Adresses IP


De nombreuses Google Cloud ressources peuvent avoir des adresses IP internes et des adresses IP externes. Par exemple, vous pouvez attribuer une adresse IP interne et externe aux instances Compute Engine. Les instances utilisent ces adresses pour communiquer avec d'autres Google Cloud ressources et systèmes externes.

Chaque interface réseau utilisée par une instance doit avoir une adresse IPv4 interne principale. Chaque interface réseau peut également avoir une ou plusieurs plages d'alias IPv4, ainsi qu'une adresse IPv4 externe. Si l'instance est connectée à un sous-réseau compatible avec IPv6, chaque interface réseau peut également se voir attribuer des adresses IPv6 internes ou externes.

Une instance peut communiquer avec d'autres instances sur le même réseau cloud privé virtuel (VPC) à l'aide de l'adresse IPv4 interne de l'instance. Si les instances sont configurées pour IPv6, vous pouvez également utiliser l'une des adresses IPv6 internes ou externes de l'instance. Il est recommandé d'utiliser des adresses IPv6 internes pour les communications internes.

Pour communiquer avec Internet, vous pouvez utiliser une adresse IPv4 externe ou une adresse IPv6 externe configurée sur l'instance. Si aucune adresse externe n'est configurée sur l'instance, Cloud NAT peut être utilisé pour le trafic IPv4.

De même, vous devez utiliser l'adresse IPv4 ou l'adresse IPv6 externe de l'instance pour vous connecter à des instances en dehors du même réseau VPC. Toutefois, si les réseaux sont connectés d'une manière ou d'une autre, par exemple à l'aide de l'appairage de réseaux VPC, vous pouvez utiliser l'adresse IP interne de l'instance.

Pour plus d'informations sur l'identification des adresses IP interne et externe de vos instances, consultez la section Afficher la configuration réseau d'une instance.

Adresses IP internes

Les interfaces réseau d'une instance se voient attribuer des adresses IP du sous-réseau auquel elles sont connectées. Chaque interface réseau possède une adresse IPv4 interne principale, attribuée à partir de la plage d'adresses IPv4 principale du sous-réseau. Si le sous-réseau possède une plage IPv6 interne, vous pouvez éventuellement configurer l'interface réseau avec une adresse IPv6 interne principale en plus de l'adresse IPv4 interne principale.

Les adresses IPv4 internes peuvent être attribuées de différentes manières :

  • Compute Engine attribue automatiquement une adresse IPv4 unique à partir des plages de sous-réseaux IPv4 principales.
  • Vous pouvez attribuer une adresse IPv4 interne spécifique lorsque vous créez une instance de calcul.

Vous pouvez attribuer des adresses IPv6 internes aux instances connectées à un sous-réseau disposant d'une plage IPv6 interne comme suit:

Vous pouvez également réserver une adresse interne statique à partir de la plage IPv4 ou IPv6 du sous-réseau et l'attribuer à une instance.

Les instances Compute peuvent également avoir des adresses IP et des plages d'adresses IP d'alias. Si plusieurs services sont exécutés sur une instance, vous pouvez attribuer à chacun sa propre adresse IP.

Noms DNS internes

Google Cloud résout automatiquement le nom DNS complet d'une instance en adresses IP internes de cette instance. Les noms DNS internes ne fonctionnent que dans le réseau VPC de l'instance.

Pour plus d'informations sur les noms de domaine complets, consultez la section DNS interne.

Adresses IP externes

Si vous devez communiquer avec Internet ou avec les ressources d'un autre réseau VPC, vous pouvez attribuer une adresse IPv4 ou IPv6 externe à une instance. Si les règles de pare-feu ou les stratégies de pare-feu hiérarchiques autorisent la connexion, les sources extérieures à un réseau VPC peuvent atteindre une ressource spécifique en utilisant son adresse IP externe. Seules les ressources disposant d'une adresse IP externe peuvent communiquer directement avec des ressources situées en dehors du réseau VPC. La communication avec une ressource à l'aide d'une adresse IP externe peut entraîner des frais supplémentaires.

Alternatives à l'utilisation d'une adresse IP externe

Les adresses IP internes, ou privées, offrent de nombreux avantages par rapport aux adresses IP externes, ou publiques, dont:

  • Surface d'attaque réduite. Le fait de supprimer les adresses IP externes des instances de calcul complique la tâche des pirates informatiques qui cherchent à accéder aux instances et à exploiter d'éventuelles failles.
  • Flexibilité accrue. L'introduction d'une couche d'abstraction, telle qu'un équilibreur de charge ou un service NAT, permet une prestation de service plus fiable et plus flexible et fait vraiment la différence en comparaison avec les adresses IP externes et statiques.

