Lorsque vous concevez un réseau hybride et multicloud, différents facteurs influencent vos choix architecturaux. Lorsque vous analysez votre conception de mise en réseau hybride et multicloud, tenez compte des considérations de conception suivantes. Pour créer une architecture cohérente, évaluez ces considérations collectivement, et non de manière isolée.
Connectivité hybride et multicloud
La connectivité hybride et multicloud fait référence aux connexions de communication qui relient les environnements sur site, Google Cloudet d'autres environnements cloud. Choisir la bonne méthode de connectivité est essentiel au succès des architectures hybrides et multicloud, car ces connexions transportent tout le trafic inter-environnement. Tout problème de performances réseau, tel que la bande passante, la latence, la perte de paquets ou la gigue, peut affecter directement les performances des applications et services professionnels.
Pour la connectivité entre un environnement sur site et Google Cloudou d'autres clouds, Google Cloud propose plusieurs options de connectivité parmi lesquelles choisir, y compris :
Connectivité basée sur Internet à l'aide d'adresses IP publiques :
Transférez des données entre Google Cloud et un environnement sur site ou un autre environnement cloud via Internet. Cette option utilise les adresses IP externes publiques d'une instance, idéalement avec le chiffrement en transit de la couche application.
Connectivité sécurisée via les API avec chiffrement TLS (Transport Layer Security) sur l'Internet public. Cette option nécessite que les API d'application ou cibles soient accessibles publiquement depuis Internet et que l'application exécute le chiffrement en transit.
Connectivité privée et sécurisée sur l'Internet public à l'aide de Cloud VPN ou de passerelles VPN gérées par le client. Cette option inclut l'utilisation d'une appliance virtuelle réseau (NVA) avec des solutions SD-WAN (Software-Defined WAN) de partenaires Google Cloud . Ces solutions sont disponibles sur Google Cloud Marketplace.
Connectivité privée via un transport privé à l'aide de Cloud Interconnect (Dedicated Interconnect ou Partner Interconnect), qui offre des performances plus déterministes et un SLA. Si le chiffrement en transit est requis au niveau de la couche de connectivité réseau, vous pouvez utiliser le VPN haute disponibilité via Cloud Interconnect ou MACsec pour Cloud Interconnect.
Cross-Cloud Interconnect offre aux entreprises qui utilisent des environnements multicloud la possibilité d'établir une connectivité privée et sécurisée entre les clouds (entreGoogle Cloud et les fournisseurs de services cloud compatibles dans certains emplacements). Cette option offre des performances de taux de ligne avec des options de haute disponibilité de 99,9 % et 99,99 %, ce qui permet à terme de réduire le coût total de possession (TCO) sans la complexité et le coût de gestion de l'infrastructure. De plus, si le chiffrement en transit est requis au niveau de la couche de connectivité réseau pour une sécurité accrue, interconnexion cross-cloud est compatible avec le chiffrement MACsec pour Cloud Interconnect.
Envisagez d'utiliser Network Connectivity Center lorsqu'il correspond à l'architecture de votre solution cloud cas d'utilisation. Network Connectivity Center est un framework d'orchestration qui fournit une connectivité réseau entre les ressources de spoke, telles que les clouds privés virtuels (VPC), les dispositifs de routeur ou les connexions hybrides qui sont connectées à une ressource de gestion centrale appelée hub. Un hub Network Connectivity Center est compatible avec les spokes VPC ou les spokes hybrides. Pour en savoir plus, consultez Échange de routes avec la connectivité VPC. De plus, pour faciliter l'échange de routes avec l'instance Cloud Router, Network Connectivity Center permet l'intégration de dispositifs virtuels de réseau tiers. Cette intégration inclut les routeurs SD-WAN tiers pris en charge par les partenaires Google Cloud Network Connectivity Center.
