Configurer des groupes d'adresses pour les stratégies de pare-feu

Ce tutoriel explique comment créer et configurer des groupes d'adresses pour les stratégies de pare-feu de votre réseau. Elle décrit un exemple de création d'un réseau cloud privé virtuel (VPC) avec des sous-réseaux, de création d'un groupe d'adresses à l'échelle du projet, de configuration d'une stratégie de pare-feu utilisant le groupe d'adresses avec des règles de pare-feu, et de test des règles de pare-feu. Pour en savoir plus, consultez la section Groupes d'adresses pour les stratégies de pare-feu.

Objectifs

Ce guide vous explique comment effectuer les tâches suivantes :

  • Créez deux réseaux VPC personnalisés avec des sous-réseaux.
  • Créer trois instances de machines virtuelles (VM) (deux VM consommateur dans des sous-réseaux distincts d'un réseau VPC et une VM producteur dans un deuxième réseau VPC). Toutes les VM sont créées sans adresse IP externe.
  • Installer le serveur Apache sur la VM producteur.
  • Créez un appairage de réseaux VPC.
  • Créer un routeur Cloud Router et une passerelle Cloud NAT qui permettent à la VM producteur d'accéder à l'Internet public.
  • Créez un groupe d'adresses au niveau du projet.
  • Créer une stratégie de pare-feu de réseau mondial à l'aide des règles suivantes :
    • Autorise la connectivité SSH d'Identity-Aware Proxy (IAP) aux VM.
    • Autorisez le trafic depuis la VM client autorisée vers la VM producteur à l'aide du groupe d'adresses au niveau du projet.
  • Testez la connexion.

Le schéma suivant illustre le trafic entre les VM producteur et consommateur dans la région us-central1 au sein de deux réseaux VPC personnalisés. Une stratégie de pare-feu réseau au niveau mondial utilise une règle de groupe d'adresses au niveau du projet pour autoriser le trafic entrant entre les VM vm-consumer-allowed et vm-producer. Le trafic entre la VM vm-consumer-blocked et la VM vm-producer est refusé, car chaque VM dispose d'une règle de pare-feu d'entrée implicite qui refuse tout le trafic.

Stratégie de pare-feu de réseau mondial autorisant le trafic entrant depuis un sous-réseau vers une VM cible dans un autre réseau VPC.
Stratégie de pare-feu de réseau mondial autorisant le trafic entrant depuis un sous-réseau vers une VM cible dans un autre réseau VPC (cliquez pour agrandir)

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Activez l'API Compute Engine pour votre projet.
  7. Assurez-vous de disposer du rôle d'administrateur de réseaux Compute (roles/compute.networkAdmin).
  8. Activez l'API Identity-Aware Proxy pour votre projet.
  9. Si vous préférez travailler à partir de la ligne de commande, installez Google Cloud CLI. Pour obtenir des informations conceptuelles et d'installation sur l'outil, consultez la présentation de gcloud CLI.

    Remarque : Si vous n'avez pas encore utilisé Google Cloud CLI, initialisez votre répertoire gcloud CLI en exécutant la commande gcloud init.

Créer un réseau VPC consommateur avec des sous-réseaux

Dans cette section, vous allez créer un réseau VPC consommateur avec deux sous-réseaux IPv4 : subnet-consumer-allowed et subnet-consumer-blocked.

Console

  1. Dans la console Google Cloud, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Cliquez sur Créer un réseau VPC.

  3. Dans le champ Nom, saisissez vpc-consumer.

  4. Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.

  5. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

    • Nom : subnet-consumer-allowed
    • Région : us-central1
    • Plage IPv4 : 192.168.10.0/29

  6. Cliquez sur OK.

  7. Cliquez sur Ajouter un sous-réseau et spécifiez les paramètres de configuration suivants :

    • Nom : subnet-consumer-blocked
    • Région : us-central1
    • Plage IPv4 : 192.168.20.0/29

  8. Cliquez sur OK.

  9. Cliquez sur Créer.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Pour créer un réseau VPC, exécutez la commande suivante :

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. Dans la boîte de dialogue Autoriser Cloud Shell, cliquez sur Autoriser.

