Réserver une adresse IP externe statique

Vous pouvez réserver les adresses IP externes statiques pour votre instance de machine virtuelle (VM). Vous pouvez également modifier, regrouper et publier des adresses IP statiques pour votre VM.

Les adresses IP externes peuvent être statiques ou éphémères. Si une VM nécessite une adresse IP externe fixe qui ne change pas, vous pouvez l'obtenir de l'une des façons suivantes : Vous pouvez réserver de nouvelles adresses IP externes ou convertir des adresses IP externes éphémères existantes.

• Pour réserver l'une des adresses IP externes suivantes, consultez la section Adresses IP externes statiques.

  • Une adresse IPv4 ou IPv6 globale pouvant être utilisée pour les équilibreurs de charge globaux.

  • Une adresse IPv4 régionale qui peut être utilisée par les VM avec une ou plusieurs interfaces réseau ou par les équilibreurs de charge régionaux.

    Pour consulter la liste des équilibreurs de charge régionaux et globaux, reportez-vous au Récapitulatif des équilibreurs de charge Google Cloud.

• Pour réserver des adresses IPv6 externes régionales (preview) pour les VM, consultez la page Adresse IPv6 externe statique régionale.

Si vous avez besoin d'une adresse IP statique sur votre réseau interne Compute Engine, consultez la page Réserver une adresse IP interne statique.

Dans Compute Engine, chaque VM peut avoir plusieurs interfaces réseau. Chaque interface peut avoir des adresses IP internes et externes. Les règles de transfert peuvent disposer d'adresses IP externes pour l'équilibrage de charge externe ou d'adresses internes pour l'équilibrage de charge interne. Pour en savoir plus sur les adresses IP statiques, consultez la page Adresses IP externes.

Avant de commencer

• Si vous souhaitez utiliser les exemples de ligne de commande de ce guide, procédez comme suit :
  1. Installez la dernière version de Google Cloud CLI ou appliquez la mise à jour correspondante.
  2. Définissez une région et une zone par défaut.
• Si vous voulez utiliser les exemples d'API de ce guide, configurez l'accès aux API.
• En savoir plus sur les adresses IP.
• En savoir plus sur les quotas et limites pour les adresses IP externes statiques.
• Consultez la section sur la tarification des adresses IP externes.

Spécifications concernant l'utilisation d'adresses IP externes statiques

• Une adresse IP externe statique peut être utilisée par une seule ressource à la fois.

• Il n'y a aucun moyen de vérifier si une adresse IP est statique ou éphémère après son attribution à une ressource. Vous pouvez comparer l'adresse IP à la liste des adresses IP externes statiques réservées pour ce projet. Exécutez la sous-commande compute addresses list pour afficher la liste des adresses IP externes statiques disponibles pour le projet.

• Chaque VM peut avoir plusieurs interfaces réseau, mais chaque interface ne peut posséder qu'une seule adresse IP externe, qu'elle soit éphémère ou statique.

• Vous ne pouvez pas modifier le nom d'une adresse IP statique.

• Les adresses IP externes attribuées existent sur le même hôte physique que l'instance de VM et existent dans la même région que la VM à toutes fins, y compris pour le routage, la latence et les tarifs. Cela est valable quelles que soient les informations de recherche de géolocalisation Internet.

Adresses IP externes statiques

Une adresse IP externe statique est une adresse IP réservée pour votre projet jusqu'à ce que vous décidiez de la libérer. Si vous disposez d'une adresse IP qui permet à vos clients ou utilisateurs d'accéder à votre service, vous pouvez réserver cette adresse IP pour qu'elle ne puisse être utilisée que par votre projet. Vous pouvez également convertir une adresse IP externe éphémère en adresse IP externe statique.

Suivez les instructions ci-dessous pour réserver l'une des adresses IP externes suivantes:

• Une adresse IPv4 ou IPv6 globale pouvant être utilisée pour les équilibreurs de charge globaux.

