Sous-réseaux

Les réseaux de cloud privé virtuel (VPC) sont des ressources globales. Chaque réseau VPC est constitué d'une ou de plusieurs plages d'adresses IP appelées sous-réseaux. Les sous-réseaux sont des ressources régionales et sont associés à des plages d'adresses IP.

Dans Google Cloud, les termes subnet et subnetwork faisant référence au sous-réseau sont synonymes. Ils sont utilisés indifféremment dans Google Cloud Console, les commandes de Google Cloud CLI et la documentation de l'API.

Réseaux et sous-réseaux

Un réseau doit comporter au moins un sous-réseau pour que vous puissiez l'utiliser. Les réseaux VPC en mode automatique créent automatiquement des sous-réseaux dans chaque région. Les réseaux VPC en mode personnalisé démarrent sans sous-réseaux, ce qui vous donne ainsi un contrôle total sur la création de sous-réseaux. Vous pouvez créer plusieurs sous-réseaux par région. Pour plus d'informations sur les différences entre les réseaux VPC en mode automatique et en mode personnalisé, consultez la section Types de réseaux VPC.

Lorsque vous créez une ressource dans Google Cloud, vous choisissez un réseau et un sous-réseau. Pour les ressources autres que les modèles d'instance, vous sélectionnez également une zone ou une région. Lorsque vous sélectionnez une zone, sa région parente est implicitement sélectionnée. Les sous-réseaux sont des objets régionaux ; ainsi, la région que vous sélectionnez pour une ressource détermine les sous-réseaux qu'elle peut utiliser :

  • Lorsque vous créez une instance, vous sélectionnez une zone pour cette instance. Si vous ne sélectionnez pas de réseau pour la VM, le réseau VPC par défaut est utilisé. Il comprend un sous-réseau dans chaque région. Si vous sélectionnez un réseau pour la VM, vous devez sélectionner un réseau contenant un sous-réseau dans la région parente de la zone sélectionnée.

  • Lorsque vous créez un groupe d'instances géré, vous sélectionnez une zone ou une région en fonction du type de groupe et un modèle d'instance. Le modèle d'instance définit le réseau VPC à utiliser. Par conséquent, lorsque vous créez un groupe d'instances géré, vous devez sélectionner un modèle d'instance avec une configuration appropriée : le modèle doit spécifier un réseau VPC comportant des sous-réseaux dans la zone ou la région sélectionnée. Les réseaux VPC en mode automatique possèdent toujours un sous-réseau dans chaque région.

  • Le processus de création d'un cluster de conteneurs Kubernetes implique la sélection d'une zone ou d'une région (en fonction du type de cluster), d'un réseau et d'un sous-réseau. Vous devez sélectionner un sous-réseau disponible dans la zone ou la région sélectionnée.

Types de sous-réseaux

Les réseaux VPC sont compatibles avec les types de sous-réseaux suivants :

  • Sous-réseaux IPv4 uniquement (pile unique), avec uniquement des plages de sous-réseaux IPv4

  • Sous-réseaux IPv4 et IPv6 (double pile), avec des plages de sous-réseaux IPv4 et IPv6

Un seul réseau VPC peut contenir n'importe quelle combinaison de ces types de sous-réseaux.

Lorsque vous créez un sous-réseau, vous spécifiez le type de pile à utiliser. Vous pouvez également mettre à jour un sous-réseau IPv4 uniquement pour le configurer en tant que sous-réseau à double pile.

Les sous-réseaux à double pile ne sont compatibles qu'avec les réseaux VPC en mode personnalisé. Les sous-réseaux à double pile ne sont pas compatibles avec les réseaux VPC en mode automatique ou les anciens réseaux.

Lorsque vous créez une plage de sous-réseau IPv4, vous fournissez les informations suivantes :

Paramètre de sous-réseau Valeurs valides Détails
Plage IPv4 Plage valide de votre choix Requis
Plage d'adresses IPv4 secondaires Plage valide de votre choix Facultatif

Lorsque vous créez une plage de sous-réseau IPv6, vous fournissez les informations suivantes :

Paramètre de sous-réseau Valeurs valides Détails
Type d'accès IPv6

  • Interne
  • Externe

Une plage d'adresses IPv6 /64 est automatiquement attribuée au sous-réseau.