  4. Pour créer un sous-réseau, exécutez la commande suivante :

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. Pour créer un autre sous-réseau, exécutez la commande suivante :

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

Créer un réseau VPC producteur avec un sous-réseau

Dans cette section, vous allez créer un réseau VPC producteur avec un sous-réseau IPv4.

Console

  1. Dans la console Google Cloud, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Cliquez sur Créer un réseau VPC.

  3. Dans le champ Nom, saisissez vpc-producer.

  4. Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.

  5. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

    • Nom : subnet-vpc-producer
    • Région : us-central1
    • Plage IPv4 : 172.16.10.0/29

  6. Cliquez sur OK.

  7. Cliquez sur Créer.

gcloud

  1. Pour créer un réseau VPC, exécutez la commande suivante :

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. Pour créer un autre sous-réseau, exécutez la commande suivante :

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

Créer un routeur Cloud Router et une passerelle Cloud NAT

Pour permettre à la VM vm-producer d'accéder à l'Internet public, vous devez créer un routeur Cloud Router et une passerelle Cloud NAT.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

  3. Dans le champ Nom de la passerelle, saisissez nat-gateway-addressgrp.

  4. Dans le champ Type de NAT, sélectionnez Publique.

  5. Dans la section Sélectionner le routeur Cloud Router, spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-producer
    • Région : us-central1 (lowa)
    • Cloud Router : cliquez sur Créer un routeur.
      1. Dans le champ Nom, saisissez router-addressgrp.
      2. Cliquez sur Créer.

  6. Cliquez sur Créer.

gcloud

  1. Pour créer un routeur Cloud Router, exécutez la commande suivante :

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. Pour créer une passerelle Cloud NAT, exécutez la commande suivante :

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Créer des VM

Dans chaque sous-réseau du réseau VPC que vous avez créé dans la section précédente, créez des VM sans adresse IP externe.

Créer une VM pour le réseau VPC autorisé par le client

Créez une VM dans le sous-réseau subnet-consumer-allowed.

Console

  1. Accédez à la page Créer une instance dans Google Cloud Console.

    Accéder à la page Créer une instance

  2. Dans le champ Nom, saisissez vm-consumer-allowed.

  3. Pour Région, sélectionnez us-central1 (Iowa).

  4. Développez la section Options avancées, puis Mise en réseau.

  5. Dans la section Interfaces réseau, développez par défaut et spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-consumer
    • Sous-réseau : subnet-consumer-allowed IPv4 (192.168.10.0/29)
    • Adresse IPv4 externe : Aucune

  6. Cliquez sur OK.

  7. Cliquez sur Créer.

gcloud

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

Créer une VM pour le réseau VPC bloqué par le client

Dans cette section, vous allez créer une VM dans le sous-réseau subnet-consumer-blocked.

Console

  1. Accédez à la page Créer une instance dans Google Cloud Console.

    Accéder à la page Créer une instance

  2. Dans le champ Nom, saisissez vm-consumer-blocked.

  3. Pour Région, sélectionnez us-central1 (Iowa).

  4. Développez la section Options avancées, puis Mise en réseau.

  5. Dans la section Interfaces réseau, développez par défaut et spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-consumer
    • Sous-réseau : subnet-consumer-blocked IPv4 (192.168.20.0/29)
    • Adresse IPv4 externe : Aucune

  6. Cliquez sur OK.

  7. Cliquez sur Créer.

gcloud

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

Créer une VM pour le réseau VPC producteur

Créez une VM dans le sous-réseau subnet-vpc-producer et installez un serveur Apache sur cette VM.

Console

  1. Accédez à la page Créer une instance dans Google Cloud Console.

    Accéder à la page Créer une instance

  2. Dans le champ Nom, saisissez vm-producer.

  3. Pour Région, sélectionnez us-central1 (Iowa).

  4. Développez la section Options avancées, puis Mise en réseau.

  5. Dans la section Interfaces réseau, développez par défaut et spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-producer
    • Sous-réseau : subnet-vpc-producer IPv4 (172.16.10.0/29)

  6. Cliquez sur OK.

  7. Développez la section Gestion.

  8. Dans la section Automatisation, saisissez le script suivant dans le champ Script de démarrage :

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    Le script précédent déploie et démarre un serveur Web Apache dans cette VM.

