Pare-feu infonuagique hybride

Network Edge s'associe à Equinix Fabric pour offrir une passerelle cloud virtuelle déployable en quelques minutes. Cela permet un accès multicloud hybride à faible latence pour diverses applications. Si les applications sont multiniveaux ou sensibles à la latence et nécessitent un accès aux ressources de l'entreprise, elles peuvent être implémentées à l'aide d'un dispositif de sécurité virtuel déployé sur Network Edge depuis un point de contrôle unique.

Architecture

La topologie hybride multi-cloud de ce scénario d'architecture de référence comporte un niveau web déployé chez un fournisseur de cloud et un niveau de base de données déployé chez un autre fournisseur de cloud dans la même région. Le seul composant de l'application accessible au public est le niveau web. Tous les autres composants doivent être sécurisés, y compris l'infrastructure d'entreprise qui fournit également des services à l'application et doit être proche des autres composants en raison des exigences de latence.

Cette solution réduit le nombre de dispositifs déployés et crée un point de contrôle de sécurité unique entre tous les niveaux d'application. Pour les entreprises, la complexité du réseau est réduite, ce qui diminue les coûts de la connectivité de cloud à cloud et renforce la sécurité.

La communication réseau entre les niveaux applicatifs est assurée par des interconnexions privées directes de couche 2 via Equinix Fabric, le périphérique Network Edge fournissant les services de routage et de sécurité de couche 3. Ce périphérique est une fonction réseau virtuelle (VNF) hébergée par la plateforme de virtualisation des fonctions réseau (NFV) de Network Edge .

Composants Equinix

• Equinix Fabric est une plateforme de commutation offrant une connectivité privée à un large éventail de fournisseurs participants. Des circuits virtuels sont provisionnés sur le Fabric grâce à l'architecture SDN (Software-Defined Networking) afin d'établir la connectivité avec les fournisseurs connectés. Ces connexions virtuelles peuvent être créées via le portail client ou les API.
• Equinix Network Edge – Network Edge est une plateforme NFV conforme à l'ETSI qui héberge des VNF (routeurs, pare-feu et SD-WAN) de différents fournisseurs tels que Cisco, Juniper, Palo Alto, Fortinet, Versa, Aruba et Check Point. Les VNF peuvent être déployés en temps réel et, une fois déployés, vous pouvez commencer à établir des connexions virtuelles avec les fournisseurs sur la Fabric.

Composants de l'application

• Interconnexion privée – Les interconnexions privées du fournisseur de services cloud (CSP) sont des connexions partenaires ou hébergées de couche 2 qui se connectent à Equinix Fabric. Ces connexions fournissent un commutateur intermédiaire entre un appareil et le routeur CSP avec lequel il s'appaire. Une fois l'interconnexion privée de couche 2 établie, vous pouvez configurer l'appairage de couche 3 avec la passerelle CSP. Les interconnexions privées contournent Internet.
• Niveau Web de cloud public – Ce niveau héberge les serveurs web accessibles sur l'Internet public pour la connectivité des utilisateurs. Il fournit également des services Internet fournis soit par le fournisseur de cloud public, soit par un fournisseur d'accès Internet présent sur la Fabric.
• Niveau de base de données cloud public – Ce niveau héberge les services PaaS de base de données interconnectés au niveau web. Ce niveau est protégé par le dispositif de sécurité virtuel, car le trafic entre le niveau web et le niveau base de données doit traverser le point de contrôle de sécurité.
• Infrastructure d'entreprise – L'infrastructure d'entreprise héberge les services privés de l'application. Elle peut être hébergée dans un centre de données Equinix, fourni par Equinix Metal, ou ailleurs. La seule condition est qu'Equinix Equinix Fabric puisse accéder à l'infrastructure.

Recommandations

Ces recommandations constituent un point de départ. Les besoins des clients peuvent différer de cette liste.

• Choix de l'emplacement – ​​Cet exemple d'architecture illustre les connexions au sein d'une même région. La latence varie selon la région de déploiement ; il s'agit d'un facteur important à prendre en compte lors de la conception d'applications ayant des exigences de latence strictes. Certaines applications peuvent toutefois nécessiter une connectivité interrégionale. Dans ce cas, tirez parti de la portée mondiale d'Equinix Fabric pour établir ces connexions.
• Haute disponibilité – Cette architecture offre un déploiement monothread sans tolérance aux pannes. Equinix recommande à ses clients de déployer le niveau de tolérance aux pannes nécessaire à leurs besoins métiers. Le réseau Edge peut être déployé avec des équipements redondants ou, chez certains fournisseurs, avec des équipements configurés en paire haute disponibilité.
• Adressage réseau – Pour les connexions à des services privés via une interface virtuelle privée, les clients peuvent utiliser une adresse IP privée. Pour certains services publics, les adresses IP publiques du client et la NAT peuvent être requises pour le périphérique périphérique de réseau. Les exigences en matière d'adressage public varient d'un fournisseur de services de communication à l'autre, il est essentiel de se renseigner avant d'établir des connexions publiques. Pour la couche Web, les clients peuvent soit utiliser leurs propres adresses IP conformes aux exigences de publicité sur Internet, soit utiliser l'adressage attribué par leur fournisseur.

Considérations

Lorsque vous mettez en œuvre cette architecture, tenez compte des facteurs suivants.

Performance

Outre la latence, la bande passante entre les composants et le débit des périphériques sont des facteurs importants. Les circuits virtuels doivent être dimensionnés correctement et les périphériques doivent supporter le débit souhaité.

Sécurité

Les interconnexions privées entre la Fabric et le fournisseur cloud ne sont pas chiffrées. Une application nécessitant un chiffrement doit le faire soit au niveau de la couche applicative, soit au niveau de la couche réseau, où des tunnels IPSEC peuvent être créés entre le périphérique Network Edge et une passerelle cloud. Les tunnels IPSEC impliquent une surcharge, qui affecte également le choix du périphérique. Cette solution déploie un dispositif de sécurité virtuel à un point de contrôle unique qui croise tous les flux de trafic entre les niveaux applicatifs.

Coûts d'équinix

• Instance d'appareil – Le coût de l'appareil virtuel (n'inclut pas le coût de la licence).
• Licence pour l'appareil virtuel – Les clients peuvent s'abonner auprès de certains fournisseurs. L'option « Apportez votre propre licence » (BYOL) est disponible auprès de tous les fournisseurs.
• Circuits virtuels – Les frais mensuels récurrents sont calculés en fonction de la taille des circuits. Les connexions entre les régions métropolitaines par le réseau Equinix Fabric entraînent des frais supplémentaires pour la connexion à distance.

Coûts CSP

• Frais de sortie – Facturés par certains fournisseurs de services en fonction du volume de données transmis via l'interconnexion privée. Ces frais varient selon le fournisseur. L'utilisation d'une interconnexion privée réduit les frais de sortie par rapport à Internet.
• Frais de port fixes – Facturés par certains fournisseurs en fonction de la taille du circuit, en plus des frais de sortie. Les frais de sortie et de port fixes sont pris en compte dans la conception de votre application.

En déployant un périphérique de sécurité virtuel sur Network Edge, les clients peuvent consolider les connexions multicloud hybrides en un seul point de contrôle de sécurité, tout en maximisant les performances des applications et en améliorant la sécurité.

Sujets connexes

• Network Edge Architecting for Resiliency
• Networking for Nerds: Deconstructive Interconnection to the Cloud (Blog)