Les architectes cloud font face à des défis lorsqu’ils tentent d’intégrer des clouds disparates dans leur infrastructure. Ces défis proviennent souvent du fait que des équipes et des départements individuels ont créé des environnements cloud à partir de zéro. Il s’agit très souvent de solutions isolées provenant de différents fournisseurs SaaS (Software as a service) / cloud pour des problèmes spécifiques. Le résultat est que de nombreuses entreprises disposent désormais d’environnements cloud disparates qui ne suivent aucune approche particulièrement systématique. Un autre point sensible dans l’optimisation du cloud est le coût supplémentaire inattendu, tel que les coûts de « sortie du cloud » (les frais qu’un fournisseur de cloud vous facture pour transférer des données hors de son cloud), lorsque les entreprises souhaitent déplacer des données d’un environnement cloud vers leur propre infrastructure ou vers d’autres clouds.
Pour ne rien arranger, il devient clair qu’en raison des changements dans les processus d’entreprise, les données et les charges de travail stockées dans un environnement cloud unique sont essentielles pour les systèmes et les applications fonctionnant dans d’autres clouds. Le problème est que les infrastructures cloud de l’entreprise n’ont pas été mises en place de haut en bas en suivant une approche architecturale tenant compte de l’interopérabilité – et par conséquent, elles ne peuvent pas, en soi, interopérer. Une conclusion simpliste pourrait être de revenir à une politique de cloud unique et de tout reconstruire sur l’infrastructure d’un seul fournisseur de cloud. Mais même les entreprises cloud-natives qui utilisent une approche greenfield (commençant par une stratégie à un seul cloud), sans parler des entreprises qui ont migré du legacy vers le cloud, atteignent une taille où une stratégie multi-cloud devient un avantage commercial et opérationnel.Une politique de cloud unique est une recette pour le verrouillage fournisseur et représente un point de défaillance unique pour les processus critiques de l’entreprise. Un multi-cloud robuste est donc l’option conseillée. Par conséquent, les clouds doivent être rendus interopérables.
En bref, un processus de traduction entre les infrastructures des fournisseurs de cloud est nécessaire. L’interopérabilité est nécessaire sur toutes les couches logicielles, ainsi que – peut-être plus fondamentalement – sur la couche réseau. La réalisation de l’interopérabilité sur les couches logicielles est une tâche pour le développement logiciel ou DevOps – par exemple, en incluant la compatibilité des formats de données, l’utilisation de la même structure de données et de la même logique métier, la présence d’une API (Application Programming Interface) pour que les composants logiciels puissent interagir les uns avec les autres, et pour l’interprétation des données.
Cependant, cet article se concentrera sur la façon de créer un environnement cloud harmonisé sur la couche réseau, offrant la résilience et la flexibilité du cloud hybride et multi-cloud, combinées à la facilité et à la latence d’un cloud unique.
Connexion aux clouds via Internet – sécurité et contrôlabilité limitées, et coûts cachés
Il n’existe que quelques méthodes pour connecter des clouds entre eux. Premièrement, il est possible d’acheter des passerelles Internet auprès de chacun des fournisseurs de cloud utilisés, et de faire transiter les données (de manière aléatoire) sur l’Internet public pour aller d’un cloud à l’autre. Dans ce scénario, il n’y a aucun contrôle sur les chemins de données, les performances ou la sécurité : un risque inacceptable pour les données, les charges de travail et les systèmes critiques. Une méthode plus sécurisée consiste à installer des passerelles virtuelles pour chacun des clouds utilisés et à déployer un tunnel VPN (par exemple, IPSec) entre les clouds. Cela crypte le trafic, mais les données doivent toujours transiter par l’Internet public. La latence peut, dans ce scénario, devenir inacceptablement élevée, ce qui entraîne de mauvaises performances, des expirations de délai avec une perte potentielle de données, une surcharge accrue pour gérer de nombreux tunnels de bout en bout et un manque de résilience de la connectivité.
De plus, les coûts de sortie du cloud sont nettement plus élevés lorsque les données traversent l’Internet public.
Connectivité directe aux clouds pour des transferts de données fluides, sécurisés et rentables
Une option plus robuste, adaptée au traitement des données sensibles de l’entreprise, consiste à mettre en œuvre une connectivité directe sur la couche IP, en utilisant le service de connectivité directe du fournisseur de cloud respectif (par exemple, Azure Express Route, AWS Direct Connect, etc.). Chaque fournisseur de cloud propose son propre service de connectivité directe, et ses frais de sortie du cloud sont bien inférieurs à ceux des données transférées sur l’Internet public.En fait, il
a été démontré de manière concluante qu’il est moins coûteux d’utiliser une connectivité de réseau privé vers les clouds si l’entreprise a plus de 25 mégabits par seconde (Mbit/s) de trafic. Une fois qu’une entreprise dépasse ce montant, la connectivité privée est rentable.
