abla.adem

Recent Notes

Hub & Spoke

2 min read

Le modèle Hub & Spoke est une topologie réseau dans laquelle un nœud central (le hub) centralise toutes les connexions entre plusieurs nœuds périphériques (les spokes). Toute communication entre deux spokes passe obligatoirement par le hub.

Analogie

Comme un aéroport hub (CDG, Frankfurt) : tous les vols régionaux passent par lui. Les connexions directes entre deux villes régionales n’existent pas ou sont rares — mais la centralisation permet de tout contrôler depuis un seul point.

Hub & Spoke vs Full Mesh

CritèreHub & SpokeFull Mesh
Nombre de liensN − 1 (un lien par spoke vers le hub)N × (N−1) / 2 (chaque nœud connecté à tous les autres)
ComplexitéFaible — centralisée dans le hubÉlevée — croît exponentiellement avec N
Latence+1 saut obligatoire (passage par le hub)Minimale (chemin direct entre spokes)
Point de défaillanceLe hub (à rendre HA)Aucun point central
ScalabilitéExcellente — ajouter un spoke = 1 seul nouveau lienDifficile au-delà de ~10 nœuds
Contrôle de sécuritéCentralisé (filtrage, inspection au hub)Distribué, plus difficile à auditer

Implémentations Cloud

CloudComposant HubComposants SpokesUsage
AWSTransit Gateway (TGW)VPCs, VPNs, Direct ConnectInterconnexion de VPCs et réseau on-premises
AzureHub VNet (+ Azure Firewall / VPN Gateway)VNets périphériquesArchitecture Hub-Spoke native Azure
GCPShared VPC (Host Project)Service ProjectsVPC centralisé partagé entre projets

Exemple AWS : Transit Gateway comme hub

[ VPC Production  10.0.0.0/16 ]  ─┐
[ VPC Dev         10.1.0.0/16 ]  ─┤── [ Transit Gateway ] ── [ On-premises 192.168.0.0/16 ]
[ VPC Shared Svcs 10.2.0.0/16 ]  ─┘         (Hub)                  (via VPN / Direct Connect)
  • Chaque VPC a une attachment vers le TGW.
  • Le TGW maintient sa propre Table de Routage pour acheminer le trafic entre les spokes.
  • L’IGW et le NAT sont centralisés dans le VPC hub ou Shared Services — les spokes n’en ont pas besoin individuellement.
  • Les règles de sécurité (pare-feu, inspection) sont appliquées une seule fois au niveau du hub.

Cas d’usage typiques

CasDescription
Réseau d’entreprise multi-sitesSiège = hub, agences = spokes — tous les flux passent par le siège
Multi-VPC AWSUn VPC central (réseau partagé, DNS, sortie Internet) connecté à N VPCs applicatifs
SD-WANHub cloud ou datacenter central, branches en spokes
Zero TrustInspection et filtrage centralisés au niveau du hub avant tout échange inter-spokes

En relation avec

  • Table de Routage — le hub (TGW) a sa propre table de routage pour acheminer vers chaque spoke
  • Internet Gateway (IGW) — l’IGW peut être centralisé dans le VPC hub pour éviter d’en créer un par VPC
  • NAT — un NAT Gateway centralisé dans le hub peut servir tous les spokes (sortie Internet partagée)

Graph View

Backlinks