• Une adresse IPv4 régionale qui peut être utilisée par les instances de VM avec une ou plusieurs interfaces réseau ou par les équilibreurs de charge régionaux.

  Pour consulter la liste des équilibreurs de charge régionaux et globaux, reportez-vous au Récapitulatif des équilibreurs de charge Google Cloud.

Pour réserver des adresses IPv6 externes régionales (bêta) pour les VM, consultez la page Adresse IPv6 externe statique régionale.

Réserver une nouvelle adresse IP externe statique

Une fois l'adresse réservée, attribuez-la à une nouvelle instance lors de sa création ou à une instance existante.

gcloud compute addresses create ADDRESS_NAME \
    --global \
    --ip-version [IPV4 | IPV6]

gcloud compute addresses create ADDRESS_NAME  \
    --region=REGION

gcloud compute addresses describe ADDRESS_NAME

resource "google_compute_address" "default" {
  name   = "my-test-static-ip-address"
  region = "us-central1"
}

resource "google_compute_global_address" "default" {
  project      = var.project_id # Replace this with your service project ID in quotes
  name         = "ipv6-address"
  address_type = "EXTERNAL"
  ip_version   = "IPV6"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

{
  "name": "ADDRESS_NAME"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

{
  "name": "ADDRESS_NAME"
}

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

{
  "name": "ADDRESS_NAME",
  "ipVersion": "IPV6"
}

Attribuer une adresse IP externe statique à une nouvelle VM

Lorsque vous créez une VM, une adresse IP externe éphémère lui est automatiquement attribuée. Si vous ne voulez pas d'adresse IP externe éphémère, vous pouvez explicitement attribuer une adresse IP externe statique à l'instance.

gcloud compute instances create VM_NAME --address=IP_ADDRESS

resource "google_compute_instance" "default" {
  name         = "dns-proxy-nfs"
  machine_type = "n1-standard-1"
  zone         = "us-central1-a"

  boot_disk {
    initialize_params {
      image = "ubuntu-1404-trusty-v20160627"
    }
  }

  network_interface {
    network = "default"
    access_config {
      nat_ip = google_compute_address.default.address
    }
  }
}

{
  "name": "VM_NAME",
  "machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
  "networkInterfaces": [{
    "accessConfigs": [{
      "type": "ONE_TO_ONE_NAT",
      "name": "External NAT",
      "natIP": "IP_ADDRESS"
     }],
    "network": "global/networks/default"
  }],
  "disks": [{
     "autoDelete": "true",
     "boot": "true",
     "type": "PERSISTENT",
     "initializeParams": {
        "sourceImage": "projects/debian-cloud/global/images/v20150818"
     }
   }]
 }

Modifier ou attribuer une adresse IP externe à une instance existante

Vous pouvez modifier ou attribuer une adresse IP externe, éphémère ou statique, à une instance existante en modifiant la configuration d'accès de l'instance.

Une instance peut avoir plusieurs interfaces et chaque interface peut avoir une adresse IP externe. Si l'instance en possède déjà une, vous devez d'abord retirer l'adresse IP externe existante en supprimant l'ancienne configuration d'accès. Vous pouvez ensuite ajouter une configuration d'accès avec la nouvelle adresse IP externe.

You can change the external IP address of a VM by adding a new access
configuration for that VM.

Convertir une adresse IP externe éphémère

Si votre instance possède une adresse IP externe éphémère et que vous souhaitez l'attribuer de manière permanente à votre projet, convertissez l'adresse IP externe éphémère en adresse IP externe statique. La conversion d'une adresse IP externe éphémère en adresse IP réservée n'entraîne pas la suppression des paquets envoyés à l'instance par Google Cloud. Cela inclut les paquets envoyés à l'instance directement ou au moyen d'un équilibreur de charge.

gcloud compute addresses create ADDRESS_NAME --addresses=IP_ADDRESS \
  [--region=REGION | --global]

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

{
  "name": "ADDRESS_NAME",
  "address": "IP_ADDRESS"
}

L'adresse IP externe reste associée à l'instance même après sa conversion en adresse IP externe statique. Si vous devez attribuer l'adresse IP externe statique que vous venez de convertir à une autre ressource, annulez l'attribution de l'adresse IP externe statique à l'instance existante.