Usage des sous-réseaux

Les sous-réseaux peuvent être utilisés à différentes fins :

  • Sous-réseaux standards : il s'agit du type de sous-réseau par défaut. Les sous-réseaux standards sont créés par des utilisateurs ou créés automatiquement dans des réseaux en mode automatique pour être utilisés avec des instances de VM. Les sous-réseaux standards ont un usage PRIVATE (privé) dans gcloud CLI ou l'API. L'usage est None (aucun) dans la console Google Cloud.
  • Sous-réseaux Private Service Connect : sous-réseau destiné à publier un service géré à l'aide de Private Service Connect.
  • Sous-réseaux proxy réservés : sous-réseau proxy réservé destiné aux équilibreurs de charge régionaux basés sur Envoy.
  • Sous-réseaux Private NAT : sous-réseau réservé à la plage source Private NAT. Ce sous-réseau est défini sur --purpose=PRIVATE_NAT.

Dans la plupart des cas, vous ne pouvez pas modifier l'usage d'un sous-réseau après sa création. Pour en savoir plus, consultez la documentation de référence sur la commande gcloud compute networks subnets update.

Plages de sous-réseaux IPv4

Chaque sous-réseau possède une plage d'adresses IPv4 principale. Les adresses IP internes principales des ressources suivantes proviennent de la plage d'adresses IP principale du sous-réseau : instances de VM, équilibreurs de charge internes et transfert de protocole interne. Vous pouvez éventuellement ajouter des plages d'adresses IP secondaires à un sous-réseau, qui ne sont utilisées que par les plages d'adresses IP d'alias. Cependant, vous pouvez configurer des plages d'adresses IP d'alias pour les instances depuis la plage principale ou secondaire d'un sous-réseau.

Chaque plage d'adresses IPv4 principale ou secondaire de tous les sous-réseaux d'un réseau VPC doit être un bloc CIDR valide unique. Reportez-vous aux limites par réseau pour connaître le nombre de plages d'adresses IP secondaires que vous pouvez définir.

Les sous-réseaux IPv4 n'ont pas besoin de former un bloc CIDR contigu prédéfini, mais cette configuration est possible si vous le souhaitez. Par exemple, les réseaux VPC en mode automatique créent des sous-réseaux qui correspondent à une plage d'adresses IP en mode automatique prédéfinie.

Pour plus d'informations, consultez la section Travailler avec des sous-réseaux.

Plages IPv4 valides

Les plages d'adresses IPv4 principale et secondaire d'un sous-réseau sont des adresses IPv4 internes régionales. Le tableau suivant décrit les plages valides.

Plage Description
Plages d'adresses IPv4 privées
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Adresses IP privées RFC 1918

Pour plus d'informations sur l'utilisation de la plage 172.17.0.0/16, consultez la section Informations complémentaires.

100.64.0.0/10 Espace d'adressage partagé RFC 6598
192.0.0.0/24 Attributions de protocole IETF RFC 6890
192.0.2.0/24 (TEST-NET-1)
198.51.100.0/24 (TEST-NET-2)
203.0.113.0/24 (TEST-NET-3)
Documentation RFC 5737
192.88.99.0/24 Relais IPv6 vers IPv4 (obsolète) RFC 7526
198.18.0.0/15 Série de tests comparatifs RFC 2544
240.0.0.0/4

Réservée pour une utilisation future (classe E), comme décrit dans les normes RFC 5735 et RFC 1112.

Certains systèmes d'exploitation ne sont pas compatibles avec l'utilisation de cette plage. Par conséquent, assurez-vous que votre système d'exploitation est compatible avant de créer des sous-réseaux qui l'utilisent.

Plages d'adresses IP publiques utilisées en mode privé
Adresses IPv4 publiques utilisées en mode privé Adresses IPv4 publiques utilisées en mode privé :
  • Il s'agit d'adresses IPv4 qui peuvent normalement être routées sur Internet, mais qui sont utilisées en mode privé dans un réseau VPC.
  • Elles ne peuvent pas appartenir à une plage de sous-réseaux interdite.

Lorsque vous utilisez ces adresses en tant que plages de sous-réseaux, Google Cloud n'annonce pas ces routes sur Internet et n'achemine pas le trafic provenant d'Internet vers celles-ci.

Si vous avez importé des adresses IP publiques sur Google à l'aide de l'option Utiliser vos propres adresses IP (BYOIP), vos plages BYOIP et les plages d'adresses IP publiques utilisées en mode privé dans le même réseau VPC ne doivent pas se chevaucher.

