Appairage de réseaux VPC

La fonction d'appairage de réseaux VPC (cloud privé virtuel) de Google Cloud Platform (GCP) permet une connectivité RFC 1918 sur deux réseaux VPC, qu'ils appartiennent ou non au même projet ou à la même organisation.

Présentation

La fonction d'appairage de réseaux VPC vous permet de créer des écosystèmes SaaS (Software-as-a-Service) dans GCP, en rendant des services disponibles de manière privée sur différents réseaux VPC au sein des organisations et entre elles. Ceci rend possible la communication des charges de travail dans un espace RFC 1918 privé.

Cette fonction est utile pour les organisations qui :

  • comportent plusieurs domaines d'administration réseau ;
  • souhaitent appairer des réseaux avec d'autres organisations.

Si votre organisation comporte plusieurs domaines d'administration réseau, la fonction d'appairage de réseaux VPC permet de rendre les services disponibles sur les réseaux VPC dans l'espace RFC 1918 privé. Si vous proposez des services à d'autres organisations, la fonction d'appairage de réseaux VPC permet de mettre ces services à leur disposition dans l'espace privé RFC 1918. La possibilité de proposer des services dans plusieurs organisations est utile si vous souhaitez fournir des services à d'autres entreprises. Elle l'est également dans votre propre entreprise si celle-ci comporte plusieurs nœuds d'organisation distincts en raison de sa structure ou suite à des fusions ou acquisitions.

La fonction d'appairage de réseaux VPC offre plusieurs avantages par rapport à l'utilisation d'adresses IP externes ou de réseaux VPN pour la connexion de réseaux. Par exemple :

  • Latence du réseau : les réseaux IP publics subissent une latence supérieure à celle des réseaux privés.
  • Sécurité du réseau : les propriétaires de services n'ont pas besoin d'exposer leurs services au réseau Internet public ni, par conséquent, de gérer les risques associés.
  • Coût du réseau : GCP applique la tarification de la bande passante de sortie pour les réseaux utilisant des adresses IP externes, même si le trafic se situe dans la même zone. Toutefois, si les réseaux sont appairés, ils peuvent utiliser des adresses IP internes pour communiquer et réduire les coûts de sortie. La tarification réseau standard s'applique toujours à l'ensemble du trafic.

Propriétés clés

Les réseaux VPC appairés présentent les propriétés clés suivantes :

  • Ils fonctionnent avec Compute Engine, GKE et l'environnement flexible App Engine.
  • Ils restent administrativement distincts. Les routes, les pare-feu, les VPN et d'autres outils de gestion du trafic sont administrés et appliqués séparément dans chaque réseau VPC.
  • Chaque côté d'une association d'appairage est configuré indépendamment. L'appairage ne devient actif que lorsque les configurations des deux côtés correspondent. Chaque côté peut supprimer l'association d'appairage à tout moment.
  • L'appairage peut être configuré pour un réseau VPC, et ce même avant la création de l'autre réseau VPC.
  • Il est possible d'associer un réseau VPC à plusieurs réseaux VPC, mais une limite existe.
  • Dans un réseau VPC appairé, aucun préfixe CIDR de sous-réseau ne peut chevaucher un préfixe CIDR de sous-réseau d'un autre réseau VPC appairé. Cela signifie que deux réseaux VPC en mode automatique ne disposant que des sous-réseaux par défaut ne peuvent pas être appairés. GCP vérifie le chevauchement dans les cas suivants :
    • Vous appairez des réseaux VPC pour la première fois.
    • Vous créez un sous-réseau dans un réseau VPC appairé.
  • Une plage CIDR de sous-réseau d'un réseau VPC appairé ne peut pas chevaucher une route d'un autre réseau appairé. Cette règle concerne les routes de sous-réseau et les routes personnalisées. GCP vérifie le chevauchement dans les cas suivants, et il génère une erreur lorsqu'un chevauchement se produit.
    • Vous appairez des réseaux VPC pour la première fois.
    • Vous créez une route statique dans un réseau VPC appairé.
    • Vous créez un sous-réseau dans un réseau VPC appairé.
  • Seuls les réseaux VPC sont compatibles avec l'appairage. Cette fonction n'est PAS disponible pour les anciens réseaux.
  • Autorisations IAM : il existe de nouvelles autorisations IAM pour la création et la suppression d'appairage de réseaux VPC. Ces autorisations sont incluses dans les rôles propriétaire/éditeur de projet et administrateur réseau.
  • Une fois que les réseaux sont appairés, chaque adresse IP privée interne est accessible sur ceux-ci. L'appairage de réseaux VPC ne propose pas de contrôle de route granulaire pour filtrer les préfixes CIDR de sous-réseau accessibles sur les réseaux appairés. Vous devez utiliser des règles de pare-feu pour filtrer le trafic si un filtrage de ce type est nécessaire. Les types de points de terminaison/ressources suivants sont accessibles via des réseaux directement appairés :
    • Adresses IP internes de machine virtuelle (VM) dans tous les sous-réseaux
    • Adresses IP à équilibrage de charge interne dans tous les sous-réseaux
  • Les types de points de terminaison/ressources suivants ne sont PAS propagés sur des réseaux directement appairés :
    • Routes statiques
    • VPN
  • Seuls les réseaux directement appairés peuvent communiquer. L'appairage transitif n'est pas disponible. En d'autres termes, si le réseau VPC N1 est appairé à N2 et N3, mais que N2 et N3 ne sont pas directement connectés, le réseau VPC N2 ne peut pas communiquer avec le réseau VPC N3 par l'appairage.
  • Le trafic d'appairage (entre réseaux appairés) présente le même temps de latence, le même débit et la même disponibilité que le trafic privé sur le même réseau.
  • La stratégie de facturation du trafic d'appairage est semblable à la stratégie de facturation du trafic privé sur le même réseau.

