Sous-réseaux
Les réseaux de cloud privé virtuel (VPC) sont des ressources globales. Chaque réseau VPC est constitué d'une ou de plusieurs plages d'adresses IP appelées sous-réseaux. Les sous-réseaux sont des ressources régionales et sont associés à des plages d'adresses IP.
Dans Google Cloud, les termes subnet et subnetwork faisant référence au sous-réseau sont synonymes. Ils sont utilisés indifféremment dans Google Cloud Console, les commandes de Google Cloud CLI et la documentation de l'API.
Réseaux et sous-réseaux
Un réseau doit comporter au moins un sous-réseau pour que vous puissiez l'utiliser. Les réseaux VPC en mode automatique créent automatiquement des sous-réseaux dans chaque région. Les réseaux VPC en mode personnalisé démarrent sans sous-réseaux, ce qui vous donne ainsi un contrôle total sur la création de sous-réseaux. Vous pouvez créer plusieurs sous-réseaux par région. Pour plus d'informations sur les différences entre les réseaux VPC en mode automatique et en mode personnalisé, consultez la section Types de réseaux VPC.
Lorsque vous créez une ressource dans Google Cloud, vous choisissez un réseau et un sous-réseau. Pour les ressources autres que les modèles d'instance, vous sélectionnez également une zone ou une région. Lorsque vous sélectionnez une zone, sa région parente est implicitement sélectionnée. Les sous-réseaux sont des objets régionaux ; ainsi, la région que vous sélectionnez pour une ressource détermine les sous-réseaux qu'elle peut utiliser :
Lorsque vous créez une instance, vous sélectionnez une zone pour cette instance. Si vous ne sélectionnez pas de réseau pour la VM, le réseau VPC par défaut est utilisé. Il comprend un sous-réseau dans chaque région. Si vous sélectionnez un réseau pour la VM, vous devez sélectionner un réseau contenant un sous-réseau dans la région parente de la zone sélectionnée.
Lorsque vous créez un groupe d'instances géré, vous sélectionnez une zone ou une région en fonction du type de groupe et un modèle d'instance. Le modèle d'instance définit le réseau VPC à utiliser. Par conséquent, lorsque vous créez un groupe d'instances géré, vous devez sélectionner un modèle d'instance avec une configuration appropriée : le modèle doit spécifier un réseau VPC comportant des sous-réseaux dans la zone ou la région sélectionnée. Les réseaux VPC en mode automatique possèdent toujours un sous-réseau dans chaque région.
Le processus de création d'un cluster de conteneurs Kubernetes implique la sélection d'une zone ou d'une région (en fonction du type de cluster), d'un réseau et d'un sous-réseau. Vous devez sélectionner un sous-réseau disponible dans la zone ou la région sélectionnée.
Types de sous-réseaux
Les réseaux VPC sont compatibles avec les types de sous-réseaux suivants :
Sous-réseaux IPv4 uniquement (pile unique), avec uniquement des plages de sous-réseaux IPv4
Sous-réseaux IPv4 et IPv6 (double pile), avec des plages de sous-réseaux IPv4 et IPv6
Un seul réseau VPC peut contenir n'importe quelle combinaison de ces types de sous-réseaux.
Lorsque vous créez un sous-réseau, vous spécifiez le type de pile à utiliser. Vous pouvez également mettre à jour un sous-réseau IPv4 uniquement pour le configurer en tant que sous-réseau à double pile.
Les sous-réseaux à double pile ne sont compatibles qu'avec les réseaux VPC en mode personnalisé. Les sous-réseaux à double pile ne sont pas compatibles avec les réseaux VPC en mode automatique ou les anciens réseaux.
