Présentation de la mise en réseau pour les VM

Ce document offre un aperçu des fonctionnalités de mise en réseau de vos instances de machine virtuelle (VM). Il fournit une compréhension de base de la manière dont vos instances de machine virtuelle (VM) interagissent avec les réseaux de cloud privé virtuel (VPC). Pour en savoir plus sur les réseaux VPC et les fonctionnalités associées, consultez la section Présentation des réseaux VPC.

Réseaux et sous-réseaux

Chaque VM fait partie d'un réseau VPC. Les réseaux VPC fournissent une connectivité à votre instance de VM avec d'autres Google Cloud produits et avec Internet. Les réseaux VPC peuvent être en mode automatique ou en mode personnalisé.

  • Les réseaux VPC en mode automatique disposent d'un sous-réseau dans chaque région. Tous les sous-réseaux sont contenus dans cette plage d'adresses IP: 10.128.0.0/9. Les réseaux VPC en mode automatique ne sont compatibles qu'avec les plages de sous-réseaux IPv4.
  • Les réseaux en mode personnalisé n'ont pas de configuration de sous-réseau spécifiée. Vous créez des sous-réseaux dans les régions de votre choix et en utilisant les plages d'adresses IP que vous spécifiez. Les réseaux en mode personnalisé sont également compatibles avec les plages de sous-réseaux IPv6.

Sauf si vous choisissez de désactiver cette fonction, chaque projet dispose d'un réseau default, qui est un réseau VPC en mode automatique. Vous pouvez désactiver la création de réseaux par défaut en créant une règle d'administration.

Chaque sous-réseau d'un réseau VPC est associé à une région et contient une ou plusieurs plages d'adresses IP. Vous pouvez créer plusieurs sous-réseaux par région. Chacune des interfaces réseau de votre VM doit être connectée à un sous-réseau.

Lorsque vous créez une VM, vous pouvez spécifier un réseau et un sous-réseau VPC. Si vous omettez cette configuration, le réseau et le sous-réseau default sont utilisés.Google Cloud attribue une adresse IPv4 interne à la nouvelle VM à partir de la plage d'adresses IPv4 principale du sous-réseau sélectionné. Si le sous-réseau possède également une plage d'adresses IPv6 (appelée double pile) ou si vous avez créé un sous-réseau IPv6 uniquement (Preview), vous pouvez attribuer une adresse IPv6 à la VM.

Pour en savoir plus sur les réseaux VPC, consultez la présentation des réseaux VPC. Pour obtenir un exemple illustré de VM utilisant un réseau VPC avec trois sous-réseaux dans deux régions, consultez la section Exemple de réseau VPC.

Cartes d'interface réseau (Network interface controllers, NICs)

Chaque instance de calcul d'un réseau VPC possède une interface réseau par défaut. Vous ne pouvez définir des interfaces réseau que lorsque vous créez une instance de calcul. Lorsque vous configurez une interface réseau, vous sélectionnez un réseau VPC et un sous-réseau au sein de ce réseau VPC auquel connecter l'interface. Vous pouvez créer des interfaces réseau supplémentaires pour vos instances, mais chaque interface doit être associée à un réseau VPC différent.

Utiliser plusieurs interfaces réseau vous permet de créer des configurations avec lesquelles une instance se connecte directement à plusieurs réseaux VPC. Plusieurs interfaces réseau sont utiles lorsque des applications exécutées dans une instance nécessitent une séparation du trafic, par exemple pour séparer le trafic du plan de données de celui du plan de gestion. Pour en savoir plus sur l'utilisation de plusieurs cartes d'interface réseau, consultez la page Présentation des interfaces réseau multiples.

Lorsque vous configurez l'interface réseau d'une instance de calcul, vous pouvez spécifier le type de pilote réseau à utiliser avec l'interface, VirtIO ou gVNIC (Google Virtual NIC). Pour les séries de machines de première et deuxième génération, la valeur par défaut est VirtIO. Les séries de machines de troisième génération et plus récentes sont configurées pour utiliser gVNIC par défaut et ne sont pas compatibles avec VirtIO pour l'interface réseau. Les instances bare metal utilisent IDPF.

De plus, vous pouvez choisir d'utiliser les performances réseau Tier_1 par VM avec une instance de calcul qui utilise gVNIC ou IPDF. La mise en réseau Tier_1 permet d'obtenir des limites de débit réseau plus élevées pour les transferts de données entrants et sortants.

