Implémenter la conception du réseau pour votre zone de destination Google Cloud

Last reviewed 2023-09-11 UTC

Les procédures et les conseils fournis dans ce document vous permettent d'implémenter la conception de réseau choisie après avoir consulté la page Choisir la conception du réseau pour votre zone de destination Google Cloud. Si vous ne l'avez pas déjà fait, consultez la page Conception des zones de destination dans Google Cloud avant de choisir une option.

Ces instructions sont destinées aux ingénieurs réseau, architectes et professionnels techniques qui sont impliqués dans la création de la conception du réseau pour la zone de destination de votre organisation.

Options de conception du réseau

En fonction de la conception de réseau choisie, effectuez l'une des opérations suivantes :

Option de création 1 : Réseau VPC partagé pour chaque environnement

Si vous avez choisi de créer le réseau VPC partagé pour chaque environnement sur la page "Choisir la conception du réseau pour votre zone de destination Google Cloud", suivez la procédure ci-dessous.

La procédure suivante permet de créer une seule instance d'une zone de destination. Si vous avez besoin de plusieurs zones de destination, par exemple une pour le développement et une pour la production, répétez les étapes pour chaque zone de destination.

Limiter l'accès externe à l'aide d'une règle d'administration

Nous vous recommandons de limiter l'accès direct à Internet uniquement aux ressources qui en ont besoin. Les ressources sans adresse externe peuvent toujours accéder à de nombreux services et API Google via l'accès privé à Google. L'accès privé à Google est activé au niveau du sous-réseau et permet aux ressources d'interagir avec les services Google principaux, tout en les isolant de l'Internet public.

Par souci d'usabilité, la fonctionnalité par défaut de Google Cloud permet aux utilisateurs de créer des ressources dans tous les projets, à condition qu'ils disposent des autorisations IAM appropriées. Pour renforcer la sécurité, nous vous recommandons de limiter les autorisations par défaut pour les types de ressources pouvant entraîner un accès inattendu à Internet. Vous pouvez ensuite autoriser des projets spécifiques uniquement pour permettre la création de ces ressources. Utilisez les instructions de la section Créer et gérer des règles d'administration pour définir les contraintes suivantes.

Restreindre le transfert de protocole en fonction du type d'adresse IP

Le transfert de protocole crée une ressource de règle de transfert avec une adresse IP externe et vous permet de diriger le trafic vers une VM.

La contrainte Restreindre le transfert de protocole en fonction du type d'adresse IP empêche la création de règles de transfert avec des adresses IP externes pour l'ensemble de l'organisation. Pour les projets autorisés à utiliser des règles de transfert externes, vous pouvez modifier la contrainte au niveau du dossier ou du projet.

Indiquez les valeurs suivantes pour configurer cette contrainte :

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Personnalisées
  • Type de règle : Refuser
  • Valeur personnalisée : IS:EXTERNAL

Définir les adresses IP externes autorisées pour les instances de VM

Par défaut, des instances de VM individuelles peuvent acquérir des adresses IP externes, ce qui permet une connectivité sortante et entrante avec Internet.

L'application de la contrainte Définir les adresses IP externes autorisées pour les instances de VM empêche l'utilisation d'adresses IP externes avec des instances de VM. Pour les charges de travail nécessitant des adresses IP externes sur des instances de VM individuelles, modifiez la contrainte au niveau d'un dossier ou d'un projet pour spécifier les instances de VM individuelles. Vous pouvez également ignorer la contrainte pour les projets concernés.

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Tout refuser

Désactiver l'utilisation d'IPv6 à l'extérieur du VPC

Lorsqu'elle est définie sur True, la contrainte Désactiver l'utilisation d'IPv6 à l'extérieur du VPC empêche la configuration de sous-réseaux VPC avec des adresses IPv6 externes pour les instances de VM.

  • Applicable à : Personnaliser
  • Application : Activé

Désactiver la création du réseau par défaut

Lorsqu'un projet est créé, un VPC par défaut est automatiquement créé. C'est utile pour les tests rapides qui ne nécessitent pas de configuration réseau spécifique ou l'intégration à un environnement réseau d'entreprise plus vaste.

Configurez la contrainte Ignorer la création du réseau par défaut pour désactiver la création d'un VPC par défaut pour les nouveaux projets. Si nécessaire, vous pouvez créer manuellement le réseau par défaut dans un projet.

  • Applicable à : Personnaliser
  • Application : Activé

Concevoir des règles de pare-feu

Les règles de pare-feu vous permettent d'autoriser ou de refuser le trafic depuis et vers vos VM, en fonction d'une configuration que vous définissez. Les stratégies de pare-feu hiérarchiques sont implémentées au niveau de l'organisation et des dossiers, tandis que les stratégies de pare-feu réseau sont mises en œuvre au niveau du réseau VPC dans la hiérarchie des ressources. Ensemble, elles constituent une fonctionnalité importante pour sécuriser vos charges de travail.

Quel que soit l'emplacement où les règles de pare-feu sont appliquées, tenez compte des recommandations suivantes lors de la conception et de l'évaluation de vos règles de pare-feu :

  • Appliquez les principes du moindre privilège (également appelés "microsegmentation"). Bloquez tout le trafic par défaut et n'autorisez que le trafic spécifique dont vous avez besoin. Cela suppose de limiter les règles aux seuls protocoles et ports dont vous avez besoin pour chaque charge de travail.
  • Activez la journalisation des règles de pare-feu pour plus de visibilité sur leur comportement et pour utiliser Firewall Insights.
  • Définissez une méthodologie de numérotation pour définir la priorité des règles de pare-feu. Par exemple, il est recommandé de réserver une plage de nombres peu élevés pour chaque règle requise lors de la gestion des incidents. Nous vous recommandons également de privilégier davantage les règles plus spécifiques aux règles plus générales, afin de vous assurer que les règles spécifiques ne sont pas bloquées par les règles générales. L'exemple suivant illustre une approche possible pour les priorités de règles de pare-feu :

Plage de priorités des règles de pare-feu

Objectif

0 à 999

Réservé pour la gestion des incidents

1 000 à 1 999

Trafic toujours bloqué

2 000 à 1 999 999 999

Règles propres à une charge de travail

2 000 000 000 à 2 100 000 000

Règles "catch-all"

2 100 000 001 à 2 147 483 643

Réservé

Configurer des stratégies de pare-feu hiérarchiques

Les stratégies de pare-feu hiérarchiques vous permettent de créer et d'appliquer une stratégie de pare-feu homogène au sein de votre organisation. Pour obtenir des exemples d'utilisation de stratégies de pare-feu hiérarchiques, consultez la page Exemples de stratégies de pare-feu hiérarchiques.

