Présentation de Network Connectivity Center

Network Connectivity Center est un framework d'orchestration qui fournit une connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub. Network Connectivity Center accepte deux types de spokes :

  • Spokes de cloud privé virtuel (VPC)
  • Spokes hybrides composés des éléments suivants :
    • Tunnels VPN haute disponibilité
    • Rattachements de VLAN Cloud Interconnect
    • VM d'appareil de routeur

Ces fonctionnalités vous permettent d'effectuer les opérations suivantes :

  • Connectez plusieurs réseaux VPC entre eux. Les réseaux VPC peuvent se situer sur différents projets au sein de la même organisation Google Cloud ou dans différentes organisations.
  • Connectez plusieurs réseaux VPC à des réseaux sur site ou à d'autres fournisseurs de services cloud. Ces réseaux externes peuvent être accessibles via n'importe quel type de spoke hybride. Cette approche est connue sous le nom de connectivité site à cloud.
  • Utilisez des VM d'appareil de routeur pour gérer la connectivité entre vos réseaux VPC.
  • Utilisez un réseau VPC Google Cloud en tant que réseau à l'échelle de l'entreprise (WAN) pour connecter des réseaux situés en dehors de Google Cloud. Vous pouvez établir la connectivité entre vos sites externes à l'aide de n'importe quel type de spoke hybride. Cette approche est connue sous le nom de connectivité site à cloud.

Fonctionnement

Lorsqu'un hub utilise des spokes VPC, vous pouvez configurer la connectivité maillée entre tous les réseaux VPC connectés au hub en échangeant des routes de sous-réseau entre tous les réseaux VPC.

Lorsqu'un hub utilise à la fois des spokes VPC et des spokes hybrides, toutes les connectivités sont acceptées sur tous ces spokes.

Lorsqu'un hub utilise des spokes hybrides situés dans un seul réseau VPC, vous pouvez également configurer le transfert de données de site à site afin que les routes dynamiques dont les sauts suivants sont des spokes hybrides (par exemple, un rattachement de VLAN Cloud Interconnect) soient annoncées sur un réseau sur site par les sessions BGP des autres spokes hybrides du réseau VPC. Dans certains cas, vous pouvez également utiliser des spokes hybrides pour connecter deux réseaux VPC, créant ainsi des routes dynamiques dans chaque réseau.

Lorsqu'un hub utilise des spokes VPC, vous pouvez configurer la connectivité entre les réseaux VPC connectés au hub en échangeant des routes de sous-réseau entre les réseaux.

Spokes

Un spoke représente une ou plusieurs ressources réseau Google Cloud connectées à un hub. Lorsque vous créez un spoke, vous devez l'associer à au moins une ressource de connectivité compatible, appelée ressource de sauvegarde.

Un spoke peut utiliser n'importe laquelle des ressources Google Cloud suivantes comme ressource de sauvegarde.

Ressource

Cas d'utilisation applicables

Spokes VPC
  • Connectivité entre les plages de sous-réseaux IPv4 provenant de plusieurs réseaux VPC
Appareil de routeur
  • Connectivité IPv4 de site à cloud (tous les appareils associés à partir d'un même spoke doivent se trouver sur le même réseau VPC)
  • Transfert de données IPv4 de site à site (tous les spokes connectés à un même hub doivent disposer de toutes leurs ressources de sauvegarde dans le même réseau VPC)
  • Connectivité IPv4 entre les réseaux VPC
Tunnels Cloud VPN (VPN haute disponibilité),
Rattachements de VLAN Cloud Interconnect
  • Connectivité IPv4 de site à cloud (tous les appareils associés à partir d'un même spoke doivent se trouver sur le même réseau VPC)
  • Transfert de données IPv4 de site à site (tous les tunnels Cloud VPN, rattachements de VLAN, ou les deux, doivent se trouver sur le même réseau VPC)

Spokes VPC

Les spokes VPC vous permettent de connecter au moins deux réseaux VPC à un hub afin que les réseaux échangent des routes de sous-réseau IPv4. Les spokes VPC associés à un seul hub peuvent référencer des réseaux VPC dans le même projet ou dans un projet différent (y compris un projet d'une autre organisation).

Pour en savoir plus sur les spokes VPC, consultez la section Présentation des spokes VPC.

Spokes hybrides

Un seul spoke hybride peut être associé à plusieurs ressources du même type. Par exemple, un spoke hybride peut référencer deux tunnels VPN haute disponibilité ou plus, mais ce même spoke hybride ne peut pas également référencer des VM d'appareil de routeur ou des rattachements de VLAN Cloud Interconnect.

Le transfert de données de site à site à l'aide de spokes hybrides nécessite que les spokes soient situés sur le même réseau VPC. Pour plus d'informations, consultez la page Présentation du transfert de données de site à site.

