Présentation de Network Connectivity Center

Le centre de connectivité réseau est un produit de connectivité réseau qui utilise une architecture en étoile pour la gestion des connectivités hybrides. Avec cette architecture, chaque ressource de connectivité est représentée sous la forme d'un spoke. Chaque spoke est associé à une ressource de gestion centrale appelée hub.

Le centre de connectivité réseau inclut le dispositif de routeur. Cette fonctionnalité vous permet d'installer un dispositif virtuel de réseau tiers dans Google Cloud. Lorsque vous utilisez cette approche, le serveur peut échanger des routes avec Cloud Router à l'aide du protocole BGP (Border Gateway Protocol).

Ces fonctionnalités vous permettent d'effectuer les opérations suivantes :

  • Connecter un réseau externe à Google Cloud à l'aide d'un routeur SD-WAN tiers ou d'un autre dispositif. Cette approche est connue sous le nom de connectivité site à cloud.
  • Utiliser un dispositif virtuel de réseau tiers pour gérer la connectivité entre vos réseaux cloud privés virtuels.
  • Utiliser le réseau de Google en tant que réseau étendu (WAN) pour connecter des sites situés en dehors de Google Cloud. Vous pouvez établir une connectivité maillée complète entre vos sites externes à l'aide de ressources telles que Cloud VPN, Cloud Interconnect et des dispositifs virtuels de réseaux tiers. Cette approche est connue sous le nom de transfert de données de site à site.

Fonctionnement

Avec Network Connectivity Center, chaque ressource de connectivité est représentée sous la forme d'un spoke. Chaque spoke est associé à une ressource de gestion centrale appelée hub.

Hubs

Un hub est une ressource de gestion globale à laquelle vous associez des spokes.

La fonction du hub varie selon que ses spokes utilisent la fonctionnalité de transfert de données de site à site. Lorsque vous utilisez cette fonctionnalité, le hub fournit une connectivité maillée complète entre tous les spokes sur lesquels cette fonctionnalité est activée.

Si le transfert de données n'est pas activé pour les spokes, le hub ne fournit la connectivité qu'aux ressources Google Cloud. Le hub n'établit pas la connectivité entre ces spokes.

Spokes

Un spoke représente une ou plusieurs ressources réseau Google Cloud connectées à un hub. Lorsque vous créez un spoke, vous devez l'associer à au moins une ressource de connectivité compatible, parfois appelée ressource de sauvegarde.

Un spoke peut utiliser n'importe laquelle des ressources Google Cloud suivantes comme ressource de sauvegarde.

Resource

Cas d'utilisation applicables

Appareil de routeur
  • Connectivité de site à cloud
  • Transfert de données de site à site
  • Connectivité entre les réseaux VPC
Tunnels Cloud VPN (VPN haute disponibilité),
Rattachements de VLAN d'interconnexion dédiée,
et rattachements de VLAN d'interconnexion partenaire
  • Transfert de données de site à site

Un même spoke peut être associé à plusieurs ressources, mais toutes les ressources doivent être du même type. Par exemple, même si un seul spoke peut être associé à plusieurs tunnels VPN, il ne peut pas être associé à la fois aux tunnels VPN et aux instances de dispositif de routeur.

Chaque spoke a une option de transfert de données. Lorsque vous activez cette option pour plusieurs spokes, le hub fournit une connectivité maillée complète entre ces spokes. Cette option a également d'autres conséquences. Par exemple, si plusieurs spokes utilisent le transfert de données, les ressources de sauvegarde de ces spokes doivent être situées sur le même réseau VPC. Pour plus d'informations, consultez la page Présentation du transfert de données de site à site.

Appareil de routeur

La fonctionnalité de dispositif de routeur vous permet d'installer un dispositif virtuel de réseau dans Google Cloud et de l'utiliser comme ressource de sauvegarde pour un spoke.

Pour créer une instance d'appareil de routeur, installez une image de dispositif virtuel sur une machine virtuelle (VM) Compute Engine et effectuez certaines autres étapes de configuration. Cette configuration comprend l'établissement d'un appairage BGP (Border Gateway Protocol) entre la VM et un routeur cloud. BGP permet l'échange dynamique de routes entre Cloud Router et l'instance de l'appareil de routeur. L'échange de routes vous permet d'établir la connectivité entre votre réseau VPC et d'autres réseaux.

