Pare-feu pour nuage hybride
Network Edge travaille avec la Fabric d'Equinix pour fournir une rampe d'accès au cloud virtuel qui peut être activée en quelques minutes. Cela permet d'obtenir un accès hybride multi-cloud à faible latence pour une variété d'applications. Si les applications sont multi-niveaux ou sensibles à la latence et nécessitent un accès aux ressources de l'entreprise, elles peuvent être mises en œuvre à l'aide d'un dispositif de sécurité virtuel déployé sur Network Edge au niveau d'un point de contrôle unique.
Architecture
La topologie hybride multi-cloud de ce scénario d'architecture de référence comporte un niveau web déployé chez un fournisseur de cloud et un niveau de base de données déployé chez un autre fournisseur de cloud dans la même région. Le seul composant de l'application accessible au public est le niveau web. Tous les autres composants doivent être sécurisés, y compris l'infrastructure d'entreprise qui fournit également des services à l'application et doit être proche des autres composants en raison des exigences de latence.
Cette solution réduit le nombre de dispositifs déployés et crée un point de contrôle de sécurité unique entre tous les niveaux d'application. Pour les entreprises, la complexité du réseau est réduite, ce qui diminue les coûts de la connectivité de nuage à nuage et renforce la sécurité.
La communication réseau entre les niveaux d'application est assurée par des interconnexions privées directes de couche 2 sur la Fabric Equinix, le dispositif Network Edge fournissant des services de routage et de sécurité de couche 3. Le dispositif Network Edge est une fonction réseau virtuelle (VNF) qui est hébergée par la plateforme de virtualisation des fonctions réseau (NFV) Network Edge.
Composants Equinix
- Equinix Fabric - Equinix Fabric est une plateforme de commutation qui fournit une connectivité privée à une large sélection de fournisseurs participants à la Fabric. Des circuits virtuels sont provisionnés sur la Fabric à l'aide d'une mise en réseau définie par logiciel pour établir une connectivité avec les fournisseurs qui sont connectés à la Fabric. Les connexions virtuelles peuvent être créées à l'aide du portail client ou des API.
- Equinix Network Edge - Network Edge est une plateforme NFV conforme à l'ETSI qui héberge des VNF (routeurs, pare-feu et SD-WAN) de différents fournisseurs tels que Cisco, Juniper, Palo Alto, Fortinet, Versa, Aruba et Check Point. Les VNF peuvent être déployés en temps réel et, une fois déployés, vous pouvez commencer à établir des connexions virtuelles avec les fournisseurs sur la Fabric.
Composants de l'application
- Interconnexion privée - Les interconnexions privées du fournisseur de services cloud (CSP) sont des connexions partenaires ou hébergées de couche 2 qui se connectent à la Fabric Equinix. Les connexions partenaires ou hébergées fournissent un commutateur intermédiaire entre un dispositif et le routeur CSP avec lequel il se connecte. Une fois l'interconnexion privée de couche 2 établie, vous pouvez configurer l'appairage de couche 3 avec la passerelle CSP. Les interconnexions privées contournent l'internet.
- Niveau web du nuage public - Le niveau web du nuage public héberge les serveurs web qui sont exposés à l'internet public pour la connectivité des utilisateurs. Ce niveau fournit également des services internet qui sont fournis soit par le fournisseur de cloud public, soit par un fournisseur de services internet qui se trouve sur la Fabric.
- Le niveau de base de données du nuage public - Le niveau de base de données du nuage public héberge les services PaaS de base de données qui sont interconnectés au niveau web. Ce niveau est protégé par le dispositif de sécurité virtuel, car le trafic entre le niveau web et le niveau base de données doit traverser le point de contrôle de sécurité.
- Infrastructure d'entreprise - L'infrastructure d'entreprise héberge des services privés pour l'application. Cette infrastructure peut être hébergée dans un centre de données Equinix, fournie par Equinix Metal ou hébergée sur un autre site. La seule condition est qu'Equinix Fabric puisse atteindre l'infrastructure.
Recommandations
Ces recommandations constituent un point de départ. Les exigences des clients peuvent différer de cette liste.
- Choix de l'emplacement - Cet exemple d'architecture montre des connexions entre une même région. En fonction de la région de déploiement, la latence variera, ce qui est un élément important à prendre en compte lors de la conception d'applications soumises à des exigences strictes en matière de latence. Cependant, certaines applications peuvent nécessiter une connectivité interrégionale. Dans ce cas, utilisez la portée mondiale d'Equinix Fabric pour créer ces connexions.
- Haute disponibilité - Cette architecture présente un déploiement à un seul fil d'Ariane sans tolérance de panne. Equinix recommande à ses clients de déployer le niveau de tolérance aux pannes nécessaire pour répondre à leurs besoins. Network Edge peut être déployé avec des dispositifs redondants ou, dans le cas de certains fournisseurs, les dispositifs peuvent être déployés en tant que paire à haute disponibilité.
- Adressage réseau - Pour les connexions à des services privés via une interface virtuelle privée, les clients peuvent utiliser un adressage IP privé. Pour certains services publics, les propres adresses IP publiques du client et le NAT peuvent être nécessaires pour le dispositif Network Edge. Les exigences en matière d'adressage public étant différentes d'un CSP à l'autre, il convient d'effectuer des recherches avant d'essayer de créer des connexions publiques. Pour le niveau web, les clients peuvent soit apporter leurs propres adresses IP qui répondent aux exigences de la publicité internet, soit utiliser l'adressage attribué par le fournisseur.
Considérations
Lors de la mise en œuvre de cette architecture, il convient de tenir compte des facteurs suivants.
Performance
Outre la latence, la bande passante entre les composants et le débit des appareils doivent être importants. Les circuits virtuels doivent être dimensionnés de manière appropriée et les appareils doivent supporter le débit souhaité.
Sécurité
Les interconnexions privées sur la Fabric vers le fournisseur de cloud ne sont pas chiffrées. Une application qui nécessite un chiffrement doit le faire soit au niveau de la couche application, soit au niveau de la couche réseau où des tunnels IPSEC peuvent être construits entre le dispositif Network Edge et une passerelle cloud. Les tunnels IPSEC impliquent des frais généraux, ce qui affecte également le choix de l'appareil. Cette solution déploie un dispositif de sécurité virtuel à un point de contrôle unique qui croise tous les flux de trafic entre les niveaux d'application.
Coûts d'Equinix
- Instance de l'appareil - Le coût de l'appareil virtuel (ne comprend pas le coût de la licence).
- Licence pour l'appareil virtuel - Les clients peuvent acheter une licence d'abonnement pour certains fournisseurs. La licence BYOL (Bring Your Own License) est disponible pour tous les fournisseurs.
- Circuits virtuels - Les frais mensuels récurrents sont basés sur la taille des circuits. Les connexions entre les métros à travers la Fabric d'Equinix, entraînent un supplément pour la connexion à distance.
Coûts du CSP
- Frais de sortie - Facturés par certains fournisseurs de services en fonction de la quantité de données transmises sur l'interconnexion privée. Ces frais varient en fonction du fournisseur. L'utilisation d'une interconnexion privée réduit les frais de sortie par rapport à l'internet.
- Frais de port fixe - facturés par certains fournisseurs en fonction de la taille du circuit, en plus des frais de sortie. Les frais de sortie et les frais de port fixe doivent être pris en compte dans la conception de votre application.
En déployant un dispositif de sécurité virtuel sur Network Edge, les clients peuvent consolider les connexions hybrides multi-cloud à un seul point de contrôle de la sécurité, tout en optimisant les performances des applications et en renforçant la sécurité.
Sujets connexes