Échange de routes avec une connectivité VPC

Les spokes du Network Connectivity Center sont compatibles avec l'échange de plages d'adresses IPv4 de sous-réseau qui utilisent des adresses privées, à l'exclusion des adresses IPv4 publiques utilisées en mode privé. Les routes dynamiques, c'est-à-dire les routes apprises par les spokes hybrides via BGP, peuvent également être échangées avec des spokes VPC ou d'autres spokes hybrides. Les routes statiques d'un réseau VPC spoke ne peuvent pas être échangées avec d'autres spokes VPC du hub.

Importation de sous-réseaux de hub pour les spokes hybrides

Vous pouvez annoncer automatiquement les plages de sous-réseaux d'adresses IP de spoke VPC sur les réseaux sur site et d'autres fournisseurs de services cloud via BGP en activant l'importation de sous-réseaux hub pour les spokes hybrides. Lorsque cette option est activée, tous les nouveaux sous-réseaux VPC créés ou supprimés et présents dans la table de routage du hub sont automatiquement importés par les spokes hybrides et annoncés via BGP à leurs pairs distants.

Pour annoncer automatiquement les plages d'adresses IP de sous-réseaux de spoke VPC aux spokes hybrides, utilisez l'option --include-import-ranges avec le champ ALL_IPV4_RANGES lors de la création du spoke. Par défaut, le champ --include-import-ranges est vide, ce qui signifie qu'aucun sous-réseau de hub n'est importé dans des spokes hybrides nouveaux ou existants tant que l'option ALL_IPV4_RANGES n'est pas spécifiée.

Pour en savoir plus sur la création de spokes hybrides, consultez la section Utiliser des spokes.

Annonce de routage personnalisée

L'annonce de routage personnalisée dans Cloud Router vous permet de contrôler manuellement les préfixes annoncés par les spokes hybrides. Vous pouvez spécifier des routes annoncées personnalisées (en incluant les routes par défaut, 0.0.0.0/0 pour les routes IPv4 ou ::/0 pour les routes IPv6) pour toutes les sessions BGP lorsque vous n'avez pas besoin d'annonce automatique des sous-réseaux spoke de VPC. Par défaut, les autres sous-réseaux spoke de VPC ne sont pas annoncés, ce qui signifie que les emplacements sur site n'obtiennent pas automatiquement des informations sur la joignabilité de ces plages d'adresses IP.

Éléments à prendre en compte pour l'importation de sous-réseaux de hub

Tenez compte des points suivants lorsque vous utilisez la fonctionnalité d'importation de sous-réseaux de hub.

  • Tous les sous-réseaux de spoke VPC de la table de routage du hub sont annoncés par défaut à un spoke hybride si la valeur ALL_IPV4_RANGES est spécifié dans le champ --include-import-ranges.
  • La priorité de route suivie est la suivante : sous-réseaux du réseau VPC de destination, sous-réseaux du hub et routes personnalisées Cloud Router, dans cet ordre.
  • Network Connectivity Center empêche les chevauchements entre les sous-réseaux VPC de routage et les sous-réseaux de hub avec d'autres spokes VPC.
  • Si une route personnalisée Cloud Router est exactement identique ou chevauche les sous-réseaux VPC ou les sous-réseaux de hub de destination, la route personnalisée de ce routeur Cloud Router est ignorée.
  • Les attributs BGP des sous-réseaux de hub sont identiques aux sous-réseaux VPC de destination du spoke hybride.
  • Les règles Cloud Router sur la session BGP sont également appliquées aux sous-réseaux du hub importés par Network Connectivity Center.
  • Si le réseau VPC de routage du spoke hybride définit le mode de routage dynamique sur regional, seuls les sous-réseaux de hubs de la même région que le spoke hybride sont annoncés.

Cas d'utilisation

Les sections suivantes décrivent les principaux cas d'utilisation de Network Connectivity Center.

Connecter différents réseaux VPC avec Network Connectivity Center

Lorsque vous associez au moins deux spokes VPC à un hub, Network Connectivity Center fournit une connectivité de sous-réseau IPv4 entre tous les réseaux VPC représentés par les spokes. L'utilisation d'un hub simplifie la gestion de la connectivité du sous-réseau maillé à grande échelle. Consultez les quotas pour connaître le nombre de réseaux VPC pouvant être connectés à un hub.

Le schéma suivant illustre deux spokes VPC.