Pour l'appairage de réseaux VPC, les routes de sous-réseau des adresses IP publiques ne sont pas automatiquement échangées. Les routes de sous-réseau sont automatiquement exportées, mais les réseaux de pairs doivent être explicitement configurés pour importation afin de les utiliser.

Les plages de sous-réseaux IPv4 présentent les contraintes suivantes :

  • Les plages de sous-réseaux ne peuvent pas être identiques, plus étroites ou plus larges qu'une plage restreinte. Par exemple, 169.0.0.0/8 n'est pas une plage de sous-réseaux valide, car elle chevauche la plage de liaison locale 169.254.0.0/16 (RFC 3927), qui est une plage restreinte.

  • Les plages de sous-réseaux ne peuvent pas s'étendre sur une plage RFC (décrite dans le tableau précédent) et une plage d'adresses IP publiques utilisées en mode privé. Par exemple, 172.0.0.0/10 n'est pas une plage de sous-réseaux valide, car elle inclut à la fois la plage d'adresses IP privées 172.16.0.0/12 et des adresses IP publiques.

  • Les plages de sous-réseaux ne peuvent pas s'étendre sur plusieurs plages RFC. Par exemple, 192.0.0.0/8 n'est pas une plage de sous-réseaux valide, car elle inclut à la fois 192.168.0.0/16 (RFC 1918) et 192.0.0.0/24 (RFC 6890). Cependant, vous pouvez créer deux sous-réseaux avec différentes plages principales, l'une avec 192.168.0.0/16 et l'autre avec 192.0.0.0/24. Vous pouvez également utiliser ces deux plages sur le même sous-réseau si vous en définissez une comme plage secondaire.

Plages de sous-réseaux IPv4 interdites

Les plages de sous-réseaux interdites incluent les adresses IP publiques Google et les plages RFC couramment réservées, comme décrit dans le tableau suivant. Ces plages ne peuvent pas être utilisées pour les plages de sous-réseaux.

Plage Description
Adresses IP publiques pour les API et les services Google, y compris les netblocks Google Cloud. Vous trouverez ces adresses IP ici : https://gstatic.com/ipranges/goog.txt.
199.36.153.4/30
et
199.36.153.8/30
Adresses IP virtuelles spécifiques pour l'accès privé à Google
0.0.0.0/8 Réseau actuel (local) RFC 1122
127.0.0.0/8 Hôte local RFC 1122
169.254.0.0/16 Liaison locale RFC 3927
224.0.0.0/4 Multidiffusion (classe D) RFC 5771
255.255.255.255/32 Adresse de destination de diffusion limitée RFC 8190 et RFC 919

Adresses inutilisables dans les plages de sous-réseaux IPv4

Google Cloud utilise les deux premières et les deux dernières adresses IPv4 de chaque plage principale d'adresses IPv4 du sous-réseau pour héberger le sous-réseau. Google Cloud vous permet d'utiliser toutes les adresses des plages IPv4 secondaires.

Adresse IPv4 inutilisable Description Exemple
Adresse du réseau Première adresse dans la plage IPv4 principale 10.1.2.0 dans la plage 10.1.2.0/24
Adresse de passerelle par défaut Deuxième adresse dans la plage IPv4 principale 10.1.2.1 dans la plage 10.1.2.0/24
Avant-dernière adresse Avant-dernière adresse dans la plage d'adresses IPv4 principale

Cette plage est réservée par Google Cloud en vue d'une utilisation future.

10.1.2.254 dans la plage 10.1.2.0/24
Adresse de broadcast Dernière adresse dans la plage IPv4 principale 10.1.2.255 dans la plage 10.1.2.0/24

Plages IPv4 en mode automatique

Ce tableau répertorie les plages d'adresses IPv4 des sous-réseaux créés automatiquement dans un réseau VPC en mode automatique. Les plages d'adresses IP de ces sous-réseaux entrent dans le bloc CIDR 10.128.0.0/9. Les réseaux VPC en mode automatique sont conçus avec un sous-réseau par région au moment de la création et reçoivent automatiquement les nouveaux sous-réseaux dans les nouvelles régions. Les portions inutilisées de 10.128.0.0/9 sont réservées pour une utilisation future par Google Cloud.

