Google Cloud pour les utilisateurs professionnels d'AWS : mise en réseau

Mis à jour le 9 avril 2019

Comparez les services de mise en réseau fournis par Amazon et Google dans leurs environnements cloud respectifs. Les services de mise en réseau permettent de connecter des machines virtuelles, des serveurs sur site et d'autres services cloud.

Comparaison des modèles de service

Amazon Web Services

Amazon EC2-Classic, l'offre initiale d'Amazon Web Services, est obsolète depuis la fin de l'année 2013 et n'est pas abordée dans ce document.

Amazon VPC est le modèle actuel. Il propose un large éventail de fonctionnalités réseau dans les VPC régionaux, telles que les suivantes :

  • Création d'espaces d'adresses privés et de sous-réseaux
  • Listes de contrôle d'accès au réseau (NACL)
  • Règles de pare-feu entrantes et sortantes
  • Routage
  • VPN

Google Cloud

Google Cloud traite la mise en réseau comme une fonctionnalité globale couvrant l'ensemble des services. La mise en réseau Google Cloud est basée sur l'architecture Andromeda de Google, qui permet de créer des éléments de mise en réseau à n'importe quel niveau avec un logiciel. Cette mise en réseau définie par logiciel permet aux services Google Cloud de mettre en œuvre des fonctionnalités de mise en réseau qui répondent exactement aux besoins du service, telles que des pare-feu pour les machines virtuelles dans Compute Engine, des connexions rapides entre les nœuds de base de données dans Cloud Bigtable ou des résultats de requête rapides dans BigQuery.

Lorsque vous créez des instances de machine virtuelle dans un projet Google Cloud, Compute Engine les connecte automatiquement à un réseau interne par défaut. Si nécessaire, vous pouvez également créer d'autres réseaux. À l'instar d'Amazon VPC, chaque réseau est privé et compatible avec les règles de pare-feu, le routage, les VPN, les espaces d'adresses privés et les sous-réseaux.

La plupart des entités de mise en réseau dans Google Cloud, telles que les équilibreurs de charge, les règles de pare-feu et les tables de routage, ont un champ d'application global. Plus important encore, les réseaux eux-mêmes ont un champ d'application global. Cela signifie que vous pouvez créer un seul espace d'adresses IP privé global, sans devoir connecter plusieurs réseaux privés et les gérer séparément. Grâce à ce réseau unique et global, vos instances Compute Engine peuvent être adressées au sein de votre réseau par adresse IP et nom.

Google Cloud propose deux niveaux de service réseau : le niveau Standard et le niveau Premium.

  • Le niveau Premium, qui correspond à la valeur par défaut, permet d'acheminer le trafic sur le réseau mondial de Google avec de hautes performances.

  • Le niveau Standard est une alternative moins coûteuse qui offre des performances réseau comparables à celles d'autres clouds publics.

Comparatif des fonctionnalités

Adresses IP

Les adresses IP Google Cloud et Amazon VPC présentent les similitudes suivantes :

  • Une adresse IP interne est attribuée à toutes les instances.

  • Vous pouvez demander une adresse IP externe. Par défaut, une adresse IP externe est éphémère et liée à la vie de l'instance.

  • Vous pouvez demander une adresse IP permanente à relier à une instance. Cette adresse IP vous appartient jusqu'à ce que vous décidiez de la libérer. Vous pouvez la relier et la déconnecter des instances au besoin.

Le tableau suivant répertorie les différences au niveau de la terminologie utilisée pour les types d'adresses IP :

Type d'adresse IP AWS Google Cloud
Adresse IP permanente Adresse IP Elastic Adresse IP statique
Adresse IP temporaire Adresse IP publique Adresse IP éphémère
Adresse IP interne Adresse IP privée Adresse IP interne

Équilibrage de charge

Les équilibreurs de charge répartissent le trafic entrant sur plusieurs instances. Lorsqu'ils sont correctement configurés, les équilibreurs de charge rendent les applications plus tolérantes aux pannes et renforcent leur disponibilité.

