Les réseaux pour Cloud hybride démythifiés
Avec Amazon VPC, pièce maîtresse du Cloud hybride, les entreprises se connectent en toute sécurité à des datacenters privés en gardant la main sur les configurations du Cloud public. Microsoft et Google proposent des options similaires.
Les dirigeants et les professionnels IT qui évaluent le recours aux services en Cloud public ont depuis toujours deux grandes préoccupations : la sécurité et le contrôle. S'il est un domaine où la question se pose avec acuité, c'est bien celui des réseaux : les équipes IT doivent maîtriser les configurations au sein d'une infrastructure de Cloud public et garantir la sécurité des connexions aux datacenters privés d’un Cloud hybride.
Les topologies de réseau de ce type peuvent se révéler complexes. Dans une conception de réseau multiniveau, les applications sont réparties sur plusieurs systèmes et le niveau de sécurité varie selon la couche d'application. Il faut donc isoler les systèmes sur différents segments, ce qui est impossible avec les services Cloud prêts à l'emploi.
De même, une entreprise qui adopte AWS a de fortes chances d'abriter ses systèmes legacy dans ses propres datacenters ou dans un espace en colocation depuis un certain temps. Ces systèmes doivent partager des données avec des ressources Cloud pendant que les pare-feu et les règles des routeurs contrôlent étroitement le trafic.
Avant d'adopter sans réserve le Cloud public, les entreprises doivent s'assurer de pouvoir construire et contrôler des réseaux complexes pour les applications hébergées. Sans oublier que les informations confidentielles ne doivent pas transiter en clair sur Internet. C'est pourquoi Amazon a créé son Cloud privé virtuel (VPC, Virtual Private Cloud) : l'entreprise contrôle elle-même ce réseau privé virtuel et a son mot à dire sur sa conception. Elle peut aussi établir un pont sécurisé entre l'infrastructure AWS et ses datacenters dans un réseau Cloud hybride.
Cloud privé virtuel ou Cloud privé
Amazon VPC permet de construire un réseau privé ; mais combiné aux instances réservées, il reproduit presque parfaitement un Cloud privé. En créant un réseau isolé dans un bac à sable, il dote les utilisateurs d'une maîtrise totale de la configuration du réseau : création et adressage des sous-réseaux, tables de routage, passerelles réseau et paramètres de sécurité.
Avec VPC, les utilisateurs d'AWS disposent d'un routeur virtuel qui crée plusieurs sous-réseaux isolés exécutant des ressources AWS comme Elastic Compute Cloud (EC2), Elastic Block Store et le service de base de données relationnelle (RDS, Relational Database Service). Les points de terminaison du VPC servent à créer des connexions privées entre les sous-réseaux VPC et tout autre produit AWS, sans traduction d'adresses réseau ni passerelle Internet. Par exemple, un administrateur accède plus facilement à S3 depuis une instance EC2 dans un VPC, qui crée un point de terminaison VPC et définit les compartiments, objets et API auxquels il a accès.
Amazon VPC apporte davantage de contrôle sur les paramètres réseau que l'environnement EC2 par défaut. Amazon VPC, c'est :
- la possibilité d'assigner des IP statiques persistantes aux instances encore présentes après arrêt et redémarrage ;
- la prise en charge de plusieurs adresses IP par instance, y compris plusieurs interfaces réseau (une instance peut par exemple se trouver simultanément dans plusieurs VPC) ;
- la possibilité de modifier l'appartenance au groupe de sécurité d'une instance en cours d'exécution ;
- le filtrage du trafic entrant et sortant et la prise en charge de listes de contrôle d'accès pour chaque instance d'EC2 ;
- la prise en charge des hôtes et instances dédiés pour EC2.
Couplés à une passerelle de réseau privé virtuel, les VPC forment la base d'un réseau Cloud hybride. Comme une passerelle Internet qui fournit publiquement une adresse IP de routage et un chemin vers les clients externes, une passerelle de réseau privé virtuel relie les Amazon VPC aux datacenters distants par un VPN IPsec. Les passerelles se connectent à un routeur virtuel du VPC et à un ou plusieurs réseaux clients via des points de terminaison du VPN, virtuels ou physiques, tels que Cisco ISR, Juniper SRX, le pare-feu SonicWALL ou l'appliance Fortinet UTM.
Les connexions entre le VPC et les réseaux privés sont statiques, définies par table de routage, ou dynamiques avec le protocole BGP (Border Gateway Protocol). D'après la documentation VPC, il est inutile de spécifier le routage statique vers la connexion VPN en cas d'utilisation d'un périphérique BGP, puisque celui-ci utilise BGP pour publier ses routes vers la passerelle de réseau privé virtuel.
Si le périphérique utilisé est incompatible avec BGP, il faudra sélectionner le routage statique et saisir les routes (préfixes IP) de votre réseau à communiquer à la passerelle du réseau privé virtuel.
Les VPC couplés à AWS Direct Connect
Les VPC sont un complément indispensable à AWS Direct Connect, qui fournit une connexion privée de réseau à couche physique entre AWS et l'infrastructure interne d'une entreprise, dans un datacenter privé ou dans des installations mutualisées. Les administrateurs peuvent provisionner des circuits Direct Connect sur le WAN MPLS d'un grand opérateur télécom.
En théorie, utiliser Direct Connect avec un VPC revient au même que d'employer un VPN IPsec sur l'Internet public, mais les entreprises gagneront en performances : débit plus rapide (jusqu'à 10 Gbit/s), latence faible (normalement largement inférieure à 10 millisecondes) et qualité prévisible du réseau. Comme avec un VPN, les circuits Direct Connect s'arrêtent à un routeur virtuel AWS, d'où le trafic est envoyé vers un ou plusieurs VPC suivant les politiques de routage statique ou dynamique.
Options VPN des concurrents Cloud
Microsoft Azure et Google Cloud Platform offrent des services comparables qui permettent aux équipes IT de créer des sous-réseaux privés avec des politiques de routage configurables, des passerelles vers l'Internet public, la traduction d'adresses réseau et la prise en charge de tunnels VPN.
Comme AWS, Azure et Google Cloud Platform proposent un routeur virtuel qui prend en charge le protocole BGP pour les règles complexes de routage dynamique entre les réseaux publics et privés.
Dès lors, si le côté privé de la terminaison du VPN est un routeur et non une simple appliance de passerelle VPN, les deux services connectent n'importe quel réseau privé à un ou plusieurs sous-réseaux virtuels du Cloud.
Recommandations et cas d'utilisation
Amazon VPC ou les services équivalents d'Azure et de Google sont indispensables pour toute entreprise qui souhaite déployer plusieurs applications dans des topologies Cloud multiniveaux complexes.
Il est nécessaire de combiner VPC avec un VPN et Direct Connect pour établir des liens fiables et sécurisés entre les applications Cloud et les ressources sur site, telles que les bases de données, des data stores ou des applications legacy.
Les professionnels réseau IT maîtrisent déjà les principes du réseau VPC, si bien que la nouveauté consiste à appréhender la console de gestion Cloud ou l'interface de ligne de commande. Connecter un VPC distant aux réseaux stratégiques de l'entreprise, notamment avec BGP, n'est pas une tâche anodine. Les administrateurs doivent connaître les bases de la procédure, effectuer des tests fréquents et redoubler de prudence avant le passage définitif au réseau de Cloud hybride.