Présentation du cloud privé virtuel (VPC)

Le cloud privé virtuel (VPC) fournit des fonctionnalités de mise en réseau pour les instances de machines virtuelles (VM) Compute Engine, les clusters Google Kubernetes Engine (GKE) et les charges de travail sans serveur.

Il assure une mise en réseau flexible, évolutive et globale pour vos ressources et services basés sur le cloud.

Cette page offre une présentation générale des concepts et fonctionnalités du VPC.

Réseaux VPC

Un réseau VPC est semblable à un réseau physique, sauf qu'il est virtualisé dans Google Cloud. Un réseau VPC est une ressource globale qui consiste en une liste de sous-réseaux virtuels régionaux hébergés dans des centres de données, qui sont reliés ensemble par un réseau étendu (WAN). Les réseaux VPC sont isolés de façon logique les uns des autres dans Google Cloud.

Exemple de réseau VPC.
Exemple de réseau VPC (cliquez pour agrandir).

Un réseau VPC effectue les opérations suivantes :

  • Il fournit une connectivité à vos instances de machines virtuelles (VM) Compute Engine, y compris les clusters Google Kubernetes Engine (GKE), les charges de travail sans serveur et les autres produits Google Cloud basés sur des VM Compute Engine.
  • Il propose des équilibreurs de charge réseau passthrough internes et des systèmes proxy intégrés pour les équilibreurs de charge d'application internes.
  • Il se connecte aux réseaux sur site à l'aide de tunnels Cloud VPN et de rattachements de VLAN pour Cloud Interconnect.
  • Il répartit le trafic des équilibreurs de charge externes Google Cloud sur les backends.

Pour en savoir plus, consultez Réseaux VPC.

Règles de pare-feu

Chaque réseau VPC implémente un pare-feu virtuel distribué et paramétrable. Les règles de pare-feu vous permettent de contrôler quels paquets sont autorisés à transiter et vers quelles destinations. Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.

Le réseau default dispose de règles de pare-feu supplémentaires, y compris la règle default-allow-internal, qui autorise la communication entre les instances du réseau.

Pour plus d'informations, consultez la section Règles de pare-feu VPC.

Routes

Les routes indiquent aux instances de VM et au réseau VPC comment acheminer le trafic d'une instance jusqu'à sa destination, à l'intérieur du réseau ou en dehors de Google Cloud. Chaque réseau VPC est fourni avec des routes par défaut pour acheminer le trafic entre ses sous-réseaux et envoyer le trafic des instances éligibles vers Internet.

Vous pouvez créer des routes statiques personnalisées pour diriger certains paquets vers des destinations spécifiques.

Pour en savoir plus, consultez Routes.

Règles de transfert

Alors que les routes régissent le trafic sortant d'une instance, les règles de transfert acheminent le trafic vers une ressource Google Cloud dans un réseau VPC en fonction de l'adresse IP, du protocole et du port.

Certaines règles de transfert dirigent le trafic provenant de l'extérieur de Google Cloud vers une destination réseau. D'autres dirigent le trafic provenant de l'intérieur du réseau. Les destinations des règles de transfert sont les instances cibles, les cibles d'équilibrage de charge (services de backend, serveurs proxy cibles et pools cibles) et les passerelles VPN classiques.

Pour en savoir plus, consultez la page Présentation des règles de transfert.

Interfaces et adresses IP

Les réseaux VPC fournissent les configurations suivantes pour les adresses IP et les interfaces réseau des VM.

Adresses IP

Les ressources Google Cloud, telles que les instances de VM Compute Engine, les règles de transfert et les conteneurs GKE, utilisent des adresses IP pour communiquer.

Pour en savoir plus, consultez la section Adresses IP.

Plages d'adresses IP d'alias

Si plusieurs services sont exécutés sur une seule instance de VM, vous pouvez attribuer une adresse IP interne différente à chaque service à l'aide des plages d'adresses IP d'alias. Le réseau VPC transmet les paquets destinés à un service donné à la machine virtuelle correspondante.

Pour en savoir plus, consultez la section Plages d'adresses IP d'alias.

Interfaces réseau multiples

Vous pouvez ajouter plusieurs interfaces réseau à une instance de VM. Chaque interface réside alors dans un réseau VPC unique. Plusieurs interfaces réseau permettent à une VM d'équipement réseau de servir de passerelle pour sécuriser le trafic entre différents réseaux VPC, ou vers et depuis Internet.

Pour en savoir plus, consultez la section Plusieurs interfaces réseau.

Partage et appairage de réseaux VPC

Google Cloud fournit les configurations suivantes pour partager des réseaux VPC entre des projets et les connecter les uns aux autres.

VPC partagé

Vous pouvez partager un réseau VPC d'un projet (appelé projet hôte) avec d'autres projets de votre organisation Google Cloud. Vous pouvez accorder l'accès à des réseaux VPC partagés entiers ou y sélectionner des sous-réseaux à l'aide d'autorisations IAM spécifiques. Cela vous permet d'assurer un contrôle centralisé sur un réseau commun tout en préservant la flexibilité de votre organisation. Le partage de réseaux VPC est particulièrement utile dans les grandes organisations.

Pour en savoir plus, consultez la section VPC partagé.

Appairage de réseaux VPC

La fonction d'appairage de réseaux VPC vous permet de créer des écosystèmes SaaS (Software as a service) dans Google Cloud, en mettant des services à disposition de manière privée sur différents réseaux VPC, que les réseaux se trouvent dans le même projet, dans différents projets ou dans des projets de différentes organisations.

Avec l'appairage de réseaux VPC, toutes les communications se font à l'aide d'adresses IP internes. Si les règles de pare-feu sont définies correctement, les instances de VM dans chaque réseau appairé peuvent communiquer entre elles sans utiliser d'adresses IP externes.

Les réseaux appairés échangent automatiquement les routes de sous-réseau contre des plages d'adresses IP privées. L'appairage de réseaux VPC vous permet de configurer si les types de routes suivants sont échangés :

  • Routes de sous-réseau pour les plages d'adresses IP publiques réutilisées
  • Routes statiques et dynamiques personnalisées

L'administration du réseau pour chaque réseau appairé reste inchangée. Les stratégies IAM ne sont jamais échangées par l'appairage de réseaux VPC. Par exemple, les administrateurs réseau et de sécurité d'un réseau VPC n'obtiennent pas automatiquement ces rôles pour le réseau appairé.

Pour en savoir plus, consultez la section Appairage de réseaux VPC.

Cloud hybride

Google Cloud fournit les configurations suivantes qui vous permettent de connecter vos réseaux VPC à des réseaux sur site et à des réseaux d'autres fournisseurs cloud.

Cloud VPN

Cloud VPN vous permet de connecter votre réseau VPC à votre réseau physique sur site, ou à un autre fournisseur cloud à l'aide d'un réseau privé virtuel sécurisé.

Pour en savoir plus, consultez Cloud VPN.

Cloud Interconnect

Cloud Interconnect vous permet de connecter votre réseau VPC à votre réseau sur site via une connexion physique à haut débit.

Pour en savoir plus, consultez Cloud Interconnect.

Cloud Load Balancing

Google Cloud propose plusieurs configurations d'équilibrage de charge pour répartir le trafic et les charges de travail entre de nombreux types de backends.

Pour plus d'informations, consultez la page Présentation de Cloud Load Balancing.

Accès privé aux services

Vous pouvez utiliser Private Service Connect, Private Google Access et Private Services Access pour permettre aux VM qui ne disposent pas d'adresse IP externe de communiquer avec les services compatibles.

Pour en savoir plus, consultez la section Options d'accès privé pour les services.