Définissez des stratégies de pare-feu hiérarchiques pour implémenter les contrôles d'accès réseau suivants :

  • Identity-Aware Proxy (IAP) pour le transfert TCP. IAP pour le transfert TCP est autorisé par le biais d'une règle de sécurité qui autorise le trafic entrant provenant de la plage d'adresses IP 35.235.240.0/20 pour les ports TCP 22 et 3389.
  • Vérifications d'état pour Cloud Load Balancing. Les plages bien connues utilisées pour les vérifications d'état sont autorisées.
    • Pour la plupart des instances Cloud Load Balancing (y compris les équilibreurs de charge TCP/UDP internes, HTTP(S) internes, proxy TCP externes, proxy SSL externes et HTTP(S)), une règle de sécurité est définie pour autoriser le trafic entrant à partir des plages d'adresses IP 35.191.0.0/16 et 130.211.0.0/22 pour les ports 80 et 443.
    • Pour l'équilibrage de charge réseau, une règle de sécurité est définie pour activer les vérifications d'état héritées en autorisant le trafic entrant provenant des plages d'adresses IP 35.191.0.0/16, 209.85.152.0/22 et 209.85.204.0/22 pour les ports 80 et 443.

Configurer votre environnement VPC partagé

Avant d'implémenter une conception de VPC partagé, déterminez comment partager les sous-réseaux avec les projets de service. Vous devez associer un projet de service à un projet hôte. Pour déterminer les sous-réseaux disponibles pour le projet de service, vous devez attribuer des autorisations IAM au projet hôte ou à des sous-réseaux individuels. Par exemple, vous pouvez choisir de dédier un sous-réseau différent à chaque projet de service ou de partager les mêmes sous-réseaux entre des projets de service.

  1. Créez un projet pour le VPC partagé. Plus tard dans ce processus, ce projet devient le projet hôte, et contient les réseaux et les ressources de mise en réseau à partager avec les projets de service.
  2. Activez l'API Compute Engine pour le projet hôte.
  3. Configurez un VPC partagé pour le projet.
  4. Créez le réseau VPC en mode personnalisé dans le projet hôte.
  5. Créez des sous-réseaux dans les régions où vous prévoyez de déployer des charges de travail. Pour chaque sous-réseau, activez l'accès privé à Google pour permettre aux instances de VM sans adresse IP externe d'accéder aux services Google.

Configurer Cloud NAT

Suivez cette procédure si les charges de travail dans des régions spécifiques nécessitent un accès Internet sortant, par exemple pour télécharger des packages logiciels ou des mises à jour.

  1. Créez une passerelle Cloud NAT dans les régions où les charges de travail nécessitent un accès Internet sortant. Vous pouvez personnaliser la configuration Cloud NAT pour n'autoriser que la connectivité sortante à partir de sous-réseaux spécifiques, si nécessaire.
  2. Activez au moins la journalisation Cloud NAT pour que la passerelle consigne ERRORS_ONLY. Pour inclure les journaux des traductions effectuées par Cloud NAT, configurez toutes les passerelles pour qu'elles enregistrent ALL.

Configurer la connectivité hybride

Vous pouvez utiliser une interconnexion dédiée, une interconnexion partenaire ou Cloud VPN pour fournir une connectivité hybride à votre zone de destination. La procédure suivante permet de créer les ressources de connectivité hybride initiales requises pour cette option de conception :

  1. Si vous utilisez une interconnexion dédiée, procédez comme suit. Si vous utilisez une interconnexion partenaire ou Cloud VPN, vous pouvez ignorer ces étapes.
    1. Créez un projet distinct pour les ports d'interconnexion physiques.
    2. Activez l'API Compute Engine pour le projet de service.
    3. Créez des connexions par interconnexion dédiée.
  2. Pour chaque région dans laquelle vous arrêtez la connectivité hybride dans le réseau VPC, procédez comme suit :
    1. Créez deux rattachements de VLAN dédiés ou partenaires, à raison d'un pour chaque zone de disponibilité de périphérie. Dans le cadre de ce processus, vous sélectionnez des routeurs cloud et créez des sessions BGP.
    2. Configurez les routeurs du réseau de pairs (sur site ou dans d'autres cloud).

Configurer des projets de charge de travail

Créez un projet de service distinct pour chaque charge de travail :

  1. Créez un projet servant de projet de service pour le VPC partagé.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Associez le projet au projet hôte.
  4. Configurez l'accès à tous les sous-réseaux du projet hôte ou à certains sous-réseaux du projet hôte.

Configurer l'observabilité

Network Intelligence Center permet de surveiller, de dépanner et de visualiser votre environnement de mise en réseau cloud de manière cohérente. Utilisez cette plate-forme pour vous assurer que votre conception fonctionne comme vous le souhaitez.

Les configurations suivantes permettent d'analyser la journalisation et les métriques activées.

  • Vous devez activer l'API Network Management pour pouvoir exécuter des tests de connectivité. L'activation de l'API est nécessaire pour utiliser directement l'API, Google Cloud CLI ou la console Google Cloud.
  • Vous devez activer l'API Firewall Insights pour pouvoir effectuer des tâches à l'aide de Firewall Insights.

Étapes suivantes

La configuration initiale de cette option de conception de réseau est maintenant terminée. Vous pouvez désormais répéter ces étapes pour configurer une instance supplémentaire de l'environnement de la zone de destination, tel qu'un environnement de préproduction ou de production, ou passer à la page Décider de la sécurité de votre zone de destination Google Cloud.

