Réserver une adresse IP externe statique

Si une instance de machine virtuelle (VM) nécessite une adresse IP externe fixe qui ne change pas, vous pouvez l'obtenir de l'une des façons suivantes :

Réservez une nouvelle adresse IP externe statique, puis attribuez-la à une nouvelle instance de VM.
Convertissez une adresse IP externe éphémère en adresse IP externe statique.

Si vous avez besoin d'une adresse IP statique sur votre réseau interne Compute Engine, consultez la page Réserver une adresse IP interne statique.

Dans Compute Engine, chaque instance de VM peut avoir plusieurs interfaces réseau. Chaque interface peut avoir des adresses IP internes et externes. Les règles de transfert peuvent disposer d'adresses IP externes pour l'équilibrage de charge externe ou d'adresses internes pour l'équilibrage de charge interne. Pour en savoir plus sur les adresses IP, consultez la documentation sur les adresses IP.

Avant de commencer

Si vous souhaitez utiliser les exemples de ligne de commande de ce guide, procédez comme suit :
1. Installez la dernière version de l'outil de ligne de commande gcloud ou appliquez la mise à jour correspondante.
2. Définissez une région et une zone par défaut.
Si vous voulez utiliser les exemples d'API de ce guide, configurez l'accès aux API.
Consultez la section Adresses IP.

Réserver une nouvelle adresse IP externe statique

Une adresse IP externe statique est une adresse IP externe réservée pour votre projet jusqu'à ce que vous décidiez de la libérer. Si vous disposez d'une adresse IP qui permet à vos clients ou utilisateurs d'accéder à votre service, vous pouvez réserver cette adresse IP pour qu'elle ne puisse être utilisée que par votre projet. Il est également possible de convertir une adresse IP externe éphémère en adresse IP externe statique.

Vous pouvez réserver deux types d'adresses IP externes :

Une adresse IP régionale qui peut être utilisée par les instances de VM avec une ou plusieurs interfaces réseau ou par les équilibreurs de charge réseau.
Une adresse IP globale qui peut servir pour les équilibreurs de charge globaux (HTTP(S), proxy SSL et proxy TCP).

Réservez une adresse IP externe statique dans l'outil de ligne de commande gcloud ou via l'API. Une fois l'adresse réservée, attribuez-la à une instance lors de sa création ou à une instance existante.

Restrictions

Une adresse IP externe statique peut être utilisée par une seule ressource à la fois.
Il n'y a aucun moyen de savoir si une adresse IP est statique ou éphémère après son attribution à une ressource, si ce n'est en comparant l'adresse IP à la liste des adresses IP externes statiques réservées pour ce projet. Exécutez la sous-commande addresses list pour afficher la liste des adresses IP externes statiques disponibles pour le projet.
Chaque instance de VM peut avoir plusieurs interfaces réseau, mais chaque interface ne peut posséder qu'une seule adresse IP externe, qu'elle soit éphémère ou statique.

Remarque : Les interfaces réseau peuvent recevoir du trafic provenant de plusieurs règles de transfert, qui peuvent diffuser d'autres adresses IP externes. N'importe quel nombre d'adresses IP externes peut faire référence à une interface réseau via ces règles de transfert, mais chaque interface réseau ne peut avoir qu'une seule adresse IP externe en charge de convertir les paquets vers l'adresse IP interne de l'interface.

Pour en savoir plus sur l'équilibrage de charge et les règles de transfert, consultez la documentation sur l'équilibrage de charge.

Console

Dans Cloud Console, accédez à la page Réserver une adresse statique.