Dans ce scénario, le chemin de données est contrôlé jusqu’au point de transfert vers le réseau de l’entreprise, et l’Internet public est contourné. Cela permet une mise à l’échelle flexible de la bande passante, augmente la sécurité, réduit la latence et élimine le problème des frais d’entrée élevés.
Bien qu’il soit possible de commander des lignes directes auprès d’un FAI ou d’un opérateur pour se connecter au point d’accès le plus proche de chaque service de connectivité directe requis, il est beaucoup plus rapide et plus facile de se connecter via un Cloud Exchange distribué. Avec une seule connexion à l’échange, il est possible d’accéder à tous les clouds en même temps. Si l’entreprise dispose de serveurs et de routeurs installés dans un centre de colocation disposant de fonctionnalités Cloud Exchange, une simple interconnexion à la plateforme Cloud Exchange est tout ce dont l’entreprise a besoin. Si l’infrastructure de l’entreprise se trouve dans un centre de données non compatible, la connectivité peut être achetée à l’échange, et à partir de là, un accès unique suffit à nouveau. Une fois sur la plateforme, il est alors possible de s’interconnecter avec chaque fournisseur de cloud spécifique.
Meilleures pratiques pour la connectivité cloud
L’interconnexion directe avec les réseaux cloud de cette manière est une bonne pratique en soi, qu’il s’agisse d’une configuration multi-cloud ou d’un scénario de cloud hybride. Cette connectivité peut être combinée à des SLA (Service Level Agreements) et à des garanties de performance, et les coûts de sortie du cloud peuvent être réduits de 50 % ou plus par rapport à un acheminement via l’Internet public.
Une optimisation possible est d’interconnecter directement les clouds. Certains Cloud Exchange proposent un service de routage cloud virtualisé, qui interconnecte directement les services de connectivité directe de chaque fournisseur de cloud sur la plateforme, garantissant le chemin le plus court entre les clouds. Cela garantit la latence la plus faible entre tous les clouds, offrant des transferts de données transparents, sécurisés et les plus rentables entre les clouds. Pour les scénarios purement cloud2cloud, il n’est même pas nécessaire d’avoir une infrastructure dans un centre de données de colocation compatible, car certains services de routage cloud peuvent exister à la fois comme une connectivité autonome entre les clouds ou dans le cadre d’une configuration de cloud hybride pour connecter des équipements locaux privés.
Une fois la connexion directe établie vers et entre les clouds, une dernière étape du point de vue du réseau consiste à clarifier le besoin de chiffrement. Certains fournisseurs de services cloud proposent un chiffrement jusqu’à la périphérie de leur réseau, d’autres non. Ici, IPSec offre une bonne possibilité de chiffrer les données jusqu’à l’environnement cloud de l’entreprise si nécessaire. De plus, MACsec peut être utilisé pour chiffrer la connexion entre les périphériques réseau de l’entreprise et ceux du fournisseur de cloud.
Soulager les maux de tête du cloud
En général, la connexion des clouds est motivée par des problèmes, tels que des performances insuffisantes entre deux applications fonctionnant dans des clouds différents. Un service de routage cloud, qui peut être réservé directement via un Cloud Exchange ou en passant par un intégrateur de systèmes ou un fournisseur de services managés (MSP), est un excellent moyen d’atténuer ce problème. Mais une telle solution de connectivité peut également apporter un soutien dans d’autres situations : peut-être qu’une entreprise souhaite intégrer un élément fonctionnant sur le cloud dans son réseau d’entreprise. Un service de routage cloud peut être connecté directement à l’infrastructure de l’entreprise, garantissant que toutes les données transitant vers, depuis et entre les clouds circulent sur le service de connectivité directe des fournisseurs de cloud, en s’attaquant également au problème des frais de sortie du cloud élevés.
Au-delà, les avantages du routage entre les clouds comprennent la disposition d’un domaine sécurisé et virtuellement dédié, de sorte que les paquets ne traversent pas l’Internet public. L’entreprise n’est plus non plus vulnérable au verrouillage fournisseur, car il est beaucoup plus facile de déplacer les charges de travail d’un cloud à un autre. Enfin, un routeur cloud facilite également la mise en œuvre d’une approche « best of breed » : utiliser des services de cinq fournisseurs de cloud différents, par exemple, sans avoir à se soucier de la couche réseau. Il simplifie la gestion des scénarios multi-cloud et hybrides, afin de pouvoir se concentrer sur les objectifs commerciaux pour surmonter ces défis.