Répertorier des adresses IP externes statiques

Pour répertorier les adresses IP externes statiques que vous avez réservées pour votre projet, utilisez la console, exécutez compute addresses list ou envoyez une requête GET à l'API.

gcloud compute addresses list

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/addresses

Décrire une adresse IP externe statique

Pour obtenir des informations sur une adresse IP externe statique, utilisez la console, gcloud CLI ou l'API.

gcloud compute addresses describe ADDRESS_NAME

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME

Annuler l'attribution d'une adresse IP externe statique

Vous pouvez annuler l'attribution d'une adresse IP externe statique en modifiant l'attribution d'adresse IP à l'aide de la console Google Cloud ou en supprimant la configuration d'accès associée à la VM qui utilise l'adresse. Vous pouvez également annuler l'attribution de l'adresse IP en supprimant l'instance. Annuler l'attribution d'une adresse IP externe statique permet de la réattribuer à une autre ressource.

Cette annulation d'attribution supprime l'adresse IP de la ressource, mais elle reste réservée par le projet.

gcloud compute addresses list

NAME                 REGION    ADDRESS            STATUS
example-address      REGION    198.51.100.1       RESERVED
example-address-new  REGION    203.0.113.1        IN_USE

Libérer une adresse IP externe statique

Si vous n'avez plus besoin d'une adresse IP externe statique, vous pouvez la libérer afin qu'elle soit renvoyée au pool d'adresses IP général pour les autres utilisateurs de Compute Engine.

gcloud compute addresses delete ADDRESS_NAME

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME

Adresses IPv6 externes statiques régionales

Si vous disposez d'un sous-réseau double pile avec une plage IPv6 externe, vous pouvez réserver les adresses IPv6 statiques de ce sous-réseau.

Lorsque vous réservez une adresse IPv6 externe régionale, une plage d'adresses IPv6 /96 est allouée à partir du sous-réseau spécifié. Vous pouvez ensuite utiliser l'adresse réservée pour configurer une VM à deux piles avec une adresse IPv6 régionale statique. La configuration des adresses IPv6 statiques n'est possible que sur nic0.

Lorsque vous configurez une VM avec une adresse IPv6 statique, les points suivants s'appliquent:

• L'interface de la VM est configurée avec la première adresse IPv6 (/128) de la plage /96 allouée.

• La VM est configurée avec une adresse IP locale de liaison, attribuée à partir de la plage fe80::/10, mais elle n'est utilisée que pour la détection de voisins.

• La configuration de MTU sur l'interface réseau de la VM s'applique aux paquets IPv4 et IPv6.

Les procédures suivantes vous permettent de configurer et de gérer les adresses IPv6 externes régionales statiques:

• Réserver une nouvelle adresse IPv6 externe statique régionale
• Répertorier les adresses IPv6 externes statiques régionales
• Décrire les adresses IPv6 externes statiques régionales
• Attribuez une adresse IPv6 externe régionale statique à une nouvelle instance de VM.
• Convertissez une adresse IPv6 externe régionale éphémère.
• Modifiez la configuration d'adresse IPv6 externe pour les instances existantes.
• Annulez l'attribution d'une adresse IPv6 externe régionale statique

Limites

Si votre réseau VPC se trouve dans un projet de service VPC partagé, vous ne pouvez pas réserver une adresse IPv6 externe statique régionale provenant d'un sous-réseau partagé du projet hôte. Vous ne pouvez réserver une adresse IPv6 externe régionale statique qu'à partir d'un sous-réseau de votre propre réseau VPC.