Accéder à la page Réserver une adresse statique
Choisissez un nom pour la nouvelle adresse.
Indiquez s'il s'agit d'une adresse IPv4 ou IPv6. Les adresses IPv6 ne peuvent être que globales et ne peuvent être utilisées qu'avec les équilibreurs de charge globaux HTTP(S), proxy SSL et TCP.
Choisissez si cette adresse IP est régionale ou globale. Si vous réservez une adresse IP statique pour une instance ou pour un équilibreur de charge réseau, sélectionnez Régional. Si vous réservez une adresse IP statique pour un équilibreur de charge HTTP(S), proxy SSL ou TCP, sélectionnez Global.
S'il s'agit d'une adresse IP régionale, sélectionnez la région dans laquelle créer l'adresse.
Facultatif. Sélectionnez une ressource à laquelle associer l'adresse IP.
Cliquez sur Réserver pour réserver l'adresse IP.

gcloud

Pour réserver une nouvelle adresse IP externe statique à l'aide de gcloud compute, utilisez la commande compute addresses create et indiquez si vous souhaitez réserver une adresse IP globale ou régionale :

gcloud compute addresses create ADDRESS_NAME \
    [--region REGION | --global ] \
    [--ip-version [IPV4 | IPV6]]

Où :

ADDRESS_NAME : correspond au nom que vous souhaitez donner à cette adresse.
Si vous spécifiez une adresse IP régionale, indiquez la valeur REGION souhaitée pour la requête. Elle doit être la même que celle de la ressource à laquelle vous souhaitez associer l'adresse IP.
S'il s'agit d'une adresse IP globale, spécifiez l'indicateur --global. Si vous souhaitez une adresse IPv6, spécifiez les indicateurs --global et --ip-version IPV6. Les adresses IPv6 ne peuvent être que globales et n'être utilisées qu'avec les équilibreurs de charge globaux HTTP(S), proxy SSL et TCP.

Utilisez la commande compute addresses describe pour afficher le résultat :

gcloud compute addresses describe ADDRESS_NAME

API

Pour créer une adresse IPv4 régionale, appelez la méthode addresses.insert régionale :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

Le corps de votre requête doit contenir les éléments suivants :

{
  name: "ADDRESS_NAME"
}

Remplacez les éléments suivants :

ADDRESS_NAME : nom que vous souhaitez donner à cette adresse.
REGION : nom de la région pour cette requête.
PROJECT_ID : ID du projet pour cette requête.

Pour les adresses IPv4 statiques globales, appelez la méthode globalAddresses.insert :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Le corps de votre requête doit contenir les éléments suivants :

{
  name: "ADDRESS_NAME"
}

Pour les adresses IPv6 statiques globales, appelez la méthode globalAddresses.insert :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Le corps de votre requête doit contenir les éléments suivants :

{
  "name": "ADDRESS_NAME",
  "ipVersion": "IPV6"
}

Utilisez la méthode addresses.get pour afficher le résultat.

Attribuer une adresse IP externe statique à une nouvelle instance de VM

Lorsque vous créez une instance de VM, une adresse IP externe éphémère lui est automatiquement attribuée. Si vous ne voulez pas d'adresse IP externe éphémère, vous pouvez explicitement attribuer une adresse IP externe statique à l'instance.

Console

Dans Cloud Console, accédez à la page Instances de VM.
Accéder à la page Instances de VM
Cliquez sur Créer une instance.
Sur la page Créer une instance, renseignez les propriétés de votre instance.

Développez la section Gestion, sécurité, disques, mise en réseau et location unique.
Cliquez sur Mise en réseau.
Sous Interfaces réseau, cliquez sur l'interface réseau par défaut pour la modifier.
Sous la section Adresse IP externe, sélectionnez l'adresse IP externe statique que vous avez réservée dans le menu déroulant.
Cliquez sur OK pour terminer la modification de l'interface réseau par défaut.
Cliquez sur Créer pour créer l'instance.

gcloud

Pour attribuer une adresse IP externe statique, utilisez l'option --address lors de la création de l'instance et indiquez l'adresse IP externe statique :

gcloud compute instances create INSTANCE_NAME --address IP_ADDRESS

Remplacez les éléments suivants :

INSTANCE_NAME : nom de l'instance.
IP_ADDRESS : adresse IP à attribuer à l'instance. Utilisez l'adresse IP, pas le nom de l'adresse.