Il existe de nombreuses options de connectivité hybride et multicloud. Pour choisir celle qui vous convient le mieux, vous devez évaluer minutieusement vos exigences commerciales et techniques. Ces exigences incluent les facteurs suivants :
- Performances du réseau
- Sécurité
- Coût
- Fiabilité et contrat de niveau de service
- Évolutivité
Pour en savoir plus sur la sélection d'une option de connectivité pour Google Cloud, consultez Choisir un produit de connectivité réseau. Pour obtenir des conseils sur la sélection d'une option de connectivité réseau qui répond aux besoins de votre architecture multicloud, consultez Modèles pour la connexion d'autres fournisseurs de services cloud avec Google Cloud.
Projets et VPCGoogle Cloud
Vous pouvez utiliser les schémas d'architecture réseau décrits dans ce guide avec un ou plusieurs projets, selon les cas. Un projet dans Google Cloud contient des services et des charges de travail associés qui ont un seul domaine administratif. Les projets constituent la base des processus suivants :
- Créer, activer et utiliser des services Google Cloud
- Gérer les API de services
- Activer la facturation
- Ajout et suppression de collaborateurs
- Gérer les autorisations
Un projet peut contenir un ou plusieurs réseaux VPC. Votre organisation ou la structure des applications que vous utilisez dans un projet doivent déterminer si vous devez utiliser un ou plusieurs projets. Votre organisation ou la structure des applications doivent également déterminer comment utiliser les VPC. Pour en savoir plus, consultez Choisir une hiérarchie de ressources pour votre zone de destination Google Cloud .
Les facteurs suivants peuvent vous aider à décider d'utiliser un seul VPC, plusieurs VPC ou un VPC partagé avec un ou plusieurs projets :
- Hiérarchies des ressources organisationnelles.
- Exigences concernant le trafic réseau, la communication et le domaine administratif entre les charges de travail.
- Exigences de sécurité.
- Les exigences de sécurité peuvent nécessiter une inspection du pare-feu de couche 7 par des NVA tierces situées sur le chemin d'accès entre certains réseaux ou applications.
- Gestion des ressources.
- Les entreprises qui utilisent un modèle administratif dans lequel l'équipe des opérations réseau gère les ressources réseau peuvent exiger une séparation des charges de travail au niveau de l'équipe.
Décisions d'utilisation du VPC.
- L'utilisation de VPC partagés dans plusieurs projets Google Cloud évite de devoir gérer plusieurs VPC individuels par charge de travail ou par équipe.
- L'utilisation de VPC partagés permet une gestion centralisée de la mise en réseau du VPC hôte, y compris les facteurs techniques suivants :
- Configuration de l'appairage
- Configuration du sous-réseau
- Configuration de Cloud Firewall
- Configuration des autorisations
Parfois, vous devrez peut-être utiliser plusieurs VPC (ou VPC partagés) pour répondre aux exigences de mise à l'échelle sans dépasser les limites de ressources pour un seul VPC.
Pour en savoir plus, consultez Décider s'il convient de créer plusieurs réseaux VPC.
Résolution DNS
Dans une architecture hybride et multicloud, il est essentiel que le système de noms de domaine (DNS) soit étendu et intégré entre les environnements où la communication est autorisée. Cette action permet d'assurer une communication fluide entre les différents services et applications. Elle permet aussi de gérer la résolution DNS privée entre ces environnements.
Dans une architecture hybride et multicloud avec Google Cloud, vous pouvez utiliser l'appairage DNS et le transfert DNS pour permettre l'intégration DNS entre différents environnements. Grâce à ces fonctionnalités DNS, vous pouvez couvrir les différents cas d'utilisation qui peuvent s'aligner sur différents modèles de communication réseau. Techniquement, vous pouvez utiliser des zones de transfert DNS pour interroger les serveurs DNS sur site et des règles de serveur DNS entrantes pour autoriser les requêtes provenant d'environnements sur site. Vous pouvez également utiliser l'appairage DNS pour transférer des requêtes DNS dans des environnements Google Cloud .
Pour en savoir plus, consultez les Bonnes pratiques pour Cloud DNS et les architectures de référence pour les DNS hybrides avec Google Cloud.
