Architecture hub-and-spoke

Ce document pr�sente deux�options d'architecture pour configurer une topologie de r�seau hub-and-spoke dans Google�Cloud. L'une utilise la fonctionnalit� d'appairage de r�seaux du cloud priv� virtuel (VPC) et l'autre utilise Cloud�VPN.

Les entreprises peuvent r�partir les charges de travail dans des r�seaux VPC individuels � des fins de facturation, d'isolation d'environnement et d'autres consid�rations. Toutefois, l'entreprise peut �galement avoir besoin de partager des ressources sp�cifiques sur ces r�seaux, telles qu'un service partag� ou une connexion sur site. Dans ce cas, il peut �tre utile de placer la ressource partag�e dans un r�seau hub et d'associer les autres r�seaux VPC en tant que spokes. Le sch�ma suivant illustre un exemple de r�seau hub-and-spoke, parfois appel� topologie en �toile.

Dans cet exemple, des r�seaux�VPC spoke distincts sont utilis�s pour les charges de travail des unit�s commerciales individuelles au sein d'une grande entreprise. Chaque r�seau�VPC spoke est connect� � un r�seau�VPC hub central contenant des services partag�s et pouvant servir de point d'entr�e unique vers le cloud � partir du r�seau sur site de l'entreprise.

Architecture utilisant l'appairage de r�seaux�VPC

Le sch�ma suivant pr�sente un r�seau hub-and-spoke utilisant l'appairage de r�seaux VPC, qui permet d'�tablir une communication � l'aide d'adresses�IP internes entre les ressources de r�seaux VPC distincts. Le trafic reste sur le r�seau interne de Google et ne transite pas par l'Internet public.

• Dans cette architecture, les ressources n�cessitant une isolation au niveau du r�seau utilisent �galement des r�seaux�VPC spoke distincts. Par exemple, l'architecture montre une VM Compute�Engine sur le r�seau VPC spoke-1. Le r�seau VPC spoke-2 dispose d'une VM Compute�Engine et d'un cluster Google Kubernetes�Engine (GKE).
• Chaque r�seau VPC spoke de cette architecture poss�de une relation d'appairage avec un r�seau VPC de hub central.
• L'appairage de r�seaux VPC ne limite pas la bande passante de la VM. Chaque VM peut envoyer du trafic � sa pleine bande passante.
• Chaque r�seau VPC spoke dispose d'une passerelle Cloud�NAT pour une communication sortante avec Internet.
• L'appairage de r�seaux VPC ne fournit pas d'annonces de routage transitives. � moins qu'un m�canisme suppl�mentaire ne soit utilis�, la VM du r�seau spoke-1 ne peut pas envoyer de trafic vers la VM du r�seau spoke-2. Pour contourner cette contrainte de non-transitivit�, l'architecture offre la possibilit� d'utiliser Cloud�VPN pour transf�rer les routes entre les r�seaux. Dans cet exemple, les tunnels VPN entre le r�seau VPC spoke-2 et le r�seau VPC hub permettent d'acc�der au r�seau VPC spoke-2 � partir des autres spokes. Si vous avez besoin d'une connectivit� entre seulement quelques spokes sp�cifiques, vous pouvez appairer directement ces paires de r�seaux VPC.

Architecture utilisant Cloud�VPN

L'�volutivit� d'une topologie hub-and-spoke qui utilise l'appairage de r�seaux�VPC est soumise aux limites d'appairage de r�seaux�VPC. Comme indiqu� pr�c�demment, les connexions d'appairage de r�seaux�VPC n'autorisent pas le trafic transitif au-del� des deux�r�seaux�VPC dans une relation d'appairage. Le sch�ma suivant illustre une autre architecture de r�seau hub-and-spoke qui utilise Cloud�VPN pour contourner les limites de l'appairage de r�seaux�VPC.

• Les ressources n�cessitant une isolation au niveau du r�seau utilisent des r�seaux VPC spoke distincts.
• Les tunnels VPN IPSec connectent chaque r�seau VPC spoke � un r�seau VPC hub.
• Il existe une zone priv�e DNS dans le r�seau hub, ainsi qu'une zone d'appairage DNS et une zone priv�e dans chaque r�seau spoke.
• La bande passante entre les r�seaux est limit�e par les bandes passantes totales des tunnels.

Lorsque vous choisissez entre les deux architectures d�crites jusqu'ici, tenez compte des avantages relatifs de l'appairage de r�seaux VPC et de Cloud�VPN�:

• L'appairage de r�seaux VPC pr�sente une contrainte de non-transitivit�, mais il accepte la bande passante compl�te d�finie par le type de machine des VM, ainsi que d'autres facteurs qui d�terminent la bande passante r�seau. Toutefois, vous pouvez ajouter un routage transitif en ajoutant des tunnels VPN.
• Cloud�VPN autorise le routage transitif, mais la bande passante totale (entr�e et sortie) est limit�e aux bandes passantes des tunnels.

Alternatives de conception

Consid�rez les alternatives architecturales suivantes pour l'interconnexion des ressources d�ploy�es dans des r�seaux VPC distincts dans Google Cloud�:

Connectivit� spoke � l'aide d'une passerelle dans le r�seau VPC de hub

Pour activer la communication entre r�seaux spoke, vous pouvez d�ployer un dispositif virtuel de r�seau (NVA) ou un pare-feu nouvelle g�n�ration (NGFW) sur le r�seau VPC hub afin de servir de passerelle pour le trafic hub-and-spoke Voir Dispositifs r�seau centralis�s sur Google�Cloud.

Appairage de r�seaux�VPC sans hub

Si vous n'avez pas besoin d'un contr�le centralis� sur la connectivit� sur site ou sur les services de partage entre les r�seaux�VPC, aucun r�seau�VPC hub n'est n�cessaire. Vous pouvez configurer l'appairage pour les paires de r�seaux�VPC qui n�cessitent une connectivit� et g�rer les interconnexions individuellement. Tenez compte des limites applicables au nombre de relations d'appairage par r�seau�VPC.

Cr�er plusieurs r�seaux�VPC partag�s

Cr�ez un r�seau�VPC partag� pour chaque groupe de ressources que vous souhaitez isoler au niveau du r�seau. Par exemple, pour s�parer les ressources utilis�es pour les environnements de production et de d�veloppement, cr�ez un r�seau�VPC partag� pour la production et un autre r�seau�VPC partag� pour le d�veloppement. Ensuite, appairez les deux�r�seaux�VPC pour permettre la communication entre eux. Les ressources des projets individuels pour chaque application ou service peuvent utiliser les services du r�seau�VPC partag� appropri�.

Pour connecter les r�seaux�VPC et votre r�seau sur site, vous pouvez utiliser des tunnels VPN distincts pour chaque r�seau�VPC ou des rattachements de VLAN distincts sur la m�me connexion Dedicated�Interconnect.

�tapes suivantes

• D�ployez un r�seau hub-and-spoke � l'aide de l'appairage de r�seaux VPC.
• D�ployez un r�seau hub-and-spoke � l'aide de Cloud�VPN.
• Utilisez l'architecture hub-and-spoke pour d�ployer des serveurs r�seau centralis�s.
• D�couvrez les autres options de conception permettant de connecter plusieurs r�seaux�VPC.
• D�couvrez les bonnes pratiques pour cr�er une topologie cloud s�curis�e et r�siliente, optimis�e pour optimiser les co�ts et les performances.