Bande passante réseau

Google Cloud tient compte de la bande passante par instance de VM, et non par interface réseau (carte d'interface réseau) ou adresse IP. La bande passante est mesurée à l'aide de deux dimensions : la direction du trafic (entrée et sortie) et le type d'adresse IP de destination. Le débit de sortie maximal possible est déterminé par le type de machine utilisé pour créer l'instance. Cependant, vous ne pouvez atteindre ce débit de sortie maximal que dans des situations spécifiques. Pour en savoir plus, consultez la section Bande passante réseau.

Pour prendre en charge des bandes passantes réseau plus élevées (par exemple, 200 Gbit/s pour les séries de machines de troisième génération et ultérieures), la carte d'interface réseau virtuelle Google (gVNIC) est requise.

  • Les limites de bande passante de sortie maximale standard varient de 1 Gbit/s à 100 Gbit/s.
  • Les performances réseau Tier_1 par VM augmentent la limite de bande passante de sortie maximale à 200 Gbit/s, en fonction de la taille et du type de machine de votre instance de calcul.

Certaines séries de machines ont des limites différentes, comme indiqué dans le tableau récapitulatif de la bande passante.

Adresses IP

Chaque VM se voit attribuer une adresse IP du sous-réseau associé à l'interface réseau. La liste suivante fournit des informations supplémentaires sur les exigences de configuration des adresses IP.

  • Pour les sous-réseaux IPv4 uniquement, l'adresse IP est une adresse IPv4 interne. Vous pouvez éventuellement configurer une adresse IPv4 externe pour la VM.
  • Si l'interface réseau se connecte à un sous-réseau à double pile disposant d'une plage IPv6, vous devez utiliser un réseau VPC en mode personnalisé. La VM possède les adresses IP suivantes :
    • Une adresse IPv4 interne. Vous pouvez éventuellement configurer une adresse IPv4 externe pour la VM.
    • Adresse IPv6 interne ou externe, en fonction du type d'accès du sous-réseau.
  • Pour les sous-réseaux IPv6 uniquement (preview), vous devez utiliser un réseau VPC en mode personnalisé. La VM dispose d'une adresse IPv6 interne ou externe, en fonction du type d'accès du sous-réseau.
  • Pour créer une instance IPv6 uniquement (Preview) avec une adresse IPv6 interne et externe, vous devez spécifier deux interfaces réseau lors de la création de la VM. Vous ne pouvez pas ajouter d'interfaces réseau à une instance existante.

Les adresses IP externes et internes peuvent être éphémères ou statiques.

Les adresses IP internes sont locales sur l'un des éléments suivants :

  • Un réseau VPC
  • Un réseau VPC connecté à l'aide de l'appairage de réseaux VPC
  • Un réseau sur site connecté à un réseau VPC à l'aide de Cloud VPN, Cloud Interconnect ou d'un appareil de routeur

Une instance peut communiquer avec les instances se trouvant sur le même réseau VPC ou sur un réseau connecté, comme indiqué dans la liste précédente, à l'aide de l'adresse IPv4 interne de la VM. Si l'interface réseau de la VM se connecte à un sous-réseau à double pile ou à un sous-réseau IPv6 uniquement, vous pouvez utiliser les adresses IPv6 internes ou externes de la VM pour communiquer avec d'autres instances sur le même réseau. Il est recommandé d'utiliser des adresses IPv6 internes pour les communications internes. Pour plus d'informations sur les adresses IP, consultez la présentation des adresses IP pour Compute Engine.

Pour communiquer avec Internet ou des systèmes externes, utilisez une adresse IPv4 ou une adresse IPv6 externe configurée sur l'instance de VM. Les adresses IP externes sont des adresses IP routables publiquement. Si une instance ne possède pas d'adresse IP externe, vous pouvez utiliser Cloud NAT pour le trafic IPv4.

Si plusieurs services sont exécutés sur une seule instance de VM, vous pouvez attribuer une adresse IPv4 interne différente à chaque service à l'aide des plages d'adresses IP d'alias. Le réseau VPC transmet les paquets destinés à un service donné à la machine virtuelle correspondante. Pour en savoir plus, consultez la section Plages d'adresses IP d'alias.