Pour en savoir plus sur les mécanismes de redondance permettant de maintenir la disponibilité de Cloud DNS dans une configuration hybride, consultez It's not DNS: Ensuring haute disponibilité in a cloud hybride environment. Regardez également cette démonstration pour découvrir comment concevoir et configurer un DNS privé multicloud entre AWS et Google Cloud.
Sécurité du réseau cloud
La sécurité du réseau cloud est une couche fondamentale de la sécurité du cloud. Pour aider les entreprises à gérer les risques liés à l'érosion du périmètre réseau, elle leur permet d'intégrer la surveillance de la sécurité, la prévention des menaces et les contrôles de sécurité réseau.
Une approche standard sur site de la sécurité réseau repose principalement sur un périmètre distinct entre la périphérie Internet et le réseau interne d'une organisation. Elle utilise différents systèmes de prévention de la sécurité multicouches dans le chemin réseau, tels que des pare-feu physiques, des routeurs, des systèmes de détection des intrusions, etc.
Avec le cloud computing, cette approche reste applicable dans certains cas d'utilisation. Toutefois, cela ne suffit pas à gérer l'échelle et la nature distribuée et dynamique des charges de travail cloud, telles que l'autoscaling et les charges de travail conteneurisées. L'approche de sécurité du réseau cloud vous aide à minimiser les risques, à répondre aux exigences de conformité et à garantir la sécurité et l'efficacité des opérations grâce à plusieurs fonctionnalités cloud-first. Pour en savoir plus, consultez Avantages de la sécurité réseau dans le cloud. Pour sécuriser votre réseau, consultez également les défis liés à la sécurité du réseau cloud et les bonnes pratiques générales concernant la sécurité du réseau cloud.
L'adoption d'une architecture cloud hybride nécessite une stratégie de sécurité qui va au-delà de la simple réplication de l'approche sur site. Répliquer cette approche peut limiter la flexibilité de la conception. Cela peut également potentiellement exposer l'environnement cloud à des menaces de sécurité. Vous devez plutôt identifier les fonctionnalités de sécurité réseau cloud-first disponibles qui répondent aux exigences de sécurité de votre entreprise. Vous devrez peut-être également combiner ces fonctionnalités avec des solutions de sécurité tierces provenant de partenaires technologiques Google Cloud, comme des dispositifs virtuels de réseau.
Pour concevoir une architecture cohérente dans tous les environnements d'une architecture multicloud, il est important d'identifier les différents services et fonctionnalités proposés par chaque fournisseur de services cloud. Dans tous les cas, nous vous recommandons d'utiliser une posture de sécurité unifiée qui offre une visibilité sur tous les environnements.
Pour protéger vos environnements d'architecture cloud hybride, vous devez également envisager d'utiliser des principes de défense en profondeur.
Enfin, concevez votre solution cloud en tenant compte de la sécurité réseau dès le départ. Intégrez toutes les fonctionnalités requises dans votre conception initiale. Ce travail initial vous aidera à éviter d'avoir à apporter des modifications majeures à la conception pour intégrer des fonctionnalités de sécurité plus tard dans le processus de conception.
Toutefois, la sécurité du cloud ne se limite pas à la sécurité du réseau. Elle doit être appliquée tout au long du cycle de développement de l'application, sur l'ensemble de la pile d'applications, du développement à la production et à l'exploitation. Dans l'idéal, vous devez utiliser plusieurs couches de protection (approche de défense en profondeur) et des outils de visibilité de la sécurité. Pour en savoir plus sur la conception et l'exploitation de services sécurisés sur Google Cloud, consultez le pilier Sécurité, confidentialité et conformité du Google Cloud Well-Architected Framework.
Pour protéger vos données et votre infrastructure stratégiques contre un large éventail de menaces, adoptez une approche globale de la sécurité du cloud. Pour garder une longueur d'avance sur les menaces existantes, évaluez et affinez en permanence votre stratégie de sécurité.