Fonctions réseau dans des scénarios d'appairage de réseaux VPC

Équilibrage de charge interne TCP/UDP

Les instances de VM des réseaux appairés peuvent accéder aux adresses IP internes des équilibreurs de charge TCP/UDP internes de votre réseau VPC si les conditions suivantes sont remplies :

  • Les machines virtuelles se situent dans la même région que l'équilibreur de charge TCP/UDP interne.
  • Les règles de pare-feu d'entrée qui s'appliquent aux machines virtuelles du backend de l'équilibreur de charge autorisent le trafic depuis des sources situées dans des réseaux appairés. Ces règles de pare-feu d'entrée doivent être créées sur le réseau VPC où demeure l'équilibreur de charge.

Pour en savoir plus, consultez la page Utiliser l'appairage de réseaux VPC.

Règles de pare-feu

Lorsque vous connectez des réseaux par appairage de réseaux VPC, les règles de pare-feu ne sont pas échangées. Pour autoriser le trafic entrant provenant d'instances de machines virtuelles dans un réseau appairé, vous devez créer des règles d'autorisation de pare-feu d'entrée. Par défaut, le trafic entrant sur les VM est bloqué par la règle implicite d'entrée interdite.

Si vous devez restreindre l'accès aux machines virtuelles de sorte à n'accorder l'accès qu'aux autres VM de votre réseau VPC, assurez-vous que les sources de votre entrée n'autorisent les règles de pare-feu que pour identifier les machines virtuelles de votre réseau VPC, et non celles de réseaux appairés. Par exemple, vous pouvez spécifier des plages d'adresses IP sources uniquement pour les sous-réseaux de votre réseau VPC.

Pour limiter l'accès à un équilibreur de charge TCP/UDP interne, créez des règles de pare-feu d'entrée qui s'appliquent aux machines virtuelles du backend de l'équilibreur de charge.

VPC partagé

La fonction d'appairage de réseaux VPC autorise l'appairage à un (VPC partagé). Un projet hôte VPC partagé est un projet qui permet à d'autres projets d'utiliser l'un de ses réseaux. Le diagramme suivant illustre cette configuration.

VPC partagé avec appairage de réseaux (cliquez pour agrandir)
VPC partagé avec appairage de réseaux (cliquez pour agrandir)

Network-SVPC se trouve dans un réseau VPC partagé, dans le projet hôte P1. Les projets de service P3 et P4 peuvent connecter des instances de VM à network-SVPC. Network-SVPC est appairé à network-A. Par conséquent :

  • Les instances de VM des projets de service VPC partagé utilisant network-SVPC (VM3 et VM4) ont une connectivité IP interne privée avec tous les points de terminaison associés à network-A.
  • Les instances de machine virtuelle associées à network-A auront une connectivité IP interne et privée avec tous les points de terminaison associés à Network-SVPC et ce, que ces points de terminaison résident dans le projet hôte ou dans un projet de service.

L'appairage de réseaux VPC peut être configuré entre deux réseaux VPC partagés.

Plusieurs interfaces réseau par instance

Une instance peut comporter plusieurs interfaces réseau, une par réseau VPC.

Le diagramme suivant montre un cas d'interaction entre les deux fonctionnalités. Dans cet exemple, VM1 possède une interface réseau dans network-A et network-B. Network-B est appairé à network-C.

Plusieurs interfaces réseau avec appairage de réseaux (cliquez pour agrandir)
Plusieurs interfaces réseau avec appairage de réseaux (cliquez pour agrandir)

IP3 peut envoyer du trafic à IP2, car cette interface se trouve sur network-B, et les routes de network-B sont automatiquement propagées à network-C lors de l'appairage des deux réseaux. Cependant, pour qu'IP2 envoie le trafic à IP3, il est nécessaire de configurer le routage des règles pour l'interface IP2.

Les flux d'IP1 ne sont pas installés dans network-C. Par conséquent, network-C ne peut pas accéder à IP1.

Création d'alias d'adresses IP

Avec la création d'alias d'adresses IP, un sous-réseau peut comporter des plages d'adresses IP principales et secondaires. Dans un sous-réseau de ce type, les instances de VM peuvent obtenir une adresse IP de la plage principale et une ou plusieurs adresses IP de la plage secondaire.

La fonction d'appairage de VPC Cloud permet aux instances de VM du réseau appairé d'accéder aux plages IP principales et secondaires d'un sous-réseau.

Les vérifications de chevauchement de sous-réseau sur les réseaux appairés permettent de s'assurer que les plages principales et secondaires ne se chevauchent pas avec les plages appairées.

Alias d'adresses IP avec appairage de réseaux (cliquez pour agrandir)
Alias d'adresses IP avec appairage de réseaux (cliquez pour agrandir)

Étape suivante

  • Consultez la section Utiliser l'appairage de réseaux VPC pour obtenir les instructions de configuration de l'appairage de réseaux VPC, ainsi que les restrictions et les informations de dépannage.
Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…