Présentation du cloud privé virtuel (VPC)
Le cloud privé virtuel (VPC) fournit des fonctionnalités de mise en réseau pour les instances de machines virtuelles (VM) Compute Engine, les clusters Google Kubernetes Engine (GKE) et les charges de travail sans serveur. Il assure une mise en réseau flexible, évolutive et globale pour vos ressources et services basés sur le cloud.
Cette page offre une présentation générale des concepts et fonctionnalités du VPC.
Réseaux VPC
Un réseau VPC est semblable à un réseau physique, sauf qu'il est virtualisé dans Google Cloud. Un réseau VPC est une ressource globale qui consiste en une liste de sous-réseaux virtuels régionaux hébergés dans des centres de données, qui sont reliés ensemble par un réseau étendu (WAN). Les réseaux VPC sont isolés de façon logique les uns des autres dans Google Cloud.
Un réseau VPC effectue les opérations suivantes :
- Il fournit une connectivité à vos instances de machines virtuelles (VM) Compute Engine, comprenant les clusters Google Kubernetes Engine (GKE), les charges de travail sans serveur et les autres produits Google Cloud basés sur des VM Compute Engine.
- Il propose des équilibreurs de charge réseau internes à stratégie directe et des systèmes proxy intégrés pour les équilibreurs de charge internes d'application.
- Il se connecte aux réseaux sur site à l'aide de tunnels Cloud VPN et de rattachements de VLAN pour Cloud Interconnect.
- Il distribue le trafic des équilibreurs de charge externes Google Cloud aux backends.
En savoir plus sur les réseaux VPC
Règles de pare-feu
Chaque réseau VPC implémente un pare-feu virtuel distribué et paramétrable. Les règles de pare-feu permettent de contrôler quels paquets sont autorisés à transiter et vers quelles destinations. Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.
Le réseau default
dispose de règles de pare-feu supplémentaires, dont la règle default-allow-internal
, qui autorise la communication entre les instances du réseau.
En savoir plus sur les règles de pare-feu
Routes
Les routes indiquent aux instances de VM et au réseau VPC comment acheminer le trafic d'une instance jusqu'à sa destination, à l'intérieur du réseau ou en dehors de Google Cloud. Chaque réseau VPC est fourni avec des routes par défaut pour acheminer le trafic entre ses sous-réseaux et envoyer le trafic des instances éligibles vers Internet.
Vous pouvez créer des routes statiques personnalisées pour diriger certains paquets vers des destinations spécifiques.
En savoir plus sur les routes
Règles de transfert
Alors que les routes régissent le trafic sortant d'une instance, les règles de transfert acheminent le trafic vers une ressource Google Cloud dans un réseau VPC en fonction de l'adresse IP, du protocole et du port.
Certaines règles de transfert dirigent le trafic provenant de l'extérieur de Google Cloud vers une destination réseau. D'autres dirigent le trafic provenant de l'intérieur du réseau. Les destinations des règles de transfert sont les instances cibles, les cibles d'équilibrage de charge (serveurs proxy cibles, pools cibles et services de backend) et les passerelles Cloud VPN.
En savoir plus sur les règles de transfert
Interfaces et adresses IP
Adresses IP
Les ressources Google Cloud, telles que les instances de VM Compute Engine, les règles de transfert ou les conteneurs GKE et App Engine, utilisent des adresses IP pour communiquer.
En savoir plus sur les adresses IP
Plages d'adresses IP d'alias
Si plusieurs services sont exécutés sur une seule instance de VM, vous pouvez attribuer une adresse IP interne différente à chaque service à l'aide des plages d'adresses IP d'alias. Le réseau VPC transmet les paquets destinés à un service donné à la machine virtuelle correspondante.
En savoir plus sur les plages d'adresses IP d'alias
Interfaces réseau multiples
Vous pouvez ajouter plusieurs interfaces réseau à une instance de VM. Chaque interface réside alors dans un réseau VPC unique. Plusieurs interfaces réseau permettent à une VM d'équipement réseau de servir de passerelle pour sécuriser le trafic entre différents réseaux VPC, ou vers et depuis Internet.
En savoir plus sur les interfaces réseau multiples
Partage et appairage de réseaux VPC
VPC partagé
Vous pouvez partager un réseau VPC d'un projet (appelé projet hôte) avec d'autres projets de votre organisation Google Cloud. Vous pouvez accorder l'accès à des réseaux VPC partagés entiers ou y sélectionner des sous-réseaux à l'aide d'autorisations IAM spécifiques. Cela vous permet d'assurer un contrôle centralisé sur un réseau commun tout en préservant la flexibilité de votre organisation. Le partage de réseaux VPC est particulièrement utile dans les grandes organisations.
En savoir plus sur les VPC partagés
Appairage de réseaux VPC
La fonction d'appairage de réseaux VPC vous permet de créer des écosystèmes SaaS (Software as a service) dans Google Cloud, en mettant des services à disposition de manière privée sur différents réseaux VPC, que les réseaux se trouvent dans le même projet, dans différents projets ou dans des projets de différentes organisations.
Avec l'appairage de réseaux VPC, toutes les communications se font à l'aide d'adresses IP internes. Si les règles de pare-feu sont définies correctement, les instances de VM dans chaque réseau appairé peuvent communiquer entre elles sans utiliser d'adresses IP externes.
Les réseaux appairés échangent automatiquement les routes de sous-réseau contre des plages d'adresses IP privées. L'appairage de réseaux VPC vous permet de configurer si les types de routes suivants sont échangés :
- Routes de sous-réseau pour les plages d'adresses IP publiques réutilisées
- Routes statiques et dynamiques personnalisées
L'administration du réseau pour chaque réseau appairé reste inchangée. Les stratégies IAM ne sont jamais échangées par l'appairage de réseaux VPC. Par exemple, les administrateurs réseau et de sécurité d'un réseau VPC n'obtiennent pas automatiquement ces rôles pour le réseau appairé.
En savoir plus sur l'appairage de réseaux VPC
Cloud hybride
Cloud VPN
Cloud VPN vous permet de connecter votre réseau VPC à votre réseau physique sur site, ou à un autre fournisseur cloud à l'aide d'un réseau privé virtuel sécurisé.
En savoir plus sur Cloud VPN
Cloud Interconnect
Cloud Interconnect vous permet de connecter votre réseau VPC à votre réseau sur site via une connexion physique à haut débit.
En savoir plus sur Cloud Interconnect
Cloud Load Balancing
Google Cloud propose plusieurs configurations d'équilibrage de charge global et régional pour répartir le trafic et les charges de travail entre de nombreux types de backends. Pour en savoir plus, consultez la Présentation de Cloud Load Balancing.
Configurations spéciales
Accès privé à Google
Lorsque vous activez le service d'accès privé à Google pour un sous-réseau d'un réseau VPC, ses instances peuvent communiquer avec les services et API Google à l'aide d'adresses IP privées au lieu d'adresses IP externes.
En savoir plus sur l'accès privé à Google