Présentation de Cloud Interconnect

Cloud Interconnect fournit une latence faible et des connexions haute disponibilité vous permettant de transférer des données de manière fiable entre vos réseaux de cloud privé virtuel (VPC) Google Cloud et vos autres réseaux. De plus, les connexions Cloud Interconnect permettent de communiquer des adresses IP internes, ce qui signifie que les adresses IP internes sont directement accessibles depuis les deux réseaux.

Cloud Interconnect présente les options suivantes pour étendre votre réseau afin d'inclure Google Cloud :

• L'interconnexion dédiée fournit une connexion physique directe entre le réseau sur site et le réseau Google.
• L'interconnexion partenaire fournit une connectivité entre le réseau sur site et le réseau VPC via un fournisseur de services agréé.
• Cross-Cloud Interconnect fournit une connexion physique directe entre le réseau dans un autre cloud et le réseau Google.

Pour comparer le choix d'interconnexion dédiée et d'interconnexion partenaire, consultez la section Cloud Interconnect de la page Choisir un produit de connectivité réseau.

Pour connaître la définition des termes employés sur cette page, consultez la page Termes clés de Cloud Interconnect.

Avantages

L'utilisation de Cloud Interconnect présente les avantages suivants :

• Le trafic entre votre réseau externe et votre réseau VPC ne transite pas par l'Internet public. mais par une connexion dédiée ou via un fournisseur de services qui fournit une connexion dédiée. En contournant l'Internet public, votre trafic subit moins de sauts, ce qui limite les points de défaillance pouvant le ralentir ou l'interrompre.

• Les adresses IP internes de votre réseau VPC sont directement accessibles depuis votre réseau sur site. Vous n'avez pas besoin d'utiliser un appareil NAT ou un tunnel VPN pour atteindre les adresses IP internes. Pour plus d'informations, consultez la section Adressage IP et routes dynamiques.

• Vous pouvez adapter votre capacité de connexion en fonction de vos besoins.

  Pour l'interconnexion dédiée, la capacité de connexion est fournie sur une ou plusieurs connexions Ethernet 10 Gbit/s ou 100 Gbit/s, les capacités maximales acceptées par Cloud Interconnect étant les suivantes :

  • Huit connexions de 10 Gbit/s (80 Gbit/s au total)
  • Deux connexions de 100 Gbit/s (200 Gbit/s au total)

  Pour l'interconnexion partenaire, les capacités de connexion suivantes sont acceptées pour chaque rattachement de VLAN :

  • Rattachements de VLAN allant de 50 Mbit/s à 50 Gbit/s. Le débit de rattachement maximal autorisé est de 50 Gbit/s. Toutefois, il est possible que certains débits ne soient pas disponibles, suivant l'offre du partenaire choisi dans la zone sélectionnée.

• Vous pouvez demander des connexions 100 Gbit/s à n'importe lequel des emplacements répertoriés sous Toutes les installations hébergées en colocation.

• L'interconnexion dédiée, l'interconnexion partenaire, l'appairage direct et l'appairage opérateur peuvent vous aider à optimiser le trafic de sortie de votre réseau VPC et à réduire vos coûts de sortie. Cloud VPN, en soi, ne réduit pas les coûts de sortie.

• Vous pouvez utiliser Cloud Interconnect avec l'accès privé à Google pour les hôtes sur site afin que ceux-ci puissent utiliser des adresses IP internes plutôt que des adresses IP externes pour accéder aux API et services Google. Pour en savoir plus, consultez la section Options d'accès privé pour les services dans la documentation sur les VPC.

• Vous pouvez appliquer le chiffrement IPsec à votre trafic Cloud Interconnect en déployant un VPN haute disponibilité via Cloud Interconnect.

Points à prendre en compte

Utiliser Cloud VPN seul

Si vous n'avez pas besoin d'une connexion Cloud Interconnect complète, vous pouvez utiliser Cloud VPN seul pour configurer des tunnels VPN IPsec entre vos réseaux. Les tunnels VPN IPsec chiffrent les données en utilisant les protocoles IPsec standards de l'industrie. Le trafic chiffré transite par l'Internet public.

Cloud VPN requiert la configuration d'une passerelle VPN de pairs dans votre réseau sur site.

Adressage IP, IPv6 et routes dynamiques

Lorsque vous connectez votre réseau VPC à votre réseau sur site, vous autorisez la communication entre l'espace d'adressage IP de votre réseau sur site et tout ou partie des sous-réseaux de votre réseau VPC. Les sous-réseaux VPC disponibles dépendent du mode de routage dynamique de votre réseau VPC. Les plages d'adresses IP de sous-réseau dans les réseaux VPC sont toujours des adresses IP internes.

Vous pouvez activer l'échange de trafic IPv6 entre votre réseau VPC compatible avec IPv6 et votre réseau sur site. Pour en savoir plus, consultez les sections Compatibilité d'IPv6 avec l'interconnexion dédiée et Compatibilité d'IPv6 avec l'interconnexion partenaire.

