Réseautage Hybrid Cloud

Configurez une connectivité sécurisée et haute performance entre les environnements sur site et cloud à l'aide de VPN, Direct Connect, ExpressRoute, Interconnect et FastConnect.

Objectif

Établir une connectivité réseau sécurisée et fiable entre les data centers sur site et les fournisseurs cloud (AWS, Azure, GCP, OCI).

Quand l'utiliser

• Connecter le site sur site au cloud
• Étendre le data center vers le cloud
• Mettre en place des configurations hybrid actif-actif
• Respecter les exigences de conformité
• Migrer vers le cloud progressivement

Options de connexion

Connectivité AWS

1. Site-to-Site VPN

• IPSec VPN sur internet
• Jusqu'à 1,25 Gbps par tunnel
• Rentable pour une bande passante modérée
• Latence plus élevée, dépendant d'internet

resource "aws_vpn_gateway" "main" {
  vpc_id = aws_vpc.main.id
  tags = {
    Name = "main-vpn-gateway"
  }
}

resource "aws_customer_gateway" "main" {
  bgp_asn    = 65000
  ip_address = "203.0.113.1"
  type       = "ipsec.1"
}

resource "aws_vpn_connection" "main" {
  vpn_gateway_id      = aws_vpn_gateway.main.id
  customer_gateway_id = aws_customer_gateway.main.id
  type                = "ipsec.1"
  static_routes_only  = false
}

2. AWS Direct Connect

• Connexion réseau dédiée
• 1 Gbps à 100 Gbps
• Latence plus faible, bande passante constante
• Plus coûteux, temps de configuration requis

Référence : Voir references/direct-connect.md

Connectivité Azure

1. Site-to-Site VPN

resource "azurerm_virtual_network_gateway" "vpn" {
  name                = "vpn-gateway"
  location            = azurerm_resource_group.main.location
  resource_group_name = azurerm_resource_group.main.name

  type     = "Vpn"
  vpn_type = "RouteBased"
  sku      = "VpnGw1"

  ip_configuration {
    name                          = "vnetGatewayConfig"
    public_ip_address_id          = azurerm_public_ip.vpn.id
    private_ip_address_allocation = "Dynamic"
    subnet_id                     = azurerm_subnet.gateway.id
  }
}

2. Azure ExpressRoute

• Connexion privée via fournisseur de connectivité
• Jusqu'à 100 Gbps
• Latence faible, haute disponibilité
• Premium pour la connectivité mondiale

Connectivité GCP

1. Cloud VPN

• IPSec VPN (Classic ou HA VPN)
• HA VPN : SLA de 99,99 %
• Jusqu'à 3 Gbps par tunnel

2. Cloud Interconnect

• Dédiée (10 Gbps, 100 Gbps)
• Partner (50 Mbps à 50 Gbps)
• Latence plus faible que VPN

Connectivité OCI

1. IPSec VPN Connect

• IPSec VPN avec tunnels redondants
• Routage dynamique via DRG
• Bien adapté aux succursales et phases de migration

2. OCI FastConnect

• Connectivité privée dédiée via edge Oracle ou partenaire
• Adaptée pour un débit prévisible et un trafic hybrid à faible latence
• Généralement associée à DRG pour des architectures hub-and-spoke

Modèles de réseautage hybrid

Modèle 1 : Hub-and-Spoke

Data Center sur site
         ↓
    VPN/Direct Connect
         ↓
    Transit Gateway (AWS) / vWAN (Azure)
         ↓
    ├─ VPC/VNet Production
    ├─ VPC/VNet Staging
    └─ VPC/VNet Development

Modèle 2 : Hybrid multi-région

Sur site
    ├─ Direct Connect → us-east-1
    └─ Direct Connect → us-west-2
            ↓
        Cross-Region Peering

Modèle 3 : Hybrid multi-cloud

Data Center sur site
    ├─ Direct Connect → AWS
    ├─ ExpressRoute → Azure
    ├─ Interconnect → GCP
    └─ FastConnect → OCI

Configuration du routage

Configuration BGP

Routeur sur site :
- Numéro AS : 65000
- Annonce : 10.0.0.0/8

Routeur Cloud :
- Numéro AS : 64512 (AWS), 65515 (Azure), attribué par le fournisseur pour GCP/OCI
- Annonce : CIDRs VPC/VNet Cloud

Propagation des routes

• Activer la propagation des routes sur les tables de routage
• Utiliser BGP pour le routage dynamique
• Implémenter le filtrage des routes
• Surveiller les annonces de routes

Bonnes pratiques de sécurité

1. Utiliser la connectivité privée (Direct Connect/ExpressRoute/Interconnect/FastConnect)
2. Implémenter le chiffrement pour les tunnels VPN
3. Utiliser les VPC endpoints pour éviter le routage internet
4. Configurer les ACLs réseau et les groupes de sécurité
5. Activer les VPC Flow Logs pour la surveillance
6. Implémenter la protection DDoS
7. Utiliser PrivateLink/Private Endpoints
8. Surveiller les connexions avec CloudWatch/Azure Monitor/Cloud Monitoring/OCI Monitoring
9. Implémenter la redondance (tunnels doubles)
10. Audits de sécurité réguliers

Haute disponibilité

Tunnels VPN doubles

resource "aws_vpn_connection" "primary" {
  vpn_gateway_id      = aws_vpn_gateway.main.id
  customer_gateway_id = aws_customer_gateway.primary.id
  type                = "ipsec.1"
}

resource "aws_vpn_connection" "secondary" {
  vpn_gateway_id      = aws_vpn_gateway.main.id
  customer_gateway_id = aws_customer_gateway.secondary.id
  type                = "ipsec.1"
}

Configuration actif-actif

• Plusieurs connexions depuis différents emplacements
• BGP pour basculement automatique
• Routage multi-chemin à coût égal (ECMP)
• Surveiller la santé de toutes les connexions

Surveillance et dépannage

Métriques clés

• État du tunnel (actif/inactif)
• Octets entrants/sortants
• Perte de paquets
• Latence
• État de la session BGP

Dépannage

# VPN AWS
aws ec2 describe-vpn-connections
aws ec2 get-vpn-connection-telemetry

# VPN Azure
az network vpn-connection show
az network vpn-connection show-device-config-script

# OCI IPSec VPN
oci network ip-sec-connection list
oci network cpe list

Optimisation des coûts

1. Adapter les connexions en fonction du trafic
2. Utiliser VPN pour les charges de travail faible bande passante
3. Consolider le trafic via moins de connexions
4. Minimiser les coûts de transfert de données
5. Utiliser des liens privés dédiés pour la haute bande passante
6. Implémenter la mise en cache pour réduire le trafic

Skills connexes

• multi-cloud-architecture - Pour les décisions d'architecture
• terraform-module-library - Pour l'implémentation IaC