Réserver une nouvelle adresse IPv6 externe régionale statique

Lorsque vous réservez une adresse IPv6 externe régionale, une plage /96 est attribuée à partir du sous-réseau spécifié.

gcloud alpha compute addresses create ADDRESS_NAME  \
    --region=REGION \
    --subnet=SUBNET \
    --ip-version=IPV6 \
    --endpoint-type=VM

Remplacez les éléments suivants :

• ADDRESS_NAME: nom de l'adresse.
• REGION: région de l'adresse.
• SUBNET: sous-réseau à partir duquel attribuer l'adresse IPv6 régionale statique. Le sous-réseau doit avoir une plage d'adresses IPv6 externe attribuée.

Répertorier les adresses IPv6 externes statiques régionales

Les adresses IPv6 externes statiques régionales n'apparaissent pas dans la console Google Cloud en tant qu'adresses réservées. Utilisez la CLI Google Cloud pour afficher les adresses.

gcloud compute addresses list \
    --regions=REGION

Remplacez REGION par la région pour laquelle vous souhaitez répertorier les adresses.

Décrire les adresses IPv6 externes statiques régionales

Les adresses IPv6 externes statiques régionales n'apparaissent pas dans la console Google Cloud en tant qu'adresses réservées. Utilisez la CLI Google Cloud pour afficher la plage d'adresses IPv6 /96 attribuée.

gcloud compute addresses describe ADDRESS_NAME \
    --region=REGION

Remplacez les éléments suivants :

• ADDRESS_NAME : nom de l'adresse
• REGION: région de l'adresse.

Attribuer une adresse IPv6 externe régionale statique à une nouvelle VM

Vous pouvez créer une VM et attribuer une adresse IPv6 externe régionale statique que vous avez déjà réservée. La VM doit être configurée avec la même région et le même sous-réseau que l'adresse IPv6 réservée.

gcloud alpha compute instances create VM_NAME \
    --subnet=SUBNET \
    --stack-type=IPV4_IPV6 \
    --ipv6-address=IPV6_ADDRESS \
    --ipv6-prefix-length=96 \
    --ipv6-network-tier=PREMIUM \
    --zone=ZONE

Remplacez les éléments suivants :

• VM_NAME : Nom de la VM.
• SUBNET: sous-réseau contenant l'adresse réservée.
• IPV6_ADDRESS : adresse IPv6 à attribuer à l'instance. Spécifiez la première adresse IPv6 de la plage /96.
• ZONE : zone de la VM.

Convertir une adresse IPv6 externe régionale éphémère

Pour convertir une adresse IPv6 externe régionale éphémère en adresse IPv6 externe régionale statique, indiquez l'adresse IP externe éphémère à l'aide de l'option --addresses avec la commande compute addresses create

gcloud alpha compute addresses create ADDRESS_NAME \
    --region=REGION \
    --addresses=IPV6_ADDRESS \
    --prefix-length=96

Remplacez les éléments suivants :

• ADDRESS_NAME : nom de la ressource d'adresse IP
• REGION : région de la ressource d'adresse IPv6
• IPV6_ADDRESS : adresse IPv6 que vous convertissez

Modifier la configuration de l'adresse IPv6 externe pour les instances existantes

Vous pouvez modifier une VM existante pour ajouter ou supprimer une configuration d'adresse IPv6 externe.

• Pour afficher la configuration IPv6 actuelle, décrivez la VM:

  Pour vérifier si votre instance dispose d'une configuration IPv6, envoyez une requête gcloud compute instances describe :

  gcloud compute instances describe VM_NAME \
      --region=REGION
  

  Remplacez les éléments suivants :

  • VM_NAME : nom de la VM
  • ZONE : zone de la VM

  Si une adresse IPv6 externe a déjà été attribuée à nic0, la configuration est affichée au format suivant :

  networkInterfaces:
    ...
    ipv6AccessConfigs:
    - externalIpv6: 2001:db8:4000:15:0:0:0:0
      externalIpv6PrefixLength: 96
      kind: compute#accessConfig
      name: external-ipv6
      networkTier: PREMIUM
      type: DIRECT_IPV6
    ipv6AccessType: EXTERNAL
    kind: compute#networkInterface
    name: nic0
  

• Pour supprimer la configuration IPv6 externe, modifiez le type de pile de la double pile à la pile unique.