Niveaux de service réseau

Les niveaux de service réseau vous permettent d'optimiser la connectivité entre les systèmes sur Internet et vos instances Compute Engine. Le niveau Premium achemine le trafic via le réseau backbone Premium de Google, tandis que le niveau Standard exploite les réseaux ordinaires des FAI. Utilisez le niveau Premium pour optimiser les performances, ou le niveau Standard pour optimiser les coûts.

Comme ce choix se fait au niveau des ressources (par exemple, l'adresse IP externe pour une VM), vous pouvez utiliser le niveau Standard pour certaines ressources et le niveau Premium pour d'autres. Si vous ne spécifiez pas de niveau, le niveau Premium est utilisé.

Les instances Compute qui utilisent des adresses IP internes pour communiquer au sein de réseaux VPC utilisent toujours l'infrastructure de mise en réseau de niveau Premium.

Lorsque vous utilisez le niveau Premium ou Standard, le transfert de données entrant est gratuit. Les tarifs de transfert de données sortantes sont appliqués par Gio distribué et varient pour chaque niveau de service réseau. Pour en savoir plus sur les tarifs, consultez la page Tarifs des niveaux de service réseau.

Les niveaux de service réseau ne sont pas identiques aux performances réseau Tier_1 par VM, qui sont une option de configuration que vous pouvez choisir d'utiliser avec vos instances de calcul. L'utilisation de la mise en réseau Tier_1 est associée à un coût supplémentaire, comme décrit dans la section Tarifs de la mise en réseau à bande passante supérieure Tier_1. Pour en savoir plus sur la mise en réseau Tier_1, consultez la section Configurer les performances réseau Tier_1 par VM.

Niveau Premium

Avec le niveau Premium, le trafic est acheminé des systèmes externes aux ressources Google Cloudà l'aide du réseau mondial haute fiabilité et à faible latence de Google. Il est conçu pour tolérer plusieurs pannes et perturbations, tout en continuant à diffuser du trafic. Le niveau Premium est idéal pour les clients ayant des utilisateurs répartis dans le monde entier et ayant besoin d'un réseau extrêmement fiable et performant.

Le réseau Premium Tier est un réseau de fibre optique privé étendu, avec plus de 100 points de présence (POP) à travers le monde. Au sein du réseau de Google, le trafic est acheminé de ce POP vers l'instance de calcul de votre réseau VPC. Le trafic sortant est envoyé via le réseau de Google, sortant au niveau du POP le plus proche de sa destination. Cette méthode de routage réduit les encombrements et optimise les performances en réduisant le nombre de sauts entre les utilisateurs finaux et les POP les plus proches de ces derniers.

Niveau standard

Le réseau de niveau Standard achemine le trafic entre les systèmes externes et les ressourcesGoogle Cloud en le routant via Internet. Les paquets quittant le réseau de Google sont diffusés via l'Internet public et dépendent de la fiabilité des FAI et fournisseurs de transit intermédiaires. Le niveau Standard assure une qualité et une fiabilité de réseau comparables à celles des autres fournisseurs cloud.

Le prix du niveau Standard est inférieur à celui du niveau Premium, car le trafic des systèmes sur Internet est acheminé sur des réseaux de transit (FAI) avant d'être envoyé aux instances de calcul de votre réseau VPC. Le trafic sortant de niveau Standard quitte normalement le réseau de Google dans la région utilisée par l'instance de calcul émettrice, quelle que soit sa destination.

Le niveau Standard inclut 200 Go d'utilisation gratuite par mois dans chaque région utilisée pour l'ensemble de vos projets, par ressource.

Noms du système de noms de domaine interne (DNS)

Lorsque vous créez une instance de machine virtuelle (VM), Google Cloud crée un nom DNS interne à partir du nom de la VM. Sauf si vous spécifiez un nom d'hôte personnalisé,Google Cloud utilise le nom DNS interne créé automatiquement en tant que nom d'hôte fourni à la VM.

Pour communiquer entre les VM d'un même réseau VPC, vous pouvez spécifier le nom DNS complet de l'instance cible au lieu d'utiliser son adresse IP interne. Google Cloud résout automatiquement le FQDN en adresse IP interne de l'instance.

Pour en savoir plus sur les noms de domaine complets, consultez la section Noms DNS internes zonaux et globaux.

