Connectivité cloud public : quelle autoroute vers le cloud Microsoft ?

Il y a quelques mois, j’ai eu la chance d’être speaker lors d’un événement ICT où j’ai présenté les grands challenges du cloud public. La connectivité, alors encore embryonnaire, comptait parmi les défis à relever. De récentes évolutions de la part des opérateurs cloud et télécom ont permis de clarifier les différentes options ouvertes aux candidats à l’utilisation du cloud Microsoft à grande vitesse.

 

Site2Site Vpn, l’option mainstream

Dans la majorité des cas rencontrés actuellement chez nos clients, la connectivité de type site-to-site VPN est la norme. La raison est simple, c’est une option entièrement intégrée à l’offre de base de Microsoft. Sa forme standard est offerte gratuitement à tous les clients. Ces tunnels permettent de connecter des ressources Azure avec des ressources « on-prem » en établissant un tunnel crypté sur internet. Si cette solution est très facile à mettre en place, le gateway Azure se configure en quelques clics, la seule complexité que vous pouvez rencontrer, si vous êtes un novice au plan du Firewall, est la configuration et l’établissement du tunnel de votre côté.

Si cette connectivité est 100% simple, elle a aussi ses limites :

  • Une bande passante limitée (100Mbits/s)
  • Aucun SLA quant à la stabilité ou la performance,
  • Aucune garantie en termes de throughput, de latence ou de la performance à se connecter au tunnel par le fait de l’utilisation d’un transport internet entre les 2 bouts du tunnel.

D’après Microsoft, ce type de connectivité devrait être limité à des scénarii dev/test.

Afin d’adresser certaines de ces limitations et de supporter des scénarii de production, Microsoft a récemment introduit, dans les consoles Azure, des solutions VPN plus performantes et à coûts plus élevés. Les VPNGW1, VPNGW2 et VPNGW3 vont permettre d’aller de 600Mb/s à 1.25Gb/s tout en augmentant le nombre de sessions s2s autorisées ou en garantissant de meilleurs SLA de disponibilité (allant jusqu’à 99.95%).

Ces tunnels restent dépendants de la contingence de votre fournisseur internet ou de la latence globale du « réseau des réseaux ».

 

Azure Express Route, l’option 100% pro

Heureusement, la collaboration entre Microsoft et les opérateurs télécom permet aux clients de mettre en place des connexions sécurisées, redondantes et bien sûr garanties entre les sites du client et le cloud public à travers les souscriptions Express Route.

Ce type de connexion se divise en 4 grandes parties.

  • #1 Le circuit Express Route
    Il correspond à la partie purement Microsoft de la connexion. Elle pourrait être représentée par un port sur un switch dans votre cloud public sur Azure, et comme tout port, elle est limitée à une certaine bande passante que vous définissez en fonction de votre besoin et de votre budget. Retenons que dans le domaine de la connectivité, la règle du « plus grand, plus cher » est celle qui prévaut toujours !
  • #2 Le peering partner
    La deuxième partie est fournie par un peering partner choisi par Microsoft et établi dans un des datacentres du réseau Microsoft. Pour notre part, le partenaire est Equinix et le point d’entrée, Amsterdam. Cet interlocuteur va permettre, dans une certaine mesure, de patcher le routeur de votre opérateur (ou le vôtre si en avez les moyens) avec votre circuit Express Route.
  • #3 La connectivité internationale
    La connectivité internationale est le troisième composant auquel vous devez souscrire pour atteindre ce peering partner. Pour POST Telecom, il s’agit d’une connectivité de type Teralink International. De nouveau, notre offre de connectivité dépendra de la bande passante, du SLA et de la latence dont vous avez besoin.
  • #4 Le routeur sur votre site
    C’est le routeur grâce auquel vous établissez le routage BGP vers le centre de calcul Microsoft. Comme les connexions Express Route sont considérées comme 100% pro, elles sont toujours fournies sous la forme de minimum 2 circuits et donc de 2 sessions BGP active-active vous garantissant un niveau de SLA élevé même dans des cas de défaillance mineure (routeur, circuit…). De votre côté, il vous faudra idéalement posséder deux routeurs en mode HA. Ils pourront également vous être fournis sous la forme d’un contrat de service.

 

Azure Express Route premium, l’option pour l’entreprise mondiale

Dans le cas de souscriptions Express Route Standard, votre souscription vous donne accès, idéalement en plus haute disponibilité, à un circuit dans une région (Europe par exemple).  Vous pouvez, à travers le circuit de cette souscription, atteindre tous les services et tous les datacentres de cette région (en l’occurrence Europe North, Europe West, UK West, UK South et bientôt France Central et France South).

Pour l’entreprise globale, Microsoft met également à la disposition de ses clients des souscriptions Express Route Premium permettant d’utiliser le backbone de Microsoft pour y faire passer du trafic entre les régions. Cette solution est particulièrement intéressante pour les medias par exemple puisqu’elle permet de pousser des données vers différents CDN répartis dans le monde.

 

Quels sont les facteurs de coûts ?

Si l’on pense que le VPN est la meilleure option car on dispose d’un petit budget, il faut considérer les coûts de trafic outbound. Ce trafic induit un facteur d’imprévisibilité dans la gestion des coûts, dû au caractère inconnu ou peu géré du volume de trafic consommé en Gb ou Tb. Les frais d’une connexion Express Route peuvent être, pour la souscription Microsoft, convenus de manière flat fee ou sous la forme d’un modèle metered. Il sera important de comparer ces 2 options pour lesquelles les différences financières sont un peu plus complexes à évaluer.

VPN, Express Route, basic, standard, premium, flat fee, metered… De nouvelles possibilités de connectivité s’ouvrent vers Microsoft Cloud (Azure Private, Azure Public et Office 365).
On peut dès aujourd’hui créer des WAN simples ou complexes, onéreux ou bon marchés, performants et redondants afin de construire la solution optimale pour chaque projet ; reste à plonger !

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *