Cette page explique comment configurer votre environnement réseau pour utiliser des pools privés dans un réseau VPC. Si vous ne connaissez pas le fonctionnement des pools privés, consultez la page Présentation des pools privés.
Comprendre les options de configuration réseau
Les pools privés sont hébergés dans un réseau cloud privé virtuel appartenant à Google, appelé réseau de producteurs de services. Lors de la configuration d'un pool privé, vous pouvez choisir d'utiliser le réseau de producteurs de services ou de configurer une connexion privée entre le réseau du producteur de services et le réseau VPC qui contient vos ressources.
Choisissez l'un des schémas de configuration réseau suivants en fonction des besoins de votre organisation :
Utiliser le réseau du producteur de services seul: utilisez cette option si:
- Vous ne cherchez pas à ce que les compilations puissent accéder aux ressources de votre réseau privé.
- Vous souhaitez des types de machines et des tailles configurables
Il s'agit de l'option réseau par défaut pour la création du pool privé. Elle ne nécessite aucune configuration réseau. Si cette option vous intéresse, procédez à la création du pool privé.
Configurez une connexion privée entre le réseau du producteur de services et votre réseau VPC: la connexion privée permet aux instances de VM de votre réseau VPC et aux pools privés de communiquer exclusivement à l'aide d'une adresse IP interne. Utilisez cette option si :
- Vous souhaitez que les compilations puissent accéder aux ressources de votre réseau VPC
- Vous souhaitez des types de machines et des tailles configurables.
Configurer une connexion privée entre votre réseau VPC et le réseau du producteur de services
Vous devez disposer d'un réseau VPC que vous utiliserez pour vous connecter au réseau du producteur de services.
Pour utiliser les exemples de ligne de commande de ce guide, installez et configurez la Google Cloud CLI.
Activer l'API
Console
Activer les API Cloud Build and the Service Networking.
gcloud
Activez les API Cloud Build et Service Networking.
gcloud services enable cloudbuild.googleapis.com servicenetworking.googleapis.com-
Afin d'obtenir les autorisations nécessaires pour configurer une connexion privée, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur réseau Compute Engine (
roles/compute.networkAdmin) sur le projet Google Cloud qui héberge le réseau VPC. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Dans le réseau VPC, allouez une plage d'adresses IP internes nommées:
La plage d'adresses IP que vous spécifiez ici sera soumise à des règles de pare-feu définies dans le réseau VPC.
Cloud Build réserve les plages d'adresses IP
192.168.10.0/24et172.17.0.0/16pour le réseau de la liaison Docker. Lorsque vous allouez les plages d'adresses IP aux ressources de votre ou vos projets, nous vous recommandons de sélectionner une plage en dehors de192.168.10.0/24et172.17.0.0/16dans les cas où les compilateurs Cloud Build doivent accéder à ces ressources.Par exemple, la plage d'adresses
192.168.10.96/28du plan de contrôle Google Kubernetes Engine n'est pas accessible à partir du compilateurgke-deployCloud Build en raison du chevauchement.Console
Accédez à la page "Réseaux VPC" dans Google Cloud Console.
Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.
Sélectionnez l'onglet Accès privé aux services.
Dans l'onglet Accès privé aux services, sélectionnez l'onglet Plages d'adresses IP allouées pour les services.
Cliquez sur Allouer une plage d'adresses IP.
Saisissez un nom et une description pour la plage allouée.
Spécifiez une plage d'adresses IP pour l'allocation :
- Pour spécifier une plage d'adresses IP, sélectionnez Personnalisée, puis saisissez un bloc CIDR.
- Pour spécifier une longueur de préfixe et laisser Google sélectionner une plage disponible, sélectionnez Automatique, puis saisissez une longueur de préfixe. La longueur du préfixe doit être inférieure ou égale à
/24(par exemple,/22,/21, etc.).
Cliquez sur Allouer pour créer la plage allouée.
gcloud
Pour spécifier une plage d'adresses et une longueur de préfixe (masque de sous-réseau), utilisez les options
addressesetprefix-length. La longueur du préfixe doit être inférieure ou égale à /24 (par exemple, /22, /21, etc.). Par exemple, pour allouer le bloc CIDR192.168.0.0/16, spécifiez192.168.0.0pour l'adresse et16pour la longueur du préfixe.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --addresses=192.168.0.0 \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORKPour spécifier seulement une longueur de préfixe (masque de sous-réseau), utilisez simplement l'option
prefix-length. Si vous ne spécifiez pas de plage d'adresses, Google Cloud sélectionne automatiquement une plage d'adresses non utilisée sur votre réseau VPC. L'exemple suivant choisit une plage d'adresses IP non utilisée avec une longueur de préfixe de16bits.gcloud compute addresses create RESERVED_RANGE_NAME \ --global \ --purpose=VPC_PEERING \ --prefix-length=16 \ --description=DESCRIPTION \ --network=VPC_NETWORKRemplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
RESERVED_RANGE_NAME: nom de la plage allouée, telle quemy-allocated-range.DESCRIPTION: description de la plage, telle queallocated for my-service.VPC_NETWORK: nom de votre réseau VPC, tel quemy-vpc-network.
Créez une connexion privée entre le réseau du producteur de services et votre réseau VPC :
Console
Accédez à la page "Réseaux VPC" dans Google Cloud Console.
Sélectionnez le réseau VPC qui se connectera au réseau VPC du pool privé.
Sélectionnez l'onglet Accès privé aux services.
Dans l'onglet Accès aux services privés, sélectionnez l'onglet Connexions privées aux services.
Cliquez sur Créer une connexion pour créer une connexion privée entre votre réseau et le réseau du producteur de services.
Pour l'allocation attribuée, sélectionnez la plage allouée que vous avez créée à l'étape précédente.
Cliquez sur Connecter pour créer la connexion.
gcloud
Créez une connexion privée :
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --ranges=ALLOCATED_RANGE_NAME \ --network=VPC_NETWORK \ --project=PROJECT_IDRemplacez les valeurs d'espace réservé dans la commande par les éléments suivants :
ALLOCATED_RANGE_NAME: nom de la plage allouée que vous avez créée à l'étape précédente.VPC_NETWORK: nom de votre réseau VPC.PROJECT_ID: ID du projet contenant votre réseau VPC.
La commande lance une opération longue. Elle affiche un nom d'opération.
Vérifiez si l'opération a réussi, en remplaçant
OPERATION_NAMEpar le nom de l'opération renvoyé à l'étape précédente.gcloud services vpc-peerings operations describe \ --name=OPERATION_NAME
[FACULTATIF: scénario avec VPC partagé]. Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Une fois le projet hôte configuré avec la connexion privée, les instances de VM dans les projets de service peuvent utiliser la connexion privée avec le réseau du producteur de services. Le projet qui héberge la connexion VPC et le projet contenant le pool privé doivent faire partie de la même organisation.
[FACULTATIF: Utilisez des règles de pare-feu]. Si vous créez une règle de pare-feu d'entrée dans le réseau VPC, spécifiez la même plage d'adresses IP que celle que vous allouez ici dans le filtre source pour la règle d'entrée.
Étapes suivantes
- Découvrez comment créer et gérer des pools privés.