|
| 1 | +--- |
| 2 | +title: "Architectures de référence - Créer une Landing Zone avec OVHcloud Public Cloud" |
| 3 | +excerpt: "Guide pratique pour concevoir une Landing Zone sécurisée et évolutive sur OVHcloud Public Cloud, couvrant la mise en réseau, l'IAM, les sauvegardes, etc." |
| 4 | +updated: 2025-08-19 |
| 5 | +--- |
| 6 | + |
| 7 | +## Objectif |
| 8 | + |
| 9 | +Ce guide aide les utilisateurs du Public Cloud d'OVHcloud à concevoir et déployer une Landing Zone sécurisée et évolutive en présentant les composants clés et les meilleures pratiques. |
| 10 | + |
| 11 | +Il couvre la configuration réseau de base (vRack, sous-réseaux, passerelles, adresses IP flottantes), la gestion du trafic (load balancer) et les couches de sécurité (pare-feu, WAAP, Bastion). |
| 12 | + |
| 13 | +Il comprend également des conseils sur le choix de l'infrastructure, l'IAM, les sauvegardes, le logging, la connectivité privée et le contrôle des coûts, offrant ainsi une base claire pour des environnements cloud prêts pour la production. |
| 14 | + |
| 15 | +## Prérequis |
| 16 | + |
| 17 | +- Accès à [l'espace client OVHcloud](/links/manager). |
| 18 | +- [Configuration des variables d'environnement OpenStack](/pages/public_cloud/public_cloud_cross_functional/loading_openstack_environment_variables). |
| 19 | +- Connaissance de [Terraform](/pages/public_cloud/public_cloud_cross_functional/how_to_use_terraform), si vous avez l'intention de l'utiliser. |
| 20 | +- Compréhension de base des [concepts de réseau cloud](/links/public-cloud/network) (par exemple, sous-réseaux, gateways, adresses IP flottantes). |
| 21 | + |
| 22 | +## En pratique |
| 23 | + |
| 24 | +Pour vous aider à concevoir une infrastructure cloud sécurisée, évolutive et prête pour la production, le diagramme suivant illustre les étapes clés de la création d'une Landing Zone sur le Public Cloud d'OVHcloud : |
| 25 | + |
| 26 | +{.thumbnail} |
| 27 | + |
| 28 | +Chaque étape numérotée correspond à un composant ou à une action du processus de configuration. Vous trouverez ci-dessous des explications détaillées pour chacune d'entre elles : |
| 29 | + |
| 30 | +### 0. Configuration du vRack |
| 31 | + |
| 32 | +Un vRack (Virtual Rack) est le composant fondamental qui permet la mise en réseau privée entre les ressources. |
| 33 | + |
| 34 | +Lorsque vous créez un projet Public Cloud, OVHcloud vous provisionne automatiquement un vRack. Cette couche virtuelle isole vos communications internes et permet des interconnexions sécurisées entre les services (instances, bases de données, gateways, etc.) à travers les régions et même entre différents services OVHcloud (Bare Metal, Hosted Private Cloud). |
| 35 | + |
| 36 | +Vous utiliserez le vRack pour attacher tous les sous-réseaux privés et connecter de manière sécurisée les services publics et privés. |
| 37 | + |
| 38 | +### 1. Créer un sous-réseau privé |
| 39 | + |
| 40 | +À l'intérieur du vRack, définissez des sous-réseaux privés pour segmenter votre réseau. Par exemple, vous pouvez avoir des sous-réseaux distincts pour le frontend, le backend, les bases de données et les bastions. |
| 41 | + |
| 42 | +- Les sous-réseaux peuvent être créés dans différentes régions. |
| 43 | +- Choisissez des blocs CIDR appropriés pour éviter les chevauchements et faciliter les évolutions futures. |
| 44 | +- Les sous-réseaux peuvent être de couche 2 (plats) ou de couche 3 (routés avec gateway). |
| 45 | + |
| 46 | +La création de sous-réseaux s'effectue depuis l'espace client OVHcloud, via l'API OpenStack ou à l'aide de Terraform. |
| 47 | + |
| 48 | +### 2. Configurer une Gateway |
| 49 | + |
| 50 | +Pour activer la communication sortante ou inter-zones pour votre sous-réseau privé, configurez une gateway réseau pour le cloud public. Elle agit comme un dispositif NAT pour permettre le trafic depuis votre sous-réseau privé vers Internet ou d'autres ressources publiques. |
| 51 | + |
| 52 | +- Requis pour le téléchargement de paquets, les appels API externes, etc. |
| 53 | +- Vous pouvez acheminer le trafic via la gateway vers un pare-feu ou un WAAP si nécessaire. |
| 54 | +- Chaque gateway est régionale et ne connecte que les sous-réseaux de cette région. |