Lorsque vous créez une plage de sous-réseau IPv4, vous fournissez les informations suivantes :
| Paramètre de sous-réseau | Valeurs valides | Détails |
|---|---|---|
| Plage IPv4 | Plage valide de votre choix | Requis |
| Plage d'adresses IPv4 secondaires | Plage valide de votre choix | Facultatif |
Lorsque vous créez une plage de sous-réseau IPv6, vous fournissez les informations suivantes :
| Paramètre de sous-réseau | Valeurs valides | Détails |
|---|---|---|
| Type d'accès IPv6 |
|
Une plage d'adresses IPv6
|
Usage des sous-réseaux
Les sous-réseaux peuvent être utilisés à différentes fins :
- Sous-réseaux standards : il s'agit du type de sous-réseau par défaut. Les sous-réseaux standards sont créés par des utilisateurs ou créés automatiquement dans des réseaux en mode automatique pour être utilisés avec des instances de VM. Les sous-réseaux standards ont un usage
PRIVATE(privé) dans gcloud CLI ou l'API. L'usage est None (aucun) dans la console Google Cloud. - Sous-réseaux Private Service Connect : sous-réseau destiné à publier un service géré à l'aide de Private Service Connect.
- Sous-réseaux proxy réservés : sous-réseau proxy réservé destiné aux équilibreurs de charge régionaux basés sur Envoy.
- Sous-réseaux Private NAT : sous-réseau réservé à la plage source Private NAT. Ce sous-réseau est défini sur
--purpose=PRIVATE_NAT.
Dans la plupart des cas, vous ne pouvez pas modifier l'usage d'un sous-réseau après sa création. Pour en savoir plus, consultez la documentation de référence sur la commande gcloud compute networks subnets update.
Plages de sous-réseaux IPv4
Chaque sous-réseau possède une plage d'adresses IPv4 principale. Les adresses IP internes principales des ressources suivantes proviennent de la plage d'adresses IP principale du sous-réseau : instances de VM, équilibreurs de charge internes et transfert de protocole interne. Vous pouvez éventuellement ajouter des plages d'adresses IP secondaires à un sous-réseau, qui ne sont utilisées que par les plages d'adresses IP d'alias. Cependant, vous pouvez configurer des plages d'adresses IP d'alias pour les instances depuis la plage principale ou secondaire d'un sous-réseau.
Chaque plage d'adresses IPv4 principale ou secondaire de tous les sous-réseaux d'un réseau VPC doit être un bloc CIDR valide unique. Reportez-vous aux limites par réseau pour connaître le nombre de plages d'adresses IP secondaires que vous pouvez définir.
Les sous-réseaux IPv4 n'ont pas besoin de former un bloc CIDR contigu prédéfini, mais cette configuration est possible si vous le souhaitez. Par exemple, les réseaux VPC en mode automatique créent des sous-réseaux qui correspondent à une plage d'adresses IP en mode automatique prédéfinie.
Pour plus d'informations, consultez la section Travailler avec des sous-réseaux.
Plages IPv4 valides
Les plages d'adresses IPv4 principale et secondaire d'un sous-réseau sont des adresses IPv4 internes régionales. Le tableau suivant décrit les plages valides.