Services d'équilibrage de charge AWS et Google Cloud

AWS et Google Cloud proposent tous deux plusieurs services d'équilibrage de charge, collectivement désignés sous le nom Elastic Load Balancing (AWS) ou Cloud Load Balancing (Google Cloud) :

  • Équilibrage de charge externe de couche 4
  • Équilibrage de charge externe de couche 7
  • Équilibrage de charge interne

Les services d'équilibrage d'AWS peuvent être utilisés à la fois en interne et en externe. Les services Google Cloud font la distinction entre l'accès externe et l'accès interne. La solution interne de Google Cloud est l'équilibrage de charge interne.

Comparaison de l'équilibrage de charge AWS et Google Cloud

Le tableau suivant compare les différentes options d'équilibrage de charge externe de couche 4, mis en œuvre dans AWS via Network Load Balancer, et via l'équilibrage de charge réseau dans Google Cloud.

Fonctionnalité AWS Google Cloud
Équilibrage de charge réseau Oui Oui
Protocoles compatibles TCP, TLS TCP, UDP
Plusieurs ports Oui Oui
Plages de ports Non Oui
Adresse IP statique disponible Oui, une par sous-réseau Oui, une par équilibreur de charge
Basculement DNS Oui Inutile, car le basculement GCP utilise une adresse IP Anycast unique
Conservation de l'adresse IP source Oui Oui
Niveau de déploiement Régional Régional
Retour direct du serveur (DSR) Non Oui
Cibles Instances de VM, conteneurs ECS, adresses IP Instances de VM

Le tableau suivant compare les différentes options d'équilibrage de charge externe de couche 7. L'équilibrage de charge de couche 7 peut être mis en œuvre dans AWS via l'équilibreur de charge d'application et dans Google Cloud via l'équilibrage de charge HTTP(S), un proxy TCP ou un proxy SSL.

Fonctionnalité AWS Google Cloud
Protocoles compatibles HTTP, HTTPS HTTP, HTTPS, SSL/TLS, TCP
Déchargement SSL Oui Oui
Conservation de l'adresse IP source Non Non
Plusieurs ports Oui Oui
Plages de ports Non Non
Niveau de déploiement Régional Mondial
Compatibilité WebSockets Oui Oui
Routage basé sur le chemin et sur l'hôte Oui Oui
Compatibilité IPv6 Oui Oui
Compatibilité HTTP/2 Oui Oui
Compatibilité QUIC Non Oui
Cibles Instances de VM, conteneurs ECS, adresses IP Instances de VM,
conteneurs Google Kubernetes Engine,
adresses IP

Le tableau suivant compare les différentes options d'équilibrage de charge interne. Les services d'équilibrage d'AWS peuvent être utilisés à la fois en interne et en externe. Google Cloud propose un équilibrage de charge interne pour les connexions internes.

Fonctionnalité AWS Google Cloud
Protocoles compatibles HTTP, HTTPS,
TCP
TCP, UDP
Conservation de l'adresse IP source Oui Oui
Plusieurs ports Oui Oui
Plages de ports Non Non
Niveau de déploiement Régional Régional
Routage basé sur le chemin et sur l'hôte Oui Non
Cibles Instances de VM, conteneurs ECS, adresses IP Instances de VM

Équilibrage de charge AWS

Le service Elastic Load Balancing (ELB) d'AWS propose les fonctionnalités suivantes :

  • Il permet de diriger le trafic vers les instances dans une ou plusieurs zones de disponibilité d'une région donnée.

  • Il effectue régulièrement des vérifications de l'état sur chaque instance cible et redirige le trafic si une instance devient non opérationnelle.

  • Il propose une intégration facultative avec le service AWS Auto Scaling, qui permet d'ajouter et de supprimer des instances automatiquement lorsqu'Auto Scaling choisit de les redimensionner.