Option de création 2 : Topologie en étoile avec des dispositifs centralisés

Si vous avez choisi de créer la topologie en étoile avec des dispositifs centralisés sur la page "Choisir la conception du réseau pour votre zone de destination Google Cloud", suivez la procédure ci-dessous.

La procédure suivante permet de créer une seule instance d'une zone de destination. Si vous avez besoin de plusieurs zones de destination, par exemple une pour le développement et une pour la production, répétez les étapes pour chaque zone de destination.

Limiter l'accès externe à l'aide d'une règle d'administration

Nous vous recommandons de limiter l'accès direct à Internet uniquement aux ressources qui en ont besoin. Les ressources sans adresse externe peuvent toujours accéder à de nombreux services et API Google via l'accès privé à Google. L'accès privé à Google est activé au niveau du sous-réseau et permet aux ressources d'interagir avec les services Google principaux, tout en les isolant de l'Internet public.

Par souci d'usabilité, la fonctionnalité par défaut de Google Cloud permet aux utilisateurs de créer des ressources dans tous les projets, à condition qu'ils disposent des autorisations IAM appropriées. Pour renforcer la sécurité, nous vous recommandons de limiter les autorisations par défaut pour les types de ressources pouvant entraîner un accès inattendu à Internet. Vous pouvez ensuite autoriser des projets spécifiques uniquement pour permettre la création de ces ressources. Utilisez les instructions de la section Créer et gérer des règles d'administration pour définir les contraintes suivantes.

Restreindre le transfert de protocole en fonction du type d'adresse IP

Le transfert de protocole crée une ressource de règle de transfert avec une adresse IP externe et vous permet de diriger le trafic vers une VM.

La contrainte Restreindre le transfert de protocole en fonction du type d'adresse IP empêche la création de règles de transfert avec des adresses IP externes pour l'ensemble de l'organisation. Pour les projets autorisés à utiliser des règles de transfert externes, vous pouvez modifier la contrainte au niveau du dossier ou du projet.

Indiquez les valeurs suivantes pour configurer cette contrainte :

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Personnalisées
  • Type de règle : Refuser
  • Valeur personnalisée : IS:EXTERNAL

Définir les adresses IP externes autorisées pour les instances de VM

Par défaut, des instances de VM individuelles peuvent acquérir des adresses IP externes, ce qui permet une connectivité sortante et entrante avec Internet.

L'application de la contrainte Définir les adresses IP externes autorisées pour les instances de VM empêche l'utilisation d'adresses IP externes avec des instances de VM. Pour les charges de travail nécessitant des adresses IP externes sur des instances de VM individuelles, modifiez la contrainte au niveau d'un dossier ou d'un projet pour spécifier les instances de VM individuelles. Vous pouvez également ignorer la contrainte pour les projets concernés.

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Tout refuser

Désactiver l'utilisation d'IPv6 à l'extérieur du VPC

Lorsqu'elle est définie sur True, la contrainte Désactiver l'utilisation d'IPv6 à l'extérieur du VPC empêche la configuration de sous-réseaux VPC avec des adresses IPv6 externes pour les instances de VM.

  • Applicable à : Personnaliser
  • Application : Activé

Désactiver la création du réseau par défaut

Lorsqu'un projet est créé, un VPC par défaut est automatiquement créé. C'est utile pour les tests rapides qui ne nécessitent pas de configuration réseau spécifique ou l'intégration à un environnement réseau d'entreprise plus vaste.

Configurez la contrainte Ignorer la création du réseau par défaut pour désactiver la création d'un VPC par défaut pour les nouveaux projets. Si nécessaire, vous pouvez créer manuellement le réseau par défaut dans un projet.

  • Applicable à : Personnaliser
  • Application : Activé

Concevoir des règles de pare-feu

Les règles de pare-feu vous permettent d'autoriser ou de refuser le trafic depuis et vers vos VM, en fonction d'une configuration que vous définissez. Les stratégies de pare-feu hiérarchiques sont implémentées au niveau de l'organisation et des dossiers, tandis que les stratégies de pare-feu réseau sont mises en œuvre au niveau du réseau VPC dans la hiérarchie des ressources. Ensemble, elles constituent une fonctionnalité importante pour sécuriser vos charges de travail.

Quel que soit l'emplacement où les règles de pare-feu sont appliquées, tenez compte des recommandations suivantes lors de la conception et de l'évaluation de vos règles de pare-feu :

  • Appliquez les principes du moindre privilège (également appelés "microsegmentation"). Bloquez tout le trafic par défaut et n'autorisez que le trafic spécifique dont vous avez besoin. Cela suppose de limiter les règles aux seuls protocoles et ports dont vous avez besoin pour chaque charge de travail.
  • Activez la journalisation des règles de pare-feu pour plus de visibilité sur leur comportement et pour utiliser Firewall Insights.
  • Définissez une méthodologie de numérotation pour définir la priorité des règles de pare-feu. Par exemple, il est recommandé de réserver une plage de nombres peu élevés pour chaque règle requise lors de la gestion des incidents. Nous vous recommandons également de privilégier davantage les règles plus spécifiques aux règles plus générales, afin de vous assurer que les règles spécifiques ne sont pas bloquées par les règles générales. L'exemple suivant illustre une approche possible pour les priorités de règles de pare-feu :

Plage de priorités des règles de pare-feu

Objectif

0 à 999

Réservé pour la gestion des incidents

1 000 à 1 999

Trafic toujours bloqué

2 000 à 1 999 999 999

Règles propres à une charge de travail

2 000 000 000 à 2 100 000 000

Règles "catch-all"

2 100 000 001 à 2 147 483 643

Réservé

Configurer des stratégies de pare-feu hiérarchiques

Les stratégies de pare-feu hiérarchiques vous permettent de créer et d'appliquer une stratégie de pare-feu homogène au sein de votre organisation. Pour obtenir des exemples d'utilisation de stratégies de pare-feu hiérarchiques, consultez la page Exemples de stratégies de pare-feu hiérarchiques.