Connecter des spokes à un réseau VPC.
Connecter des spokes à un réseau VPC (cliquez pour agrandir)

Connectivité sur site pour les spokes VPC

Les spokes VPC peuvent se connecter à des réseaux sur site à l'aide de spokes hybrides situés sur d'autres réseaux VPC (routage). Chaque hub Network Connectivity Center accepte plusieurs spokes VPC et rattachements de VLAN Cloud Interconnect, tunnels VPN haute disponibilité ou VM d'appareil de routeur ajoutées en tant que spokes hybrides. Le schéma suivant illustre un exemple de hub avec des spokes VPC et des spokes hybrides dans le même hub Network Connectivity Center.

Échange de routes dynamiques avec des spokes VPC.
Échange de routes dynamiques avec des spokes VPC (cliquez pour agrandir)

Connecter des réseaux à l'aide de VM d'appareil de routeur

Network Connectivity Center peut utiliser des VM d'appareil de routeur dans les deux scénarios de connectivité IPv4 suivants :

  • Connecter un réseau VPC à un réseau sur site ou à un autre fournisseur cloud à l'aide de routes dynamiques
  • Connecter deux réseaux VPC à l'aide de routes dynamiques

Avec cette option, Cloud Router gère les sessions BGP pour les VM d'appareil de routeur.

Connecter un réseau externe à Google Cloud

Le schéma suivant utilise un spoke hybride avec une VM d'appareil de routeur pour connecter deux réseaux VPC à un réseau externe. La VM Cloud Router possède une interface réseau (carte d'interface réseau) dans chaque réseau VPC.

connecter un réseau externe à Google Cloud ;
Connecter un réseau externe à Google Cloud (cliquez pour agrandir)

Pour plus d'informations sur ce cas d'utilisation, consultez la section Topologies de site à cloud utilisant un dispositif tiers.

Gérer la connectivité entre les réseaux VPC

Le schéma suivant utilise un spoke hybride avec une VM d'appareil de routeur exécutant un logiciel de pare-feu ou d'inspection de paquets spécialisé pour connecter deux réseaux VPC.

Utiliser un pare-feu tiers.
Utiliser un pare-feu tiers (cliquez pour agrandir)

Pour en savoir plus, consultez la section Topologie de VPC à VPC utilisant un dispositif tiers.

Organiser le transfert de données via le réseau de Google

Le transfert de données fournit une connectivité IPv4 entre les réseaux externes à l'aide d'un réseau VPC Google Cloud et de spokes hybrides. Vous pouvez transférer des données entre plusieurs réseaux sur site ou vers d'autres réseaux cloud.

Lorsque vous créez un spoke hybride, vous pouvez activer l'option de transfert de données pour ce spoke. Lorsque le transfert de données est activé pour les spokes hybrides connectés au même hub, les routes dynamiques apprises par chaque VM d'appareil de routeur, tunnel Cloud VPN ou rattachement de VLAN Cloud Interconnect sont annoncées à nouveau sur les autres VM, tunnels ou rattachements de VLAN associés à un spoke hybride connecté au même hub. Le transfert de données nécessite que tous les spokes hybrides fassent référence à des VM d'appareil de routeur, des tunnels Cloud VPN ou des rattachements de VLAN Cloud Interconnect dans un seul réseau VPC.

Par exemple, supposons que vous disposiez de centres de données à New York, Sydney et Tokyo. Après avoir utilisé les ressources compatibles pour connecter votre réseau VPC à chacun de ces sites, vous pouvez créer un spoke pour représenter chaque réseau. Une fois cette configuration terminée, le centre de connectivité réseau fournit une connectivité maillée complète entre les trois sites.

Comme illustré dans le schéma suivant, vous pouvez créer des spokes qui s'appuient sur des ressources de connectivité telles que Cloud VPN, Cloud Interconnect et un dispositif de routeur.

Le schéma ne montre pas l'interconnexion Cross-Cloud Interconnect, mais vous pouvez également utiliser des rattachements de VLAN Cross-Cloud Interconnect.

Transfert de données via le réseau de Google
Transfert de données via le réseau de Google (cliquez pour agrandir)

Pour plus d'informations sur ce cas d'utilisation, consultez la page Présentation du transfert de données de site à site.

Remarques

Avant de configurer le centre de connectivité réseau, consultez les sections suivantes.

Adressage IP

Network Connectivity Center est compatible avec l'adressage IPv4. Il n'est pas compatible avec IPv6. Exemple :

  • Si le transfert de données de site à site est activé pour un spoke, les ressources associées aux spokes acceptent le trafic IPv4. Ces spokes ne peuvent pas échanger de trafic IPv6. Cette instruction s'applique à tous les types de spokes : appareil de routeur, rattachement de VLAN et VPN.

  • Les spokes d'appareil de routeur de site à cloud acceptent le trafic IPv4. Le trafic IPv6 n'est pas accepté.

  • Lorsque vous créez une VM d'appareil de routeur, l'adresse IPv4 interne principale de la VM doit être une adresse RFC 1918.

