Mesh vs Hub-and-spoke

Introduction

Dans cet article, nous explorerons les différences entre les architectures réseau de type Hub-and-spoke et Mesh sur les plateformes cloud GCP et Azure. Nous examinerons les concepts et les avantages de chaque approche en nous basant sur les ressources suivantes : Azure spoke-to-spoke networking et GCP Hub-spoke VPC network topology.

Hub-and-spoke

Azure

L’architecture Hub-and-spoke sur Azure consiste à utiliser un réseau virtuel central (hub) qui est connecté à plusieurs réseaux virtuels satellites (spokes) par le biais de liaisons réseau (source). Cette approche permet de centraliser les services partagés, tels que les pare-feu, les passerelles VPN et les serveurs proxy, et de simplifier la gestion des règles de sécurité et de routage.

https://learn.microsoft.com/fr-fr/azure/architecture/networking/media/virtual-network-manager-connectivity-options.svg

GCP

Sur GCP, l’architecture Hub-and-spoke est déployée en utilisant des VPC partagés, où un VPC central (hub) est connecté à plusieurs VPC satellites (spokes) via des sous-réseaux privés (source). Cette approche permet de centraliser les services réseau et de sécurité, tels que les pare-feu, les équilibreurs de charge et les VPN, et de simplifier la gestion des politiques de sécurité et de routage.

https://cloud.google.com/static/architecture/images/hub-spoke-departmental-segmentation.svg?hl=fr

Mesh

Azure

L’architecture Mesh sur Azure est une topologie de réseau où chaque réseau virtuel est directement connecté à tous les autres réseaux virtuels, sans passer par un hub central (source). Cette approche permet une communication directe entre les réseaux virtuels et une faible latence. Cependant, elle peut être plus difficile à gérer et à sécuriser en raison du grand nombre de connexions réseau et de règles de sécurité nécessaires.

GCP

Sur GCP, une architecture Mesh peut être mise en œuvre en utilisant des VPC dédiés et des interconnexions de réseau privées pour connecter directement les VPC entre eux (source). Cette approche permet une communication directe et une faible latence entre les VPC, mais peut également être plus complexe à gérer et à sécuriser en raison du nombre élevé de connexions réseau et de politiques de sécurité.

Nouveautés CLOUD 📰

Les innovations dans le domaine du cloud continuent d’évoluer rapidement, et deux nouvelles fonctionnalités, Network Connectivity Center (Google) et Azure Virtual Network Manager (AVNM), promettent de révolutionner la manière dont les réseaux sont gérés et consommés dans le cloud. Ces nouvelles (annonce de 2021-2023) fonctionnalités sont NCC et AVNM :

Network Connectivity Center (Google)

Network Connectivity Center (NCC) est une nouvelle fonctionnalité annoncée par Google qui vise à simplifier la gestion et la consommation des services de réseau dans le cloud (source). NCC permettra aux utilisateurs de créer des topologies réseau personnalisées, de déployer facilement des architectures Mesh et de gérer efficacement les connexions réseau entre les différents services et applications cloud.

Les principales caractéristiques de NCC incluent (source) :

Azure Virtual Network Manager (AVNM)

Azure Virtual Network Manager (AVNM) est une autre innovation annoncée par Azure pour révolutionner la manière dont les réseaux sont gérés et consommés dans le cloud (source). AVNM permettra de créer des topologies réseau personnalisées, de déployer facilement des architectures Mesh et de s’affranchir des contraintes liées au peering.

Les principales caractéristiques d’AVNM incluent (source) :

Caractéristiques Hub-and-spoke Mesh
Centralisation des services réseau et de sécurité ✅ (source1 Azure, source2 Azure, source1 GCP, source2 GCP) ❌ (source1 Azure, source2 Azure, source1 GCP, source2 GCP)
Simplification de la gestion des règles de sécurité et de routage ✅ (source Azure, source GCP) ❌ (source Azure, source GCP)
Connectivité flexible et résiliente ❌ (source Azure, source GCP) ✅ (source Azure, source GCP)
Facilité de mise en œuvre du modèle Zero Trust ❌ (source Azure, source GCP) ✅ (source Azure, source GCP)
Faible latence ❌ (source Azure, source GCP) ✅ (source Azure, source GCP)
Gestion centralisée (avec AVNM/NCC) ❌ (source Azure, source GCP) ✅ (source Azure, source GCP)

Note : Les informations présentées dans cet article peuvent ne pas être à jour, car les CSP travaillent continuellement pour ajouter de nouvelles fonctionnalités et améliorer leurs services. Il est recommandé de consulter régulièrement la documentation officielle des CSP pour obtenir les informations les plus récentes.

Conclusion

Les architectures Hub-and-spoke et Mesh ont des avantages et des inconvénients.

L’architecture Hub-and-spoke simplifie la gestion des services réseau et de sécurité, tandis que l’architecture Mesh offre une connectivité flexible et résiliente, facilitant la mise en œuvre du modèle Zero Trust.

Les innovations récentes, telles que Network Connectivity Center (Google) et Azure Virtual Network Manager, permettent de mieux gérer ces architectures réseau en attendant ces fonctionnalités. Ainsi, les entreprises peuvent choisir l’option qui répond le mieux à leurs besoins en matière de connectivité, de performance et de sécurité.

Cependant, il manque encore certaines fonctionnalités sur GCP et Azure, prévues pour 2024, pour adopter complètement ces architectures.

Par exemple sur Azure, AVNM est une innovation récente qui permet de mieux gérer les architectures réseau. Cependant, il est à noter que la granularité d’AVNM jusqu’au niveau du sous-réseau (subnet) ne sera pas disponible que courant 2024.

Si vous voulez plus d’information sur l’infrastructure vous pouvez voir mon repo à ce sujet : https://github.com/ravindrajob/InfraAtHome

See Also

Sécurité dans le CLOUD
Le multi-cloud, une bonne stratégie ?
Cloud Agnostique vs Cloud Natif