Définissez des stratégies de pare-feu hiérarchiques pour implémenter les contrôles d'accès réseau suivants :

  • Identity-Aware Proxy (IAP) pour le transfert TCP. IAP pour le transfert TCP est autorisé par le biais d'une règle de sécurité qui autorise le trafic entrant provenant de la plage d'adresses IP 35.235.240.0/20 pour les ports TCP 22 et 3389.
  • Vérifications d'état pour Cloud Load Balancing. Les plages bien connues utilisées pour les vérifications d'état sont autorisées.
    • Pour la plupart des instances Cloud Load Balancing (y compris les équilibreurs de charge TCP/UDP internes, HTTP(S) internes, proxy TCP externes, proxy SSL externes et HTTP(S)), une règle de sécurité est définie pour autoriser le trafic entrant à partir des plages d'adresses IP 35.191.0.0/16 et 130.211.0.0/22 pour les ports 80 et 443.
    • Pour l'équilibrage de charge réseau, une règle de sécurité est définie pour activer les vérifications d'état héritées en autorisant le trafic entrant provenant des plages d'adresses IP 35.191.0.0/16, 209.85.152.0/22 et 209.85.204.0/22 pour les ports 80 et 443.

Configurer votre environnement VPC

Les réseaux VPC de transit et hub fournissent les ressources de mise en réseau nécessaires pour établir la connectivité entre les réseaux VPC spoke de charge de travail et les réseaux sur site ou multicloud.

  1. Créez un projet pour les réseaux VPC de transit et hub. Les deux réseaux VPC font partie du même projet pour assurer la connectivité via les dispositifs réseau virtuels.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Créez le réseau VPC de transit en mode personnalisé.
  4. Dans le réseau VPC de transit, créez un sous-réseau dans les régions où vous prévoyez de déployer les dispositifs réseau virtuels.
  5. Créez le réseau VPC hub en mode personnalisé.
  6. Dans le réseau VPC hub, créez un sous-réseau dans les régions où vous prévoyez de déployer les dispositifs réseau virtuels.
  7. Configurez des stratégies de pare-feu réseau au niveau mondial ou régional pour autoriser le trafic d'entrée et de sortie pour les dispositifs réseau virtuels.
  8. Créez un groupe d'instances géré pour les dispositifs réseau virtuels.
  9. Configurez les ressources d'équilibrage de charge TCP/UDP interne pour le VPC de transit. Cet équilibreur de charge permet d'acheminer le trafic du VPC de transit vers le VPC hub via les dispositifs réseau virtuels.
  10. Configurez les ressources d'équilibrage de charge TCP/UDP interne pour le VPC hub. Cet équilibreur de charge permet d'acheminer le trafic du VPC hub vers le VPC de transit via les dispositifs réseau virtuels.
  11. Configurez Private Service Connect pour les API Google pour le VPC hub.
  12. Modifiez les routes VPC pour envoyer l'ensemble du trafic via les dispositifs réseau virtuels :
    1. Supprimez la route 0.0.0.0/0 avec le saut suivant default-internet-gateway du VPC hub.
    2. Configurez une nouvelle route avec la destination 0.0.0.0/0 et un saut suivant de la règle de transfert pour l'équilibreur de charge dans le VPC hub.

Configurer Cloud NAT

Suivez cette procédure si les charges de travail dans des régions spécifiques nécessitent un accès Internet sortant, par exemple pour télécharger des packages logiciels ou des mises à jour.

  1. Créez une passerelle Cloud NAT dans les régions où les charges de travail nécessitent un accès Internet sortant. Vous pouvez personnaliser la configuration Cloud NAT pour n'autoriser que la connectivité sortante à partir de sous-réseaux spécifiques, si nécessaire.
  2. Activez au moins la journalisation Cloud NAT pour que la passerelle consigne ERRORS_ONLY. Pour inclure les journaux des traductions effectuées par Cloud NAT, configurez toutes les passerelles pour qu'elles enregistrent ALL.

Configurer la connectivité hybride

Vous pouvez utiliser une interconnexion dédiée, une interconnexion partenaire ou Cloud VPN pour fournir une connectivité hybride à votre zone de destination. La procédure suivante permet de créer les ressources de connectivité hybride initiales requises pour cette option de conception :

  1. Si vous utilisez une interconnexion dédiée, procédez comme suit. Si vous utilisez une interconnexion partenaire ou Cloud VPN, vous pouvez ignorer ces étapes.
    1. Créez un projet distinct pour les ports d'interconnexion physiques.
    2. Activez l'API Compute Engine pour le projet de service.
    3. Créez des connexions par interconnexion dédiée.
  2. Pour chaque région dans laquelle vous arrêtez la connectivité hybride dans le réseau VPC, procédez comme suit :
    1. Créez deux rattachements de VLAN dédiés ou partenaires, à raison d'un pour chaque zone de disponibilité de périphérie. Dans le cadre de ce processus, vous sélectionnez des routeurs cloud et créez des sessions BGP.
    2. Configurez les routeurs du réseau de pairs (sur site ou dans d'autres cloud).
    3. Configurez les routes annoncées personnalisées dans les routeurs cloud pour les plages de sous-réseaux des VPC du hub et de charge de travail.

Configurer des projets de charge de travail

Créez un VPC spoke distinct pour chaque charge de travail :

  1. Créez un projet pour héberger votre charge de travail.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Configurez l'appairage de réseaux VPC entre le VPC spoke de charge de travail et le VPC hub avec les paramètres suivants :
    • Activez l'exportation des routes personnalisées sur le VPC hub.
    • Activez l'importation des routes personnalisées sur le VPC spoke de charge de travail.
  4. Créez des sous-réseaux dans les régions où vous prévoyez de déployer des charges de travail. Pour chaque sous-réseau, activez l'accès privé à Google pour permettre aux instances de VM ne disposant que d'adresses IP internes d'accéder aux services Google.
  5. Configurez Private Service Connect pour les API Google.
  6. Pour acheminer tout le trafic via les dispositifs réseau virtuels dans le VPC hub, supprimez la route 0.0.0.0/0 avec le saut suivant default-internet-gateway du VPC spoke de charge de travail.
  7. Configurez des stratégies de pare-feu réseau au niveau mondial ou régional pour autoriser le trafic d'entrée et de sortie pour votre charge de travail.