  • Lorsque les spokes VPC contiennent à la fois des sous-réseaux IPv4 et IPv6, seuls les sous-réseaux IPv4 échangent entre eux.

Routage

Pour plus d'informations sur la gestion des routes dynamiques par rapport à d'autres types de routes, consultez la section Applicabilité et ordre dans la documentation sur les VPC.

Définition des priorités

Toutes les ressources de spoke utilisent Cloud Router. Pour en savoir plus sur le modèle de sélection de chemin utilisé par Cloud Router, consultez la section Préfixage de chemin du serveur d'authentification et longueur du chemin du serveur d'authentification dans la présentation de Cloud Router.

Numéros ASN

Tous les routeurs d'appairage non-Google associés à un même spoke doivent utiliser le même numéro ASN pour annoncer les préfixes au routeur Cloud Router. Ceci est particulièrement important car si deux pairs annoncent le même préfixe avec des numéros ASN ou des chemins AS différents, seul le numéro ASN et le chemin AS d'un des pairs sera annoncé pour ce préfixe. Les différents spokes doivent avoir des numéros ASN différents. Autrement dit, si deux sessions BGP appartiennent à des spokes différents, elles doivent avoir des numéros ASN différents.

De plus, si vous utilisez la fonctionnalité de transfert de données, vous devez attribuer des ASN comme décrit dans la section Exigences ASN pour le transfert de données de site à site.

Sessions BGP

Les communautés BGP ne sont pas acceptées.

Modifications des annonces de routage lors de l'utilisation de transferts de données site à site

Lorsque vous ajoutez un rattachement de VLAN Cloud Interconnect ou un tunnel Cloud VPN à un spoke hybride, Network Connectivity Center met à jour la session BGP correspondante pour le rattachement de VLAN ou le tunnel Cloud VPN afin qu'il annonce à nouveau les préfixes appris par les sessions BGP des autres rattachements de VLAN Cloud Interconnect ou tunnels Cloud VPN connectés à l'un des spokes hybrides du hub sur lequel l'option de transfert de données de site à site est activée.

Assistance pour d'autres produits

Les sections suivantes décrivent le fonctionnement du centre de connectivité réseau avec d'autres produits et fonctionnalités de mise en réseau.

Spokes VPC et appairage de réseaux VPC

Les spokes VPC de Network Connectivity Center ne sont compatibles qu'avec l'échange de plages d'adresses IPv4 de sous-réseau valides qui utilisent des adresses privées, à l'exclusion des adresses IPv4 publiques utilisées en mode privé, des plages de sous-réseaux IPv6 et des routes statiques :

  • Pour en savoir plus sur les spokes VPC de Network Connectivity Center, consultez la section Présentation des spokes VPC.
  • Pour en savoir plus sur l'échange de routes à l'aide de l'appairage de réseaux VPC, consultez les options d'échange de routes dans la documentation sur l'appairage de réseaux VPC.

Même lorsque les spokes VPC de Network Connectivity Center ne sont pas configurés pour échanger des routes statiques ou dynamiques, un réseau VPC de spokes peut toujours importer les routes statiques et dynamiques d'un autre réseau VPC à l'aide de l'appairage de réseaux VPC. Si l'autre réseau VPC possède des routes dynamiques avec des rattachements de VLAN Cloud Interconnect de prochain saut ou des tunnels Cloud VPN qui se connectent à un réseau sur site, vous pouvez connecter le réseau de spoke VPC au réseau sur site en utilisant les annonces de routage personnalisées Cloud Router et les options d'échange de routes d'appairage de réseaux VPC, comme décrit dans l'exemple de réseau de transit de la documentation concernant l'appairage de réseaux VPC.

Réseaux VPC partagés

Lorsque vous utilisez des réseaux VPC partagés, vous devez créer le hub dans le projet hôte. Cette limitation ne s'applique qu'aux spokes hybrides.

Nous vous recommandons d'attribuer le rôle networkconnectivity.googleapis.com/spokeAdmin aux administrateurs des projets de service. Pour en savoir plus sur ce rôle et des autres rôles Network Connectivity Center, consultez la page Rôles et autorisations.

Anciens réseaux

Les ressources de spoke ne peuvent pas faire partie d'un ancien réseau.

Tunnels VPN

Les tunnels VPN classiques ne sont pas acceptés.

Transfert de données

Si vous utilisez le transfert de données, consultez la section Considérations de la présentation du transfert de données de site à site.

Contrat de niveau de service

Pour en savoir plus sur le contrat de niveau de service de Network Connectivity Center, consultez le Contrat de niveau de service de Network Connectivity Center.

Tarifs

Pour en savoir plus sur les tarifs, consultez la page Tarifs du Network Connectivity Center.

Étapes suivantes