  9. Cliquez sur Créer.

gcloud

Pour créer une VM producteur, exécutez la commande suivante :

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

Créer une connexion d'appairage de réseaux VPC

Pour connecter de manière privée vos réseaux VPC vpc-consumer et vpc-producer dans le même projet, utilisez l'appairage de réseaux VPC. L'appairage de réseaux VPC permet une connectivité via des adresses IP internes entre deux réseaux VPC, qu'ils appartiennent ou non au même projet ou à la même organisation.

Appairer vpc-consumer avec vpc-producer

Pour établir l'appairage de réseaux VPC, vous devez configurer séparément l'association d'appairage pour les réseaux vpc-consumer et vpc-producer.

Console

Pour créer un appairage de réseaux VPC entre les réseaux vpc-consumer et vpc-producer, procédez comme suit :

  1. Dans la consoe Google Cloud, accédez à la page Appairage de réseaux VPC.

    Accéder à la page "Appairage de réseaux VPC"

  2. Cliquez sur Create connection (Créer une connexion).

  3. Cliquez sur Continuer.

  4. Dans le champ Nom, saisissez peering-cp.

  5. Sous Votre réseau VPC, sélectionnez vpc-consumer.

  6. Sous Nom du réseau VPC, sélectionnez vpc-producer.

  7. Cliquez sur Créer.

gcloud

Pour créer un appairage de réseaux VPC entre vpc-consumer et vpc-producer, exécutez la commande suivante :

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY

Appairer le réseau vpc-producer avec le réseau vpc-consumer

Console

Pour créer un appairage de réseaux VPC entre vpc-producer et vpc-consumer, procédez comme suit :

  1. Dans la consoe Google Cloud, accédez à la page Appairage de réseaux VPC.

    Accéder à la page "Appairage de réseaux VPC"

  2. Cliquez sur Create connection (Créer une connexion).

  3. Cliquez sur Continuer.

  4. Dans le champ Nom, saisissez peering-pc.

  5. Sous Votre réseau VPC, sélectionnez vpc-producer.

  6. Sous Nom du réseau VPC, sélectionnez vpc-consumer.

  7. Cliquez sur Créer.

gcloud

Pour créer un appairage de réseaux VPC entre vpc-producer et vpc-consumer, exécutez la commande suivante :

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

Créer une stratégie de pare-feu de réseau mondial pour activer IAP

Pour activer IAP, créez une stratégie de pare-feu réseau au niveau mondial et ajoutez une règle de pare-feu. IAP autorise un accès administrateur aux instances de VM.

La règle de pare-feu comprend les caractéristiques suivantes :

  • Trafic entrant provenant de la plage d'adresses IP 35.235.240.0/20. Cette plage contient toutes les adresses IP qu'IAP utilise pour le transfert TCP.

  • Une connexion à tous les ports que vous souhaitez rendre accessible à l'aide du transfert TCP d'IAP, par exemple, le port 22 pour SSH.

Console

Pour autoriser IAP à accéder à toutes les instances de VM des réseaux vpc-consumer et vpc-producer, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Cliquez sur Créer une stratégie de pare-feu.

  3. Dans la section Configurer la stratégie, pour le Nom de la stratégie, saisissez fw-policy-addressgrp.

  4. Sous Champ d'application du déploiement, sélectionnez Global, puis cliquez sur Continuer.

  5. Pour créer des règles pour votre stratégie, dans la section Ajouter des règles, cliquez sur Ajouter une règle.

    1. Dans le champ Priorité, saisissez 100.
    2. Pour le Sens du trafic, sélectionnez Entrée.
    3. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
    4. Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.
    5. Dans la section Source, sous Plages d'adresses IP, saisissez 35.235.240.0/20.
    6. Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
    7. Cochez la case TCP et, pour le champ Ports, saisissez 22.
    8. Cliquez sur Créer.