Configurer l'observabilité

Network Intelligence Center permet de surveiller, de dépanner et de visualiser votre environnement de mise en réseau cloud de manière cohérente. Utilisez cette plate-forme pour vous assurer que votre conception fonctionne comme vous le souhaitez.

Les configurations suivantes permettent d'analyser la journalisation et les métriques activées.

  • Vous devez activer l'API Network Management pour pouvoir exécuter des tests de connectivité. L'activation de l'API est nécessaire pour utiliser directement l'API, Google Cloud CLI ou la console Google Cloud.
  • Vous devez activer l'API Firewall Insights pour pouvoir effectuer des tâches à l'aide de Firewall Insights.

Étapes suivantes

La configuration initiale de cette option de conception de réseau est maintenant terminée. Vous pouvez désormais répéter ces étapes pour configurer une instance supplémentaire de l'environnement de la zone de destination, tel qu'un environnement de préproduction ou de production, ou passer à la page Décider de la sécurité de votre zone de destination Google Cloud.

Option de création 3 : Topologie en étoile sans dispositifs

Si vous avez choisi de créer la topologie en étoile sans dispositifs sur la page "Choisir la conception du réseau pour votre zone de destination Google Cloud", suivez la procédure ci-dessous.

La procédure suivante permet de créer une seule instance d'une zone de destination. Si vous avez besoin de plusieurs zones de destination, par exemple une pour le développement et une pour la production, répétez les étapes pour chaque zone de destination.

Limiter l'accès externe à l'aide d'une règle d'administration

Nous vous recommandons de limiter l'accès direct à Internet uniquement aux ressources qui en ont besoin. Les ressources sans adresse externe peuvent toujours accéder à de nombreux services et API Google via l'accès privé à Google. L'accès privé à Google est activé au niveau du sous-réseau et permet aux ressources d'interagir avec les services Google principaux, tout en les isolant de l'Internet public.

Par souci d'usabilité, la fonctionnalité par défaut de Google Cloud permet aux utilisateurs de créer des ressources dans tous les projets, à condition qu'ils disposent des autorisations IAM appropriées. Pour renforcer la sécurité, nous vous recommandons de limiter les autorisations par défaut pour les types de ressources pouvant entraîner un accès inattendu à Internet. Vous pouvez ensuite autoriser des projets spécifiques uniquement pour permettre la création de ces ressources. Utilisez les instructions de la section Créer et gérer des règles d'administration pour définir les contraintes suivantes.

Restreindre le transfert de protocole en fonction du type d'adresse IP

Le transfert de protocole crée une ressource de règle de transfert avec une adresse IP externe et vous permet de diriger le trafic vers une VM.

La contrainte Restreindre le transfert de protocole en fonction du type d'adresse IP empêche la création de règles de transfert avec des adresses IP externes pour l'ensemble de l'organisation. Pour les projets autorisés à utiliser des règles de transfert externes, vous pouvez modifier la contrainte au niveau du dossier ou du projet.

Indiquez les valeurs suivantes pour configurer cette contrainte :

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Personnalisées
  • Type de règle : Refuser
  • Valeur personnalisée : IS:EXTERNAL

Définir les adresses IP externes autorisées pour les instances de VM

Par défaut, des instances de VM individuelles peuvent acquérir des adresses IP externes, ce qui permet une connectivité sortante et entrante avec Internet.

L'application de la contrainte Définir les adresses IP externes autorisées pour les instances de VM empêche l'utilisation d'adresses IP externes avec des instances de VM. Pour les charges de travail nécessitant des adresses IP externes sur des instances de VM individuelles, modifiez la contrainte au niveau d'un dossier ou d'un projet pour spécifier les instances de VM individuelles. Vous pouvez également ignorer la contrainte pour les projets concernés.

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Tout refuser

Désactiver l'utilisation d'IPv6 à l'extérieur du VPC

Lorsqu'elle est définie sur True, la contrainte Désactiver l'utilisation d'IPv6 à l'extérieur du VPC empêche la configuration de sous-réseaux VPC avec des adresses IPv6 externes pour les instances de VM.

  • Applicable à : Personnaliser
  • Application : Activé

Désactiver la création du réseau par défaut

Lorsqu'un projet est créé, un VPC par défaut est automatiquement créé. C'est utile pour les tests rapides qui ne nécessitent pas de configuration réseau spécifique ou l'intégration à un environnement réseau d'entreprise plus vaste.

Configurez la contrainte Ignorer la création du réseau par défaut pour désactiver la création d'un VPC par défaut pour les nouveaux projets. Si nécessaire, vous pouvez créer manuellement le réseau par défaut dans un projet.

  • Applicable à : Personnaliser
  • Application : Activé

Concevoir des règles de pare-feu

Les règles de pare-feu vous permettent d'autoriser ou de refuser le trafic depuis et vers vos VM, en fonction d'une configuration que vous définissez. Les stratégies de pare-feu hiérarchiques sont implémentées au niveau de l'organisation et des dossiers, tandis que les stratégies de pare-feu réseau sont mises en œuvre au niveau du réseau VPC dans la hiérarchie des ressources. Ensemble, elles constituent une fonctionnalité importante pour sécuriser vos charges de travail.

Quel que soit l'emplacement où les règles de pare-feu sont appliquées, tenez compte des recommandations suivantes lors de la conception et de l'évaluation de vos règles de pare-feu :

  • Appliquez les principes du moindre privilège (également appelés "microsegmentation"). Bloquez tout le trafic par défaut et n'autorisez que le trafic spécifique dont vous avez besoin. Cela suppose de limiter les règles aux seuls protocoles et ports dont vous avez besoin pour chaque charge de travail.
  • Activez la journalisation des règles de pare-feu pour plus de visibilité sur leur comportement et pour utiliser Firewall Insights.
  • Définissez une méthodologie de numérotation pour définir la priorité des règles de pare-feu. Par exemple, il est recommandé de réserver une plage de nombres peu élevés pour chaque règle requise lors de la gestion des incidents. Nous vous recommandons également de privilégier davantage les règles plus spécifiques aux règles plus générales, afin de vous assurer que les règles spécifiques ne sont pas bloquées par les règles générales. L'exemple suivant illustre une approche possible pour les priorités de règles de pare-feu :

Plage de priorités des règles de pare-feu

Objectif

0 à 999

Réservé pour la gestion des incidents

1 000 à 1 999

Trafic toujours bloqué

2 000 à 1 999 999 999

Règles propres à une charge de travail

2 000 000 000 à 2 100 000 000

Règles "catch-all"

2 100 000 001 à 2 147 483 643

Réservé

Configurer des stratégies de pare-feu hiérarchiques

Les stratégies de pare-feu hiérarchiques vous permettent de créer et d'appliquer une stratégie de pare-feu homogène au sein de votre organisation. Pour obtenir des exemples d'utilisation de stratégies de pare-feu hiérarchiques, consultez la page Exemples de stratégies de pare-feu hiérarchiques.

