Cette page explique comment configurer votre environnement réseau avant de pouvoir créer et utiliser des pools privés. Si vous ne connaissez pas le fonctionnement des pools privés, consultez la page Présentation des pools privés.
Comprendre les options de configuration réseau
Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Lors de la configuration d'un pool privé, vous pouvez choisir d'utiliser le réseau de producteurs de services ou de configurer une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.
Choisissez l'un des schémas de configuration réseau suivants en fonction des besoins de votre organisation :
Utiliser le réseau du producteur de services seul: utilisez cette option si:
- Vous ne cherchez pas à ce que les compilations puissent accéder aux ressources de votre réseau privé.
- Vous souhaitez des types de machines et des tailles configurables
Il s'agit de l'option de réseau par défaut qui permet de créer un pool privé. Aucune configuration réseau n'est requise. Si cette option vous intéresse, procédez à la création du pool privé.
Configurez une connexion privée entre le réseau du producteur de services et votre réseau VPC: la connexion privée permet aux instances de VM de votre réseau VPC et aux pools privés de communiquer exclusivement à l'aide d'une adresse IP interne. Utilisez cette option si :
- Vous souhaitez que les compilations puissent accéder aux ressources de votre réseau VPC
- Vous souhaitez des types de machines et des tailles configurables.
Configurer une connexion privée entre votre réseau VPC et le réseau du producteur de services
Vous devez disposer d'un réseau VPC que vous utiliserez pour vous connecter au réseau du producteur de services.
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez la CLI Google Cloud.
Activer l'API
Console
Activer les API Cloud Build and the Service Networking.
gcloud
Activez les API Cloud Build et Service Networking.
gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
Assurez-vous de disposer du rôle IAM Administrateur de réseaux Compute Engine pour le projet dans lequel réside votre réseau VPC. Ce rôle est requis pour configurer la connexion privée.
Dans le réseau VPC, attribuez une plage d'adresses IP nommée :
La plage d'adresses IP que vous spécifiez ici sera soumise à des règles de pare-feu définies dans le réseau VPC.
Cloud Build réserve la plage d'adresses IP
192.168.10.0/24
pour le réseau de la liaison Docker. Lors de l'allocation des plages d'adresses IP des ressources de votre ou de vos projets, nous vous recommandons de sélectionner une plage en dehors de192.168.10.0/24
pour lorsque les compilateurs Cloud Build doivent accéder à ces ressources.Par exemple, la plage d'adresses du plan de contrôle Google Kubernetes Engine 192.168.10.96/28 ne serait pas accessible à partir du compilateur gke_deploy de Cloud Build en raison du chevauchement.
Console
Accédez à la page "Réseaux VPC" dans Google Cloud Console.
Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.
Sélectionnez l'onglet Connexion au service privé.
Dans l'onglet Connexion de service privée, sélectionnez l'onglet Plages d'adresses IP allouées pour les services.
Cliquez sur Allouer une plage d'adresses IP.
Saisissez un nom et une description pour la plage allouée.
Spécifiez une plage d'adresses IP pour l'allocation :
- Pour spécifier une plage d'adresses IP, sélectionnez Personnalisée, puis saisissez un bloc CIDR.
- Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible, sélectionnez Automatique, puis saisissez une longueur de préfixe. La longueur du préfixe doit être inférieure ou égale à /24, telle que /22, /21, etc.
Cliquez sur Allouer pour créer la plage allouée.
gcloud
Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options
addresses
etprefix-length
. La longueur du préfixe doit être inférieure ou égale à /24, comme /22, /21, etc. Par exemple, pour allouer le bloc CIDR192.168.0.0/16
, spécifiez192.168.0.0
pour l'adresse et16
pour la longueur du préfixe.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORK
Pour spécifier seulement une longueur de préfixe (masque de sous-réseau), utilisez simplement l'option
prefix-length
. Si vous ne spécifiez pas de plage d'adresses, Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de16
bits.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORK
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
RESERVED_RANGE_NAME
: nom de la plage allouée, telle quemy-allocated-range
.DESCRIPTION
: description de la plage, telle queallocated for my-service
.VPC_NETWORK
: nom de votre réseau VPC, tel quemy-vpc-network
.
Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC :
Console
Accédez à la page "Réseaux VPC" dans Cloud Console.
Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.
Sélectionnez l'onglet Connexion au service privé.
Dans l'onglet Connexion au service privé, sélectionnez l'onglet Connexions privées aux services.
Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et le réseau du producteur de services.
Pour l'allocation attribuée, sélectionnez la plage allouée que vous avez créée à l'étape précédente.
Cliquez sur Connecter pour créer la connexion.
gcloud
Créez une connexion privée :
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=ALLOCATED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_ID
Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
ALLOCATED_RANGE_NAME
: nom de la plage allouée que vous avez créée à l'étape précédente.VPC_NETWORK
: nom de votre réseau VPC.PROJECT_ID
: ID du projet contenant votre réseau VPC.
La commande lance une opération longue. Elle affiche un nom d'opération.
Vérifiez si l'opération a réussi, en remplaçant
OPERATION_NAME
par le nom de l'opération renvoyé à l'étape précédente.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
[FACULTATIF: scénario avec VPC partagé]. Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Une fois le projet hôte configuré avec la connexion privée, les instances de VM dans les projets de service peuvent utiliser la connexion privée avec le réseau du producteur de services. Le projet qui héberge la connexion VPC et le projet contenant le pool privé doivent faire partie de la même organisation.
[FACULTATIF: Utilisez des règles de pare-feu]. Si vous créez une règle de pare-feu d'entrée dans le réseau VPC, spécifiez la même plage d'adresses IP que celle que vous allouez ici dans le filtre source pour la règle d'entrée.
Étapes suivantes
- Découvrez comment créer et gérer des pools privés.