API

Dans votre requête de création d'instance, indiquez explicitement la propriété networkInterfaces[].accessConfigs[].natIP et l'adresse IP externe que vous souhaitez utiliser. Exemple :

{
  "name": "INSTANCE_NAME",
  "machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
  "networkInterfaces": [{
    "accessConfigs": [{
      "type": "ONE_TO_ONE_NAT",
      "name": "External NAT",
      "natIP": "IP_ADDRESS"
     }],
    "network": "global/networks/default"
  }],
  "disks": [{
     "autoDelete": "true",
     "boot": "true",
     "type": "PERSISTENT",
     "initializeParams": {
        "sourceImage": "projects/debian-cloud/global/images/v20150818"
     }
   }]
 }

Modifier ou attribuer une adresse IP externe à une instance existante

Vous pouvez modifier ou attribuer une adresse IP externe, éphémère ou statique, à une instance existante en modifiant la configuration d'accès de l'instance.

Une instance peut avoir plusieurs interfaces et chaque interface peut avoir une adresse IP externe. Si l'instance en possède déjà une, vous devez d'abord retirer l'adresse IP externe existante en supprimant l'ancienne configuration d'accès. Vous pouvez ensuite ajouter une configuration d'accès avec la nouvelle adresse IP externe.

Console

Dans Cloud Console, accédez à la page Instances de VM :
Accéder à la page Instances de VM
Cliquez sur le nom de l'instance à laquelle vous souhaitez attribuer une adresse IP externe. La page de détails de l'instance s'affiche.
Sur la page des détails de l'instance, procédez comme suit :
1. Cliquez sur Modifier.
2. Sous Network interfaces (Interfaces réseau), cliquez sur le bouton Modifier.
3. Sous External IP (Adresse IP externe), sélectionnez une adresse IP externe éphémère ou statique à attribuer à l'instance.
4. Cliquez sur OK.
5. Cliquez sur Enregistrer.

gcloud

[Facultatif] Réservez une adresse IP externe statique.

Si vous souhaitez attribuer une adresse IP externe statique, vous devez réserver une adresse et vous assurer que celle-ci n'est pas utilisée par une autre ressource. Si nécessaire, suivez les instructions pour réserver une nouvelle adresse IP externe statique ou pour annuler l'attribution d'une adresse IP externe statique.

Si vous souhaitez utiliser une adresse IP externe éphémère, vous pouvez ignorer cette étape. Compute Engine vous attribuera alors une adresse IP externe éphémère de manière aléatoire.
Supprimez les configurations d'accès existantes.

Une instance ne peut avoir qu'une seule configuration d'accès. Avant d'essayer d'attribuer une nouvelle configuration d'accès à une instance, vérifiez si votre instance dispose d'une configuration d'accès en effectuant une requête gcloud compute instances describe :
```
gcloud compute instances describe INSTANCE_NAME
```
S'il existe déjà une configuration d'accès, elle s'affiche au format suivant :
```
networkInterfaces:
- accessConfigs:
  - kind: compute#accessConfig
    name: external-nat
    natIP: 130.211.181.55
    type: ONE_TO_ONE_NAT
```
Remarque : Le nom de votre configuration d'accès, name, peut être différent de external-nat. Pensez à vérifier le nom de votre propre configuration d'accès. Dans certains cas, une ancienne version du nom de la configuration d'accès, External NAT, peut être utilisée.

Avant d'ajouter une configuration d'accès, vous devez supprimer la configuration existante à l'aide de la sous-commande instances delete-access-config :
```
gcloud compute instances delete-access-config INSTANCE_NAME \
    --access-config-name "ACCESS_CONFIG_NAME"
```
Remplacez les éléments suivants :
- INSTANCE_NAME : nom de l'instance.
- ACCESS_CONFIG_NAME : configuration d'accès à supprimer. Assurez-vous d'inclure le nom complet entre guillemets.
Ajoutez la nouvelle adresse IP externe.

