Utiliser Public NAT avec Compute Engine

Cette page présente une démonstration d'une passerelle NAT publique qui fournit des services de traduction d'adresse réseau pour une instance de VM Compute Engine. Avant de commencer, consultez la présentation de NAT public.

Prérequis

Vous devez effectuer les opérations suivantes avant de configurer NAT public.

Obtenir des autorisations IAM

Le rôle roles/compute.networkAdmin vous permet de créer une passerelle NAT sur Cloud Router, de réserver et d'attribuer des adresses IP NAT et de spécifier les sous-réseaux dont le trafic doit utiliser la traduction d'adresse réseau par la passerelle NAT.

Configurer Google Cloud

Avant de commencer, configurez les éléments suivants dans Google Cloud.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. To initialize the gcloud CLI, run the following command: 

    gcloud init

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.

  9. To initialize the gcloud CLI, run the following command: 

    gcloud init

Exemple

Vous trouverez ci-dessous un exemple de bout en bout qui illustre une passerelle NAT publique et une VM Compute Engine qui utilise la passerelle NAT publique.

Étape 1 : Créer un réseau VPC et un sous-réseau

Si vous disposez déjà d'un réseau et d'un sous-réseau, vous pouvez ignorer cette étape.

Console

  1. Dans Google Cloud Console, accédez à la page Réseaux VPC.

    Accéder à la page Réseaux VPC

  2. Cliquez sur Créer un réseau VPC.

  3. Saisissez le nom custom-network1.

  4. Sous Sous-réseaux, définissez le paramètre Mode de création du sous-réseau sur Personnalisé.

  5. Sous Nouveau sous-réseau, saisissez subnet-us-east-192 pour le paramètre Nom.

  6. Dans le champ Région, sélectionnez us-east4.

  7. Définissez le paramètre Plage d'adresses IP sur 192.168.1.0/24.

  8. Cliquez sur Done (OK), puis sur Create (Créer).

gcloud

  1. Créez un réseau VPC en mode personnalisé dans votre projet :

    gcloud compute networks create custom-network1 \
    --subnet-mode custom

  2. Spécifiez le préfixe de sous-réseau pour la première région. Dans cet exemple, nous attribuons 192.168.1.0/24 à la région us-east4.

    gcloud compute networks subnets create subnet-us-east-192 \
   --network custom-network1 \
   --region us-east4 \
   --range 192.168.1.0/24

Terraform

Vous pouvez utiliser un module Terraform pour créer un réseau et un sous-réseau VPC personnalisés.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "custom-network1"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-us-east-192"
      subnet_ip     = "192.168.1.0/24"
      subnet_region = "us-east4"
    }
  ]
}

Étape 2 : Créer une instance de VM sans adresse IP externe

Console

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page Instances de VM

  2. Cliquez sur Créer une instance.

  3. Définissez le paramètre Nom sur nat-test-1 pour votre instance.

  4. Définissez le paramètre Région sur us-east4.

  5. Définissez le paramètre Zone sur us-east4-c.

  6. Cliquez sur le lien Gestion, sécurité, disques, mise en réseau et location unique.

  7. Cliquez sur l'onglet Réseau.

  8. Sous Interfaces réseau, cliquez sur Modifier pour l'interface par défaut de la VM.

    1. Définissez le paramètre Réseau sur custom-network1.
    2. Définissez le paramètre Sous-réseau sur subnet-us-east-192.
    3. Définissez le paramètre Adresse IP externe sur Aucune.
    4. Cliquez sur OK.

  9. Pour créer et démarrer l'instance, cliquez sur Créer.

gcloud 

gcloud compute instances create nat-test-1 \
    --image-family debian-9 \
    --image-project debian-cloud \
    --network custom-network1 \
    --subnet subnet-us-east-192 \
    --zone us-east4-c \
    --no-address

Terraform

Vous pouvez utiliser une ressource Terraform pour créer une instance de VM.

resource "google_compute_instance" "default" {
  project      = var.project_id
  zone         = "us-east4-c"
  name         = "nat-test-1"
  machine_type = "e2-medium"
  boot_disk {
    initialize_params {
      image = "debian-cloud/debian-9"
    }
  }
  network_interface {
    network    = "custom-network1"
    subnetwork = var.subnet # Replace with a reference or self link to your subnet, in quotes
  }
}

Étape 3 : Créer une règle de pare-feu qui autorise les connexions SSH

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Cliquez sur Créer une règle de pare-feu.