  6. Cliquez sur Continuer.

  7. Pour associer un réseau VPC à la stratégie, dans la section Associer la stratégie à des réseaux VPC, cliquez sur Associer.

  8. Cochez les cases vpc-producer et vpc-consumer, puis cliquez sur Associer.

  9. Cliquez sur Continuer.

  10. Cliquez sur Créer.

gcloud

Pour permettre à IAP d'accéder aux instances de VM du réseau vpc-producer, exécutez la commande suivante :

  1. Pour créer une stratégie de pare-feu, exécutez la commande suivante :

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. Pour créer une règle de pare-feu qui autorise le trafic vers toutes les destinations et active les journaux, exécutez la commande suivante :

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. Pour associer la stratégie de pare-feu au réseau VPC producteur, exécutez la commande suivante :

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. Pour associer la stratégie de pare-feu au réseau VPC consommateur, exécutez la commande suivante :

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

Créer un groupe d'adresses au niveau du projet

Créez un groupe d'adresses au niveau du projet qui utilise l'adresse IP attribuée au sous-réseau subnet-consumer-allowed du réseau VPC vpc-consumer.

Pour en savoir plus sur les groupes d'adresses au niveau du projet, consultez la page Utiliser des groupes d'adresses dans les stratégies de pare-feu.

Console

  1. Dans la console Google Cloud, accédez à la page Groupes d'adresses.

    Accéder à "Groupes d'adresses"

  2. Cliquez sur Créer un groupe d'adresses.

  3. Dans le champ Nom, saisissez address-group-pc.

  4. Pour Champ d'application, sélectionnez Global.

  5. Pour Type, sélectionnez IPv4.

  6. Dans le champ Capacité, saisissez 1000.

  7. Dans le champ Adresses IP, saisissez 192.168.10.0/29.

  8. Cliquez sur Créer.

gcloud

  1. Si vous utilisez le terminal Cloud Shell pour la première fois, cliquez sur alt='' Activer Cloud Shell dans la console Google Cloud.

  2. Pour créer un groupe d'adresses, exécutez la commande suivante :

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. Dans la boîte de dialogue Autoriser Cloud Shell, cliquez sur Autoriser.

  4. Pour ajouter un élément à un groupe d'adresses, exécutez la commande suivante :

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    N'oubliez pas que la plage d'adresses IP 192.168.10.0/29 est attribuée au sous-réseau subnet-consumer-allowed du réseau VPC vpc-consumer.

Ajouter une règle de pare-feu pour autoriser le trafic vers un groupe d'adresses

Pour autoriser les connexions d'entrée provenant de la VM vm-consumer-allowed, créez une règle de pare-feu qui ajoute le groupe d'adresses au niveau du projet address-group-pc en tant qu'adresse IP source.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-policy-addressgrp.

  3. Cliquez sur Créer une règle.

  4. Dans le champ Priorité, saisissez 150.

  5. Pour le Sens du trafic, sélectionnez Entrée.

  6. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.

  7. Pour le champ Journaux, sélectionnez Activé.

  8. Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.

  9. Dans la section Source, pour Groupe d'adresses, sélectionnez address-group-pc (PROJECT_ID), puis cliquez sur OK.

    N'oubliez pas que le groupe d'adresses IP address-group-pc possède une plage d'adresses IP de 192.168.10.0/29 qui est attribuée au sous-réseau subnet-consumer-allowed du réseau VPC consommateur.

  10. Cliquez sur Créer.

gcloud

Pour mettre à jour la stratégie de pare-feu, exécutez la commande suivante :

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Tester la connexion

Testez la connexion depuis la VM vm-consumer-allowed vers la VM vm-producer, et depuis la VM vm-consumer-blocked vers la VM vm-producer.

Tester le trafic depuis la VM vm-consumer-allowed vers la VM vm-producer

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Dans la colonne Adresse IP interne de la VM vm-producer, copiez l'adresse IP interne de la VM.