Exécutez la sous-commande instances add-access-config pour ajouter une adresse IP externe :

Remarque : Ne remplacez pas IP_ADDRESS par le nom de l'adresse IP statique. Vous devez utiliser l'adresse IP réelle.
```
gcloud compute instances add-access-config INSTANCE_NAME \
   --access-config-name "ACCESS_CONFIG_NAME" --address IP_ADDRESS
```
Remplacez les éléments suivants :
- INSTANCE_NAME : nom de l'instance.
- ACCESS_CONFIG_NAME : nom destiné à cette configuration d'accès. Assurez-vous d'inclure le nom complet entre guillemets.
- IP_ADDRESS : adresse IP à ajouter.
Si vous souhaitez que Compute Engine attribue une adresse IP externe éphémère plutôt que d'utiliser une adresse IP externe statique, ne renseignez pas la propriété --address IP_ADDRESS :
```
gcloud compute instances add-access-config INSTANCE_NAME \
    --access-config-name "ACCESS_CONFIG_NAME"
```

Convertir une adresse IP externe éphémère

Si votre instance possède une adresse IP externe éphémère et que vous souhaitez l'attribuer de manière permanente à votre projet, convertissez l'adresse IP externe éphémère en adresse IP externe statique. La conversion d'une adresse IP externe éphémère en adresse IP réservée n'entraîne pas la suppression des paquets envoyés à l'instance par Google Cloud. Cela inclut les paquets envoyés à l'instance directement ou au moyen d'un équilibreur de charge.

Console

Dans Cloud Console, accédez à la page Adresses IP externes.
Accéder à la page Adresses IP externes
Dans la colonne Type, définissez le type d'adresse sur Statique pour l'adresse IP que vous souhaitez convertir.
Indiquez un nom pour la nouvelle adresse IP statique, puis cliquez sur Réserver.

gcloud

Pour convertir une adresse IP externe éphémère en adresse IP externe statique, indiquez l'adresse IP externe éphémère à l'aide de l'option --addresses avec la commande compute addresses create. Utilisez l'option region pour convertir une adresse IP régionale éphémère ou l'option global pour convertir une adresse IP globale éphémère.

gcloud compute addresses create ADDRESS_NAME \
  --addresses IP_ADDRESS \
  [--region REGION | --global]

Remplacez les éléments suivants :

ADDRESS_NAME : nom que vous souhaitez donner à cette adresse.
IP_ADDRESS : adresse IP que vous souhaitez promouvoir.
REGION : région à laquelle appartient l'adresse IP régionale.

API

Pour promouvoir une adresse IP régionale éphémère, appelez la méthode addresses.insert :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

Le corps de votre requête doit contenir les éléments suivants :

{
  name: "ADDRESS_NAME",
  address: "IP_ADDRESS"
}

Remplacez les éléments suivants :

ADDRESS_NAME : nom que vous souhaitez donner à cette adresse.
IP_ADDRESS : adresse IP que vous souhaitez promouvoir.
REGION : région à laquelle appartient l'adresse IP.
PROJECT_ID : ID du projet pour cette requête.

Pour convertir une adresse IP globale éphémère, envoyez une requête POST à l'URI suivant :

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/addresses

Le corps de votre requête doit contenir les éléments suivants :

{
  name: "ADDRESS_NAME",
  address: "IP_ADDRESS"
}

Remplacez les éléments suivants :

ADDRESS_NAME : nom que vous souhaitez donner à cette adresse.
IP_ADDRESS : adresse IP que vous souhaitez promouvoir.
PROJECT_ID : ID du projet pour cette requête.

L'adresse IP externe reste associée à l'instance même après sa conversion en adresse IP externe statique. Si vous devez attribuer l'adresse IP externe statique que vous venez de convertir à une autre ressource, annulez l'attribution de l'adresse IP externe statique à l'instance existante.

Répertorier des adresses IP externes statiques

Pour répertorier les adresses IP externes statiques que vous avez réservées pour votre projet, exécutez la commande addresses list ou envoyez une requête GET à l'API.

Console

Dans Cloud Console, accédez à la page Adresses IP externes pour afficher la liste des adresses IP de votre projet.

Accéder à la page "Adresses IP externes"

gcloud

Utiliser la commande compute addresses list

gcloud compute addresses list

API

Appelez la méthode addresses.list :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

Remplacez les éléments suivants :

REGION : nom de la région pour cette requête.
PROJECT_ID : ID du projet pour cette requête.

