Network Connectivity Center est un framework d'orchestration qui fournit une connectivité réseau entre les ressources spoke connectées à une ressource de gestion centrale appelée hub. Network Connectivity Center accepte deux types de spokes :
- Spokes de cloud privé virtuel (VPC)
- Spokes hybrides composés des éléments suivants :
- Tunnels VPN haute disponibilité
- Rattachements de VLAN Cloud Interconnect
- Spokes d'appareil de routeur
Un hub Network Connectivity Center est compatible avec les spokes VPC ou les spokes hybrides, mais pas les deux.
Ces fonctionnalités vous permettent d'effectuer les opérations suivantes :
- Connectez plusieurs réseaux VPC entre eux. Les réseaux VPC peuvent être situés dans des projets de la même organisation Google Cloud ou de différentes organisations.
- Connectez un réseau externe à un réseau VPC Google Cloud à l'aide de VM d'appliance de routeur. Cette approche est connue sous le nom de connectivité site à cloud.
- Utilisez les VM d'appliance de routeur pour gérer la connectivité entre vos réseaux VPC.
- Utilisez un réseau VPC Google Cloud en tant que réseau étendu (WAN) pour connecter des réseaux situés en dehors de Google Cloud. Vous pouvez établir la connectivité entre vos sites externes à l'aide de tunnels Cloud VPN, de rattachements de VLAN Cloud Interconnect ou de VM d'appliance de routeur. Cette approche est connue sous le nom de transfert de données de site à site.
Fonctionnement
Lorsqu'un hub utilise des spokes hybrides situés dans un seul réseau VPC, vous pouvez configurer le transfert de données de site à site afin que les routes dynamiques dont les sauts suivants sont des spokes hybrides (par exemple, un rattachement de VLAN Cloud Interconnect) soient annoncées sur un réseau sur site par les sessions BGP des autres spokes hybrides du réseau VPC. Vous pouvez également utiliser des spokes hybrides pour connecter deux réseaux VPC, créant ainsi des routes dynamiques dans chaque réseau.
Lorsqu'un hub utilise des spokes VPC, vous pouvez configurer la connectivité maillée entre tous les réseaux VPC connectés au hub en échangeant des routes de sous-réseau entre les réseaux VPC.
Spokes
Un spoke représente une ou plusieurs ressources réseau Google Cloud connectées à un hub. Lorsque vous créez un spoke, vous devez l'associer à au moins une ressource de connectivité compatible, parfois appelée ressource de sauvegarde.
Un spoke peut utiliser n'importe laquelle des ressources Google Cloud suivantes comme ressource de sauvegarde.
Resource |
Cas d'utilisation applicables |
|---|---|
| Spokes VPC |
|
| Appareil de routeur |
|
| Tunnels Cloud VPN (VPN haute disponibilité), Rattachements de VLAN Cloud Interconnect |
|
Spokes VPC
Les spokes VPC vous permettent de connecter au moins deux réseaux VPC à un hub afin que ces réseaux échangent des routes de sous-réseau IPv4. Les spokes VPC associés à un seul hub peuvent référencer des réseaux VPC dans le même projet ou dans un projet différent (y compris un projet dans une autre organisation).
Pour en savoir plus sur les spokes VPC, consultez la section Présentation des spokes VPC.
Spokes hybrides
Un seul spoke hybride peut être associé à plusieurs ressources du même type. Par exemple, un spoke hybride peut faire référence à au moins deux tunnels VPN haute disponibilité, mais ce même spoke hybride ne peut pas référencer des VM d'appliance de routeur ou des rattachements de VLAN Cloud Interconnect.
Le transfert de données de site à site à l'aide de spokes hybrides nécessite que les spokes soient situés sur le même réseau VPC. Pour plus d'informations, consultez la page Présentation du transfert de données de site à site.
Échange de routes avec une connectivité VPC
Les spokes du Network Connectivity Center sont compatibles avec l'échange de plages d'adresses IPv4 de sous-réseau qui utilisent des adresses privées, à l'exclusion des adresses IPv4 publiques utilisées en mode privé. Les routes statiques et dynamiques d'un réseau de spokes VPC ne peuvent pas être échangées avec d'autres spokes VPC du hub.
En raison de cette limitation, si vous devez connecter un réseau VPC à un réseau sur site, vous devez utiliser l'une des options suivantes :
- Créer les tunnels Cloud VPN ou les rattachements de VLAN Cloud Interconnect dans le réseau de spokes VPC, ou
- Connecter le réseau de spokes VPC à un autre réseau VPC à l'aide de l'appairage de réseaux VPC et configurez la connexion d'appairage comme décrit dans la section Spokes VPC et appairage de réseaux VPC.
Cas d'utilisation
Les sections suivantes décrivent les principaux cas d'utilisation de Network Connectivity Center.