Le tableau suivant récapitule les méthodes permettant aux instances de calcul d'accéder à Internet ou d'y être accessibles lorsqu'elles ne disposent pas d'adresse IP externe.

Méthode d'accès Solution À utiliser dans les cas suivants :
Interactive Configurer le transfert TCP pour Identity-Aware Proxy (IAP) Vous souhaitez utiliser des services d'administration tels que SSH et RDP pour vous connecter à vos instances de backend, mais les requêtes doivent passer les contrôles d'authentification et d'autorisation avant d'atteindre la ressource cible.
Récupération Passerelle Cloud NAT

Vous souhaitez que vos instances Compute Engine qui ne disposent pas d'adresses IP externes se connectent à Internet (sortant), mais les hôtes situés en dehors de votre réseau VPC ne peuvent pas initier eux-mêmes de connexions à vos instances Compute Engine (entrant). Vous pouvez utiliser cette approche pour les mises à jour de l'OS ou les API externes.

Proxy Web sécurisé Vous devez isoler vos instances Compute Engine d'Internet en créant de nouvelles connexions TCP en leur nom, tout en respectant la stratégie de sécurité gérée.
Diffusion Créer un équilibreur de charge externe Vous souhaitez que les clients se connectent aux ressources sans adresses IP externes, n'importe où dans Google Cloud , tout en protégeant vos instances de calcul contre les attaques DDoS et les attaques directes.

Adresses IP régionales et globales

Lorsque vous répertoriez ou décrivez des adresses IP dans votre projet, Google Cloud attribue des libellés "global" ou "régional" aux adresses, ce qui indique la façon dont une adresse particulière est utilisée. Lorsque vous associez une adresse à une ressource régionale, telle qu'une instance, Google Cloud spécifie que cette adresse est régionale. Les régions sont des régions Google Cloud, telles que us-east4 ou europe-west2.

Les adresses IP globales sont utilisées dans les configurations suivantes:

Pour savoir comment créer une adresse IP globale, consultez la page Réserver une nouvelle adresse IP externe statique.

Présentation du contrat de niveau de service pour la mise en réseau Compute Engine

Compute Engine dispose d'un contrat de niveau de service (SLA), qui définit des objectifs de niveau de service (SLO) pour le pourcentage de disponibilité mensuel des niveaux de service réseau.

Lorsque vous créez une instance Compute Engine, vous obtenez par défaut une adresse IP interne. Vous pouvez également configurer une adresse IP externe avec un réseau de niveau Premium (par défaut) ou Standard. Le niveau de service réseau que vous choisissez dépend de vos exigences en termes de coût et de qualité de service. Chaque niveau de service réseau a un SLO différent.

Lorsque vous créez l'instance de calcul, vous pouvez configurer plusieurs cartes d'interface réseau associées à l'instance, et chacune d'entre elles peut avoir une configuration réseau différente, comme illustré dans le diagramme suivant:

Instance avec trois NIC, chacune gérant un trafic réseau différent avec différents niveaux de service réseau.

Figure 1 : Instance avec trois NIC, chacune gérant un trafic réseau différent avec différents niveaux de service réseau.

Dans le diagramme précédent, l'exemple d'instance nommé Appareil VM comporte trois NIC, qui sont configurées comme suit:

  • nic0 est configuré avec un sous-réseau IP interne.
  • nic1 est configuré avec un sous-réseau IP externe et utilise le niveau de réseau Standard.
  • nic2 est configuré avec un sous-réseau IP externe et utilise le niveau de réseau Premium.

Dans cet exemple, l'instance de VM n'est pas une VM à mémoire optimisée. Selon la carte réseau qui subit une perte de connectivité, différentes SLO sont applicables. La liste suivante décrit le contrat de niveau de service pour les différentes cartes réseau de cet exemple.

  • nic0: VM à instance unique avec des adresses IP internes. Le pourcentage de disponibilité mensuelle est de 99,9%.
  • nic1: VM à instance unique avec une adresse IP externe qui utilise le niveau de réseau standard. Cette VM n'est protégée par aucun contrat de niveau de service. Seules les instances multiples dans les zones sont protégées à 99,9% avec le niveau de réseau standard.
  • nic2: VM à instance unique avec adresse IP externe qui utilise le niveau de réseau Premium. Le pourcentage de disponibilité mensuelle est de 99,9%. Pour plusieurs instances dans différentes zones, le pourcentage de disponibilité mensuel est de 99,99% avec le niveau de mise en réseau Premium.

Étape suivante