Lorsque vous concevez et intégrez des identités cloud, la hiérarchie des ressources et les réseaux de zones de destination, tenez compte des recommandations de conception de la page Conception des zones de destination dans Google Cloud et des bonnes pratiques de sécurité Google Cloud traitées dans le plan de base de l'entreprise. Validez la conception sélectionnée par rapport aux documents suivants :
- Bonnes pratiques et architectures de référence pour la conception de VPC
- Concevoir votre infrastructure réseau
- Framework d'architecture Google Cloud : sécurité, confidentialité et conformité
Tenez également compte des bonnes pratiques générales suivantes:
Lorsque vous choisissez une option de connectivité réseau hybride ou multicloud, tenez compte des exigences de votre entreprise et des applications, telles que les contrats de niveau de service, les performances, la sécurité, les coûts, la fiabilité et la bande passante. Pour en savoir plus, consultez Choisir un produit de connectivité réseau et Modèles pour la connexion d'autres fournisseurs de services cloud avec Google Cloud.
Utilisez des VPC partagés sur Google Cloud plutôt que plusieurs VPC lorsque cela est nécessaire et conforme à vos exigences de conception de la hiérarchie des ressources. Pour en savoir plus, consultez Décider de créer ou non plusieurs réseaux VPC.
Suivez les bonnes pratiques de planification des comptes et des entreprises.
Le cas échéant, établissez une identité commune entre les environnements afin que les systèmes puissent s'authentifier de manière sécurisée dans les limites de l'environnement.
Pour exposer en toute sécurité les applications aux utilisateurs d'entreprise dans une configuration hybride et pour choisir l'approche la mieux adaptée à vos besoins, suivez la méthode recommandée pour intégrer Google Cloud à votre système de gestion des identités.
- Consultez également la page Modèles pour authentifier les utilisateurs d'entreprise dans un environnement hybride.
Lors de la conception de vos environnements sur site et cloud, tenez compte de l'adressage IPv6 dès le début et tenez compte des services compatibles. Pour en savoir plus, consultez Présentation d'IPv6 sur Google Cloud. Cette section récapitule les services compatibles lors de la rédaction du blog.
Lorsque vous concevez, déployez et gérez vos règles de pare-feu VPC, vous pouvez :
- Utiliser le filtrage basé sur les comptes de service plutôt que le filtrage basé sur les tags réseau si vous avez besoin d'un contrôle strict sur la manière dont les règles de pare-feu sont appliquées aux VM.
- Utiliser des stratégies de pare-feu lorsque vous regroupez plusieurs règles de pare-feu afin de pouvoir les mettre à jour toutes en même temps. Vous pouvez également rendre la règle hiérarchique. Pour en savoir plus sur les spécifications des stratégies de pare-feu hiérarchiques, consultez la page Stratégies de pare-feu hiérarchiques.
- Utilisez des objets de géolocalisation dans la stratégie de pare-feu lorsque vous devez filtrer le trafic IPv4 et IPv6 externe en fonction d'emplacements géographiques ou de régions spécifiques.
- Utilisez Threat Intelligence pour les règles de stratégie de pare-feu si vous devez sécuriser votre réseau en autorisant ou en bloquant le trafic en fonction de données Threat Intelligence, telles que des adresses IP malveillantes connues ou des plages d'adresses IP du cloud public. Par exemple, vous pouvez autoriser le trafic provenant de plages d'adresses IP de cloud public spécifiques si vos services ne doivent communiquer qu'avec ce cloud public. Pour plus d'informations, consultez la section Bonnes pratiques pour les règles de pare-feu.
Vous devez toujours concevoir votre sécurité cloud et réseau en adoptant une approche de sécurité à plusieurs niveaux en envisageant des couches de sécurité supplémentaires, comme les suivantes :
- Google Cloud Armor
- Cloud Intrusion Detection System
- IPS du pare-feu Cloud nouvelle génération
- Threat Intelligence pour les règles de stratégie de pare-feu
Ces couches supplémentaires peuvent vous aider à filtrer, inspecter et surveiller un large éventail de menaces au niveau du réseau et des couches d'application à des fins d'analyse et de prévention.
Lorsque vous décidez où la résolution DNS doit être effectuée dans une configuration hybride, nous vous recommandons d'utiliser deux systèmes DNS faisant autorité pour votre environnement Google Cloud privé et pour vos ressources sur site hébergées par des serveurs DNS existants dans votre environnement sur site. Pour en savoir plus, consultez Choisir où la résolution DNS est effectuée.
Dans la mesure du possible, exposez toujours les applications via des API à l'aide d'une passerelle d'API ou d'un équilibreur de charge. Nous vous recommandons d'utiliser une plate-forme d'API comme Apigee. Apigee agit comme une abstraction ou une façade pour vos API de services de backend, en plus des fonctionnalités de sécurité, de la limitation du débit, des quotas et des analyses.