Pour en savoir plus, consultez la présentation de l'appliance de routeur.

Cas d'utilisation

Les sections suivantes décrivent les principaux cas d'utilisation de Network Connectivity Center.

Utiliser un dispositif virtuel de réseau tiers

Network Connectivity Center vous permet d'utiliser tout dispositif virtuel de réseau tiers compatible avec le protocole BGP. Vous pouvez utiliser le dispositif pour connecter un réseau externe à votre réseau VPC ou pour connecter plusieurs réseaux VPC entre eux. Pour configurer un dispositif tiers, vous utilisez la fonctionnalité d'appareil de routeur. Ces approches sont décrites dans les sections suivantes.

Vous pouvez également utiliser un dispositif tiers dans le cadre d'une stratégie de transfert de données. Pour en savoir plus sur cette approche, consultez la section Organiser le transfert de données via le réseau de Google.

Connecter un réseau externe à Google Cloud

Le schéma suivant illustre une topologie externe qui utilise un spoke d'appareil de routeur pour se connecter à un site externe avec deux réseaux VPC. Dans ce scénario, la VM qui héberge l'image de l'appareil de routeur possède des interfaces dans les deux réseaux. Vous utilisez chaque interface pour créer un spoke : un pour chaque réseau. Le réseau externe peut ensuite échanger des préfixes avec les deux réseaux VPC.

Connecter un réseau externe à Google Cloud
Connecter un réseau externe à Google Cloud (cliquez pour agrandir)

Pour plus d'informations sur ce cas d'utilisation, consultez la section Topologies de site à cloud utilisant un dispositif tiers.

Gérer la connectivité entre les réseaux VPC

Vous pouvez utiliser la fonctionnalité d'appareil de routeur pour connecter plusieurs réseaux VPC. Le dispositif peut être un routeur SD-WAN, un pare-feu, un équilibreur de charge ou autre.

La topologie suivante montre une instance de dispositif de routeur qui exécute une image de dispositif de pare-feu. La VM du dispositif de routeur possède des interfaces dans les deux réseaux. Vous utilisez chaque interface pour créer un spoke : un pour chaque réseau. Le dispositif de pare-feu peut ensuite contrôler la connectivité entre les réseaux.

Bien que cette topologie montre un dispositif de pare-feu, vous pouvez utiliser la même topologie pour un autre type de dispositif.

Utiliser un pare-feu tiers
Utiliser un pare-feu tiers (cliquez pour agrandir)

Pour en savoir plus, consultez la section Topologie de VPC à VPC utilisant un dispositif tiers.

Organiser le transfert de données via le réseau de Google

Le transfert de données est la transmission de données entre deux sites situés en dehors de Google Cloud. Le centre de connectivité réseau vous permet d'utiliser le réseau de Google pour le transfert de données entre plusieurs sites sur site ou autres charges de travail cloud. Cette approche vous permet de bénéficier de la portée et de la fiabilité du réseau de Google chaque fois que vous devez déplacer des données.

Lorsque vous créez un spoke, vous pouvez activer ou désactiver le transfert de données pour ce spoke. Si le transfert de données est activé pour un ou plusieurs spokes connectés au même hub, ces spokes peuvent tous transférer des données entre eux.

Par exemple, supposons que vous disposiez de centres de données à New York, Sydney et Tokyo. Après avoir utilisé les ressources compatibles pour connecter votre réseau VPC à chacun de ces sites, vous pouvez créer un spoke pour représenter chaque réseau. Une fois cette configuration terminée, le centre de connectivité réseau fournit une connectivité maillée complète entre les trois sites.

Comme illustré dans le schéma suivant, vous pouvez créer des spokes qui s'appuient sur des ressources de connectivité telles que Cloud VPN, une interconnexion dédiée, une interconnexion partenaire et un dispositif de routeur.

Transfert de données via le réseau de Google
Transfert de données via le réseau de Google (cliquez pour agrandir)

Pour plus d'informations sur ce cas d'utilisation, consultez la page Présentation du transfert de données de site à site.

Remarques

Avant de configurer le centre de connectivité réseau, consultez les sections suivantes.