Connecter différents réseaux VPC avec Network Connectivity Center
Lorsque vous associez au moins deux spokes VPC à un hub, Network Connectivity Center fournit une connectivité de sous-réseau IPv4 entre tous les réseaux VPC représentés par les spokes. L'utilisation d'un hub simplifie la gestion de la connectivité du sous-réseau maillé à grande échelle. Consultez la section Quotas pour connaître le nombre de réseaux VPC pouvant être connectés à un hub.
Le schéma suivant montre deux spokes VPC.
Connecter des réseaux à l'aide de VM d'appliance de routeur
Network Connectivity Center peut utiliser des VM d'appliance de routeur dans les deux scénarios de connectivité IPv4 suivants :
- Connexion d'un réseau VPC à un réseau sur site ou à un autre réseau cloud à l'aide de routes dynamiques
- Se connecter aux deux réseaux VPC à l'aide de routes dynamiques
Avec cette option, Cloud Router gère les sessions BGP pour les VM d'appliance de routeur de saut suivant.
Connecter un réseau externe à Google Cloud
Le schéma suivant utilise un spoke hybride avec une VM d'appliance de routeur pour connecter deux réseaux VPC à un réseau externe. La VM Cloud Router possède une interface réseau (carte d'interface réseau) dans chaque réseau VPC.
Pour plus d'informations sur ce cas d'utilisation, consultez la section Topologies de site à cloud utilisant un dispositif tiers.
Gérer la connectivité entre les réseaux VPC
Le schéma suivant utilise un spoke hybride avec une VM d'appliance de routeur exécutant un logiciel d'inspection de paquets ou de pare-feu spécialisé pour connecter deux réseaux VPC.
Pour en savoir plus, consultez la section Topologie de VPC à VPC utilisant un dispositif tiers.
Organiser le transfert de données via le réseau de Google
Le transfert de données fournit une connectivité IPv4 entre les réseaux externes à l'aide d'un réseau VPC Google Cloud et de spokes hybrides. Vous pouvez transférer des données entre plusieurs réseaux sur site ou vers d'autres réseaux cloud.
Lorsque vous créez un spoke hybride, vous pouvez activer l'option de transfert de données pour ce spoke. Lorsque le transfert de données est activé pour les spokes hybrides connectés au même hub, les routes dynamiques apprises par chaque VM d'appliance de routeur, tunnel Cloud VPN ou rattachement de VLAN Cloud Interconnect sont annoncées à nouveau sur les autres VM, tunnels ou rattachements de VLAN associés à un spoke hybride connecté au même hub. Le transfert de données nécessite que tous les spokes hybrides font référence à des VM d'appliance de routeur, à des tunnels Cloud VPN ou à des rattachements de VLAN Cloud Interconnect dans un seul réseau VPC.
Par exemple, supposons que vous disposiez de centres de données à New York, Sydney et Tokyo. Après avoir utilisé les ressources compatibles pour connecter votre réseau VPC à chacun de ces sites, vous pouvez créer un spoke pour représenter chaque réseau. Une fois cette configuration terminée, le centre de connectivité réseau fournit une connectivité maillée complète entre les trois sites.
Comme illustré dans le schéma suivant, vous pouvez créer des spokes qui s'appuient sur des ressources de connectivité telles que Cloud VPN, Cloud Interconnect et un dispositif de routeur.
Le schéma ne montre pas l'interconnexion Cross-Cloud Interconnect, mais vous pouvez également utiliser des rattachements de VLAN Cross-Cloud Interconnect.
Pour plus d'informations sur ce cas d'utilisation, consultez la page Présentation du transfert de données de site à site.
Remarques
Avant de configurer le centre de connectivité réseau, consultez les sections suivantes.
Adressage IP
Network Connectivity Center est compatible avec l'adressage IPv4. Il n'est pas compatible avec IPv6. Exemple :
Si le transfert de données de site à site est activé pour un spoke, les ressources associées aux spokes acceptent le trafic IPv4. Ces spokes ne peuvent pas échanger de trafic IPv6. Cette instruction s'applique à tous les types de spokes : appareil de routeur, rattachement de VLAN et VPN.
Les spokes d'appareil de routeur de site à cloud acceptent le trafic IPv4. Le trafic IPv6 n'est pas accepté.
Lorsque vous créez une VM d'appareil de routeur, l'adresse IPv4 interne principale de la VM doit être une adresse RFC 1918.
Lorsque les spokes VPC contiennent à la fois des sous-réseaux IPv4 et IPv6, seuls les sous-réseaux IPv4 échangent entre eux.
Itinéraires
Les routes installées par un hub de centre de connectivité réseau sont traitées comme des routes dynamiques.
Pour plus d'informations sur la gestion des routes dynamiques par rapport à d'autres types de routes, consultez la section Applicabilité et ordre dans la documentation sur les VPC.