  3. Dans la colonne Connecter de la VM vm-consumer-allowed, cliquez sur SSH.

  4. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

  5. Pour vérifier la connexion, exécutez la commande suivante :

    curl INTERNAL_IP -m 2

    Remplacez INTERNAL_IP par l'adresse IP de la VM vm-producer.

    Le résultat ressemble à ce qui suit :

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Fermez la boîte de dialogue SSH dans votre navigateur.

gcloud

  1. Pour afficher l'adresse IP interne de la VM vm-producer, exécutez la commande suivante :

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Lorsque vous y êtes invité, appuyez sur n pour confirmer, puis sur Entrée. Veillez à noter l'adresse IP interne de votre VM vm-producer.

  2. Pour utiliser SSH pour vous connecter à la VM vm-consumer-allowed, exécutez la commande suivante :

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Pour vérifier la connexion, exécutez la commande suivante :

    curl INTERNAL_IP -m 2

    Remplacez INTERNAL_IP par l'adresse IP interne de la VM vm-producer.

    La réponse attendue est la suivante :

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Pour quitter la connexion SSH, saisissez exit.

Tester le trafic depuis la VM vm-consumer-blocked vers la VM vm-producer

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Dans la colonne Adresse IP interne de la VM vm-producer, copiez l'adresse IP interne de la VM.

  3. Dans la colonne Connecter de la VM vm-consumer-blocked, cliquez sur SSH.

  4. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

  5. Pour vérifier la connexion, exécutez la commande suivante :

    curl INTERNAL_IP -m 2

    Remplacez INTERNAL_IP par l'adresse IP de la VM vm-producer.

    Le message Connection timed out est attendu, car chaque VM créée une stratégie de pare-feu d'entrée implicite qui refuse tout le trafic. Pour autoriser le trafic, vous ajoutez une règle d'entrée à la stratégie de pare-feu.

  6. Fermez la boîte de dialogue SSH dans votre navigateur.

gcloud

  1. Pour afficher l'adresse IP interne de la VM vm-producer, exécutez la commande suivante :

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Lorsque vous y êtes invité, appuyez sur n pour confirmer, puis sur Entrée. Veillez à noter l'adresse IP interne de votre VM vm-producer.

  2. Pour utiliser SSH pour vous connecter à la VM vm-consumer-blocked, exécutez la commande suivante :

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Pour vérifier la connexion, exécutez la commande suivante :

    curl INTERNAL_IP -m 2

    Remplacez INTERNAL_IP par l'adresse IP interne de la VM vm-producer.

    Le message Connection timed out est attendu, car chaque VM créée une stratégie de pare-feu d'entrée implicite qui refuse tout le trafic. Pour autoriser le trafic, vous ajoutez une règle d'entrée à la stratégie de pare-feu.

  4. Pour quitter la connexion SSH, saisissez exit.

Afficher les journaux

Pour vérifier que les règles de pare-feu du groupe d'adresses ont été appliquées au trafic entrant, accédez aux journaux. Pour afficher les détails du journal, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom fw-policy-addressgrp.

  3. Dans la colonne Nombre d'appels, sélectionnez le nombre de la règle que vous avez créée lors de l'ajout d'une règle de pare-feu pour autoriser le trafic vers un groupe d'adresses. La page Explorateur de journaux s'affiche.

  4. Pour afficher la règle de pare-feu appliquée au trafic d'entrée, développez le journal individuel. Vous pouvez afficher les détails, la disposition et les détails de l'instance concernant la règle.

Effectuer un nettoyage

Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez chaque ressource individuellement.

Pour supprimer les ressources créées dans ce tutoriel, procédez comme suit :

Supprimer un groupe d'adresses

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-policy-addressgrp.