L'espace d'adresses IP sur votre réseau sur site et sur votre réseau VPC ne doit pas se chevaucher, sinon le trafic ne sera pas correctement acheminé. Supprimez toutes les adresses qui se chevauchent dans l'un ou l'autre réseau.

Votre routeur sur site partage les routes de votre réseau sur site avec le routeur cloud de votre réseau VPC. Cette action crée des routes dynamiques personnalisées dans votre réseau VPC, chacune avec un saut suivant défini sur le rattachement de VLAN approprié.

Sauf modification par des annonces personnalisées, les routeurs cloud de votre réseau VPC partagent les adresses IP de sous-réseau du réseau VPC avec vos routeurs sur site, en fonction du mode de routage dynamique de votre réseau VPC.

Les configurations suivantes nécessitent la création d'une annonce de routage personnalisée sur votre routeur cloud pour diriger le trafic depuis votre réseau sur site vers certaines adresses IP internes à l'aide d'une connexion Cloud Interconnect :

• Configurez l'accès privé à Google pour les hôtes sur site.
• Créez une zone de transfert Cloud DNS.
• Configuration réseau requise pour le serveur de noms alternatif

Cloud Interconnect en tant que réseau de transfert de données

Avant d'utiliser Cloud Interconnect, lisez attentivement la section 2 des conditions générales de service de Google Cloud.

À l'aide de Network Connectivity Center, vous pouvez utiliser des rattachements de VLAN pour connecter des réseaux sur site, en transmettant du trafic entre eux comme réseau de transfert de données. Vous connectez les réseaux en associant les rattachements de VLAN à Network Connectivity Center pour chaque emplacement sur site. Ensuite, vous devez connecter chaque spoke à un hub de Network Connectivity Center.

Pour en savoir plus sur le centre de connectivité réseau, consultez la section Présentation du centre de connectivité réseau.

Chiffrer le trafic Cloud Interconnect

Par défaut, Cloud Interconnect ne chiffre pas le trafic. Vous pouvez utiliser MACsec pour Cloud Interconnect pour sécuriser le trafic entre votre routeur sur site et les routeurs périphériques de Google sur des circuits d'interconnexion dédiée compatibles. Pour en savoir plus, consultez la page Présentation de MACsec pour Cloud Interconnect.

Vous pouvez aussi déployer un VPN haute disponibilité via Cloud Interconnect si vous devez chiffrer le trafic acheminé par vos rattachements de VLAN. Le VPN haute disponibilité via Cloud Interconnect est compatible avec l'interconnexion dédiée et l'interconnexion partenaire. Vous devrez peut-être chiffrer votre trafic Cloud Interconnect pour répondre à certaines exigences réglementaires ou de sécurité. Pour en savoir plus, consultez la page Présentation du VPN haute disponibilité via Cloud Interconnect.

Restreindre l'utilisation de Cloud Interconnect

Par défaut, tous les réseaux VPC peuvent utiliser Cloud Interconnect. Pour contrôler les réseaux VPC qui peuvent utiliser Cloud Interconnect, vous pouvez définir une règle d'administration. Pour en savoir plus, consultez la page Restreindre l'utilisation de Cloud Interconnect.

MTU Cloud Interconnect

Les rattachements de VLAN Cloud Interconnect sont compatibles avec les quatre tailles de MTU suivantes :

• 1 440 octets
• 1 460 octets
• 1 500 octets
• 8 896 octets

Google recommande d'utiliser la même MTU pour tous les rattachements de VLAN connectés au même réseau VPC et de définir la MTU du réseau VPC sur la même valeur. Bien qu'il s'agisse de la pratique recommandée, vous n'êtes pas obligé de faire correspondre les MTU des rattachements de VLAN et les MTU des réseaux VPC. Vous pouvez rencontrer des problèmes de perte de paquets, en particulier pour les protocoles autres que TCP, si vous effectuez l'une des opérations suivantes :

• Utilisez des MTU différentes pour les rattachements de VLAN connectés au même réseau VPC.
• Configurez des MTU de rattachements de VLAN inférieures à la MTU du réseau VPC contenant les rattachements de VLAN.

Pour obtenir des informations générales sur la manière dont les protocoles gèrent les MTU non concordantes, consultez la page MTU non concordantes, limitation de la taille MSS, détection de MTU de chemin dans la documentation sur les MTU VPC.

