Cette page vous explique comment configurer votre environnement réseau pour utiliser des pools privés dans un réseau VPC. Si vous ne connaissez pas le fonctionnement des pools privés, consultez la page Présentation des pools privés.
Comprendre les options de configuration réseau
Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Lors de la configuration d'un pool privé, vous pouvez choisir d'utiliser le réseau de producteurs de services ou de configurer une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.
Choisissez l'un des schémas de configuration réseau suivants en fonction des besoins de votre organisation :
Utiliser le réseau du producteur de services seul: utilisez cette option si:
- Vous ne cherchez pas à ce que les compilations puissent accéder aux ressources de votre réseau privé.
- Vous souhaitez des types de machines et des tailles configurables
Il s'agit de l'option de réseau par défaut qui permet de créer un pool privé. Aucune configuration réseau n'est requise. Si cette option vous intéresse, procédez à la création du pool privé.
Configurez une connexion privée entre le réseau du producteur de services et votre réseau VPC: la connexion privée permet aux instances de VM de votre réseau VPC et aux pools privés de communiquer exclusivement à l'aide d'une adresse IP interne. Utilisez cette option si :
- Vous souhaitez que les compilations puissent accéder aux ressources de votre réseau VPC
- Vous souhaitez des types de machines et des tailles configurables.
Configurer une connexion privée entre votre réseau VPC et le réseau du producteur de services
Vous devez disposer d'un réseau VPC que vous utiliserez pour vous connecter au réseau du producteur de services.
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez Google Cloud CLI.
Activer l'API
Console
Enable the Cloud Build and the Service Networking APIs.
gcloud
Activez les API Cloud Build et Service Networking.
gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
-
Pour obtenir les autorisations nécessaires pour configurer une connexion privée, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseau Compute Engine (
roles/compute.networkAdmin
) sur le projet Google Cloud dans lequel réside le réseau VPC. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Dans le réseau VPC, attribuez une plage d'adresses IP internes nommée :
La plage d'adresses IP que vous spécifiez ici sera soumise à des règles de pare-feu définies dans le réseau VPC.
Cloud Build réserve les plages d'adresses IP
192.168.10.0/24
et172.17.0.0/16
pour le réseau de la liaison Docker. Lors de l'allocation des plages d'adresses IP des ressources de votre ou de vos projets, nous vous recommandons de sélectionner une plage en dehors de192.168.10.0/24
et172.17.0.0/16
pour lorsque les compilateurs Cloud Build doivent accéder à ces ressources.Par exemple, la plage d'adresses du plan de contrôle Google Kubernetes Engine
192.168.10.96/28
ne serait pas accessible à partir du compilateur Cloud Buildgke-deploy
en raison au chevauchement.Console
Accédez à la page "Réseaux VPC" dans Google Cloud Console.
Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.
Sélectionnez l'onglet Accès aux services privés.
Dans l'onglet Accès aux services privés, sélectionnez l'onglet Plages d'adresses IP allouées pour les services.
Cliquez sur Allouer une plage d'adresses IP.
Saisissez un nom et une description pour la plage allouée.
Spécifiez une plage d'adresses IP pour l'allocation :
- Pour spécifier une plage d'adresses IP, sélectionnez Personnalisée, puis saisissez un bloc CIDR.
- Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible, sélectionnez Automatique, puis saisissez une longueur de préfixe. Le préfixe
la longueur doit être inférieure ou égale à
/24
(par exemple,/22
,/21
, etc.).
Cliquez sur Allouer pour créer la plage allouée.
gcloud
Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options
addresses
etprefix-length
. La longueur de préfixe doit être /24 ou inférieur, par exemple /22, /21, etc. Par exemple, pour allouer le bloc CIDR bloc192.168.0.0/16
, spécifiez192.168.0.0
comme adresse et16
pour la longueur du préfixe.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORK
Pour spécifier seulement une longueur de préfixe (masque de sous-réseau), utilisez simplement l'option
prefix-length
. Si vous ne spécifiez pas de plage d'adresses, Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de16
bits.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORK
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
RESERVED_RANGE_NAME
: nom de la plage allouée, telle quemy-allocated-range
.DESCRIPTION
: description de la plage, telle queallocated for my-service
.VPC_NETWORK
: nom de votre réseau VPC, tel quemy-vpc-network
.
Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC :
Console
Accédez à la page "Réseaux VPC" dans Google Cloud Console.
Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.
Sélectionnez l'onglet Accès privé aux services.
Dans l'onglet Accès au service privé, sélectionnez l'onglet Connexions privées aux services.
Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et le réseau du producteur de services.
Pour l'allocation attribuée, sélectionnez la plage allouée que vous avez créée à l'étape précédente.
Cliquez sur Connecter pour créer la connexion.
gcloud
Créez une connexion privée :
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=ALLOCATED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
ALLOCATED_RANGE_NAME
: nom de la plage allouée que vous avez créée à l'étape précédente.VPC_NETWORK
: nom de votre réseau VPC.PROJECT_ID
: ID du projet contenant votre réseau VPC.
La commande lance une opération longue. Elle affiche un nom d'opération.
Vérifiez si l'opération a réussi, en remplaçant
OPERATION_NAME
par le nom de l'opération renvoyé à l'étape précédente.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
[FACULTATIF: scénario avec VPC partagé]. Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Une fois le projet hôte configuré avec la connexion privée, les instances de VM dans les projets de service peuvent utiliser la connexion privée avec le réseau du producteur de services. Le projet qui héberge la connexion VPC et le projet contenant le pool privé doivent faire partie de la même organisation.
[FACULTATIF: Utilisez des règles de pare-feu]. Si vous créez une règle de pare-feu d'entrée dans le réseau VPC, spécifiez la même plage d'adresses IP que celle que vous allouez ici dans le filtre source pour la règle d'entrée.
Étape suivante
- Découvrez comment créer et gérer des pools privés.