| Plage | Description |
|---|---|
| Plages d'adresses IPv4 privées | |
10.0.0.0/8172.16.0.0/12192.168.0.0/16
|
Adresses IP privées RFC 1918 Pour plus d'informations sur l'utilisation de la plage |
100.64.0.0/10 |
Espace d'adressage partagé RFC 6598 |
192.0.0.0/24 |
Attributions de protocole IETF RFC 6890 |
192.0.2.0/24 (TEST-NET-1)198.51.100.0/24 (TEST-NET-2)203.0.113.0/24 (TEST-NET-3) |
Documentation RFC 5737 |
192.88.99.0/24 |
Relais IPv6 vers IPv4 (obsolète) RFC 7526 |
198.18.0.0/15 |
Série de tests comparatifs RFC 2544 |
240.0.0.0/4 |
Réservée pour une utilisation future (classe E), comme décrit dans les normes RFC 5735 et RFC 1112. Certains systèmes d'exploitation ne sont pas compatibles avec l'utilisation de cette plage. Par conséquent, assurez-vous que votre système d'exploitation est compatible avant de créer des sous-réseaux qui l'utilisent. |
| Plages d'adresses IP publiques utilisées en mode privé | |
| Adresses IPv4 publiques utilisées en mode privé |
Adresses IPv4 publiques utilisées en mode privé :
Lorsque vous utilisez ces adresses en tant que plages de sous-réseaux, Google Cloud n'annonce pas ces routes sur Internet et n'achemine pas le trafic provenant d'Internet vers celles-ci. Si vous avez importé des adresses IP publiques sur Google à l'aide de l'option Utiliser vos propres adresses IP (BYOIP), vos plages BYOIP et les plages d'adresses IP publiques utilisées en mode privé dans le même réseau VPC ne doivent pas se chevaucher. Pour l'appairage de réseaux VPC, les routes de sous-réseau des adresses IP publiques ne sont pas automatiquement échangées. Les routes de sous-réseau sont automatiquement exportées, mais les réseaux de pairs doivent être explicitement configurés pour importation afin de les utiliser. |
Les plages de sous-réseaux IPv4 présentent les contraintes suivantes :
Les plages de sous-réseaux ne peuvent pas être identiques, plus étroites ou plus larges qu'une plage restreinte. Par exemple,
169.0.0.0/8n'est pas une plage de sous-réseaux valide, car elle chevauche la plage de liaison locale169.254.0.0/16(RFC 3927), qui est une plage restreinte.Les plages de sous-réseaux ne peuvent pas s'étendre sur une plage RFC (décrite dans le tableau précédent) et une plage d'adresses IP publiques utilisées en mode privé. Par exemple,
172.0.0.0/10n'est pas une plage de sous-réseaux valide, car elle inclut à la fois la plage d'adresses IP privées172.16.0.0/12et des adresses IP publiques.Les plages de sous-réseaux ne peuvent pas s'étendre sur plusieurs plages RFC. Par exemple,
192.0.0.0/8n'est pas une plage de sous-réseaux valide, car elle inclut à la fois192.168.0.0/16(RFC 1918) et192.0.0.0/24(RFC 6890). Cependant, vous pouvez créer deux sous-réseaux avec différentes plages principales, l'une avec192.168.0.0/16et l'autre avec192.0.0.0/24. Vous pouvez également utiliser ces deux plages sur le même sous-réseau si vous en définissez une comme plage secondaire.
Plages de sous-réseaux IPv4 interdites
Les plages de sous-réseaux interdites incluent les adresses IP publiques Google et les plages RFC couramment réservées, comme décrit dans le tableau suivant. Ces plages ne peuvent pas être utilisées pour les plages de sous-réseaux.
| Plage | Description |
|---|---|
| Adresses IP publiques pour les API et les services Google, y compris les netblocks Google Cloud. | Vous trouverez ces adresses IP ici : https://gstatic.com/ipranges/goog.txt. |
199.36.153.4/30
et 199.36.153.8/30 |
Adresses IP virtuelles spécifiques pour l'accès privé à Google |
0.0.0.0/8 |
Réseau actuel (local) RFC 1122 |
127.0.0.0/8 |
Hôte local RFC 1122 |
169.254.0.0/16 |
Liaison locale RFC 3927 |
224.0.0.0/4 |
Multidiffusion (classe D) RFC 5771 |
255.255.255.255/32 |
Adresse de destination de diffusion limitée RFC 8190 et RFC 919 |
Adresses inutilisables dans les plages de sous-réseaux IPv4
Google Cloud utilise les deux premières et les deux dernières adresses IPv4 de chaque plage principale d'adresses IPv4 du sous-réseau pour héberger le sous-réseau. Google Cloud vous permet d'utiliser toutes les adresses des plages IPv4 secondaires.
