Présentation de la mise en réseau pour les VM


Ce document offre un aperçu des fonctionnalités de mise en réseau de vos instances de machine virtuelle (VM). Il fournit une compréhension de base de la manière dont vos VM interagissent avec les réseaux de cloud privé virtuel (VPC) Google Cloud. Pour en savoir plus sur les réseaux VPC et les fonctionnalités associées, consultez la section Présentation des réseaux VPC.

Réseaux et sous-réseaux

Chaque VM fait partie d'un réseau VPC. Les réseaux VPC fournissent une connectivité à votre instance de VM avec d'autres produits Google Cloud et avec Internet. Les réseaux VPC peuvent être en mode automatique ou en mode personnalisé.

  • Les réseaux en mode automatique disposent d'un sous-réseau dans chaque région. Tous les sous-réseaux sont contenus dans cette plage d'adresses IP: 10.128.0.0/9. Les réseaux en mode automatique ne sont compatibles qu'avec les plages de sous-réseaux IPv4.
  • Les réseaux en mode personnalisé n'ont pas de configuration de sous-réseau spécifiée. Vous créez des sous-réseaux dans les régions de votre choix et en utilisant les plages IPv4 que vous spécifiez. Les réseaux en mode personnalisé sont également compatibles avec les plages de sous-réseaux IPv6.

Sauf si vous choisissez de désactiver cette fonction, chaque projet dispose d'un réseau default, qui est un réseau en mode automatique.

Chaque sous-réseau d'un réseau VPC est associé à une région et contient une ou plusieurs plages d'adresses IP. Vous pouvez créer plusieurs sous-réseaux par région. Chacune des interfaces réseau de votre VM doit être connectée à un sous-réseau.

Lorsque vous créez une VM, vous pouvez spécifier un réseau et un sous-réseau VPC. Si vous omettez cette configuration, le réseau et le sous-réseau default sont utilisés. Google Cloud attribue une adresse IPv4 interne à la nouvelle VM à partir de la plage d'adresses IPv4 principale du sous-réseau sélectionné. Si le sous-réseau possède également une plage d'adresses IPv6, vous pouvez choisir d'attribuer une adresse IPv6.

Pour en savoir plus sur les réseaux VPC, consultez la présentation des réseaux VPC. Pour obtenir un exemple illustré de VM utilisant un réseau VPC avec trois sous-réseaux dans deux régions, consultez la section Exemple de réseau VPC.

Cartes d'interface réseau (Network interface controllers, NICs)

Chaque VM d'un réseau VPC possède une interface réseau par défaut. Vous pouvez créer des interfaces réseau supplémentaires pour vos VM, mais elles doivent être toutes connectées à un réseau VPC différent. Utiliser plusieurs interfaces réseau vous permet de créer des configurations avec lesquelles une instance se connecte directement à plusieurs réseaux VPC. Pour en savoir plus sur l'utilisation de plusieurs cartes d'interface réseau, consultez la page Présentation des interfaces réseau multiples.

Adresses IP

Chaque interface de VM possède une adresse IPv4 interne, attribuée à partir du sous-réseau. Vous pouvez éventuellement configurer une adresse IPv4 externe. Si l'interface se connecte à un sous-réseau disposant d'une plage IPv6, vous pouvez éventuellement configurer une adresse IPv6. Les VM utilisent ces adresses IP pour communiquer avec d'autres ressources Google Cloud et systèmes externes. Les adresses IP externes sont des adresses IP routables publiquement qui peuvent communiquer avec Internet. Les adresses IP externes et internes peuvent être éphémères ou statiques.