  3. Dans la section Règles de pare-feu, cochez la case de la règle de pare-feu 150.

  4. Cliquez sur Supprimer.

  5. Dans la console Google Cloud, accédez à la page Groupes d'adresses.

    Accéder à "Groupes d'adresses"

  6. Dans la section Groupes d'adresses, cochez la case address-group-pc.

  7. Cliquez sur Supprimer, puis à nouveau sur Supprimer pour confirmer l'opération.

gcloud

  1. Pour supprimer la règle de pare-feu associée au groupe d'adresses IP address-group-pc, exécutez la commande suivante :

    gcloud compute network-firewall-policies rules delete 150 \
    --firewall-policy fw-policy-addressgrp \
    --global-firewall-policy

  2. Pour supprimer un élément existant d'un groupe d'adresses, exécutez la commande suivante :

    gcloud network-security address-groups remove-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

  3. Pour supprimer un groupe d'adresses IP, exécutez la commande suivante :

    gcloud network-security address-groups delete address-group-pc \
    --location global

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Supprimer la stratégie de pare-feu

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom fw-policy-addressgrp.

  3. Cliquez sur l'onglet Associations.

  4. Cochez la case des VM vpc-producer et vpc-consumer, puis cliquez sur Supprimer l'association.

  5. Dans la boîte de dialogue Supprimer une association de stratégie de pare-feu, cliquez sur Supprimer.

  6. À côté du titre fw-policy-addressgrp, cliquez sur Supprimer.

  7. Dans la boîte de dialogue Supprimer une stratégie de pare-feu, cliquez sur Supprimer.

gcloud

  1. Supprimez l'association entre la stratégie de pare-feu et le réseau VPC producteur.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. Supprimez l'association entre la stratégie de pare-feu et le réseau VPC consommateur.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. Supprimez la stratégie de pare-feu.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

Supprimer l'appairage de réseaux VPC

Console

  1. Dans la consoe Google Cloud, accédez à la page Appairage de réseaux VPC.

    Accéder à la page "Appairage de réseaux VPC"

  2. Cochez les cases correspondant à peering-cp et peering-pc.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue Supprimer deux appairages ?, cliquez sur Supprimer.

gcloud

  1. Pour supprimer l'appairage entre le VPC consommateur et le VPC producteur, exécutez la commande suivante :

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. Pour supprimer l'appairage entre le VPC producteur et le VPC consommateur, exécutez la commande suivante :

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

Supprimer la passerelle Cloud NAT et le routeur Cloud Router

Console

  1. Dans la console Google Cloud, accédez à la page Routeurs cloud.

    Accéder aux routeurs cloud

  2. Cochez la case router-addressgrp.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue Supprimer router-addressgrp, cliquez sur Supprimer.

Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.

gcloud

Pour supprimer le routeur Cloud Router router-addressgrp, exécutez la commande suivante :

gcloud compute routers delete router-addressgrp \
    --region=us-central1

Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.

Supprimer les VM

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Cochez les cases correspondant aux VM vm-consumer-allowed, vm-consumer-blocked et vm-producer.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue Supprimer trois instances ?, cliquez sur Supprimer.

gcloud

  1. Pour supprimer toutes les VM, exécutez la commande suivante :

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Supprimer le réseau VPC consommateur et ses sous-réseaux

Console

  1. Dans la console Google Cloud, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Dans la colonne Nom, cliquez sur vpc-consumer.

  3. Cliquez sur Supprimer le réseau VPC.

  4. Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.

Lorsque vous supprimez un VPC, ses sous-réseaux sont également supprimés.

gcloud

  1. Pour supprimer les sous-réseaux du réseau VPC vpc-consumer, exécutez la commande suivante :

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

  2. Pour supprimer le réseau VPC vpc-consumer, exécutez la commande suivante :

    gcloud compute networks delete vpc-consumer

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Supprimer le réseau VPC producteur et son sous-réseau

Console

  1. Dans la console Google Cloud, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Dans la colonne Nom, cliquez sur vpc-producer.

  3. Cliquez sur Supprimer le réseau VPC.

  4. Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.

Lorsque vous supprimez un VPC, ses sous-réseaux sont également supprimés.

gcloud

  1. Pour supprimer le sous-réseau du réseau VPC vpc-producer, exécutez la commande suivante :

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

  2. Pour supprimer le réseau VPC vpc-producer, exécutez la commande suivante :

    gcloud compute networks delete vpc-producer

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Étapes suivantes