| 55 | + |
| 56 | +Suivez [ce guide](/pages/public_cloud/public_cloud_network_services/getting-started-02-create-private-network-gateway) pour configurer une gateway. |
| 57 | + |
| 58 | +### 3. Attribuer des adresses IP flottantes |
| 59 | + |
| 60 | +Une adresse IP flottante est une adresse IP publique que vous pouvez associer à une ressource (généralement une instance ou un load balancer) au sein d'un réseau privé. |
| 61 | + |
| 62 | +Exemples d'utilisation : |
| 63 | + |
| 64 | +- Exposition d'une seule machine virtuelle pour l'accès SSH (par exemple, pour un bastion) |
| 65 | +- Applications publiques hébergées dans un sous-réseau privé |
| 66 | +- Basculement et migration entre zones |
| 67 | + |
| 68 | +Utilisez les adresses IP flottantes pour exposer en toute sécurité certaines ressources privées (par exemple, des instances, des services) à l'Internet public. Suivez [ce guide](/pages/public_cloud/public_cloud_network_services/getting-started-03-attach-floating-ip-to-instance) pour associer une adresse IP flottante. |
| 69 | + |
| 70 | +### 4. Configurer un load balancer |
| 71 | + |
| 72 | +Un Load Balancer OVHcloud vous permet de répartir le trafic entre plusieurs instances backend situées dans différentes zones de disponibilité. |
| 73 | + |
| 74 | +- Choisissez le mode de répartition de charge : HTTP(S), TCP ou passthrough. |
| 75 | +- Prend en charge les health checks, la terminaison SSL et les sessions persistantes. |
| 76 | +- Intégré aux adresses IP flottantes pour une exposition publique ou une utilisation privée. |
| 77 | + |
| 78 | +Ceci est essentiel pour créer des applications hautement disponibles et répartir intelligemment la charge. |
| 79 | + |
| 80 | +Suivez [ce guide](/pages/public_cloud/public_cloud_network_services/getting-started-01-create-lb-service) pour configurer et utiliser un Load Balancer. |
| 81 | + |
| 82 | +### 5. Mettre en œuvre des règles de pare-feu |
| 83 | + |
| 84 | +Bien qu'OVHcloud ne fournisse pas de pare-feu intégré en tant que service, vous pouvez : |
| 85 | + |
| 86 | +- Utiliser des groupes de sécurité sur chaque instance (similaire à AWS) |
| 87 | +- Déployer un pare-feu virtuel tiers tel que Stormshield dans votre vRack |
| 88 | +- Les solutions de pare-feu doivent inspecter le trafic nord-sud (entrant/sortant) et est-ouest (interne) le cas échéant. |
| 89 | + |
| 90 | +Suivez [ce guide](/pages/public_cloud/public_cloud_network_services/tutorial-stormshield_network_security_vrack) pour configurer et utiliser un pare-feu Stormshield. |
| 91 | + |
| 92 | +### 6. Ajouter la protection WAAP |
| 93 | + |
| 94 | +Pour protéger vos applications web et API, déployez un service de protection des applications web et API (WAAP) tel qu'Ubika. |
| 95 | + |
| 96 | +- Protège contre les attaques DDoS, les injections SQL, les XSS et les 10 principales menaces OWASP |
| 97 | +- Offre une gestion des bots, un WAF, une gateway API et une limitation du débit |
| 98 | +- Peut être inséré de manière transparente entre votre load balancer et vos services backend |
| 99 | + |
| 100 | +Suivez [ce guide](/pages/public_cloud/public_cloud_network_services/tutorial-ubika_vrack) pour déployer une protection WAAP avec Ubika. |
| 101 | + |
| 102 | +### 7. Configure a Bastion Host |
| 103 | + |
| 104 | +A Bastion is a secure access point to manage instances located in private subnets. OVHcloud provides a hardened, audited open-source bastion tool for this purpose. |
| 105 | + |
| 106 | +Use it to: |
| 107 | + |
| 108 | +- Enforce secure, audited SSH access |
| 109 | +- Define fine-grained user permissions (LDAP, AD, IAM) |
| 110 | +- Monitor access logs and session replay |
| 111 | + |
| 112 | +See [documentation about Bastion](https://ovh.github.io/the-bastion/index.html) on our GitHub account. |
| 113 | + |
| 114 | +### 8. Activer la connectivité privée (OCC) |
| 115 | + |
| 116 | +Si vous avez besoin de connecter votre infrastructure sur site ou d'autres services OVHcloud de manière sécurisée à la Landing Zone, utilisez OVHcloud Connect (OCC). |
| 117 | + |
| 118 | +- Liaison dédiée de couche 2 ou de couche 3 entre votre site et les POP OVHcloud |