Lorsque vous créez un équilibreur de charge Elastic Load Balancer, AWS fournit un nom de domaine alternatif (CNAME) vers lequel vous pouvez diriger le trafic. Si vous utilisez le service Route 53 d'AWS, vous pouvez utiliser Elastic Load Balancer en tant que domaine racine. Sinon, vous devez utiliser un CNAME pour Elastic Load Balancer.

AWS propose un équilibreur de charge d'application pour le routage basé sur le contenu et le déchargement SSL, ainsi qu'un équilibreur de charge réseau pour les connexions de couche 4 à haut débit et faible latence. Consultez la page de comparaison entre les produits Elastic Load Balancing d'AWS pour obtenir une comparaison détaillée des fonctionnalités.

Google Cloud Load Balancing

À l'instar d'ELB, les équilibreurs de charge Compute Engine dirigent le trafic vers des instances backend dans une ou plusieurs zones. Mais contrairement à ELB, lorsque vous provisionnez un équilibreur de charge externe Compute Engine, vous recevez une adresse IP unique accessible partout dans le monde. Cette adresse IP peut être utilisée pendant la durée de vie de l'équilibreur de charge. Elle peut donc être employée pour les enregistrements DNS A, les listes d'autorisations ou les configurations dans les applications. Compute Engine fournit trois types d'équilibreurs de charge :

  • Pour l'équilibrage de charge externe de couche 4, l'équilibrage de la charge réseau est basé sur la technologie Maglev de Google et est compatible avec l'équilibrage régional du trafic UDP et TCP. Le trafic peut être équilibré sur plusieurs ports (ou sur des plages de ports) et l'équilibreur de charge n'encombre pas le chemin de retour du trafic.

  • Pour l'équilibrage de charge externe de couche 7, l'équilibrage de charge HTTP(S), le proxy TCP et le proxy SSL peuvent équilibrer le trafic à l'aide de divers protocoles, aussi bien au niveau mondial que régional. Le trafic est automatiquement transmis aux backends les plus proches, en fonction de la capacité disponible.

  • L'équilibrage de charge interne est un service régional d'équilibrage de charge qui accepte le trafic TCP et UDP. Il se base sur la pile de virtualisation de réseau Andromeda pour fournir un équilibrage de charge logiciel qui achemine directement le trafic de l'instance client vers une instance backend.

Coûts

Les services d'équilibrage de charge AWS et Google Cloud utilisent des modèles de tarification légèrement différents.

AWS facture :

  • le nombre d'heures ou d'heures partielles pendant lesquelles un équilibreur de charge est en cours d'exécution ;
  • le nombre d'unités de capacité d'équilibrage de charge (LCU) utilisées par heure.

Pour en savoir plus sur la tarification d'AWS et le calcul des unités LCU, reportez-vous à la documentation d'AWS.

Google facture :

  • le volume de données d'entrée traitées via l'équilibreur de charge ;
  • le nombre de règles de transfert pointant vers les services d'équilibrage de charge.

Migration d'instances

Les machines hôtes sur lesquelles les instances s'exécutent doivent occasionnellement être supprimées de leurs centres de données en cas de maintenance ou de remplacement.

  • AWS : les utilisateurs doivent migrer manuellement leurs instances affectées à partir de machines hôtes, soit en redémarrant les instances, soit en les recréant à l'aide d'instantanés d'instance.

  • Google Cloud : la migration à chaud permet de migrer automatiquement et de manière transparente les instances affectées.

Connectivité entre les VPC

AWS et Google Cloud autorisent les connexions réseau entre les VPC.

  • AWS propose l'appairage de VPC et les VPC partagés.

    • L'appairage de VPC permet d'établir des connexions avec des VPC au sein ou entre des comptes ou régions AWS.

    • Les VPC partagés permettent à plusieurs comptes AWS d'utiliser des VPC gérés de manière centralisée. Les sous-réseaux peuvent être partagés avec un compte AWS. Les groupes de sécurité au sein d'un sous-réseau sont contrôlés par le propriétaire du sous-réseau, tandis que les LCA de réseau entre les sous-réseaux et les autres ressources VPC sont gérées de manière centralisée.