Pour répertorier toutes les adresses dans toutes les régions, appelez la méthode aggregatedList.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/addresses

Décrire une adresse IP externe statique

Pour obtenir des informations sur une adresse IP externe statique, utilisez la console, l'outil gcloud ou l'API.

Console

Dans Cloud Console, accédez à la page Adresses IP externes.
Accéder à la page Adresses IP externes
Cliquez sur l'adresse IP pour laquelle vous souhaitez obtenir plus d'informations.

gcloud

Utilisez la commande addresses describe et remplacez ADDRESS_NAME par le nom de l'adresse IP externe que vous souhaitez décrire.

gcloud compute addresses describe ADDRESS_NAME

API

Appelez la méthode addresses.get :

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME

Remplacez les éléments suivants :

ADDRESS_NAME : nom de l'adresse IP.
REGION : nom de la région pour cette requête.
PROJECT_ID : ID du projet pour cette requête.

Annuler l'attribution d'une adresse IP externe statique

Vous pouvez annuler l'attribution d'une adresse IP externe statique en supprimant l'instance ou en supprimant la configuration d'accès associée à l'instance qui utilise l'adresse. Annuler l'attribution d'une adresse IP externe statique permet de la réattribuer à une autre ressource.

Cette annulation d'attribution supprime l'adresse IP de la ressource, mais elle reste réservée au projet. Vous pouvez vérifier qu'une adresse IP statique est utilisée en envoyant une requête gcloud compute addresses list :

gcloud compute addresses list

La réponse peut ressembler à la suivante :

NAME                 REGION      ADDRESS            STATUS
example-address      REGION    130.211.160.207    RESERVED
example-address-new  REGION    130.211.114.137    IN_USE

Dans cet exemple, l'adresse example-address-new est actuellement utilisée.

Pour supprimer la configuration d'accès d'une instance et annuler l'attribution d'une adresse IP externe statique, procédez comme suit :

Récupérez le nom de la configuration d'accès à supprimer. Pour cela, utilisez la commande gcloud compute instances describe. Remplacez INSTANCE_NAME par le nom de l'instance.
```
gcloud compute instances describe INSTANCE_NAME
```
La configuration d'accès s'affiche au format suivant :
```
networkInterfaces:
- accessConfigs:
 - kind: compute#accessConfig
   name: external-nat
   natIP: 130.211.181.55
   type: ONE_TO_ONE_NAT
```
Remarque : Le nom de votre configuration d'accès, name, peut être différent de external-nat. Pensez à vérifier le nom de votre propre configuration d'accès. Dans certains cas, une ancienne version du nom de la configuration d'accès, External NAT, peut être utilisée.
Supprimez la configuration d'accès.

Remarque : Gardez à l'esprit que si une instance n'a pas de configuration d'accès, elle ne pourra pas accéder à Internet.

Exécutez la commande instances delete-access-config :
```
gcloud compute instances delete-access-config INSTANCE_NAME \
        --access-config-name "ACCESS_CONFIG_NAME"
```
Remplacez les éléments suivants :
- INSTANCE_NAME : nom de l'instance.
- ACCESS_CONFIG_NAME : nom de la configuration d'accès à supprimer. Assurez-vous d'inclure le nom complet entre guillemets.

Vérifiez que votre adresse IP externe statique est maintenant disponible et marquée comme RESERVED au lieu de IN_USE.

gcloud compute addresses list

Exemple :

NAME                 REGION      ADDRESS            STATUS
example-address      REGION      130.211.160.207    RESERVED
example-address-new  REGION      130.211.114.137    RESERVED

Maintenant que votre adresse IP externe statique est disponible, vous pouvez choisir de l'attribuer à une autre instance.

Libérer une adresse IP externe statique

Si vous n'avez plus besoin d'une adresse IP externe statique, vous pouvez la libérer afin qu'elle soit renvoyée au pool d'adresses IP général pour les autres utilisateurs de Compute Engine.