| 119 | +- Contourne l'Internet public, idéal pour les applications sensibles à la conformité et à la latence |
| 120 | +- Intégré au vRack |
| 121 | + |
| 122 | +Consultez [cette documentation](/pages/network/ovhcloud_connect/occ-direct-control-panel). |
| 123 | + |
| 124 | +### 9. Déployez votre infrastructure |
| 125 | + |
| 126 | +Une fois le réseau et la sécurité mis en place, déployez vos services principaux : |
| 127 | + |
| 128 | +- Compute : instances Public Cloud (GP/CPU/GPU) |
| 129 | +- Containeurs : service Kubernetes géré |
| 130 | +- Stockage : |
| 131 | + - Block storage (via volumes) |
| 132 | + - Object Storage (S3<sup>1</sup>-compatible) |
| 133 | + - Public Cloud File Storage (NFSv4) |
| 134 | +- Databases: MongoDB, PostgreSQL, MySQL, Kafka managés |
| 135 | + |
| 136 | +Ces services peuvent être gérés à l'aide du panneau de contrôle, de l'interface CLI OpenStack ou de Terraform. |
| 137 | + |
| 138 | +### 10. Configurer la gestion des identités et des accès (IAM) |
| 139 | + |
| 140 | +L'IAM est essentiel pour définir qui peut accéder à quoi et dans quelles conditions. Avec OVHcloud IAM, vous pouvez : |
| 141 | + |
| 142 | +- Créer et attribuer des rôles et des politiques par utilisateur/groupe |
| 143 | +- Intégrer SAML, OIDC ou utiliser l'IAM natif |
| 144 | +- Isoler l'accès par projet, service ou région |
| 145 | + |
| 146 | +Consultez la [documentation associée](/pages/public_cloud/public_cloud_cross_functional/securing_and_structuring_projects). |
| 147 | + |
| 148 | +### 11. Définir les politiques de sauvegarde |
| 149 | + |
| 150 | +Assurez la continuité de vos activités en protégeant vos données et workloads critiques : |
| 151 | + |
| 152 | +- Snapshots : idéaux pour les restaurations à court terme ou les sauvegardes avant mise à jour |
| 153 | +- Sauvegardes d'instances : images complètes pour la restauration ou le clonage |
| 154 | +- Veeam Enterprise : disponible pour les workflows avancés de sauvegarde/restauration |
| 155 | + |
| 156 | +Définissez une stratégie de sauvegarde alignée sur vos objectifs RPO (Recovery Point Objective) et RTO (Recovery Time Objective). |
| 157 | + |
| 158 | +### 12. Centralisez la journalisation avec Logs Data Platform |
| 159 | + |
| 160 | +Logs Data Platform (LDP) vous permet de : |
| 161 | + |
| 162 | +- Agréguer les logs provenant des applications, des systèmes et des périphériques réseau |
| 163 | +- Créer des tableaux de bord et des alertes (compatibles avec Kibana et Grafana) |
| 164 | +- Conserver les logs en fonction des exigences de conformité (RGPD, ISO 27001, etc.) |
| 165 | + |
| 166 | +Ceci est essentiel pour l'observabilité, les audits de sécurité et le dépannage. Suivez [cette documentation](/pages/manage_and_operate/observability/logs_data_platform/getting_started_quick_start). |
| 167 | + |
| 168 | +### 13. Mettre en œuvre le contrôle et le suivi des coûts |
| 169 | + |
| 170 | +Maîtrisez vos dépenses cloud grâce à : |
| 171 | + |
| 172 | +- Des alertes budgétaires et des tableaux de bord de consommation |
| 173 | +- Un accès API aux rapports d'utilisation des coûts |
| 174 | +- Un suivi quotidien/horaire des ressources |
| 175 | + |
| 176 | +Utilisez les tags, les rôles IAM et les alertes pour associer les coûts aux équipes, aux environnements ou aux services. Pour plus d'informations, consultez [cette documentation](/pages/public_cloud/public_cloud_cross_functional/analyze_billing). |
| 177 | + |
| 178 | +## Go Further |
| 179 | + |
| 180 | +Si vous avez besoin d'une formation ou d'une assistance technique pour mettre en œuvre nos solutions, contactez votre représentant commercial ou cliquez sur [ce lien](/links/professional-services) pour obtenir un devis et demander à nos experts des services professionnels de vous aider dans votre cas d'utilisation spécifique. |
| 181 | + |
| 182 | +Rejoignez notre [communauté d'utilisateurs](/links/community) et visitez notre [canal Discord](https://discord.gg/ovhcloud). |
| 183 | + |
| 184 | +<sup>1</sup>: S3 est une marque déposée d'Amazon Technologies, Inc. Le service OVHcloud n'est pas sponsorisé, approuvé ou affilié de quelque manière que ce soit à Amazon Technologies, Inc. |
0 commit comments