Ordre de priorité
Toutes les ressources de spoke utilisent Cloud Router. Pour en savoir plus sur le modèle de sélection de chemin utilisé par Cloud Router, consultez la section Préfixage de chemin du serveur d'authentification et longueur du chemin du serveur d'authentification dans la présentation de Cloud Router.
Numéros ASN
Tous les routeurs d'appairage non-Google associés à un même spoke doivent utiliser le même numéro ASN pour annoncer les préfixes au routeur Cloud Router. Ceci est particulièrement important car si deux pairs annoncent le même préfixe avec des numéros ASN ou des chemins AS différents, seul le numéro ASN et le chemin AS d'un des pairs sera annoncé pour ce préfixe. Les spokes doivent avoir des numéros ASN différents. Autrement dit, si deux sessions BGP appartiennent à différents spokes, ils doivent avoir des numéros ASN différents.De plus, si vous utilisez la fonctionnalité de transfert de données, vous devez attribuer des ASN comme décrit dans la section Exigences ASN pour le transfert de données de site à site.
Sessions BGP
Les communautés BGP ne sont pas acceptées.
Modifications des annonces de routage lors de l'utilisation de transferts de données site à site
Lorsque vous ajoutez un rattachement de VLAN Cloud Interconnect ou un tunnel Cloud VPN à un spoke hybride, Network Connectivity Center met à jour la session BGP correspondante pour le rattachement de VLAN ou le tunnel Cloud VPN afin qu'il annonce à nouveau les préfixes appris par les sessions BGP des autres rattachements de VLAN Cloud Interconnect ou tunnels Cloud VPN connectés à l'un des spokes hybrides du hub sur lequel l'option de transfert de données de site à site est activée.
Types de spokes acceptés
Assistance pour d'autres produits
Les sections suivantes décrivent le fonctionnement du centre de connectivité réseau avec d'autres produits et fonctionnalités de mise en réseau.
Spokes VPC et appairage de réseaux VPC
Les spokes VPC de Network Connectivity Center ne sont compatibles qu'avec l'échange de plages d'adresses IPv4 de sous-réseau valides qui utilisent des adresses privées, à l'exclusion des adresses IPv4 publiques utilisées en mode privé, des plages de sous-réseaux IPv6 et des routes statiques et dynamiques :
- Pour en savoir plus sur les spokes VPC de Network Connectivity Center, consultez la section Présentation des spokes VPC de Network Connectivity Center.
- Consultez la section Options d'échange de routes dans la documentation sur l'appairage de réseaux VPC pour en savoir plus sur l'échange de routes à l'aide de l'appairage de réseaux VPC.
Même si les spokes VPC de Network Connectivity Center ne permettent pas l'échange de routes statiques ou dynamiques, un réseau de spoke VPC peut toujours importer les routes statiques et dynamiques d'un autre réseau VPC à l'aide de l'appairage de réseaux VPC. Si l'autre réseau VPC possède des routes dynamiques avec des rattachements de VLAN Cloud Interconnect de saut suivant ou des tunnels Cloud VPN qui se connectent à un réseau sur site, vous pouvez connecter le réseau de spoke VPC au réseau sur site en utilisant les annonces de routage personnalisées Cloud Router et les options d'échange de routes d'appairage de réseaux VPC, comme décrit dans l'exemple de réseau de transit de la documentation concernant l'appairage de réseaux VPC.
Réseaux VPC partagés
Lorsque vous utilisez des réseaux VPC partagés, vous devez créer le hub dans le projet hôte. Cette limitation ne s'applique qu'aux spokes hybrides.
Nous vous recommandons d'attribuer le rôle networkconnectivity.googleapis.com/spokeAdmin aux administrateurs des projets de service. Pour en savoir plus sur ce rôle et des autres rôles Network Connectivity Center, consultez la page Rôles et autorisations.
Anciens réseaux
Les ressources de spoke ne peuvent pas faire partie d'un ancien réseau.
Tunnels VPN
Les tunnels VPN classiques ne sont pas acceptés.
Transfert de données
Si vous utilisez le transfert de données, consultez la section Considérations dans la présentation du transfert de données de site à site.
Contrat de niveau de service
Pour en savoir plus sur le contrat de niveau de service de Network Connectivity Center, consultez le Contrat de niveau de service de Network Connectivity Center.
Tarifs
Pour en savoir plus sur les tarifs, consultez la page Tarifs du Network Connectivity Center.
Étapes suivantes
- Pour savoir comment gérer les hubs et les spokes, consultez la section Utiliser des hubs et des spokes.
- Pour apprendre à utiliser les spokes Cloud VPN, consultez la section Connecter deux sites à l'aide de spokes Cloud VPN.
- Pour afficher la liste des partenaires dont les solutions sont intégrées à Network Connectivity Center, consultez la page Partenaires Network Connectivity Center
- pour afficher les quotas et limites de Network Connectivity Center.