| Adresse IPv4 inutilisable | Description | Exemple |
|---|---|---|
| Adresse du réseau | Première adresse dans la plage IPv4 principale | 10.1.2.0 dans la plage 10.1.2.0/24
|
| Adresse de passerelle par défaut | Deuxième adresse dans la plage IPv4 principale | 10.1.2.1 dans la plage 10.1.2.0/24
|
| Avant-dernière adresse | Avant-dernière adresse dans la plage d'adresses IPv4 principale
Cette plage est réservée par Google Cloud en vue d'une utilisation future. |
10.1.2.254 dans la plage 10.1.2.0/24
|
| Adresse de broadcast | Dernière adresse dans la plage IPv4 principale | 10.1.2.255 dans la plage 10.1.2.0/24
|
Plages IPv4 en mode automatique
Ce tableau répertorie les plages d'adresses IPv4 des sous-réseaux créés automatiquement dans un réseau VPC en mode automatique. Les plages d'adresses IP de ces sous-réseaux entrent dans le bloc CIDR 10.128.0.0/9. Les réseaux VPC en mode automatique sont conçus avec un sous-réseau par région au moment de la création et reçoivent automatiquement les nouveaux sous-réseaux dans les nouvelles régions. Les portions inutilisées de 10.128.0.0/9 sont réservées pour une utilisation future par Google Cloud.
| Région | Plage d'adresses IP (CIDR) | Passerelle par défaut | Adresses utilisables (incluses) |
|---|---|---|---|
| africa-south1 | 10.218.0.0/20 | 10.218.0.1 | 10.218.0.2 à 10.218.15.253 |
| asia-east1 | 10.140.0.0/20 | 10.140.0.1 | de 10.140.0.2 à 10.140.15.253 |
| asia-east2 | 10.170.0.0/20 | 10.170.0.1 | de 10.170.0.2 à 10.170.15.253 |
| asia-northeast1 | 10.146.0.0/20 | 10.146.0.1 | de 10.146.0.2 à 10.146.15.253 |
| asia-northeast2 | 10.174.0.0/20 | 10.174.0.1 | de 10.174.0.2 à 10.174.15.253 |
| asia-northeast3 | 10.178.0.0/20 | 10.178.0.1 | de 10.178.0.2 à 10.178.15.253 |
| asia-south1 | 10.160.0.0/20 | 10.160.0.1 | de 10.160.0.2 à 10.160.15.253 |
| asia-south2 | 10.190.0.0/20 | 10.190.0.1 | de 10.190.0.2 à 10.190.15.253 |
| asia-southeast1 | 10.148.0.0/20 | 10.148.0.1 | de 10.148.0.2 à 10.148.15.253 |
| asia-southeast2 | 10.184.0.0/20 | 10.184.0.1 | de 10.184.0.2 à 10.184.15.253 |
| australia-southeast1 | 10.152.0.0/20 | 10.152.0.1 | de 10.152.0.2 à 10.152.15.253 |
| australia-southeast2 | 10.192.0.0/20 | 10.192.0.1 | de 10.192.0.2 à 10.192.15.253 |
| europe-central2 | 10.186.0.0/20 | 10.186.0.1 | De 10.186.0.2 à 10.186.15.253 |
| europe-north1 | 10.166.0.0/20 | 10.166.0.1 | de 10.166.0.2 à 10.166.15.253 |
| europe-west1 | 10.132.0.0/20 | 10.132.0.1 | de 10.132.0.2 à 10.132.15.253 |
| europe-west2 | 10.154.0.0/20 | 10.154.0.1 | de 10.154.0.2 à 10.154.15.253 |
| europe-west3 | 10.156.0.0/20 | 10.156.0.1 | de 10.156.0.2 à 10.156.15.253 |
| europe-west4 | 10.164.0.0/20 | 10.164.0.1 | de 10.164.0.2 à 10.164.15.253 |
| europe-west6 | 10.172.0.0/20 | 10.172.0.1 | de 10.172.0.2 à 10.172.15.253 |
| europe-west8 | 10.198.0.0/20 | 10.198.0.1 | de 10.198.0.2 à 10.198.15.253 |
| europe-west9 | 10.200.0.0/20 | 10.200.0.1 | de 10.200.0.2 à 10.200.15.253 |
