Présentation du cloud privé virtuel (VPC)

Le cloud privé virtuel (VPC) fournit des fonctionnalités de mise en réseau pour les instances de machines virtuelles (VM) Compute Engine, les clusters Google Kubernetes Engine (GKE) et les charges de travail sans serveur. Il assure une mise en réseau flexible, évolutive et globale pour vos ressources et services basés sur le cloud.

Cette page offre une présentation générale des concepts et fonctionnalités du VPC.

Réseaux VPC

Un réseau VPC est semblable à un réseau physique, sauf qu'il est virtualisé dans Google Cloud. Un réseau VPC est une ressource globale qui consiste en une liste de sous-réseaux virtuels régionaux hébergés dans des centres de données, qui sont reliés ensemble par un réseau étendu (WAN). Les réseaux VPC sont isolés de façon logique les uns des autres dans Google Cloud.

Exemple de réseau VPC.
Exemple de réseau VPC (cliquez pour agrandir).

Un réseau VPC effectue les opérations suivantes :

  • Il fournit une connectivité à vos instances de machines virtuelles (VM) Compute Engine, comprenant les clusters Google Kubernetes Engine (GKE), les charges de travail sans serveur et les autres produits Google Cloud basés sur des VM Compute Engine.
  • Il propose des équilibreurs de charge réseau internes à stratégie directe et des systèmes proxy intégrés pour les équilibreurs de charge internes d'application.
  • Il se connecte aux réseaux sur site à l'aide de tunnels Cloud VPN et de rattachements de VLAN pour Cloud Interconnect.
  • Il distribue le trafic des équilibreurs de charge externes Google Cloud aux backends.

En savoir plus sur les réseaux VPC

Règles de pare-feu

Chaque réseau VPC implémente un pare-feu virtuel distribué et paramétrable. Les règles de pare-feu permettent de contrôler quels paquets sont autorisés à transiter et vers quelles destinations. Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.

Le réseau default dispose de règles de pare-feu supplémentaires, dont la règle default-allow-internal, qui autorise la communication entre les instances du réseau.

En savoir plus sur les règles de pare-feu

Routes

Les routes indiquent aux instances de VM et au réseau VPC comment acheminer le trafic d'une instance jusqu'à sa destination, à l'intérieur du réseau ou en dehors de Google Cloud. Chaque réseau VPC est fourni avec des routes par défaut pour acheminer le trafic entre ses sous-réseaux et envoyer le trafic des instances éligibles vers Internet.

Vous pouvez créer des routes statiques personnalisées pour diriger certains paquets vers des destinations spécifiques.

En savoir plus sur les routes

Règles de transfert

Alors que les routes régissent le trafic sortant d'une instance, les règles de transfert acheminent le trafic vers une ressource Google Cloud dans un réseau VPC en fonction de l'adresse IP, du protocole et du port.

Certaines règles de transfert dirigent le trafic provenant de l'extérieur de Google Cloud vers une destination réseau. D'autres dirigent le trafic provenant de l'intérieur du réseau. Les destinations des règles de transfert sont les instances cibles, les cibles d'équilibrage de charge (serveurs proxy cibles, pools cibles et services de backend) et les passerelles Cloud VPN.

En savoir plus sur les règles de transfert

Interfaces et adresses IP

Adresses IP

Les ressources Google Cloud, telles que les instances de VM Compute Engine, les règles de transfert ou les conteneurs GKE et App Engine, utilisent des adresses IP pour communiquer.

En savoir plus sur les adresses IP

Plages d'adresses IP d'alias

Si plusieurs services sont exécutés sur une seule instance de VM, vous pouvez attribuer une adresse IP interne différente à chaque service à l'aide des plages d'adresses IP d'alias. Le réseau VPC transmet les paquets destinés à un service donné à la machine virtuelle correspondante.

En savoir plus sur les plages d'adresses IP d'alias

Interfaces réseau multiples

Vous pouvez ajouter plusieurs interfaces réseau à une instance de VM. Chaque interface réside alors dans un réseau VPC unique. Plusieurs interfaces réseau permettent à une VM d'équipement réseau de servir de passerelle pour sécuriser le trafic entre différents réseaux VPC, ou vers et depuis Internet.

En savoir plus sur les interfaces réseau multiples

Partage et appairage de réseaux VPC

VPC partagé

Vous pouvez partager un réseau VPC d'un projet (appelé projet hôte) avec d'autres projets de votre organisation Google Cloud. Vous pouvez accorder l'accès à des réseaux VPC partagés entiers ou y sélectionner des sous-réseaux à l'aide d'autorisations IAM spécifiques. Cela vous permet d'assurer un contrôle centralisé sur un réseau commun tout en préservant la flexibilité de votre organisation. Le partage de réseaux VPC est particulièrement utile dans les grandes organisations.

En savoir plus sur les VPC partagés

Appairage de réseaux VPC

La fonction d'appairage de réseaux VPC vous permet de créer des écosystèmes SaaS (Software as a service) dans Google Cloud, en mettant des services à disposition de manière privée sur différents réseaux VPC, que les réseaux se trouvent dans le même projet, dans différents projets ou dans des projets de différentes organisations.

Avec l'appairage de réseaux VPC, toutes les communications se font à l'aide d'adresses IP internes. Si les règles de pare-feu sont définies correctement, les instances de VM dans chaque réseau appairé peuvent communiquer entre elles sans utiliser d'adresses IP externes.

Les réseaux appairés échangent automatiquement les routes de sous-réseau contre des plages d'adresses IP privées. L'appairage de réseaux VPC vous permet de configurer si les types de routes suivants sont échangés :

  • Routes de sous-réseau pour les plages d'adresses IP publiques réutilisées
  • Routes statiques et dynamiques personnalisées

L'administration du réseau pour chaque réseau appairé reste inchangée. Les stratégies IAM ne sont jamais échangées par l'appairage de réseaux VPC. Par exemple, les administrateurs réseau et de sécurité d'un réseau VPC n'obtiennent pas automatiquement ces rôles pour le réseau appairé.

En savoir plus sur l'appairage de réseaux VPC

Cloud hybride

Cloud VPN

Cloud VPN vous permet de connecter votre réseau VPC à votre réseau physique sur site, ou à un autre fournisseur cloud à l'aide d'un réseau privé virtuel sécurisé.

En savoir plus sur Cloud VPN

Cloud Interconnect

Cloud Interconnect vous permet de connecter votre réseau VPC à votre réseau sur site via une connexion physique à haut débit.

En savoir plus sur Cloud Interconnect

Cloud Load Balancing

Google Cloud propose plusieurs configurations d'équilibrage de charge global et régional pour répartir le trafic et les charges de travail entre de nombreux types de backends. Pour en savoir plus, consultez la Présentation de Cloud Load Balancing.

Configurations spéciales

Accès privé à Google

Lorsque vous activez le service d'accès privé à Google pour un sous-réseau d'un réseau VPC, ses instances peuvent communiquer avec les services et API Google à l'aide d'adresses IP privées au lieu d'adresses IP externes.

En savoir plus sur l'accès privé à Google