Adressage IP

Network Connectivity Center est compatible avec l'adressage IPv4. Il n'est pas compatible avec IPv6. Exemple :

  • Si le transfert de données de site à site est activé pour un spoke, les ressources associées aux spokes acceptent le trafic IPv4. Ces spokes ne peuvent pas échanger de trafic IPv6. Cette instruction s'applique à tous les types de spokes : appareil de routeur, rattachement de VLAN et VPN.

  • Les spokes d'appareil de routeur de site à cloud acceptent le trafic IPv4. Le trafic IPv6 n'est pas accepté.

  • Lorsque vous créez une VM à utiliser en tant qu'instance d'appareil de routeur, la VM doit utiliser une adresse IPv4 (en particulier, une adresse RFC 1918).

Routage

Les routes installées par un hub de centre de connectivité réseau sont traitées comme des routes dynamiques.

Pour plus d'informations sur la gestion des routes dynamiques par rapport à d'autres types de routes, consultez la section Applicabilité et ordre dans la documentation sur les VPC.

Ordre de priorité

Toutes les ressources de spoke utilisent Cloud Router. Dans une tâche Cloud Router unique, le chemin AS est utilisé pour la sélection du meilleur chemin. Sinon, seule la valeur MED sert à hiérarchiser les routes. Pour en savoir plus, consultez la section Préfixage de chemin AS et longueur du chemin AS dans la présentation de Cloud Router.

Numéros ASN

Tous les routeurs d'appairage non-Google associés à un même spoke doivent utiliser le même numéro ASN pour annoncer les préfixes au routeur Cloud Router. Ceci est particulièrement important car si deux pairs annoncent le même préfixe avec des numéros ASN ou des chemins AS différents, seul le numéro ASN et le chemin AS d'un des pairs sera annoncé pour ce préfixe.

De plus, si vous utilisez la fonctionnalité de transfert de données, vous devez attribuer des ASN comme décrit dans la section Exigences ASN pour le transfert de données de site à site.

Sessions BGP

Les communautés BGP ne sont pas acceptées.

Compatibilité avec les configurations réseau existantes

Lorsque vous ajoutez un rattachement de VLAN ou un tunnel VPN à un spoke, la seule différence est que davantage de routes sont potentiellement annoncées à ces ressources. En d'autres termes, l'ajout d'une ressource à un spoke n'entraîne pas de réduction de la propagation des routes existantes vers cette ressource. La seule différence, c'est que des routes supplémentaires peuvent être propagées vers la ressource pour permettre la connectivité avec d'autres spokes du centre de connectivité.

Assistance pour d'autres produits

Les sections suivantes décrivent le fonctionnement du centre de connectivité réseau avec d'autres produits et fonctionnalités de mise en réseau.

Appairage de réseaux VPC

Vous pouvez utiliser l'appairage de réseaux VPC avec le centre de connectivité réseau comme suit: vous pouvez appairer un réseau associé au hub avec un ou plusieurs de vos autres réseaux VPC. Toutefois, pour que le réseau appairé au réseau du hub puisse envoyer du trafic vers les réseaux sur site associés au hub ou en recevoir depuis ceux-ci, vous devez également effectuer les opérations suivantes :

  1. Utilisez des annonces de routage personnalisées pour annoncer les sous-réseaux VPC pairs à des réseaux sur site associés au hub.
  2. Activez l'importation et l'exportation des routes personnalisées. Cette configuration permet de rendre les routes des réseaux sur site associées au hub visibles depuis les sous-réseaux des réseaux VPC appairés.

Réseaux VPC partagés

Lorsque vous utilisez des réseaux VPC partagés, vous devez créer le hub dans le projet hôte.

Nous vous recommandons d'attribuer le rôle networkconnectivity.googleapis.com/spokeAdmin aux administrateurs des projets de service. Pour en savoir plus sur ce rôle et des autres rôles Network Connectivity Center, consultez la page Rôles et autorisations.

Réseaux VPC

Les ressources de spoke ne peuvent pas faire partie d'un ancien réseau VPC.

Tunnels VPN

Les tunnels VPN classiques ne sont pas acceptés.

Transfert de données

Si vous utilisez le transfert de données, consultez la section Considérations de la présentation du transfert de données de site à site.

Étape suivante