| europe-west10 | 10.214.0.0/20 | 10.214.0.1 | 10.214.0.2 à 10.214.15.253 |
| europe-west12 | 10.210.0.0/20 | 10.210.0.1 | de 10.210.0.2 à 10.210.15.253 |
| europe-southwest1 | 10.204.0.0/20 | 10.204.0.1 | 10.204.0.2 à 10.204.15.253 |
| me-central1 | 10.212.0.0/20 | 10.212.0.1 | 10.212.0.2 à 10.212.15.253 |
| me-central2 | 10.216.0.0/20 | 10.216.0.1 | de 10.216.0.2 à 10.216.15.253 |
| me-west1 | 10.208.0.0/20 | 10.208.0.1 | de 10.208.0.2 à 10.208.15.253 |
| northamerica-northeast1 | 10.162.0.0/20 | 10.162.0.1 | de 10.162.0.2 à 10.162.15.253 |
| northamerica-northeast2 | 10.188.0.0/20 | 10.188.0.1 | 10.188.0.2 to 10.188.15.253 |
| southamerica-east1 | 10.158.0.0/20 | 10.158.0.1 | de 10.158.0.2 à 10.158.15.253 |
| southamerica-west1 | 10.194.0.0/20 | 10.194.0.1 | de 10.194.0.2 à 10.194.15.253 |
| us-central1 | 10.128.0.0/20 | 10.128.0.1 | de 10.128.0.2 à 10.128.15.253 |
| us-east1 | 10.142.0.0/20 | 10.142.0.1 | de 10.142.0.2 à 10.142.15.253 |
| us-east4 | 10.150.0.0/20 | 10.150.0.1 | de 10.150.0.2 à 10.150.15.253 |
| us-east5 | 10.202.0.0/20 | 10.202.0.1 | de 10.202.0.2 à 10.202.15.253 |
| us-south1 | 10.206.0.0/20 | 10.206.0.1 | de 10.206.0.2 à 10.206.15.253 |
| us-west1 | 10.138.0.0/20 | 10.138.0.1 | de 10.138.0.2 à 10.138.15.253 |
| us-west2 | 10.168.0.0/20 | 10.168.0.1 | de 10.168.0.2 à 10.168.15.253 |
| us-west3 | 10.180.0.0/20 | 10.180.0.1 | de 10.180.0.2 à 10.180.15.253 |
| us-west4 | 10.182.0.0/20 | 10.182.0.1 | de 10.182.0.2 à 10.182.15.253 |
Informations complémentaires
Assurez-vous que toutes les plages d'adresses IPv4 principale et secondaire de sous-réseau n'entrent pas en conflit avec les plages d'adresses IPv4 que doivent utiliser les logiciels exécutés dans vos VM. Certains produits Google et certains produits tiers utilisent la plage 172.17.0.0/16 pour le routage au sein du système d'exploitation invité. Par exemple, le réseau de la liaison Docker par défaut utilise cette plage. Si vous dépendez d'un produit qui fait appel à la plage 172.17.0.0/16, ne l'utilisez pas comme plage d'adresses IPv4 principale ou secondaire d'un sous-réseau.
Plages de sous-réseaux IPv6
Lorsque vous activez IPv6 sur un sous-réseau d'un réseau VPC, vous choisissez un type d'accès IPv6 pour le sous-réseau. Le type d'accès IPv6 détermine si le sous-réseau est configuré avec des adresses IPv6 internes ou des adresses IPv6 externes.
Les adresses IPv6 internes sont utilisées pour la communication de VM à VM au sein des réseaux VPC. Elles ne peuvent être acheminées que dans le cadre de réseaux VPC et ne peuvent pas être routées vers Internet.
Les adresses IPv6 externes peuvent être utilisées pour la communication entre plusieurs VM au sein des réseaux VPC et sont également routables sur Internet.
Si l'interface d'une VM est connectée à un sous-réseau disposant d'une plage de sous-réseau IPv6, vous pouvez configurer des adresses IPv6 sur la VM. Le type d'accès IPv6 du sous-réseau détermine si une adresse IPv6 interne ou externe est attribuée à la VM.