  • Google Cloud propose l'appairage de réseaux VPC et les VPC partagés.

    • L'appairage de réseaux VPC permet d'établir des connexions entre plusieurs projets Google Cloud appartenant à la même organisation ou entre plusieurs organisations. Le routage et les règles de pare-feu sont contrôlés de manière individuelle dans chaque projet.

    • Les VPC partagés permettent d'établir une connectivité privée au sein d'une organisation. Le service propose un VPC partagé entre plusieurs projets et bénéficie d'une administration et de contrôles centralisés. Les sous-réseaux peuvent être partagés avec un ou plusieurs individus ou équipes. Toutes les routes et règles de pare-feu sont contrôlées de manière centralisée dans le projet hôte.

Tarification

L'utilisation de ces services n'implique aucun tarif fixe.

AWS facture les sorties entre les VPC appairés, même si les ressources se trouvent dans la même région ou la même zone.

Connectivité privée à d'autres réseaux

AWS et Google Cloud proposent tous deux plusieurs services facilitant la connectivité privée à des réseaux externes, tels que votre environnement sur site.

Le tableau suivant compare les services AWS et Google Cloud :

Fonctionnalité AWS Google Cloud
Réseau privé virtuel VPC-VPN Cloud VPN
Connectivité privée à un VPC Direct Connect Interconnexion dédiée
Interconnexion partenaire
Connectivité haut débit à d'autres services cloud Direct Connect Appairage direct
Appairage opérateur
Connectivité CDN ND CDN Interconnect

Réseau privé virtuel

AWS et Google Cloud fournissent des services de réseau privé virtuel (VPN) qui vous permettent de créer un tunnel depuis un réseau externe vers votre réseau interne Amazon EC2 ou Compute Engine, puis d'établir une connexion privée via ce tunnel.

  • Google Cloud : Cloud Router permet la mise à jour dynamique du routage BGP entre les réseaux Compute Engine et les réseaux autres que Google.

  • AWS : Amazon VPC offre un service de routage similaire.

Connectivité privée à un VPC

Dans certains cas, un VPN n'offre pas une vitesse suffisante pour une charge de travail spécifique ou lorsqu'une capacité dédiée est requise. Les services de connectivité privée permettent de louer une ligne de réseau dotée d'un niveau de capacité dédié, via une connexion directe à un VPC à l'aide d'adresses RFC 1918.

  • AWS propose Direct Connect, qui vous permet de créer une ligne privée louée à AWS à partir d'une infrastructure opérateur partenaire. Vous pouvez soit vous connecter directement à ce site et bénéficier d'une vitesse de 1 ou 10 Gbit/s, soit collaborer avec un partenaire AWS pour faciliter la connexion à vos locaux à des vitesses à partir de 50 Mbit/s. Vous pouvez accéder aux régions distantes via une passerelle Direct Connect.

  • Google Cloud propose l'interconnexion dédiée, qui vous permet de créer une connectivité physique directe à votre environnement VPC sur GCP à partir d'une infrastructure partenaire par incréments de 10 Gbit/s. Grâce à l'interconnexion partenaire, vous pouvez également utiliser un service partenaire pour établir la connexion à des vitesses à partir de 50 Mbit/s. Et avec Cloud Router, vous pouvez choisir de disposer d'un accès régional ou mondial à votre VPC.

Connectivité haut débit à d'autres services cloud

AWS et Google Cloud offrent tous deux une connectivité haut débit pour l'accès à des services cloud en dehors des VPC.

Google Cloud propose les services suivants :

  • Pour vous connecter à des services cloud en dehors de votre VPC à l'aide d'adresses IP publiques, Google Cloud propose l'appairage direct. Ce service permet d'accéder directement à tous les services Google, y compris G Suite, via une connexion à une ligne réseau privée située dans l'un des points de présence périphériques de Google.

  • L'appairage opérateur offre les mêmes fonctionnalités que l'appairage direct, mais la connexion est établie via un partenaire.