Les adresses IP internes sont locales sur l'un des éléments suivants :

  • Un réseau VPC
  • Un réseau VPC connecté à l'aide de l'appairage de réseaux VPC
  • Un réseau sur site connecté à un réseau VPC à l'aide de Cloud VPN, Cloud Interconnect ou d'un appareil de routeur

Une instance peut communiquer avec les instances se trouvant sur le même réseau VPC ou sur un réseau connecté, comme indiqué dans la liste précédente, à l'aide de l'adresse IPv4 interne de la VM. Si les VM sont configurées pour IPv6, vous pouvez également utiliser l'une des adresses IPv6 internes ou externes de la VM. Il est recommandé d'utiliser des adresses IPv6 internes pour les communications internes. Pour plus d'informations sur les adresses IP, consultez la présentation des adresses IP pour Compute Engine.

Pour communiquer avec Internet, vous pouvez utiliser une adresse IPv4 externe ou une adresse IPv6 externe configurée sur l'instance. Si l'instance ne possède pas d'adresse externe, vous pouvez utiliser Cloud NAT pour le trafic IPv4.

Si plusieurs services sont exécutés sur une seule instance de VM, vous pouvez attribuer une adresse IPv4 interne différente à chaque service à l'aide des plages d'adresses IP d'alias. Le réseau VPC transmet les paquets destinés à un service donné à la machine virtuelle correspondante. Pour en savoir plus, consultez la section Plages d'adresses IP d'alias.

Noms du système de noms de domaine interne (DNS)

Lorsque vous créez une instance de machine virtuelle (VM), Google Cloud crée un nom de DNS interne à partir du nom de la VM. Sauf si vous spécifiez un nom d'hôte personnalisé, Google Cloud utilise le nom DNS interne créé automatiquement en tant que nom d'hôte fourni à la VM.

Pour communiquer entre les VM d'un même réseau VPC, vous pouvez spécifier le nom DNS complet de l'instance cible au lieu d'utiliser son adresse IP interne. Google Cloud résout automatiquement le nom de domaine complet vers l'adresse IP interne de l'instance.

Pour en savoir plus sur les noms de domaine complets, consultez la section Noms DNS internes zonaux et globaux.

Routes

Les routes Google Cloud définissent les chemins d'accès du trafic réseau depuis une instance de machine virtuelle (VM) vers d'autres destinations. Ces destinations peuvent se trouver à l'intérieur de votre réseau VPC (par exemple dans une autre VM) ou à l'extérieur. La table de routage d'un réseau VPC est définie au niveau du réseau VPC. Chaque instance de VM dispose d'un contrôleur qui reçoit en permanence des informations sur toutes les routes applicables depuis la table de routage du réseau. Chaque paquet quittant une VM est acheminé vers le saut suivant approprié d'une route applicable, en fonction d'un ordre de routage.

Les routes de sous-réseau définissent des chemins d'accès à des ressources telles que des VM et des équilibreurs de charge internes dans un réseau VPC. Chaque sous-réseau comporte au moins une route de sous-réseau dont la destination correspond à la plage d'adresses IP principale du sous-réseau. Les routes de sous-réseau ont toujours les destinations les plus spécifiques. Elles ne peuvent pas être remplacées par d'autres routes, même si une autre route a une priorité plus élevée. En effet, Google Cloud prend en considération la spécificité de destination avant la priorité pour sélectionner une route. Pour en savoir plus sur les plages d'adresses IP de sous-réseau, consultez la section Présentation des sous-réseaux.

Règles de transfert

Alors que les routes régissent le trafic sortant d'une instance, les règles de transfert acheminent le trafic vers une ressource Google Cloud dans un réseau VPC en fonction de l'adresse IP, du protocole et du port. Certaines règles de transfert dirigent le trafic provenant de l'extérieur de Google Cloud vers une destination réseau. D'autres dirigent le trafic provenant de l'intérieur du réseau.

Vous pouvez configurer des règles de transfert pour vos instances afin de mettre en œuvre l'hébergement virtuel par adresses IP, Cloud VPN, les adresses IP virtuelles privées et l'équilibrage de charge. Pour en savoir plus sur les règles de transfert, consultez la page Utiliser le transfert de protocole.