Routes

LesGoogle Cloud routes définissent les chemins d'accès du trafic réseau depuis une instance de machine virtuelle (VM) vers d'autres destinations. Ces destinations peuvent se trouver à l'intérieur de votre réseau VPC (par exemple dans une autre VM) ou à l'extérieur. La table de routage d'un réseau VPC est définie au niveau du réseau VPC. Chaque instance de VM dispose d'un contrôleur qui reçoit en permanence des informations sur toutes les routes applicables depuis la table de routage du réseau. Chaque paquet quittant une VM est acheminé vers le prochain saut approprié d'une route applicable, en fonction d'un ordre de routage.

Les routes de sous-réseau définissent des chemins d'accès à des ressources telles que des VM et des équilibreurs de charge internes dans un réseau VPC. Chaque sous-réseau comporte au moins une route de sous-réseau dont la destination correspond à la plage d'adresses IP principale du sous-réseau. Les routes de sous-réseau ont toujours les destinations les plus spécifiques. Elles ne peuvent pas être remplacées par d'autres routes, même si une autre route a une priorité plus élevée. En effet, Google Cloudtient compte de la spécificité de la destination avant la priorité lors de la sélection d'un itinéraire. Pour en savoir plus sur les plages d'adresses IP de sous-réseau, consultez la section Présentation des sous-réseaux.

Règles de transfert

Alors que les routes régissent le trafic sortant d'une instance, les règles de transfert acheminent le trafic vers une Google Cloud ressource dans un réseau VPC en fonction de l'adresse IP, du protocole et du port. Certaines règles de transfert dirigent le trafic provenant de l'extérieur de Google Cloud vers une destination du réseau. D'autres dirigent le trafic provenant de l'intérieur du réseau.

Vous pouvez configurer des règles de transfert pour vos instances afin de mettre en œuvre l'hébergement virtuel par les adresses IP, Cloud VPN, les adresses IP virtuelles privées et l'équilibrage de charge. Pour en savoir plus sur les règles de transfert, consultez la page Utiliser le transfert de protocole.

Règles de pare-feu

Les règles de pare-feu VPC vous permettent d'autoriser ou de refuser les connexions vers ou depuis votre VM en fonction d'une configuration que vous spécifiez. Google Cloud applique toujours des règles de pare-feu VPC activées, protégeant vos VM quels que soient leur configuration et leur système d'exploitation, même si la VM n'a pas démarré.

Par défaut, chaque réseau VPC dispose de règles de pare-feu entrantes (entrée) et sortantes (sortie), qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes. Le réseau default dispose de règles de pare-feu supplémentaires, y compris la règle default-allow-internal, qui autorise la communication entre les instances du réseau. Si vous n'utilisez pas le réseau default, vous devez explicitement créer des règles de pare-feu pour le trafic entrant ayant une priorité plus élevée afin de permettre aux instances de communiquer entre elles.

Chaque réseau privé virtuel (VPC) fonctionne comme un pare-feu distribué. Les règles de pare-feu sont définies au niveau du VPC et peuvent s'appliquer à toutes les instances du réseau. Vous pouvez également utiliser des tags cibles ou des comptes de service cibles pour appliquer des règles à des instances spécifiques. Vous pouvez considérer que les règles de pare-feu VPC existent non seulement entre vos instances et les autres réseaux, mais également entre les instances individuelles d'un même réseau VPC.

Les stratégies de pare-feu hiérarchiques vous permettent de créer et d'appliquer une stratégie de pare-feu cohérente dans votre organisation. Vous pouvez attribuer des stratégies de pare-feu hiérarchiques à l'organisation dans son ensemble ou à des dossiers individuels. Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, tout comme les règles de pare-feu VPC. En outre, les règles des stratégies de pare-feu hiérarchiques peuvent déléguer l'évaluation à des stratégies de niveau inférieur ou à des règles de pare-feu de réseau VPC avec une action goto_next. Les règles de niveau inférieur ne peuvent pas remplacer une règle de niveau supérieur dans la hiérarchie des ressources. Cela permet aux administrateurs d'organisation de gérer les règles de pare-feu critiques de manière centralisée.

Groupes d'instances gérés et configurations de mise en réseau

Si vous utilisez des groupes d'instances gérés (MIG), la configuration réseau que vous spécifiez sur le modèle d'instance s'applique à toutes les VM créées avec le modèle. Si vous créez un modèle d'instance dans un réseau VPC en mode automatique, Google Cloud sélectionne automatiquement le sous-réseau de la région dans laquelle vous avez créé le groupe d'instances géré.

Pour en savoir plus, consultez les pages Réseaux et sous-réseaux et Créer des modèles d'instance.

Étape suivante