Console

Dans Cloud Console, accédez à la page Adresses IP externes.
Accéder à la page Adresses IP externes
Cochez la case à côté de l'adresse IP à libérer.
Cliquez sur Libérer l'adresse IP.

gcloud

Exécutez la commande compute addresses delete. Remplacez ADDRESS_NAME par le nom de l'adresse IP à libérer.

gcloud compute addresses delete ADDRESS_NAME

API

Appelez la méthode addresses.delete :

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME

Remplacez les éléments suivants :

ADDRESS_NAME : nom de l'adresse IP.
REGION : nom de la région pour cette requête.
PROJECT_ID : ID du projet pour cette requête.

Restreindre les adresses IP externes à des instances de VM spécifiques

Pour certaines charges de travail, il est possible que vous deviez respecter des conditions requises essentielles, telles que des restrictions de sécurité et de réseau. Par exemple, vous pouvez restreindre l'adresse IP externe afin que seules des instances de VM spécifiques puissent les utiliser. Cette option permet d'éviter l'exfiltration de données ou de maintenir l'isolation du réseau. À l'aide d'une règle d'administration, vous pouvez limiter les adresses IP externes à des instances de VM spécifiques avec des contraintes pour contrôler l'utilisation des adresses IP externes pour vos instances de VM au sein d'une organisation ou d'un projet.

Voici la contrainte pour contrôler les adresses IP externes sur les instances de VM :

constraints/compute.vmExternalIpAccess

Pour utiliser la contrainte, vous devez spécifier une règle avec la liste allowedList des instances de VM pouvant avoir des adresses IP externes. Si aucune règle n'est spécifiée, toutes les adresses IP externes sont autorisées pour toutes les instances de VM. Lorsque la règle est en place, seules les instances de VM répertoriées dans la liste allowedValues peuvent se voir attribuer une adresse IP externe, éphémère ou statique. En revanche, les autres instances de VM Compute Engine, dans l'organisation ou le projet, qui ne sont pas explicitement définies dans la règle ne sont pas autorisées à utiliser des adresses IP externes.

Les VM sont identifiées dans les listes d'autorisation ou d'interdiction à l'aide de l'URL de l'instance :

projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

Spécifications

Vous ne pouvez appliquer cette contrainte de liste qu'aux instances de VM.
Vous ne pouvez pas appliquer la contrainte rétroactivement. Toutes les instances de VM qui ont des adresses IP externes avant que la règle ne soit activée conserveront leur adresse IP externe.
Cette contrainte accepte soit une liste allowedList, soit une liste deniedList, mais pas les deux dans la même règle.
C'est à vous ou à un administrateur disposant des autorisations nécessaires de gérer et d'administrer le cycle de vie et l'intégrité de l'instance. La contrainte valide uniquement l'URL de l'instance et n'empêche pas les VM de la liste blanche d'être modifiées, supprimées ni recréées.

Autorisations

Pour définir une contrainte au niveau du projet ou de l'organisation, vous devez disposer du rôle orgpolicy.policyAdmin sur l'organisation.

Définir la contrainte de règle au niveau de l'organisation

Pour définir une contrainte pour l'accès aux adresses IP externes, vous devez d'abord disposer de l'ID de votre organisation.

Trouver l'ID de votre organisation

Console

Vous pouvez également trouver l'ID dans Google Cloud Console :

Connectez-vous à Google Cloud Console.
Cliquez sur le sélecteur de projet.
Sélectionnez une organisation, puis recherchez l'ID de l'organisation.

gcloud

Vous pouvez trouver le n numérique en exécutant la commande organizations list et en recherchant l'ID dans la réponse :

gcloud organizations list

L'outil gcloud renvoie un résultat semblable au suivant :

DISPLAY_NAME           ID
example-organization   29252605212

Définir une contrainte de règle

Console

Accédez à la page Règles d'administration.
Accéder à la page Règles de l'organisation
Si nécessaire, choisissez l'organisation souhaitée dans le menu déroulant du projet.
Cliquez sur Définir les adresses IP externes autorisées pour les instances de VM.
Cliquez sur Modifier pour modifier la règle des adresses IP externes. Si vous ne pouvez pas accéder à l'outil Modifier, vous ne disposez pas des autorisations appropriées.
Sélectionnez Plate-forme du processeur et GPU pour appliquer spécifiquement une règle d'administration à certaines instances de VM.
Choisissez l'option souhaitée pour Application des règles et Type de règles.
Sous Valeurs de règles, sélectionnez Personnalisé.
Saisissez une URL partielle pointant vers une instance de machine virtuelle, puis appuyez sur "Entrée". Continuez à saisir les instances de VM comme vous le souhaitez.
Cliquez sur Enregistrer pour enregistrer les modifications.

