Skip to main content
BlogMise en réseauGo Privé avec VLANs et VPCs

Go Privé avec VLANs et VPCs

Go-Privé avec VLANs et VPCs

Il y a deux façons principales de parler de l'informatique dématérialisée. L'une est la séparation physique des ressources sur du matériel dédié, l'autre est la séparation virtuelle par un réseau isolé.

Dans le cas d'un nuage privé par séparation physique, nous louons généralement du matériel en tant qu'utilisateur locataire unique et nos ressources sont tangiblement séparées de celles des autres. Le nuage privé par séparation virtuelle place nos ressources dans un environnement multilocataire isolé des autres utilisateurs et de l'internet public au niveau du logiciel. On parle parfois de nuage interne, d'intranet ou, plus communément, de nuage privé virtuel (VPC).

En fin de compte, la caractéristique principale d'un nuage privé est la capacité d'isoler et de protéger notre infrastructure. Cela permet de renforcer la sécurité en réduisant de manière significative la surface d'attaque de notre réseau. Les VPC nous permettent d'atteindre cet objectif au niveau logiciel tout en restant rentables.

Comprendre les VPC, les VLAN et les VPN

Dans un VPC, les serveurs sont isolés des autres ressources du nuage public et sont généralement confinés à leur propre collection ou ensemble de sous-réseaux. Un autre moyen de parvenir à ce confinement est d'utiliser un réseau local virtuel (VLAN). 

Pour comprendre le rôle que joue le site VLAN , imaginez cinq ordinateurs de bureau dans une pièce, reliés entre eux par des câbles Ethernet pour communiquer en privé les uns avec les autres. Il fut un temps où les gens procédaient ainsi, mais aujourd'hui, nous retirons les câbles et déplaçons notre connectivité de la couche physique à la couche liaison de données du modèle OSI avec les VLAN.

Dans l'exemple ci-dessus, nos utilisateurs se trouvent dans la même pièce, mais ce n'est pas un scénario courant aujourd'hui. Pour que les utilisateurs puissent accéder à notre réseau isolé à partir d'un lieu extérieur, nous devons mettre en place un réseau privé virtuel (VPN). Un VPN permet à un utilisateur de se connecter à un réseau privé à travers l'internet public en toute sécurité grâce à un tunnel crypté.

En résumé, nous pouvons utiliser un VPC ou VLAN pour créer un réseau isolé et un VPN est ce que nous utilisons pour accéder en toute sécurité à ce réseau isolé. Les termes VPC et VLAN sont parfois utilisés de manière interchangeable, mais nous pouvons voir qu'ils ne sont certainement pas identiques.

Un site VLAN peut-il être utilisé comme VPC ?

La réponse courte est oui, nous pouvons utiliser un site VLAN comme VPC. Les VLAN assurent la séparation des réseaux, ce qui nous permet d'héberger des informations sensibles dans un espace sécurisé, mais cela nécessite une planification et une réflexion supplémentaires. Une différence majeure entre les VLAN et un véritable VPC peut être trouvée en examinant les couches 2 et 3 du modèle OSI. Voyons cela de plus près.

La couche 2, la couche de liaison de données, comprend la commutation et le câblage Ethernet. Étant donné qu'un site VLAN est essentiellement un remplacement virtualisé des câbles Ethernet physiques, il est considéré comme un isolant de couche 2. En attachant une VM à un VLAN, nous sommes effectivement branchés à notre propre commutateur de réseau virtuel isolé.

La couche 3, la couche réseau, comprend les protocoles IPv4 et IPv6. Les pare-feu, par exemple, se trouvent à la couche 3 (ou au-dessus) pour surveiller et filtrer le trafic par adresse IP à l'aide de listes d'autorisation et de blocage. Il s'agit généralement de pare-feu au niveau du réseau et du système d'exploitation. Un véritable VPC comprendrait des solutions intégrées couvrant la couche 2, la couche 3 et les couches supérieures.

*Notez qu'un pare-feu de couche 7 au niveau de l'application permet un niveau de contrôle plus granulaire, tel que le blocage ou l'autorisation du trafic en fonction de son contenu plutôt que par port ou adresse IP.

Pour sécuriser nos connexions entre les couches 2 et supérieures, nous avons besoin d'outils supplémentaires. Les pare-feu au niveau du système d'exploitation peuvent être mis en œuvre avec iptables ou nftables. Nous pourrions également avoir besoin de fournir des protections contre le protocole de résolution d'adresses (ARP) et la découverte des voisins (ND). 

Comme nous pouvons le voir, bien que les VLAN soient suffisants pour isoler nos machines virtuelles, nous avons encore du travail à faire avant de l'utiliser comme un véritable nuage privé virtuel. Pour en revenir à notre comparaison avec le câble Ethernet, les risques et les considérations de sécurité ne sont pas différents de ceux d'un ensemble de machines physiques branchées sur un commutateur de réseau partagé.

Un site VLAN peut-il être utilisé comme VPC sur Linode ?

La réponse courte est à nouveau oui, nous pouvons utiliser un VLAN comme VPC sur Linode. Linode propose un produit VLAN qui peut être déployé directement à partir de Cloud Manager et qui nous permet d'obtenir une isolation réseau sécurisée de couche 2 entre nos Linodes. Mais il est essentiel de prendre en compte vos besoins et de vous assurer que vous disposez d'un plan pour configurer des solutions de couche 3 supplémentaires.

Commencez par vérifier quelques cas d'utilisation courants du service VLAN de Linode. Les VLAN Linode peuvent être utilisés gratuitement avec vos Linodes et sont disponibles dans plusieurs centres de données à travers le monde. En plus d'isoler vos ressources de manière sécurisée, le transfert de réseau privé est gratuit. Cela signifie que les communications sur VLAN ne sont pas comptabilisées dans le quota mensuel de transfert de réseau d'un Linode.

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.