VPC (Virtual Private Cloud)

Définition

Un VPC est une section isolée et logiquement segmentée du réseau d’un fournisseur cloud où les ressources (VMs, containers, bases de données) sont lancées. Il fournit une adressage IP privé, des subnets, des tables de routage, des gateways et des contrôles de sécurité — répliquant un data center traditionnel dans le cloud.

Chaque fournisseur cloud possède sa propre implémentation VPC avec une terminologie légèrement différente.

Composants VPC

|| Composant | Objectif | |———–|———| | CIDR Block | Plage IP pour le VPC (ex. 10.0.0.0/16) | | Subnet | Plage IP dans un VPC, liée à une Availability Zone | | Route Table | Définit où le trafic réseau est dirigé | | Internet Gateway | Connecte le VPC à l’internet public | | NAT Gateway | Permet l’accès internet sortant depuis les subnets privés | | Security Group | Pare-feu stateful au niveau de l’instance | | NACL | Pare-feu stateless au niveau du subnet | | VPC Peering | Connecte deux VPCs de manière privée | | VPC Endpoint | Se connecter aux services AWS sans internet |

Sous-réseaux publics vs privés

VPC (10.0.0.0/16)
├── Subnet Public (10.0.1.0/24) — a une route vers Internet Gateway
│   ├── Serveurs web (load balancer)
│   └── Bastion host
├── Subnet Privé A (10.0.2.0/24) — pas d'accès internet direct
│   ├── Serveurs d'application
│   └── NAT Gateway (pour le trafic sortant)
└── Subnet Privé B (10.0.3.0/24)
    ├── Serveurs de base de données
    └── Serveurs de cache

Comparaison VPC cloud

|| Fournisseur | Nom | Fonctionnalités clés | |———-|——|————-| | AWS | VPC | Plus mature, 200+ intégrations de services | | Azure | VNet | Connectivité hybride, ExpressRoute | | GCP | VPC | VPC par défaut global, networking à deux niveaux | | OpenStack | Neutron | Implémentation VPC open-source |

Bonnes pratiques VPC

• Utiliser des subnets privés pour les bases de données et services backend
• Pas d’accès internet direct vers les subnets privés
• Utiliser NAT Gateway pour un accès sortant uniquement depuis les subnets privés
• Security groups comme défense principale (stateful)
• NACLs comme défense secondaire (stateless)
• VPC peering pour la communication inter-VPC
• Flow logs pour la surveillance du trafic réseau

Termes associés

• Subnet — subdivisions dans un VPC
• VPN — le VPN site-to-site connecte le réseau on-prem au VPC
• Firewall — les security groups et NACLs agissent comme des firewalls
• Bastion Host — serveur de saut pour accéder aux ressources VPC privées
• SDN — le software-defined networking sous-tend le VPC

Références

• AWS VPC docs : https://docs.aws.amazon.com/vpc/
• Azure VNet docs : https://docs.microsoft.com/azure/virtual-network/
• GCP VPC docs : https://cloud.google.com/vpc