Configurer votre environnement

Cette page vous explique comment configurer votre environnement réseau avant de pouvoir créer et utiliser des pools privés. Si vous n'êtes pas familiarisé avec les pools privés, consultez la page Présentation des pools privés.

Comprendre les options de configuration réseau

Les pools privés sont hébergés sur un réseau cloud privé virtuel détenu par Google, appelé réseau de producteurs de services. Lors de la configuration d'un pool privé, vous pouvez choisir d'utiliser le réseau du producteur de services ou de configurer une connexion privée entre le réseau du producteur de services et le Réseau VPC contenant vos ressources.

Choisissez l'un des schémas de configuration réseau suivants en fonction des besoins de votre organisation:

  • Utiliser le réseau du producteur de services seul: utilisez cette option si:

    Cette option de réseau par défaut permet de créer le pool privé. Elle ne nécessite aucune configuration réseau. Si cette option vous intéresse, passez à la création du pool privé.

  • Configurer une connexion privée entre le réseau du producteur de services et votre réseau VPC: la connexion privée permet aux instances de VM de votre réseau VPC et de pools privés de communiquer exclusivement via une adresse IP interne. . Utilisez cette option si :

    • vous voulez que les builds accèdent aux ressources de votre réseau VPC ;
    • Vous voulez des types et des tailles de machines configurables.

Configurer une connexion privée entre votre réseau VPC et le réseau du producteur de services

  1. Vous devez disposer d'un réseau VPC existant que vous utiliserez pour vous connecter au réseau du producteur de services.

  2. Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez le SDK Cloud.

  3. Activer l'API:

    Console


    Activer les API Cloud Build and the Service Networking.

    Activer les API

    gcloud

    Activez les API Cloud Build et Service Networking:

    gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com
    
  4. Assurez-vous de disposer du rôle IAM Administrateur de réseaux Compute Engine pour le projet dans lequel réside votre réseau VPC. Il est nécessaire pour configurer la connexion privée.

  5. Dans le réseau VPC, attribuez une plage d'adresses IP nommée :

    La plage d'adresses IP que vous spécifiez ici sera soumise aux règles de pare-feu définies dans le réseau VPC.

    Cloud Build réserve la plage d'adresses IP 192.168.10.0/24 pour le réseau de la liaison Docker. Lors de l'attribution de plages d'adresses IP pour les ressources de votre ou vos projets, nous vous recommandons de sélectionner une plage extérieure à 192.168.10.0/24 dans les cas où les compilateurs Cloud Build doivent accéder à ces ressources.

    Par exemple, la plage d'adresses du plan de contrôle Google Kubernetes Engine 192.168.10.96/28 n'est pas accessible depuis le compilateur gke_deploy de Cloud Build en raison du chevauchement.

    Console

    1. Accédez à la page Réseaux VPC dans Google Cloud Console.

      Accéder à la page Réseaux VPC

    2. Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.

    3. Sélectionnez l'onglet Connexion au service privé.

    4. Dans l'onglet Connexion de service privée, sélectionnez l'onglet Plages d'adresses IP allouées pour les services.

    5. Cliquez sur Allouer une plage d'adresses IP.

    6. Saisissez un nom et une description pour la plage allouée.

    7. Spécifiez une plage d'adresses IP pour l'allocation :

      • Pour spécifier une plage d'adresses IP, sélectionnez Personnalisée, puis saisissez un bloc CIDR.
      • Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible, sélectionnez Automatique, puis saisissez une longueur de préfixe. La longueur du préfixe doit être inférieure ou égale à /23, par exemple /22, /21, etc.
    8. Cliquez sur Allouer pour créer la plage allouée.

    gcloud

    Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options addresses et prefix-length. La longueur du préfixe doit être /23 ou inférieure (par exemple, /22, /21, etc.). Par exemple, pour allouer le bloc CIDR.192.168.0.0/16, spécifier192.168.0.0 pour l'adresse et16 pour connaître la longueur du préfixe.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --addresses=192.168.0.0 \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Pour spécifier seulement une longueur de préfixe (masque de sous-réseau), utilisez simplement l'option prefix-length. Si vous ne spécifiez pas de plage d'adresses, Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de 16 bits.

      gcloud compute addresses create RESERVED_RANGE_NAME \
          --global \
          --purpose=VPC_PEERING \
          --prefix-length=16 \
          --description=DESCRIPTION \
          --network=VPC_NETWORK
    

    Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :

    • RESERVED_RANGE_NAME : nom de la plage allouée, telle que my-allocated-range.
    • DESCRIPTION  : description de la plage, telle que allocated for my-service.
    • VPC_NETWORK : nom de votre réseau VPC, tel que my-vpc-network.
  6. Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC:

    Console

    1. Accédez à la page "Réseaux VPC" dans Cloud Console.

      Accéder à la page Réseaux VPC

    2. Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.

    3. Sélectionnez l'onglet Connexion au service privé.

    4. Dans l'onglet Connexion au service privé, sélectionnez l'onglet Connexions privées aux services.

    5. Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et le réseau du producteur de services.

    6. Pour l'allocation attribuée, sélectionnez la plage allouée que vous avez créée à l'étape précédente.

    7. Cliquez sur Connecter pour créer la connexion.

    gcloud

    1. Créez une connexion privée :

      gcloud services vpc-peerings connect \
          --service=servicenetworking.googleapis.com \
          --ranges=ALLOCATED_RANGE_NAME \
          --network=VPC_NETWORK \
          --project=PROJECT_ID
      

      Remplacez les valeurs d'espace réservé dans la commande par les éléments suivants :

      • ALLOCATED_RANGE_NAME: nom attribué à la plage que vous avez créée à l'étape précédente.
      • VPC_NETWORK : nom de votre réseau VPC.
      • PROJECT_ID : ID du projet contenant votre réseau VPC.

      La commande lance une opération longue. Elle affiche un nom d'opération.

    2. Vérifiez si l'opération a réussi, en remplaçant OPERATION_NAME par le nom de l'opération renvoyé à l'étape précédente.

      gcloud services vpc-peerings operations describe \
          --name=OPERATION_NAME
      
  7. [FACULTATIF: scénario du VPC partagé]. Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Une fois le projet hôte configuré avec la connexion privée, les instances de VM des projets de service peuvent utiliser la connexion privée avec le réseau du producteur de services. Le projet qui héberge la connexion VPC et le projet contenant le pool privé doivent faire partie de la même organisation.

  8. [FACULTATIF: à l'aide de règles de pare-feu]. Si vous créez une règle de pare-feu d'entrée dans le réseau VPC, spécifiez la même plage d'adresses IP que celle que vous allouez ici dans le filtre source. pour la règle d'entrée.

Étape suivante