Ce document fait partie d'une série qui décrit les architectures de mise en réseau et de sécurité pour les entreprises qui migrent les charges de travail de centres de données vers Google Cloud.
La série comprend les documents suivants :
- Concevoir des réseaux pour migrer des charges de travail d'entreprise : Approches architecturales
- Mise en réseau pour un accès sécurisé dans le cloud : Architectures de référence
- Mise en réseau pour la diffusion d'applications Web : Architectures de référence (ce document)
- Mise en réseau pour les charges de travail hybrides et multicloud : Architectures de référence
Google propose un ensemble de produits et de fonctionnalités qui facilitent la sécurisation et le scaling de vos applications Web les plus critiques. La figure 1 montre une architecture qui utilise des services Google Cloud pour déployer une application Web avec plusieurs niveaux.
Figure 1 : Application Web à plusieurs niveaux classique déployée sur Google Cloud.
Architecture de migration Lift and Shift
Lorsque les applications Web sont transférées vers le cloud, elles doivent pouvoir évoluer et disposer de contrôles de sécurité et d'une visibilité équivalents à ceux de l'environnement sur site. Dans ce but, vous pouvez utiliser des dispositifs virtuels de réseau qui sont disponibles sur Marketplace.
Figure 2 : Application déployée avec un équilibreur de charge externe basé sur un dispositif.
Ces dispositifs virtuels offrent des fonctionnalités et une visibilité qui sont cohérentes avec vos environnements sur site. Lorsque vous utilisez un dispositif virtuel de réseau, vous déployez l'image du dispositif logiciel à l'aide de groupes d'instances gérés avec autoscaling. Il vous appartient de surveiller et de gérer l'état des instances de VM qui exécutent le dispositif, ainsi que de gérer les mises à jour logicielles du dispositif.
Après avoir effectué votre changement initial, vous pouvez passer de dispositifs virtuels de réseau autogérés à des services gérés. Google Cloud propose un certain nombre de services gérés qui facilitent la livraison d'applications à grande échelle.
La figure 2 illustre un dispositif virtuel de réseau configuré en tant qu'interface d'une application de niveau Web. Pour obtenir la liste des solutions de l'écosystème partenaire, consultez la page Google Cloud Marketplace dans la console Google Cloud.
Architecture des services hybrides
Google Cloud propose les approches suivantes pour faciliter la gestion des applications Web à grande échelle :
- Utiliser le réseau mondial de serveurs de noms DNS Anycast qui offrent une haute disponibilité et une faible latence pour traduire les requêtes de noms de domaine en adresses IP.
- Utiliser le parc mondial d'équilibreurs de charge d'application externes de Google pour acheminer le trafic vers une application hébergée dans Google Cloud, hébergée sur site ou hébergée sur un autre cloud public. Ces équilibreurs de charge évoluent automatiquement avec votre trafic et s'assurent que chaque requête est dirigée vers un backend opérationnel. En configurant des groupes de points de terminaison du réseau de connectivité hybride, vous pouvez bénéficier des avantages des fonctionnalités de mise en réseau de l'équilibreur de charge d'application externe pour les services exécutés sur votre infrastructure existante en dehors de Google Cloud. Le réseau sur site ou les autres réseaux cloud publics sont connectés en mode privé à votre réseau Google Cloud via un tunnel VPN ou via Cloud Interconnect.
Utilisez d'autres services périphériques réseau, tels que Cloud CDN pour la distribution du contenu, Google Cloud Armor pour protéger votre contenu et Identity-Aware Proxy (IAP) pour contrôler l'accès à vos services.
La figure 3 illustre une connectivité hybride qui utilise l'équilibreur de charge d'application externe.
Figure 3. Configuration de connectivité hybride avec un équilibreur de charge d'application externe et des services de périphérie réseau.
La figure 4 illustre une option de connectivité différente, à l'aide de groupes de points de terminaison du réseau de connectivité hybride.
Figure 4. Configuration de l'équilibreur de charge d'application externe utilisant des groupes de points de terminaison du réseau de connectivité hybride
Utilisez un équilibreur de charge d'application (HTTP/HTTPS) pour acheminer les requêtes en fonction de leurs attributs, tels que l'URI (Uniform Resource Identifier) HTTP. Utilisez un équilibreur de charge réseau proxy pour implémenter le déchargement TLS, créer un proxy TCP ou assurer l'équilibrage de charge externe vers des backends de plusieurs régions. Utilisez un équilibreur de charge réseau passthrough pour conserver les adresses IP sources des clients, éviter la surcharge des proxys et accepter des protocoles supplémentaires tels que UDP, ESP et ICMP,
Protégez votre service avec Google Cloud Armor. Ce produit est un produit de défense DDoS et de sécurité WAF de périphérie qui est disponible pour tous les services accessibles via un équilibreur de charge d'application externe global.
Utilisez des certificats SSL gérés par Google. Vous pouvez réutiliser des certificats et des clés privées que vous utilisez déjà pour d'autres produits Google Cloud. Cela évite d'avoir à gérer des certificats distincts.
Activez la mise en cache sur votre application pour bénéficier de l'empreinte de diffusion d'applications distribuée de Cloud CDN.
Utilisez des dispositifs virtuels de réseau pour inspecter et filtrer le trafic nord-sud (vers et depuis Internet) et est-ouest (vers et depuis le réseau sur site ou les réseaux VPC), comme illustré dans la figure 5.
Figure 5. Configuration d'un dispositif virtuel de réseau à disponibilité élevée utilisant un équilibreur de charge réseau passthrough interne et l'appairage de réseaux VPC pour inspecter le trafic.
Utilisez Cloud IDS pour détecter les menaces dans le trafic nord-sud, comme illustré à la figure 6.
Figure 6. Configuration Cloud IDS permettant de mettre en miroir et d'inspecter tout le trafic Internet et interne.
Architecture distribuée zéro confiance
Vous pouvez développer l'architecture distribuée zéro confiance pour inclure la diffusion d'applications depuis Internet. Dans ce modèle, l'équilibreur de charge d'application externe de Google fournit un équilibrage de charge global sur les clusters GKE qui ont des réseaux maillés Anthos Service Mesh dans des clusters distincts. Dans ce scénario, vous adoptez un modèle d'entrée composite. L'équilibreur de charge de premier niveau fournit la sélection des clusters, tandis qu'une passerelle d'entrée gérée par Cloud Service Mesh fournit une sécurité d'entrée et un équilibrage de charge spécifique au cluster. L'architecture de référence de la banque Cymbal, comme décrit dans le plan d'application d'entreprise, est un exemple de cette entrée multicluster. Pour en savoir plus sur l'entrée de périphérie de Cloud Service Mesh, consultez la page De la périphérie au réseau : Exposer les applications de maillage de services via GKE Ingress.
La figure 7 montre une configuration dans laquelle un équilibreur de charge d'application externe dirige le trafic depuis Internet vers le maillage de services via une passerelle d'entrée. La passerelle est un proxy dédié dans le maillage de services.
Figure 7 : Diffusion d'applications dans un environnement de microservices zéro confiance.
Étapes suivantes
- Mise en réseau pour un accès sécurisé dans le cloud : architectures de référence
- Mise en réseau pour les charges de travail hybrides et multicloud : Architectures de référence
- Consultez la page Migration vers Google Cloud, qui peut vous aider à planifier, à concevoir et à mettre en œuvre le processus de migration de vos charges de travail vers Google Cloud.
- La section Conception des zones de destination dans Google Cloud fournit des conseils pour créer un réseau de zones de destination.
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.