents environnements. Ces fonctionnalités DNS vous permettent de couvrir les différents cas d'utilisation pouvant s'aligner sur différents modèles de communication réseau. Techniquement, vous pouvez utiliser des zones de transfert DNS pour interroger les serveurs DNS sur site et des règles de serveur DNS entrantes pour autoriser les requêtes provenant d'environnements sur site. Vous pouvez également utiliser l'appairage DNS pour transférer des requêtes DNS dans des environnements Google Cloud.
Pour plus d'informations, consultez les Bonnes pratiques pour Cloud DNS et les architectures de référence pour le DNS hybride avec Google Cloud.
Pour en savoir plus sur les mécanismes de redondance permettant de maintenir la disponibilité de Cloud DNS dans une configuration hybride, consultez la section Ce n'est pas un DNS: Assurer une haute disponibilité dans un environnement cloud hybride. Regardez également cette démonstration de la conception et de la configuration d'un DNS privé multicloud entre AWS et Google Cloud.
Sécurité du réseau cloud
La sécurité du réseau cloud est un élément fondamental de la sécurité cloud. Pour aider à gérer les risques liés à l'érosion du périmètre réseau, elle permet aux entreprises d'intégrer la surveillance de la sécurité, la prévention des menaces et les contrôles de sécurité réseau.
Une approche standard de la sécurité réseau sur site est principalement basée sur un périmètre distinct entre la périphérie d'Internet et le réseau interne d'une organisation. Elle utilise différents systèmes de prévention de la sécurité multicouches dans le chemin réseau, tels que des pare-feu physiques, des routeurs, des systèmes de détection des intrusions, etc.
Avec le cloud computing, cette approche reste applicable dans certains cas d'utilisation. Toutefois, il ne suffit pas de gérer l'évolutivité et la nature distribuée et dynamique des charges de travail cloud (autoscaling et charges de travail conteneurisées, par exemple). L'approche de la sécurité du réseau cloud vous permet de réduire les risques, de répondre aux exigences de conformité et de garantir des opérations sûres et efficaces grâce à plusieurs fonctionnalités cloud-first. Pour en savoir plus, consultez la section Avantages de la sécurité du réseau cloud. Pour sécuriser votre réseau, consultez également les problèmes de sécurité du réseau cloud et les bonnes pratiques générales en matière de sécurité du réseau cloud.
L'adoption d'une architecture cloud hybride nécessite une stratégie de sécurité qui va au-delà de la réplication de l'approche sur site. Répliquer cette approche peut limiter la flexibilité de la conception. Cela peut également potentiellement exposer l'environnement cloud à des menaces de sécurité. Vous devez d'abord identifier les fonctionnalités de sécurité réseau cloud-first disponibles qui répondent aux exigences de sécurité de votre entreprise. Vous devrez peut-être également combiner ces fonctionnalités avec des solutions de sécurité tierces de partenaires technologiques Google Cloud, comme des appliances virtuelles de réseau.
Pour concevoir une architecture cohérente dans tous les environnements d'une architecture multicloud, il est important d'identifier les différents services et fonctionnalités proposés par chaque fournisseur de services cloud. Dans tous les cas, nous vous recommandons d'utiliser une posture de sécurité unifiée qui offre une visibilité sur tous les environnements.
Pour protéger vos environnements d'architecture cloud hybride, vous devez également envisager d'utiliser des principes de défense en profondeur.
Enfin, concevez votre solution cloud en tenant compte de la sécurité du réseau dès le début. Intégrez toutes les fonctionnalités requises dans votre conception initiale. Cette étape initiale vous évitera d'avoir à apporter des modifications majeures à la conception pour intégrer des fonctionnalités de sécurité plus tard dans votre processus de conception.
Cependant, la sécurité dans le cloud ne se limite pas à la sécurité réseau. Elle doit être appliquée tout au long du cycle de développement de l'application, sur l'ensemble de la pile d'applications, du développement à la production et à l'exploitation. Idéalement, vous devez utiliser plusieurs couches de protection (approche de défense en profondeur) et des outils de visibilité de la sécurité. Pour en savoir plus sur la conception et l'exploitation de services sécurisés sur Google Cloud, consultez le pilier Sécurité, confidentialité et conformité du framework d'architecture Google Cloud.
Pour protéger vos données et votre infrastructure contre un large éventail de menaces, adoptez une approche globale de la sécurité cloud. Pour garder une longueur d'avance sur les menaces existantes, évaluez et affinez en permanence votre stratégie de sécurité.