Configurer votre environnement

Cette page explique comment configurer votre environnement réseau avant de pouvoir créer et utiliser des pools privés. Si vous ne connaissez pas le fonctionnement des pools privés, consultez la page Présentation des pools privés.

Comprendre les options de configuration réseau

Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Lors de la configuration d'un pool privé, vous pouvez choisir d'utiliser le réseau de producteurs de services ou de configurer une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.

Choisissez l'un des schémas de configuration réseau suivants en fonction des besoins de votre organisation :

• Utiliser le réseau du producteur de services seul: utilisez cette option si:

  • Vous ne cherchez pas à ce que les compilations puissent accéder aux ressources de votre réseau privé.
  • Vous souhaitez des types de machines et des tailles configurables

  Il s'agit de l'option de réseau par défaut qui permet de créer un pool privé. Aucune configuration réseau n'est requise. Si cette option vous intéresse, procédez à la création du pool privé.

• Configurez une connexion privée entre le réseau du producteur de services et votre réseau VPC: la connexion privée permet aux instances de VM de votre réseau VPC et aux pools privés de communiquer exclusivement à l'aide d'une adresse IP interne. Utilisez cette option si :

  • Vous souhaitez que les compilations puissent accéder aux ressources de votre réseau VPC
  • Vous souhaitez des types de machines et des tailles configurables.

Configurer une connexion privée entre votre réseau VPC et le réseau du producteur de services

1. Vous devez disposer d'un réseau VPC que vous utiliserez pour vous connecter au réseau du producteur de services.

2. Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Cloud.

3. Activer l'API

   Console

   
   Activer les API Cloud Build and the Service Networking.

   Activer les API

   gcloud

   Activez les API Cloud Build et Service Networking.

   gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
   

4. Assurez-vous de disposer du rôle IAM Administrateur de réseaux Compute Engine pour le projet dans lequel réside votre réseau VPC. Ce rôle est requis pour configurer la connexion privée.

5. Dans le réseau VPC, attribuez une plage d'adresses IP nommée :

   La plage d'adresses IP que vous spécifiez ici sera soumise à des règles de pare-feu définies dans le réseau VPC.

   Cloud Build réserve la plage d'adresses IP 192.168.10.0/24 pour le réseau de la liaison Docker. Lors de l'allocation des plages d'adresses IP des ressources de votre ou de vos projets, nous vous recommandons de sélectionner une plage en dehors de 192.168.10.0/24 pour lorsque les compilateurs Cloud Build doivent accéder à ces ressources.

   Par exemple, la plage d'adresses du plan de contrôle Google Kubernetes Engine 192.168.10.96/28 ne serait pas accessible à partir du compilateur gke_deploy de Cloud Build en raison du chevauchement.

   Console

   1. Accédez à la page Réseaux VPC dans Google Cloud Console.

      Accéder à la page Réseaux VPC

   2. Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.

   3. Sélectionnez l'onglet Connexion au service privé.

   4. Dans l'onglet Connexion de service privée, sélectionnez l'onglet Plages d'adresses IP allouées pour les services.

   5. Cliquez sur Allouer une plage d'adresses IP.

   6. Saisissez un nom et une description pour la plage allouée.

   7. Spécifiez une plage d'adresses IP pour l'allocation :

      • Pour spécifier une plage d'adresses IP, sélectionnez Personnalisée, puis saisissez un bloc CIDR.
      • Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible, sélectionnez Automatique, puis saisissez une longueur de préfixe. La longueur du préfixe doit être inférieure ou égale à /23, par exemple /22, /21, etc.

   8. Cliquez sur Allouer pour créer la plage allouée.

   gcloud

   Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options addresses et prefix-length. La longueur du préfixe doit être /23 ou une valeur inférieure, telle que /22, /21, etc. Par exemple, pour allouer le bloc CIDR 192.168.0.0/16, spécifiez 192.168.0.0 pour l'adresse et 16 pour la longueur du préfixe.

     gcloud compute addresses create RESERVED_RANGE_NAME \
         --global \
         --purpose=VPC_PEERING \
         --addresses=192.168.0.0 \
         --prefix-length=16 \
         --description=DESCRIPTION \
         --network=VPC_NETWORK
   

   Pour spécifier seulement une longueur de préfixe (masque de sous-réseau), utilisez simplement l'option prefix-length. Si vous ne spécifiez pas de plage d'adresses, Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de 16 bits.

     gcloud compute addresses create RESERVED_RANGE_NAME \
         --global \
         --purpose=VPC_PEERING \
         --prefix-length=16 \
         --description=DESCRIPTION \
         --network=VPC_NETWORK
   

   Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :

   • RESERVED_RANGE_NAME : nom de la plage allouée, telle que my-allocated-range.
   • DESCRIPTION  : description de la plage, telle que allocated for my-service.
   • VPC_NETWORK : nom de votre réseau VPC, tel que my-vpc-network.

6. Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC :

   Console

   1. Accédez à la page Réseaux VPC dans Cloud Console.

      Accéder à la page Réseaux VPC

   2. Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.

   3. Sélectionnez l'onglet Connexion au service privé.

   4. Dans l'onglet Connexion au service privé, sélectionnez l'onglet Connexions privées aux services.

   5. Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et le réseau du producteur de services.

   6. Pour l'allocation attribuée, sélectionnez la plage allouée que vous avez créée à l'étape précédente.

   7. Cliquez sur Connecter pour créer la connexion.

   gcloud

   1. Créez une connexion privée :

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :

      • ALLOCATED_RANGE_NAME: nom de la plage allouée que vous avez créée à l'étape précédente.
      • VPC_NETWORK : nom de votre réseau VPC.
      • PROJECT_ID : ID du projet contenant votre réseau VPC.

      La commande lance une opération longue. Elle affiche un nom d'opération.

   2. Vérifiez si l'opération a réussi, en remplaçant OPERATION_NAME par le nom de l'opération renvoyé à l'étape précédente.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      

7. [FACULTATIF: scénario avec VPC partagé]. Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Une fois le projet hôte configuré avec la connexion privée, les instances de VM dans les projets de service peuvent utiliser la connexion privée avec le réseau du producteur de services. Le projet qui héberge la connexion VPC et le projet contenant le pool privé doivent faire partie de la même organisation.

8. [FACULTATIF: Utilisez des règles de pare-feu]. Si vous créez une règle de pare-feu d'entrée dans le réseau VPC, spécifiez la même plage d'adresses IP que celle que vous allouez ici dans le filtre source pour la règle d'entrée.

Étape suivante

• Découvrez comment créer et gérer des pools privés.