Définissez des stratégies de pare-feu hiérarchiques pour implémenter les contrôles d'accès réseau suivants :

  • Identity-Aware Proxy (IAP) pour le transfert TCP. IAP pour le transfert TCP est autorisé par le biais d'une règle de sécurité qui autorise le trafic entrant provenant de la plage d'adresses IP 35.235.240.0/20 pour les ports TCP 22 et 3389.
  • Vérifications d'état pour Cloud Load Balancing. Les plages bien connues utilisées pour les vérifications d'état sont autorisées.
    • Pour la plupart des instances Cloud Load Balancing (y compris les équilibreurs de charge TCP/UDP internes, HTTP(S) internes, proxy TCP externes, proxy SSL externes et HTTP(S)), une règle de sécurité est définie pour autoriser le trafic entrant à partir des plages d'adresses IP 35.191.0.0/16 et 130.211.0.0/22 pour les ports 80 et 443.
    • Pour l'équilibrage de charge réseau, une règle de sécurité est définie pour activer les vérifications d'état héritées en autorisant le trafic entrant provenant des plages d'adresses IP 35.191.0.0/16, 209.85.152.0/22 et 209.85.204.0/22 pour les ports 80 et 443.

Configurer l'environnement VPC hub

Le VPC hub fournit les ressources de mise en réseau nécessaires pour établir la connectivité entre les réseaux VPC spoke de charge de travail et les réseaux sur site ou multicloud.

  1. Créez un projet pour le réseau VPC hub.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Créez le réseau VPC hub en mode personnalisé.
  4. Configurez Private Service Connect pour les API Google pour le VPC hub.

Configurer la connectivité hybride

Vous pouvez utiliser une interconnexion dédiée, une interconnexion partenaire ou Cloud VPN pour fournir une connectivité hybride à votre zone de destination. La procédure suivante permet de créer les ressources de connectivité hybride initiales requises pour cette option de conception :

  1. Si vous utilisez une interconnexion dédiée, procédez comme suit. Si vous utilisez une interconnexion partenaire ou Cloud VPN, vous pouvez ignorer ces étapes.
    1. Créez un projet distinct pour les ports d'interconnexion physiques.
    2. Activez l'API Compute Engine pour le projet de service.
    3. Créez des connexions par interconnexion dédiée.
  2. Pour chaque région dans laquelle vous arrêtez la connectivité hybride dans le réseau VPC, procédez comme suit :
    1. Créez deux rattachements de VLAN dédiés ou partenaires, à raison d'un pour chaque zone de disponibilité de périphérie. Dans le cadre de ce processus, vous sélectionnez des routeurs cloud et créez des sessions BGP.
    2. Configurez les routeurs du réseau de pairs (sur site ou dans d'autres cloud).
    3. Configurez les routes annoncées personnalisées dans les routeurs cloud pour les plages de sous-réseaux des VPC du hub et de charge de travail.

Configurer des projets de charge de travail

Créez un VPC spoke distinct pour chaque charge de travail :

  1. Créez un projet pour héberger votre charge de travail.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Configurez l'appairage de réseaux VPC entre le VPC spoke de charge de travail et le VPC hub avec les paramètres suivants :
    • Activez l'exportation des routes personnalisées sur le VPC hub.
    • Activez l'importation des routes personnalisées sur le VPC spoke de charge de travail.
  4. Créez des sous-réseaux dans les régions où vous prévoyez de déployer des charges de travail. Pour chaque sous-réseau, activez l'accès privé à Google pour permettre aux instances de VM ne disposant que d'adresses IP internes d'accéder aux services Google.
  5. Configurez Private Service Connect pour les API Google.

Configurer Cloud NAT

Suivez cette procédure si les charges de travail dans des régions spécifiques nécessitent un accès Internet sortant, par exemple pour télécharger des packages logiciels ou des mises à jour.

  1. Créez une passerelle Cloud NAT dans les régions où les charges de travail nécessitent un accès Internet sortant. Vous pouvez personnaliser la configuration Cloud NAT pour n'autoriser que la connectivité sortante à partir de sous-réseaux spécifiques, si nécessaire.
  2. Activez au moins la journalisation Cloud NAT pour que la passerelle consigne ERRORS_ONLY. Pour inclure les journaux des traductions effectuées par Cloud NAT, configurez toutes les passerelles pour qu'elles enregistrent ALL.

Configurer l'observabilité

Network Intelligence Center permet de surveiller, de dépanner et de visualiser votre environnement de mise en réseau cloud de manière cohérente. Utilisez cette plate-forme pour vous assurer que votre conception fonctionne comme vous le souhaitez.

Les configurations suivantes permettent d'analyser la journalisation et les métriques activées.

  • Vous devez activer l'API Network Management pour pouvoir exécuter des tests de connectivité. L'activation de l'API est nécessaire pour utiliser directement l'API, Google Cloud CLI ou la console Google Cloud.
  • Vous devez activer l'API Firewall Insights pour pouvoir effectuer des tâches à l'aide de Firewall Insights.

Étapes suivantes

La configuration initiale de cette option de conception de réseau est maintenant terminée. Vous pouvez désormais répéter ces étapes pour configurer une instance supplémentaire de l'environnement de la zone de destination, tel qu'un environnement de préproduction ou de production, ou passer à la page Décider de la sécurité de votre zone de destination Google Cloud.