  • L'accès privé à Google pour les hôtes sur site permet d'accéder à des services de manière privée, à l'aide d'une interconnexion dédiée ou partenaire.

AWS propose Direct Connect, qui permet d'accéder à tous les services AWS via une interface virtuelle distincte.

Connectivité du réseau de diffusion de contenu (CDN)

La connectivité CDN permet de bénéficier de tarifs de sortie réduits pour vos ressources situées dans le cloud et distribuées à un fournisseur CDN.

  • Google Cloud propose des tarifs de sortie réduits à plusieurs fournisseurs CDN grâce à CDN Interconnect.

  • Amazon ne propose des tarifs de sortie réduits que pour son propre service CDN, Amazon CloudFront.

Coûts des services de connectivité

AWS et Google Cloud facturent tous deux les services VPN à un taux horaire.

Google Cloud et AWS facturent des frais mensuels par port pour leurs services de connectivité privée directe : Direct Connect dans le cas d'AWS, et les interconnexions dédiées et partenaires dans le cas de Google Cloud. Google Cloud et AWS proposent tous deux des tarifs de bande passante de sortie réduits via ces services. Les connexions partenaires impliquent des coûts distincts qui sont payés directement au partenaire.

Google Cloud ne facture pas les services suivants :

  • L'appairage direct ou l'appairage opérateur. Google Cloud ne facture pas ces services, mais des frais définis par le partenaire s'appliquent à l'appairage opérateur.

  • CDN Interconnect. Google Cloud ne facture pas ce service, mais les CDN partenaires établissent leurs propres tarifs et facturent leurs clients directement. Avec CDN Interconnect, Google Cloud offre une réduction sur les tarifs de sortie Internet pour le trafic en direction de partenaires CDN.

Télémétrie réseau

AWS fournit des données de télémétrie réseau via des journaux de flux VPC. Le service vous permet de recueillir des informations sur la quantité de trafic qui circule entre différentes adresses et interfaces. Google Cloud propose la même fonctionnalité via les journaux de flux VPC, mais génère les données dans un format JSON contenant des annotations telles que la géolocalisation des entités externes ou le délai aller-retour TCP.

Coûts

Google Cloud et AWS facturent tous deux des frais qui dépendent de la quantité de données générées.

DNS

Un service DNS permet de traduire des noms de domaines lisibles en adresses IP utilisées par les serveurs pour se connecter entre eux. Amazon Route 53 (AWS) et Cloud DNS (Google Cloud) offrent des services DNS gérés et évolutifs dans le cloud.

Cloud DNS et Amazon Route 53 présentent les similitudes suivantes :

  • Compatibilité avec presque tous les types d'enregistrement DNS
  • Diffusion basée sur Anycast
  • Enregistrement du nom de domaine

Contrairement à Cloud DNS, Amazon Route 53 est compatible avec les deux types de routage suivants : le routage basé sur la zone géographique et le routage basé sur la latence. Le routage basé sur la zone géographique vous permet de restreindre votre contenu à certaines régions du monde. Le routage basé sur la latence vous permet de diriger le trafic en fonction de la latence mesurée par le service DNS.

Le tableau suivant compare les fonctionnalités d'Amazon Route 53 à celles de Cloud DNS :

Fonctionnalité Amazon Route 53 Cloud DNS
Zone Zone hébergée Zone gérée
Compatibilité avec la plupart des types d'enregistrements DNS Oui Oui
Diffusion basée sur Anycast Oui Oui
Routage basé sur la latence Oui Non
Routage basé sur la zone géographique Oui Non
DNSSEC pour le service DNS Non Oui
Zones privées/DNS fractionné Oui Oui

Coûts

Les services Amazon Route 53 et Cloud DNS sont facturés en fonction du nombre de zones hébergées par mois et du nombre de requêtes mensuelles. Le tarif appliqué par Route 53 aux requêtes de routage basé sur la zone géographique ou sur la latence est plus élevé.

Et ensuite ?

Consultez les autres articles Google Cloud pour les utilisateurs professionnels d'AWS :