Spécifications IPv6
Les plages de sous-réseaux IPv6 sont des ressources régionales.
Les plages de sous-réseaux IPv6 internes et externes sont disponibles dans toutes les régions.
Des plages
/64sont automatiquement attribuées aux plages de sous-réseaux IPv6.Vous ne pouvez pas modifier le type d'accès IPv6 (interne ou externe) d'un sous-réseau.
Vous ne pouvez pas remplacer un sous-réseau à double pile par une pile unique si le type d'accès IPv6 est interne.
Spécifications IPv6 internes
Les plages IPv6 internes utilisent des adresses locales uniques (ULA).
Les ULA pour IPv6 sont analogues aux adresses RFC 1918 pour IPv4. Les ULA ne sont pas accessibles depuis Internet et ne peuvent pas être routées publiquement.
Pour créer des sous-réseaux avec des plages IPv6 internes, vous devez d'abord attribuer une plage IPv6 interne au réseau VPC. Une plage IPv6
/48est attribuée. Lorsque vous créez un sous-réseau avec une plage IPv6 interne, la plage/64du sous-réseau est attribuée à partir de la plage du réseau VPC.La plage IPv6 interne d'un réseau VPC est unique dans Google Cloud.
Vous pouvez laisser Google attribuer la plage IPv6 interne du réseau VPC ou sélectionner une plage spécifique. Si votre réseau VPC se connecte à des réseaux extérieurs à Google Cloud, vous pouvez choisir une plage qui ne chevauche pas les plages utilisées dans ces environnements.
L'attribution d'une plage IPv6 interne
/48à un réseau VPC est permanente. Vous ne pouvez pas la désactiver ni la modifier ultérieurement.Vous pouvez réserver des adresses IPv6 internes régionales statiques.
Aucun autre réseau VPC ne peut utiliser la même plage, ce qui élimine le risque de chevauchement de plages de sous-réseaux IPv6 lorsque vous utilisez l'appairage de réseaux VPC.
Spécifications IPv6 externes
Les plages d'adresses IPv6 externes utilisent des adresses de monodiffusion globales (GUA).
Les adresses IPv6 externes peuvent être utilisées pour la communication entre plusieurs VM au sein des réseaux VPC et sont également routables sur Internet. Pour contrôler la sortie et l'entrée depuis Internet, configurez des règles de pare-feu ou des règles de pare-feu hiérarchiques. Pour désactiver complètement le routage IPv6 vers Internet, supprimez la route IPv6 par défaut dans le réseau VPC.
Les adresses IPv6 externes ne sont disponibles qu'avec le niveau Premium.
Vous pouvez réserver des adresses IPv6 externes régionales statiques.
Attribution de plages IPv6
Les plages IPv6 peuvent être attribuées à des réseaux, à des sous-réseaux et à des instances de machines virtuelles (VM).
| Type de ressource | Taille de la plage | Détails |
|---|---|---|
| Réseau VPC | /48 |
Pour activer le protocole IPv6 interne sur un sous-réseau, vous devez d'abord attribuer une plage IPv6 interne sur le réseau VPC. Une plage ULA La plage |
| Sous-réseau | /64 |
Le paramètre de type d'accès IPv6 contrôle si les adresses IPv6 sont internes ou externes. Un sous-réseau peut avoir des adresses IPv6 internes ou externes, mais pas les deux.
Lorsque vous activez IPv6, voici ce qui se produit :
|
| Instance de machine virtuelle (VM) | /96 |
Lorsque vous activez le protocole IPv6 sur une VM, une plage Vous ne configurez pas si une VM obtient des adresses IPv6 internes ou externes. La VM hérite du type d'accès IPv6 du sous-réseau auquel elle est connectée. |
Étape suivante
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud NAT en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits pour exécuter, tester et déployer des charges de travail.
Profiter d'un essai gratuit de Cloud NAT