Option de création 4 : Exposer les services dans un modèle de producteur grand public avec Private Service Connect

Si vous avez choisi d'exposer des services dans un modèle de producteur grand public avec Private Service Connect pour votre zone de destination, comme décrit sur la page "Choisir la conception du réseau pour votre zone de destination Google Cloud", suivez la procédure ci-dessous.

La procédure suivante permet de créer une seule instance d'une zone de destination. Si vous avez besoin de plusieurs zones de destination, par exemple une pour le développement et une pour la production, répétez les étapes pour chaque zone de destination.

Limiter l'accès externe à l'aide d'une règle d'administration

Nous vous recommandons de limiter l'accès direct à Internet uniquement aux ressources qui en ont besoin. Les ressources sans adresse externe peuvent toujours accéder à de nombreux services et API Google via l'accès privé à Google. L'accès privé à Google est activé au niveau du sous-réseau et permet aux ressources d'interagir avec les services Google principaux, tout en les isolant de l'Internet public.

Par souci d'usabilité, la fonctionnalité par défaut de Google Cloud permet aux utilisateurs de créer des ressources dans tous les projets, à condition qu'ils disposent des autorisations IAM appropriées. Pour renforcer la sécurité, nous vous recommandons de limiter les autorisations par défaut pour les types de ressources pouvant entraîner un accès inattendu à Internet. Vous pouvez ensuite autoriser des projets spécifiques uniquement pour permettre la création de ces ressources. Utilisez les instructions de la section Créer et gérer des règles d'administration pour définir les contraintes suivantes.

Restreindre le transfert de protocole en fonction du type d'adresse IP

Le transfert de protocole crée une ressource de règle de transfert avec une adresse IP externe et vous permet de diriger le trafic vers une VM.

La contrainte Restreindre le transfert de protocole en fonction du type d'adresse IP empêche la création de règles de transfert avec des adresses IP externes pour l'ensemble de l'organisation. Pour les projets autorisés à utiliser des règles de transfert externes, vous pouvez modifier la contrainte au niveau du dossier ou du projet.

Indiquez les valeurs suivantes pour configurer cette contrainte :

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Personnalisées
  • Type de règle : Refuser
  • Valeur personnalisée : IS:EXTERNAL

Définir les adresses IP externes autorisées pour les instances de VM

Par défaut, des instances de VM individuelles peuvent acquérir des adresses IP externes, ce qui permet une connectivité sortante et entrante avec Internet.

L'application de la contrainte Définir les adresses IP externes autorisées pour les instances de VM empêche l'utilisation d'adresses IP externes avec des instances de VM. Pour les charges de travail nécessitant des adresses IP externes sur des instances de VM individuelles, modifiez la contrainte au niveau d'un dossier ou d'un projet pour spécifier les instances de VM individuelles. Vous pouvez également ignorer la contrainte pour les projets concernés.

  • Applicable à : Personnaliser
  • Application des règles : Remplacer
  • Valeurs des règles : Tout refuser

Désactiver l'utilisation d'IPv6 à l'extérieur du VPC

Lorsqu'elle est définie sur True, la contrainte Désactiver l'utilisation d'IPv6 à l'extérieur du VPC empêche la configuration de sous-réseaux VPC avec des adresses IPv6 externes pour les instances de VM.

  • Applicable à : Personnaliser
  • Application : Activé

Désactiver la création du réseau par défaut

Lorsqu'un projet est créé, un VPC par défaut est automatiquement créé. C'est utile pour les tests rapides qui ne nécessitent pas de configuration réseau spécifique ou l'intégration à un environnement réseau d'entreprise plus vaste.

Configurez la contrainte Ignorer la création du réseau par défaut pour désactiver la création d'un VPC par défaut pour les nouveaux projets. Si nécessaire, vous pouvez créer manuellement le réseau par défaut dans un projet.

  • Applicable à : Personnaliser
  • Application : Activé

Concevoir des règles de pare-feu

Les règles de pare-feu vous permettent d'autoriser ou de refuser le trafic depuis et vers vos VM, en fonction d'une configuration que vous définissez. Les stratégies de pare-feu hiérarchiques sont implémentées au niveau de l'organisation et des dossiers, tandis que les stratégies de pare-feu réseau sont mises en œuvre au niveau du réseau VPC dans la hiérarchie des ressources. Ensemble, elles constituent une fonctionnalité importante pour sécuriser vos charges de travail.

Quel que soit l'emplacement où les règles de pare-feu sont appliquées, tenez compte des recommandations suivantes lors de la conception et de l'évaluation de vos règles de pare-feu :

  • Appliquez les principes du moindre privilège (également appelés "microsegmentation"). Bloquez tout le trafic par défaut et n'autorisez que le trafic spécifique dont vous avez besoin. Cela suppose de limiter les règles aux seuls protocoles et ports dont vous avez besoin pour chaque charge de travail.
  • Activez la journalisation des règles de pare-feu pour plus de visibilité sur leur comportement et pour utiliser Firewall Insights.
  • Définissez une méthodologie de numérotation pour définir la priorité des règles de pare-feu. Par exemple, il est recommandé de réserver une plage de nombres peu élevés pour chaque règle requise lors de la gestion des incidents. Nous vous recommandons également de privilégier davantage les règles plus spécifiques aux règles plus générales, afin de vous assurer que les règles spécifiques ne sont pas bloquées par les règles générales. L'exemple suivant illustre une approche possible pour les priorités de règles de pare-feu :

Plage de priorités des règles de pare-feu

Objectif

0 à 999

Réservé pour la gestion des incidents

1 000 à 1 999

Trafic toujours bloqué

2 000 à 1 999 999 999

Règles propres à une charge de travail

2 000 000 000 à 2 100 000 000

Règles "catch-all"

2 100 000 001 à 2 147 483 643

Réservé

Configurer des stratégies de pare-feu hiérarchiques

Les stratégies de pare-feu hiérarchiques vous permettent de créer et d'appliquer une stratégie de pare-feu homogène au sein de votre organisation. Pour obtenir des exemples d'utilisation de stratégies de pare-feu hiérarchiques, consultez la page Exemples de stratégies de pare-feu hiérarchiques.

