La standardisation et la réutilisation de modèles d’architectures est une pratique courante dans le développement logiciel, dont, on peut s’inspirer dans les topologies réseau cloud. Le modèle Hub-and-Spoke est une topologie réseau de plus en plus adopté par les clients sur Azure.
Nous allons aborder dans cet article les caractéristiques de cette architecture, les avantages qu’on peut en tirer et les cas d’utilisation les plus courants.
La Topologie Hub-and-Spoke
L’architecture basique Hub-and-Spoke se compose de plusieurs VNETs qu’on va appeler : Hub et Spokes. Le Hub est un réseau virtuel qui va être notre point d’entrée vers notre infrastructure Azure et qui va être connecté à notre infrastructure On-Premise dans notre cas de figure. La connexion entre notre infrastructure locale vers le Hub va se faire au travers d’un VPN ou d’un Express Route.
On va retrouver dans le Hub des services communs et centraux, par exemple VM bastion, supervision, un Firewall ou une passerelle VPN Gateway. Notre Hub est un point central pour la connectivité vers nos différents sites On-Premise ou vers d’autres cloud providers.
Les Spokes sont des réseaux virtuels sur lesquels généralement, on va venir poser nos applications PaaS, VMs et services intégrés vNet. La communication réseaux entre le Hub et les Spokes passe par la mise en place de peerings entre les vNets spokes et le Hub.
Combien de spokes et pour quel cas d’usage ? On peut imaginer un spoke pour l’environnement de production et un spoke pour la préproduction ou 1 spoke par application.
On va retrouver plusieurs cas d’utilisation de cette architecture à savoir :
- Architecture avec un firewall en zone Hub pour le filtrage,
- Centralisation du point d’entrée avec une passerelle VPN Gateway,
- Centralisation de services communs comme la supervision, FW, Bastion au niveau du Hub,
- Ségrégation des environnements et des ressources.
Hub-and-Spoke avec Firewall
Pour centraliser le contrôle des flux entrant et sortant vers nos applications, on peut venir positionner une appliance virtuelle firewall (NVA) dans le Hub. La NVA va venir filtrer les flux en respectant les règles définis par le RSSI vers chaque spoke. La définition de routes statiques sur nos subnets est indispensable pour être certain de passer toujours à travers notre NVA, le service User Defined Routing (UDR) sur Azure est notre ami pour ce besoin.
Avantages et inconvénients
En terme d’avantages :
- Notre architecture permet une meilleure séparation de nos environnements avec un point d’entrée central (Hub) connecté à plusieurs Spokes. Cela va permettre à nos équipes sécurité d’appliquer une granularité fine sur chaque environnement ou application,
- L’application des Tags au niveau de chaque spokes facilitera la facturation interne et l’organisation de nos ressources,
- L’hybridation de nos services est plus facile également, car la connexion réseau vers ces derniers est plus simple à mettre en place depuis le Hub,
- Un avantage financier : une réduction des coûts de connexion vers notre environnement On-Premise.Une seule connexion pour toutes les applications au lieu de mettre en place 1 VPN par application/environnement,
- Une simplification au niveau architecture et gestion des ressources.
En terme d’inconvénients
- Une gestion délicate des espaces d’adressage IP pour éviter l’overlaping entre le Hub, Spoke et nos autres environnements On-Premise,
- La définition de l’ensemble des adressage IP doit se faire dès le début pour éviter les surprises,
- Une architecture haute disponibilité pour tous les services Hub est conseillée pour éviter toute intérruption en cas d’incident.
Hub-and-Spoke best practices
L’organisation des Vnets spokes doit se baser par application ou entité interne pour avoir une logique fonctionnelle ou métier.
Exemple : une entreprise dans la vente en ligne
- Hub : services centraux – ressource group hub
- Spoke 1 : application de vente en ligne (mobile et PC) – ressource group 1
- Spoke 2 : application de gestion des stocks – ressource group 2
- Spoke 3 : application de gestion des livraisons – ressource group 3
- Spoke 4 : application de gestion des fournisseurs – ressource group 4
La gestion des IP peut se faire avec des outils tiers comme IPAM ou un fichier excel simple. Les tags au niveau des ressources groupes sont votre meilleur ami : spoke, hub, prod, pprd, stockbdd..Etc.
Conclusion
L’architecture Hub-and-Spoke reste la plus répondue pour les clients qui souhaitent faire une hybridation de leurs environnements On-Premise en se basant sur un pattern validé et standardisé par Microsoft. Pour aller plus loin sur cette architecture, je vous invite à aller directement sur le site de Microsoft : ICI
À très bientôt