Règles de pare-feu

Les règles de pare-feu VPC vous permettent d'autoriser ou de refuser les connexions vers ou depuis votre VM en fonction d'une configuration spécifiée. Google Cloud applique toujours des règles de pare-feu VPC activées, protégeant vos VM quels que soient leur configuration et leur système d'exploitation, même si la VM n'a pas démarré.

Par défaut, chaque réseau VPC dispose de règles de pare-feu entrantes (entrée) et sortantes (sortie), qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes. Le réseau default dispose de règles de pare-feu supplémentaires, dont la règle default-allow-internal, qui autorise la communication entre les instances du réseau. Si vous n'utilisez pas le réseau default, vous devez explicitement créer des règles de pare-feu pour le trafic entrant ayant une priorité plus élevée afin de permettre aux instances de communiquer entre elles.

Chaque réseau privé virtuel (VPC) fonctionne comme un pare-feu distribué. Les règles de pare-feu sont définies au niveau du VPC et peuvent s'appliquer à toutes les instances du réseau. Vous pouvez également utiliser des tags cibles ou des comptes de service cibles pour appliquer des règles à des instances spécifiques. Vous pouvez considérer que les règles de pare-feu VPC existent non seulement entre vos instances et les autres réseaux, mais également entre les instances individuelles d'un même réseau VPC.

Les stratégies de pare-feu hiérarchiques vous permettent de créer et d'appliquer une stratégie de pare-feu cohérente dans votre organisation. Vous pouvez attribuer des stratégies de pare-feu hiérarchiques à l'organisation dans son ensemble ou à des dossiers individuels. Ces stratégies contiennent des règles qui peuvent explicitement refuser ou autoriser des connexions, tout comme les règles de pare-feu VPC. En outre, les règles des stratégies de pare-feu hiérarchiques peuvent déléguer l'évaluation à des stratégies de niveau inférieur ou à des règles de pare-feu VPC avec une action goto_next. Les règles de niveau inférieur ne peuvent pas remplacer une règle de niveau supérieur dans la hiérarchie des ressources. Cela permet aux administrateurs d'organisation de gérer les règles de pare-feu critiques de manière centralisée.

Bande passante réseau

Google Cloud tient compte de la bande passante par instance de machine virtuelle (VM), et non par interface réseau (carte d'interface réseau) ou adresse IP. La bande passante est mesurée à l'aide de deux dimensions: la direction du trafic (entrée et sortie) et le type d'adresse IP de destination. Le type de machine d'une VM définit son débit de sortie maximal possible. Cependant, vous ne pouvez atteindre ce débit de sortie maximal que dans des situations spécifiques. Pour en savoir plus, consultez la section Bande passante réseau.

La carte d'interface réseau virtuelle Google (gVNIC) est une interface de réseau virtuelle conçue spécifiquement pour Compute Engine. gVNIC est une alternative au pilote Ethernet basé sur virtIO. gVNIC est nécessaire pour accepter des bandes passantes réseau plus élevées, telles que les vitesses de 50 à 100 Gbit/s pouvant être utilisées pour les charges de travail distribuées sur les VM auxquelles sont associés des GPU. En outre, gVNIC est requis lorsque vous utilisez certains types de machines conçus pour optimiser les performances. Pour plus d'informations, consultez la section Utiliser la carte d'interface réseau virtuelle Google.

Groupes d'instances gérés et configurations de mise en réseau

Si vous utilisez des groupes d'instances gérés (MIG), la configuration réseau que vous spécifiez sur le modèle d'instance s'applique à toutes les VM créées avec le modèle. Si vous créez un modèle d'instance dans un réseau VPC en mode automatique, Google Cloud sélectionne automatiquement le sous-réseau de la région dans laquelle vous avez créé le groupe d'instances géré.

Pour en savoir plus, consultez les pages Réseaux et sous-réseaux et Créer des modèles d'instance.

Étape suivante