Les paquets envoyés via un rattachement de VLAN sont traités de la manière suivante :

Situation	Comportement
Paquets TCP SYN et SYN-ACK	Google Cloud lance un processus de limitation de la taille MSS, en modifiant la MSS afin que les paquets puissent être intégrés dans la MTU du rattachement de VLAN. Par exemple, si la taille de la MTU du rattachement de VLAN est de 1 500 octets, le processus de limitation de la taille MSS utilise une taille de segment maximale de 1 460 octets.
Paquets IP inférieurs ou égaux à la MTU du rattachement de VLAN	Google Cloud n'apporte aucune modification au paquet, à l'exception des paquets SYN et SYN-ACK comme indiqué dans la première ligne.
Vérifications de la MTU des paquets IP	La MTU des paquets envoyés par les ressources Google Cloud via un rattachement de VLAN est limitée par la MTU du rattachement de VLAN. Par exemple, lorsqu'une instance de VM envoie des paquets à une destination accessible par une route dynamique dont le saut suivant est un rattachement de VLAN, les paquets qui dépassent la MTU du rattachement de VLAN sont supprimés : Google Cloud supprime le paquet et envoie un message de fragmentation requise (ICMP sur IPv4) ou de paquet trop volumineux (ICMPv6) lorsque le bit de non-fragmentation (DF, Don't Fragment) est activé, et lorsque le bit DF est désactivé. Vous devez configurer des règles d'autorisation d'entrée, consistant soit en des règles de pare-feu VPC, soit en des règles dans les stratégies de pare-feu, de sorte que les protocoles ICMP (pour IPv4) ou ICMPv6 (pour IPv6) soient autorisés à partir de sources correspondant aux destinations des paquets d'origine. Les règles de transfert pour l'équilibreur de charge réseau passthrough interne et le transfert de protocole interne doivent utiliser le protocole L3_DEFAULT afin qu'elles traitent à la fois le protocole ICMP pour la détection de MTU de chemin et le protocole utilisé par le paquet d'origine. Cloud Interconnect n'applique pas la MTU du rattachement de VLAN pour les paquets reçus d'un réseau sur site. À la place, Google Cloud applique la MTU sur la ressource Google Cloud qui reçoit le paquet : Si la ressource qui reçoit le paquet est une instance de VM, Google Cloud applique la MTU du réseau VPC utilisé par l'interface réseau de la VM de réception, comme si celle-ci avait reçu un paquet routé au sein du réseau VPC. Les paquets envoyés aux API et services Google depuis l'emplacement sur site via un rattachement de VLAN sont traités de la même manière que les paquets envoyés depuis des instances de VM vers les API et services Google. Pour plus d'informations, consultez la section Communication avec les API et les services Google.
Paquets envoyés via un VPN haute disponibilité via Cloud Interconnect	Le VPN haute disponibilité via Cloud Interconnect utilise une MTU de passerelle de 1 440 octets et les MTU de charge utile sont inférieures, en fonction des algorithmes de chiffrement utilisés. Pour en savoir plus, consultez la page Considérations relatives aux MTU dans la documentation Cloud VPN.

Compatibilité avec le trafic GRE

Cloud Interconnect accepte le trafic GRE. Grâce à la compatibilité GRE, vous pouvez interrompre le trafic GRE sur une VM depuis Internet (adresse IP externe), et Cloud VPN ou Cloud Interconnect (adresse IP interne). Le trafic déchiffré peut alors être transmis à une destination accessible. GRE vous permet d'utiliser des services tels que SASE (Secure Access Service Edge) et SD-WAN. Vous devez créer une règle de pare-feu pour autoriser le trafic GRE.

Visualiser et surveiller les connexions Cloud Interconnect et les rattachements de VLAN

Network Topology est un outil de visualisation qui montre la topologie de vos réseaux VPC, la connectivité hybride vers et depuis vos réseaux sur site, et les métriques associées. Vous pouvez afficher vos connexions Cloud Interconnect et rattachements de VLAN en tant qu'entités dans Network Topology.

Une entité de base constitue le niveau le plus bas d'une hiérarchie particulière et représente une ressource qui peut communiquer directement avec d'autres ressources sur un réseau. Network Topology agrège les entités de base dans des entités hiérarchiques que vous pouvez développer ou réduire. Lorsque vous affichez un graphique Network Topology pour la première fois, il agrège toutes les entités de base dans leur hiérarchie de premier niveau.

Par exemple, Network Topology agrège les rattachements de VLAN dans leur connexion Cloud Interconnect, et vous pouvez afficher la hiérarchie en développant ou en réduisant les icônes représentant des connexions Cloud Interconnect.

Pour plus d'informations, consultez la page Présentation de Network Topology.

Questions fréquentes

Pour connaître les réponses aux questions fréquentes relatives à l'architecture et aux fonctionnalités de Cloud Interconnect, consultez l'article Questions fréquentes relatives à Cloud Interconnect.

Étape suivante

• Pour choisir un type de connexion pour Cloud Interconnect, consultez la page Choisir un produit de connectivité réseau.

• Pour connaître les bonnes pratiques à suivre lors de la planification et de la configuration de Cloud Interconnect, consultez la page Bonnes pratiques.