  3. Saisissez le nom allow-ssh.

  4. Définissez le paramètre Réseau sur custom-network1.

  5. Définissez le paramètre Sens du trafic sur Entrée.

  6. Définissez Action en cas de correspondance sur Autoriser.

  7. Définissez le paramètre Cibles sur Toutes les instances du réseau.

  8. Définissez Filtre source sur Plages IPv4.

  9. Définissez le paramètre Plages d'adresses IP sources sur 35.235.240.0/20.

  10. Définissez Protocoles et ports sur Protocoles et ports spécifiés.

  11. Cochez la case tcp et saisissez comme port 22.

  12. Cliquez sur Create (Créer).

gcloud 

gcloud compute firewall-rules create allow-ssh \
    --network custom-network1 \
    --source-ranges 35.235.240.0/20 \
    --allow tcp:22

Terraform

Vous pouvez utiliser une ressource Terraform pour créer une règle de pare-feu.

resource "google_compute_firewall" "rules" {
  project = var.project_id
  name    = "allow-ssh"
  network = var.network # Replace with a reference or self link to your network, in quotes

  allow {
    protocol = "tcp"
    ports    = ["22"]
  }
  source_ranges = ["35.235.240.0/20"]
}

Étape 4 : Créer des autorisations SSH IAP pour votre instance de test

Lors d'une prochaine étape, vous vous connecterez à votre instance de test à l'aide d'Identity-Aware Proxy (IAP).

Console

  1. Dans Google Cloud Console, accédez à la page Identity-Aware Proxy.

    Accéder à la page Identity-Aware Proxy

  2. Sélectionnez l'onglet Ressources SSH et TCP.

  3. Pour mettre à jour les autorisations des membres sur les ressources, cochez la case à côté de Toutes les ressources de tunnels > us-east4-c > nat-test-1.

  4. Dans le volet de droite, cliquez sur Ajouter un membre.

  5. Pour accorder aux utilisateurs, aux groupes ou aux comptes de service l'accès aux ressources, spécifiez leur adresse e-mail dans le champ Nouveaux membres.

    Si vous ne testez que cette fonctionnalité, vous pouvez saisir votre propre adresse e-mail.

  6. Pour accorder aux membres l'accès aux ressources via la fonctionnalité de transfert TCP de Cloud IAP, dans la liste déroulante Rôle, sélectionnez Cloud IAP > Utilisateur de tunnels sécurisés par IAP.

  7. Cliquez sur Enregistrer.

gcloud

Cette commande accorde l'accès SSH à toutes les instances de VM de votre projet à l'aide d'IAP. Si vous souhaitez accorder l'accès SSH à une VM individuelle à l'aide d'IAP, suivez les instructions de Google Cloud Console.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=MEMBER_INFO \
    --role=roles/iap.tunnelResourceAccessor

Remplacez les éléments suivants :

  • PROJECT_ID : ID de votre projet.
  • MEMBER_INFO : liste de paires type:email membres séparées par une virgule Exemples :
    • Pour un seul utilisateur : user:test-user@example.com
    • Pour un groupe : group:admins@example.com
    • Pour un compte de service : serviceAccount:test123@example.domain.com

Terraform

Vous pouvez utiliser une ressource Terraform pour créer des autorisations SSH IAP pour votre instance de test.

resource "google_project_iam_member" "project" {
  project = var.project_id
  role    = "roles/iap.tunnelResourceAccessor"
  member  = "serviceAccount:test123@example.domain.com"
}

Étape 5 : Se connecter à nat-test-1 et confirmer qu'il ne peut pas accéder à Internet

Console

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Pour nat-test-1, dans la colonne Connecter, cliquez sur la flèche du menu déroulant SSH, puis sélectionnez Ouvrir dans la fenêtre du navigateur.