Définissez des stratégies de pare-feu hiérarchiques pour implémenter les contrôles d'accès réseau suivants :

  • Identity-Aware Proxy (IAP) pour le transfert TCP. IAP pour le transfert TCP est autorisé par le biais d'une règle de sécurité qui autorise le trafic entrant provenant de la plage d'adresses IP 35.235.240.0/20 pour les ports TCP 22 et 3389.
  • Vérifications d'état pour Cloud Load Balancing. Les plages bien connues utilisées pour les vérifications d'état sont autorisées.
    • Pour la plupart des instances Cloud Load Balancing (y compris les équilibreurs de charge TCP/UDP internes, HTTP(S) internes, proxy TCP externes, proxy SSL externes et HTTP(S)), une règle de sécurité est définie pour autoriser le trafic entrant à partir des plages d'adresses IP 35.191.0.0/16 et 130.211.0.0/22 pour les ports 80 et 443.
    • Pour l'équilibrage de charge réseau, une règle de sécurité est définie pour activer les vérifications d'état héritées en autorisant le trafic entrant provenant des plages d'adresses IP 35.191.0.0/16, 209.85.152.0/22 et 209.85.204.0/22 pour les ports 80 et 443.

Configurer l'environnement VPC

Le VPC de transit fournit les ressources de mise en réseau nécessaires pour établir la connectivité entre les réseaux VPC spoke de charge de travail et les réseaux sur site ou multicloud.

  1. Créez un projet pour le réseau VPC de transit.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Créez le réseau VPC de transit en mode personnalisé.
  4. Créez un sous-réseau Private Service Connect dans chaque région dans laquelle vous prévoyez de publier des services exécutés dans votre VPC hub ou votre environnement sur site. Envisagez de dimensionner le sous-réseau Private Service Connect lorsque vous choisissez votre plan d'adressage IP.
  5. Pour chaque service sur site que vous souhaitez exposer sur des charges de travail exécutées dans Google Cloud, créez un équilibreur de charge HTTP(S) ou proxy TCP interne, puis exposez les services à l'aide de Private Service Connect.
  6. Configurez Private Service Connect pour les API Google pour le VPC de transit.

Configurer la connectivité hybride

Vous pouvez utiliser une interconnexion dédiée, une interconnexion partenaire ou Cloud VPN pour fournir une connectivité hybride à votre zone de destination. La procédure suivante permet de créer les ressources de connectivité hybride initiales requises pour cette option de conception :

  1. Si vous utilisez une interconnexion dédiée, procédez comme suit. Si vous utilisez une interconnexion partenaire ou Cloud VPN, vous pouvez ignorer ces étapes.
    1. Créez un projet distinct pour les ports d'interconnexion physiques.
    2. Activez l'API Compute Engine pour le projet de service.
    3. Créez des connexions par interconnexion dédiée.
  2. Pour chaque région dans laquelle vous arrêtez la connectivité hybride dans le réseau VPC, procédez comme suit :
    1. Créez deux rattachements de VLAN dédiés ou partenaires, à raison d'un pour chaque zone de disponibilité de périphérie. Dans le cadre de ce processus, vous sélectionnez des routeurs cloud et créez des sessions BGP.
    2. Configurez les routeurs du réseau de pairs (sur site ou dans d'autres cloud).

Configurer des projets de charge de travail

Créez un VPC distinct pour chaque charge de travail :

  1. Créez un projet pour héberger votre charge de travail.
  2. Activez l'API Compute Engine pour le projet de service.
  3. Créez un réseau VPC en mode personnalisé.
  4. Créez des sous-réseaux dans les régions où vous prévoyez de déployer des charges de travail. Pour chaque sous-réseau, activez l'accès privé à Google pour permettre aux instances de VM ne disposant que d'adresses IP internes d'accéder aux services Google.
  5. Configurez Private Service Connect pour les API Google.
  6. Pour chaque charge de travail que vous utilisez à partir d'un VPC différent ou de votre environnement sur site, créez un point de terminaison client Private Service Connect.
  7. Pour chaque charge de travail que vous produisez pour un autre VPC ou votre environnement sur site, créez un équilibreur de charge interne et un rattachement de service pour le service. Envisagez de dimensionner le sous-réseau Private Service Connect lorsque vous choisissez votre plan d'adressage IP.
  8. Si le service doit être accessible depuis votre environnement sur site, créez un point de terminaison client Private Service Connect dans le VPC de transit.

Configurer Cloud NAT

Suivez cette procédure si les charges de travail dans des régions spécifiques nécessitent un accès Internet sortant, par exemple pour télécharger des packages logiciels ou des mises à jour.

  1. Créez une passerelle Cloud NAT dans les régions où les charges de travail nécessitent un accès Internet sortant. Vous pouvez personnaliser la configuration Cloud NAT pour n'autoriser que la connectivité sortante à partir de sous-réseaux spécifiques, si nécessaire.
  2. Activez au moins la journalisation Cloud NAT pour que la passerelle consigne ERRORS_ONLY. Pour inclure les journaux des traductions effectuées par Cloud NAT, configurez toutes les passerelles pour qu'elles enregistrent ALL.

Configurer l'observabilité

Network Intelligence Center permet de surveiller, de dépanner et de visualiser votre environnement de mise en réseau cloud de manière cohérente. Utilisez cette plate-forme pour vous assurer que votre conception fonctionne comme vous le souhaitez.

Les configurations suivantes permettent d'analyser la journalisation et les métriques activées.

  • Vous devez activer l'API Network Management pour pouvoir exécuter des tests de connectivité. L'activation de l'API est nécessaire pour utiliser directement l'API, Google Cloud CLI ou la console Google Cloud.
  • Vous devez activer l'API Firewall Insights pour pouvoir effectuer des tâches à l'aide de Firewall Insights.

Étapes suivantes

La configuration initiale de cette option de conception de réseau est maintenant terminée. Vous pouvez désormais répéter ces étapes pour configurer une instance supplémentaire de l'environnement de la zone de destination, tel qu'un environnement de préproduction ou de production, ou passer à la page Décider de la sécurité de votre zone de destination Google Cloud.

Étapes suivantes