gcloud

Exécutez la commande gcloud beta resource-manager org-policies set-policy pour définir la règle. Vous devrez fournir votre règle sous la forme d'un fichier JSON. Créez un fichier JSON dont le contenu ressemble à celui-ci :

{
"constraint": "constraints/compute.vmExternalIpAccess",
"listPolicy": {
  "allowedValues": [
     "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
     "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
     "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
  ]
 }
}

Remplacez les éléments suivants :

PROJECT_ID : ID du projet pour cette requête, tel que example-project. Sachez que la procédure diffère des étapes à suivre pour configurer les règles d'administration qui, elles, nécessitent l'ID numérique de l'organisation.
ZONE : zone de l'instance.
INSTANCE_NAME : nom de l'instance.

Vous pouvez également spécifier une liste deniedValues pour indiquer les instances de VM pour lesquelles vous voulez explicitement interdire les adresses IP externes. Les instances qui ne figurent pas sur la liste seront implicitement autorisées à posséder une adresse IP externe. Vous pouvez spécifier une liste allowedValues ou une liste deniedValues, mais pas les deux.

Ensuite, transmettez le fichier avec votre requête :

gcloud beta resource-manager org-policies set-policy MY_POLICY.JSON --organization ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'ID numérique de l'organisation.

Si vous ne souhaitez pas que les instances aient accès aux adresses IP externes, vous pouvez configurer une règle avec le paramètre allValues défini sur DENY :

{
  "constraint": "constraints/compute.vmExternalIpAccess",
  "listPolicy": {
    "allValues": "DENY"
  }
}

API

Utilisez l'API setOrgPolicy() pour définir votre contrainte. Les VM de la liste allowedValue que vous avez spécifiées seront autorisées à disposer d'adresses IP externes. Vous pouvez également spécifier une liste deniedValues pour indiquer les instances de VM pour lesquelles vous voulez explicitement interdire les adresses IP externes. Les instances qui ne figurent pas sur la liste seront implicitement autorisées à posséder une adresse IP externe. Vous pouvez spécifier une liste allowedValues ou une liste deniedValues, mais pas les deux.

Par exemple, voici une requête permettant de définir la contrainte compute.vmExternalIpAccess sur une organisation, dans laquelle les instances de VM de certains projets de l'organisation sont autorisées à posséder des adresses IP externes :

POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORGANIZATION_ID:setOrgPolicy

où ORGANIZATION_ID est l'ID numérique de l'organisation.

Dans le corps de votre requête, indiquez la règle souhaitée pour cette contrainte :

{
  "policy": {
    "constraint": "constraints/compute.vmExternalIpAccess",
    "listPolicy": {
      "allowedValues": [
        "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
        "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME",
        "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
        ]
      }
    }
 }

Si vous ne souhaitez pas que les instances aient accès aux adresses IP externes, vous pouvez configurer une règle avec le paramètre allValues défini sur DENY :

{
  "policy": {
    "constraint": "constraints/compute.vmExternalIpAccess",
    "listPolicy": {
      "allValues": "DENY"
      }
    }
 }

Définir la règle au niveau du projet

Une règle définie au niveau du projet est prioritaire sur la règle définie au niveau de l'organisation. Exemple : si example-vm-1 figure sur la liste allowedValues au niveau de l'organisation, mais que la règle au niveau du projet mentionne la même VM sur la liste deniedValues, l'instance de VM ne sera pas autorisée à posséder une adresse IP externe.

Console

Suivez la même procédure que celle décrite à la section Définir la contrainte de règle au niveau de l'organisation en choisissant le projet souhaité dans le sélecteur de projet plutôt que via le sélecteur d'organisation.