  3. Lorsque vous y êtes invité, saisissez curl example.com et appuyez sur Entrée.

    Vous ne devriez obtenir aucun résultat. Dans le cas contraire, vous avez peut-être créé nat-test-1 avec une adresse IP externe, ou il existe un autre problème. Pour résoudre le problème, consultez la section Les machines virtuelles peuvent accéder à Internet de façon inattendue sans Cloud NAT.

    Pour arrêter la commande, vous devrez peut-être saisir Ctrl+C.

gcloud

  1. Ajoutez une clé SSH Compute Engine à votre hôte local :

    ssh-add ~/.ssh/google_compute_engine

  2. Connectez-vous à nat-test-1 et exécutez une commande :

    gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap

    Vous ne devriez obtenir aucun résultat. Dans le cas contraire, vous avez peut-être créé nat-test-1 avec une adresse IP externe, ou il existe un autre problème. Pour résoudre le problème, consultez la section Les machines virtuelles peuvent accéder à Internet de façon inattendue sans Cloud NAT.

    Pour arrêter la commande, vous devrez peut-être saisir Ctrl+C.

Étape 6 : Créer une configuration NAT à l'aide de Cloud Router

Vous devez créer le routeur Cloud Router dans la même région que les instances qui utilisent le NAT public. Cloud Router sert uniquement à placer les informations NAT sur les VM. Ce service ne fait pas partie de la passerelle NAT.

Cette configuration permet à toutes les instances de la région d'utiliser le NAT public pour toutes les plages d'adresses IP primaires et d'adresses IP d'alias. De plus, elle attribue automatiquement les adresses IP externes de la passerelle NAT. Pour plus d'options, consultez la documentation sur Google Cloud CLI.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accéder à la page Cloud NAT

  2. Cliquez sur Commencer ou Créer une passerelle NAT.

  3. Définissez le paramètre Nom de la passerelle sur nat-config.

  4. Définissez le paramètre Réseau VPC sur custom-network1.

  5. Définissez le paramètre Région sur us-east4.

  6. Sous Cloud Router, sélectionnez Créer un routeur.

    1. Saisissez le nom nat-router.
    2. Cliquez sur Créer.

  7. Cliquez sur Créer.

gcloud

  1. Créez un routeur Cloud Router :

    gcloud compute routers create nat-router \
    --network custom-network1 \
    --region us-east4

  2. Ajoutez une configuration au routeur :

    gcloud compute routers nats create nat-config \
    --router-region us-east4 \
    --router nat-router \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

Terraform

Vous pouvez utiliser une ressource Terraform pour créer un routeur Cloud Router.

resource "google_compute_router" "router" {
  project = var.project_id
  name    = "nat-router"
  network = var.network
  region  = "us-east4"
}

Vous pouvez utiliser un module Terraform pour créer une configuration NAT.

module "cloud-nat" {
  source  = "terraform-google-modules/cloud-nat/google"
  version = "~> 5.0"

  project_id                         = var.project_id
  region                             = "us-east4"
  router                             = google_compute_router.router.name
  name                               = "nat-config"
  source_subnetwork_ip_ranges_to_nat = "ALL_SUBNETWORKS_ALL_IP_RANGES"
}

Étape 7 : Essayer de se reconnecter à Internet

La propagation de la configuration NAT peut prendre jusqu'à trois minutes. Attendez au moins une minute avant d'essayer d'accéder de nouveau à Internet.

Console

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Pour nat-test-1, dans la colonne Connecter, cliquez sur la flèche du menu déroulant SSH, puis sélectionnez Ouvrir dans la fenêtre du navigateur.

  3. Lorsque vous y êtes invité, saisissez curl example.com et appuyez sur Entrée.

gcloud

Connectez-vous à nat-test-1 et exécutez une commande :

gcloud compute ssh nat-test-1 \
    --zone us-east4-c \
    --command "curl example.com" \
    --tunnel-through-iap

Le résultat devrait contenir ce qui suit :


<html>
<head>
<title>Example Domain</title>
...
...
...
</head>

<body>
<div>
    <h1>Example Domain</h1>
    <p>This domain is established to be used for illustrative examples in documents. You can use this
    domain in examples without prior coordination or asking for permission.</p>
    <p><a href="http://www.iana.org/domains/example">More information...</a></p>
</div>
</body>
</html>

Étape suivante