Landing Zone GCP : Global VPC, GKE et Zéro Trust
Mise à jour : Février 2026 - Le code de cette infrastructure GCP a été revu et mis à jour récemment pour intégrer les dernières recommandations de sécurité (WIF, NCC, Secure Web Proxy). Tout le code Terraform est disponible sur le dépôt GitHub public.
Sur Google Cloud Platform (GCP), l’approche est grandement facilitée par la flexibilité du réseau mondial. L’architecture respecte les principes de la CNCF et offre un environnement hermétique de bout en bout.
1. La Fondation : Organization Policies
La sécurité commence par les Org Policies.
- Aucune adresse IP externe n’est autorisée sur les instances Compute Engine.
- La fédération d’identité WIF (Workload Identity Federation) est privilégiée pour interdire les clés JSON de Service Accounts statiques.
2. Architecture Réseau : Global VPC et NCC
L’atout de GCP est le Global VPC. En combinant cela au Network Connectivity Center (NCC), on construit un réseau Anycast mondial très simple à administrer. Le “Deny by Default” sortant est assuré par l’implémentation du Secure Web Proxy (SWP) ou de Cloud Armor. Les accès aux API Google se font via Private Service Connect (PSC).
3. Kubernetes Hardened : GKE Privé
L’orchestration est confiée à Google Kubernetes Engine (GKE). Les clusters sont déployés en mode 100% privé, utilisant IAP (Identity-Aware Proxy) pour toute administration sécurisée (SSH) sans VPN.
Conclusion
GCP permet de construire une Landing Zone particulièrement efficace grâce à ses services réseaux natifs globaux. C’est l’infrastructure idéale pour des applications Kubernetes mondiales avec un niveau de protection paranoïaque.
Si vous voulez plus d’information sur l’infrastructure vous pouvez voir mon repo à ce sujet : https://github.com/ravindrajob/InfraAtHome
Dernière mise à jour : Février 2026