Une plate-forme d'API (gateway ou proxy) et un équilibreur de charge d'application ne s'excluent pas mutuellement. Parfois, l'utilisation conjointe des passerelles d'API et des équilibreurs de charge peut constituer une solution plus robuste et sécurisée pour la gestion et la distribution du trafic des API à grande échelle. L'utilisation des passerelles de l'API Cloud Load Balancing vous permet d'effectuer les opérations suivantes:
Fournir des API hautes performances avec Apigee et Cloud CDN pour :
- Réduire la latence
- Héberger des API de manière globale
Augmenter la disponibilité pendant les périodes de forte affluence
Pour en savoir plus, regardez la vidéo Fournir des API hautes performances avec Apigee et Cloud CDN sur YouTube.
Implémenter une gestion avancée du trafic.
Utiliser Google Cloud Armor comme service de protection contre les attaques DDoS, de WAF et de sécurité réseau afin de protéger vos API.
Gérer un équilibrage de charge efficace sur les passerelles de plusieurs régions. Pour en savoir plus, consultez la page Sécuriser des API et mettre en œuvre le basculement multirégional avec PSC et Apigee.
Pour déterminer le produit Cloud Load Balancing à utiliser, vous devez d'abord déterminer le type de trafic que vos équilibreurs de charge doivent gérer. Pour en savoir plus, consultez la page Choisir un équilibreur de charge.
Lorsque Cloud Load Balancing est utilisé, vous devez utiliser ses fonctionnalités d'optimisation de la capacité de l'application, le cas échéant. Cela peut vous aider à résoudre certains problèmes de capacité qui peuvent survenir dans les applications distribuées dans le monde entier.
- Pour une analyse approfondie de la latence, consultez la section Optimiser la latence des applications avec l'équilibrage de charge.
Alors que Cloud VPN chiffre le trafic entre les environnements, avec Cloud Interconnect, vous devez utiliser MACsec ou le VPN haute disponibilité sur Cloud Interconnect pour chiffrer le trafic en transit au niveau de la couche de connectivité. Pour en savoir plus, consultez la section Comment chiffrer le trafic sur Cloud Interconnect ?
- Vous pouvez également envisager le chiffrement de la couche de service à l'aide de TLS. Pour en savoir plus, consultez Décider comment répondre aux exigences de conformité concernant le chiffrement en transit.
Si vous avez besoin d'un volume de trafic supérieur à celui accepté par un tunnel VPN unique sur une connectivité VPN hybride, vous pouvez envisager d'utiliser l'option de routage VPN haute disponibilité actif/actif.
- Pour les configurations hybrides ou multicloud à long terme avec des volumes de transfert de données sortants élevés, envisagez d'utiliser Cloud Interconnect ou Cross-Cloud Interconnect. Ces options de connectivité permettent d'optimiser les performances de connectivité et de réduire les frais de transfert de données sortantes pour le trafic répondant à certaines conditions. Pour en savoir plus, consultez la section sur les tarifs de Cloud Interconnect.
Lorsque vous vous connectez aux ressources Google Cloud et que vous essayez de choisir entre Cloud Interconnect, l'appairage direct ou l'appairage opérateur, nous vous recommandons d'utiliser Cloud Interconnect, sauf si vous avez besoin d'accéder aux applications Google Workspace. Pour en savoir plus, comparez les caractéristiques de l'appairage direct avec Cloud Interconnect et de l'appairage opérateur avec Cloud Interconnect.
Prévoyez suffisamment d'espace d'adressage IP à partir de votre espace d'adressage IP RFC 1918 existant pour accueillir vos systèmes hébergés sur le cloud.
Si des restrictions techniques vous obligent à conserver votre plage d'adresses IP, vous pouvez :
Utiliser les mêmes adresses IP internes pour vos charges de travail sur site lors de leur migration vers Google Cloud, à l'aide de sous-réseaux hybrides.
Provisionner et utiliser vos propres adresses IPv4 publiques pour les ressources Google Cloud à l'aide de l'option BYOIP (Bring your own IP) de Google.
Si la conception de votre solution nécessite l'exposition d'une application Google Cloud à l'Internet public, tenez compte des recommandations de conception abordées dans Mise en réseau pour la diffusion d'applications Web.
Le cas échéant, utilisez des points de terminaison Private Service Connect pour autoriser les charges de travail dans Google Cloud, sur site ou dans un autre environnement cloud avec une connectivité hybride à accéder en mode privé aux API Google ou en utilisant des adresses IP internes avec précision.
Lorsque vous utilisez Private Service Connect, vous devez contrôler les éléments suivants :
- Qui peut déployer des ressources Private Service Connect ?
- Si des connexions peuvent être établies ou non entre les consommateurs et les producteurs.
- Le trafic réseau autorisé à accéder à ces connexions.
Pour en savoir plus, consultez Points de terminaison Private Service Connect.
Pour obtenir une configuration cloud robuste dans le contexte d'une architecture hybride et multicloud :
- Effectuez une évaluation complète des niveaux de fiabilité requis pour les différentes applications dans tous les environnements. Cela peut vous aider à atteindre vos objectifs de disponibilité et de résilience.
- Comprenez les capacités de fiabilité et les principes de conception de votre fournisseur cloud. Pour plus d'informations, consultez le guide de fiabilité de l'infrastructure Google Cloud.
La visibilité et la surveillance du réseau cloud sont essentielles pour assurer des communications fiables. Network Intelligence Center fournit une console unique permettant de gérer la visibilité, la surveillance et le dépannage du réseau.