  Supprimez la configuration d'adresse IPv6 existante à l'aide de la sous-commande instance network-interfaces update :

  gcloud alpha compute instances network-interfaces update VM_NAME \
      --network-interface=nic0 \
      --stack-type=IPV4_ONLY \
      --zone=ZONE
  

  Remplacez les éléments suivants :

  • VM_NAME : nom de la VM
  • ZONE : zone de la VM

• Pour attribuer une adresse IPv6 externe régionale statique, passez le type de pile de la pile unique à la pile double. Vérifiez que votre VM ne dispose pas déjà d'une configuration IPv6 externe avant d'attribuer l'adresse.

  1. Réservez une adresse IPv6 externe statique.

     Si vous souhaitez attribuer une adresse IPv6 externe statique, vous devez réserver une adresse et vous assurer que celle-ci n'est pas utilisée par une autre ressource. L'adresse IPv6 réservée doit se trouver dans la même région et le même sous-réseau que la VM.

     • Pour réserver une adresse IP externe régionale, consultez la page Réserver une nouvelle adresse IPv6 externe statique régionale.
     • Pour vérifier si l'adresse IPv6 externe régionale est utilisée, consultez la section Annuler l'attribution d'une adresse IPv6 externe régionale statique.

  2. Pour ajouter une adresse IPv6 régionale statique, procédez comme suit:

     Exécutez la sous-commande instance network-interfaces update pour ajouter une adresse IPv6 externe :

     gcloud alpha compute instances network-interfaces update VM_NAME \
       --network-interface=nic0 \
       --ipv6-network-tier=PREMIUM \
       --stack-type=IPV4_IPV6 \
       --ipv6-address=IPV6_ADDRESS \
       --ipv6-prefix-length=96 \
       --zone=ZONE
     

     Remplacez les éléments suivants :

     • VM_NAME : nom de la VM
     • IPV6_ADDRESS : adresse IPv6 à attribuer à l'instance. Spécifiez la première adresse IPv6 de la plage /96.
     • ZONE : zone de la VM

Annuler l'attribution d'une adresse IPv6 externe régionale statique

Vous pouvez annuler l'attribution d'une adresse IPv6 externe régionale statique en supprimant l'instance ou en changeant le type de pile de l'instance sur IPv4 uniquement. Cette annulation d'attribution supprime l'adresse de la ressource, mais elle reste réservée.

Si vous souhaitez supprimer la réservation, vous pouvez libérer une adresse IPv6 externe régionale statique.

1. Vérifiez l'état de la ressource de l'adresse IP à l'aide de la commande compute addresses describe.

   gcloud compute addresses describe ADDRESS_NAME \
       --region=REGION
   

   Remplacez les éléments suivants :

   • ADDRESS_NAME : nom de la ressource d'adresse IPv6
   • REGION : région de la ressource d'adresse IPv6

   Le résultat ressemble à ce qui suit :

   address: IPV6_ADDRESS
   addressType: EXTERNAL
   creationTimestamp: 'TIMESTAMP'
   description: 'DESCRIPTION'
   id: ID
   ipVersion: IPV6
   kind: compute#address
   name: ADDRESS_NAME
   networkTier: PREMIUM
   prefixLength: 96
   region: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION
   selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/addresses/ADDRESS_NAME
   status: IN_USE
   subnetwork: https://www.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/subnetworks/SUBNET
   users:
   - https://www.googleapis.com/compute/v1/projects/PROJECT/zones/ZONE/instances/VM_NAME
   

   • Si l'adresse IP n'est pas utilisée, le champ status est défini sur RESERVED.
   • Si l'adresse IP est utilisée, le champ status est défini sur IN_USE, et le champ users affiche la VM qui utilise l'adresse IP.