Sélecteur de projet

gcloud

{
 "constraint": "constraints/compute.vmExternalIpAccess",
 "listPolicy": {
  "allowedValues": [
   "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
  ]
 }
}

Remplacez les éléments suivants :

PROJECT_ID : ID du projet pour cette requête, tel que example-project. Sachez que la procédure diffère des étapes à suivre pour configurer les règles d'administration qui, elles, nécessitent l'ID numérique de l'organisation.
ZONE : zone de l'instance.
INSTANCE_NAME : nom de l'instance.

Vous pouvez également spécifier une liste deniedValues d'instances de VM pour lesquelles vous voulez explicitement interdire les adresses IP externes. Les instances qui ne figurent pas sur la liste seront implicitement autorisées à posséder une adresse IP externe. Vous pouvez spécifier une liste allowedValues ou une liste deniedValues, mais pas les deux.

Ensuite, transmettez le fichier avec votre requête :

gcloud beta resource-manager org-policies set-policy MY_POLICY.JSON --project example-project

API

Utilisez l'API setOrgPolicy() pour définir votre contrainte. Les VM de la liste allowedValue que vous avez spécifiées seront autorisées à disposer d'adresses IP externes. Vous pouvez également spécifier une liste deniedValues pour indiquer les instances de VM pour lesquelles vous voulez explicitement interdire les adresses IP externes. Les instances qui ne figurent pas sur la liste sont implicitement autorisées à posséder une adresse IP externe. Vous pouvez spécifier une liste allowedValues ou une liste deniedValues, mais pas les deux.

Par exemple, voici une requête permettant de définir la contrainte compute.vmExternalIpAccess sur un projet pour autoriser des instances de VM spécifiques à posséder des adresses IP externes :

POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setOrgPolicy

Remplacez PROJECT_ID par l'ID du projet pour cette requête.

Le corps de la requête contient la règle souhaitée pour cette contrainte :

{
 "policy": {
  "constraint": "constraints/compute.vmExternalIpAccess",
  "listPolicy": {
   "allowedValues": [
    "projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
   ]
  }
 }
}

Bonnes pratiques

Google vous recommande d'éviter d'utiliser la liste deniedValues avec cette contrainte. Si vous définissez des valeurs dans la liste deniedValues, cela signifie que seules les instances de VM de la liste deniedValues ne peuvent pas se servir d'adresses IP externes. Cela peut poser un problème de sécurité si vous souhaitez contrôler exactement quelles instances peuvent disposer d'adresses IP externes. Si vous voulez supprimer certaines instances de la liste allowedValues, mettez à jour la règle existante pour retirer les instances de la liste allowedList plutôt que d'ajouter des instances à la liste deniedValues à un niveau hiérarchique inférieur.
Si vous souhaitez définir une règle sur une grande partie de la hiérarchie des ressources, mais exclure certains projets, vous devez restaurer la règle par défaut à l'aide de la méthode setOrgPolicy. Pour ce faire, spécifiez l'objet restoreDefault pour que toutes les VM des projets puissent être associées à des adresses IP externes. Les règles actuellement en place pour les projets ne seront pas affectées par ce paramètre par défaut.
Appliquez cette règle d'administration avec les rôles IAM pour mieux contrôler votre environnement. Cette règle s'applique uniquement aux instances de VM, mais si vous souhaitez mieux contrôler et restreindre les adresses IP externes sur les appareils réseau, vous pouvez accorder le rôle compute.networkAdmin aux parties appropriées.
Tous les services et produits qui s'exécutent sur Compute Engine au sein de l'organisation ou du projet avec la règle activée sont soumis à cette règle d'administration. Plus précisément, les services tels que Google Kubernetes Engine, Cloud Dataflow, Cloud Dataproc et Cloud SQL sont affectés par cette règle. Si cela pose problème, Google recommande de configurer d'autres services et produits dans un projet différent auquel la règle d'administration n'est pas appliquée, et d'utiliser si nécessaire XPN (cross-project networking).

Étapes suivantes

Obtenez plus d'informations sur les adresses IP.
Obtenez plus d'informations sur les réseaux et pare-feu.
Apprenez à adresser les instances de VM à l'aide du DNS interne.