2. Si l'adresse IP est utilisée, annulez l'attribution de l'adresse IPv6 externe régionale statique à la VM à l'aide de la commande instance network-interfaces update.

   gcloud alpha compute instances network-interfaces update VM_NAME \
       --network-interface=nic0 \
       --ipv6-network-tier=PREMIUM \
       --stack-type=IPV4_ONLY \
       --zone=ZONE
   

   Remplacez les éléments suivants :

   • VM_NAME : nom de l'instance de machine virtuelle qui utilise l'adresse IP
   • ZONE : zone de l'instance

3. Vérifiez que votre adresse IP externe statique est maintenant disponible et marquée comme RESERVED au lieu de IN_USE.

   gcloud compute addresses list \
       --filter="ADDRESS_NAME AND region=REGION"
   

   Remplacez les éléments suivants :

   • ADDRESS_NAME: nom de la ressource d'adresse IPv6.
   • REGION: région de la ressource d'adresse IPv6.

Libérer une adresse IPv6 externe régionale statique

Si vous n'avez plus besoin de l'adresse IPv6 réservée, vous pouvez la libérer. L'adresse libérée est renvoyée au pool d'adresses éphémères dans le sous-réseau et peut être utilisée par d'autres ressources.

Exécutez la commande compute addresses delete.

gcloud compute addresses delete ADDRESS_NAME

Remplacez ADDRESS_NAME par le nom de l'adresse IPv6 à libérer.

Restreindre les adresses IP externes à des VM spécifiques

Pour certaines charges de travail, il est possible que vous deviez respecter des conditions requises essentielles, telles que des restrictions de sécurité et de réseau. Par exemple, vous pouvez restreindre les adresses IP externes afin que seules des VM spécifiques puissent les utiliser. Cette option permet d'éviter l'exfiltration de données ou de maintenir l'isolation du réseau. À l'aide d'une règle d'administration, vous pouvez limiter les adresses IP externes à des VM spécifiques avec des contraintes pour contrôler l'utilisation des adresses IP externes pour vos instances de VM au sein d'une organisation ou d'un projet.

Voici la contrainte permettant de contrôler les adresses IP externes sur les VM :

constraints/compute.vmExternalIpAccess

Pour utiliser la contrainte, vous devez spécifier une règle avec la liste allowedList des VM autorisées à avoir des adresses IP externes. Si vous ne spécifiez pas de règle, toutes les adresses IP externes sont autorisées pour toutes les VM. Lorsque la règle est en place, seules les VM répertoriées dans la liste allowedValues peuvent se voir attribuer une adresse IP externe, éphémère ou statique. En revanche, les autres VM Compute Engine dans l'organisation ou le projet et qui ne sont pas explicitement définies dans la règle ne sont pas autorisées à utiliser des adresses IP externes.

Les VM sont identifiées dans les listes d'autorisation et de refus à l'aide de l'URI :

projects/PROJECT_ID/zones/ZONE/instances/VM_NAME

Spécifications de restriction des adresses IP externes

• Vous ne pouvez appliquer cette contrainte de liste qu'aux VM.
• Vous ne pouvez pas appliquer la contrainte rétroactivement. Toutes les VM disposant d'adresses IP externes avant d'activer la règle conservent leurs adresses IP externes.
• Cette contrainte accepte soit une liste allowedList, soit une liste deniedList, mais pas les deux dans la même règle.
• C'est à vous ou à un administrateur disposant des autorisations nécessaires de gérer et d'administrer le cycle de vie et l'intégrité de l'instance. La contrainte ne valide que l'URI de l'instance et n'empêche pas les VM autorisées d'être modifiées, supprimées ni recréées.

Autorisations requises pour restreindre les adresses IP externes

Pour définir une contrainte au niveau du projet ou de l'organisation, vous devez disposer du rôle orgpolicy.policyAdmin sur l'organisation.

Définir la contrainte de règle au niveau de l'organisation