Région Plage d'adresses IP (CIDR) Passerelle par défaut Adresses utilisables (incluses)
africa-south1 10.218.0.0/20 10.218.0.1 10.218.0.2 à 10.218.15.253
asia-east1 10.140.0.0/20 10.140.0.1 de 10.140.0.2 à 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 de 10.170.0.2 à 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 de 10.146.0.2 à 10.146.15.253
asia-northeast2 10.174.0.0/20 10.174.0.1 de 10.174.0.2 à 10.174.15.253
asia-northeast3 10.178.0.0/20 10.178.0.1 de 10.178.0.2 à 10.178.15.253
asia-south1 10.160.0.0/20 10.160.0.1 de 10.160.0.2 à 10.160.15.253
asia-south2 10.190.0.0/20 10.190.0.1 de 10.190.0.2 à 10.190.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 de 10.148.0.2 à 10.148.15.253
asia-southeast2 10.184.0.0/20 10.184.0.1 de 10.184.0.2 à 10.184.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 de 10.152.0.2 à 10.152.15.253
australia-southeast2 10.192.0.0/20 10.192.0.1 de 10.192.0.2 à 10.192.15.253
europe-central2 10.186.0.0/20 10.186.0.1 De 10.186.0.2 à 10.186.15.253
europe-north1 10.166.0.0/20 10.166.0.1 de 10.166.0.2 à 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 de 10.132.0.2 à 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 de 10.154.0.2 à 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 de 10.156.0.2 à 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 de 10.164.0.2 à 10.164.15.253
europe-west6 10.172.0.0/20 10.172.0.1 de 10.172.0.2 à 10.172.15.253
europe-west8 10.198.0.0/20 10.198.0.1 de 10.198.0.2 à 10.198.15.253
europe-west9 10.200.0.0/20 10.200.0.1 de 10.200.0.2 à 10.200.15.253
europe-west10 10.214.0.0/20 10.214.0.1 10.214.0.2 à 10.214.15.253
europe-west12 10.210.0.0/20 10.210.0.1 de 10.210.0.2 à 10.210.15.253
europe-southwest1 10.204.0.0/20 10.204.0.1 10.204.0.2 à 10.204.15.253
me-central1 10.212.0.0/20 10.212.0.1 10.212.0.2 à 10.212.15.253
me-central2 10.216.0.0/20 10.216.0.1 de 10.216.0.2 à 10.216.15.253
me-west1 10.208.0.0/20 10.208.0.1 de 10.208.0.2 à 10.208.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 de 10.162.0.2 à 10.162.15.253
northamerica-northeast2 10.188.0.0/20 10.188.0.1 10.188.0.2 to 10.188.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 de 10.158.0.2 à 10.158.15.253
southamerica-west1 10.194.0.0/20 10.194.0.1 de 10.194.0.2 à 10.194.15.253
us-central1 10.128.0.0/20 10.128.0.1 de 10.128.0.2 à 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 de 10.142.0.2 à 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 de 10.150.0.2 à 10.150.15.253
us-east5 10.202.0.0/20 10.202.0.1 de 10.202.0.2 à 10.202.15.253
us-south1 10.206.0.0/20 10.206.0.1 de 10.206.0.2 à 10.206.15.253
us-west1 10.138.0.0/20 10.138.0.1 de 10.138.0.2 à 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 de 10.168.0.2 à 10.168.15.253
us-west3 10.180.0.0/20 10.180.0.1 de 10.180.0.2 à 10.180.15.253
us-west4 10.182.0.0/20 10.182.0.1 de 10.182.0.2 à 10.182.15.253

Informations complémentaires

Assurez-vous que toutes les plages d'adresses IPv4 principale et secondaire de sous-réseau n'entrent pas en conflit avec les plages d'adresses IPv4 que doivent utiliser les logiciels exécutés dans vos VM. Certains produits Google et certains produits tiers utilisent la plage 172.17.0.0/16 pour le routage au sein du système d'exploitation invité. Par exemple, le réseau de la liaison Docker par défaut utilise cette plage. Si vous dépendez d'un produit qui fait appel à la plage 172.17.0.0/16, ne l'utilisez pas comme plage d'adresses IPv4 principale ou secondaire d'un sous-réseau.

Plages de sous-réseaux IPv6

Lorsque vous activez IPv6 sur un sous-réseau d'un réseau VPC, vous choisissez un type d'accès IPv6 pour le sous-réseau. Le type d'accès IPv6 détermine si le sous-réseau est configuré avec des adresses IPv6 internes ou des adresses IPv6 externes.

  • Les adresses IPv6 internes sont utilisées pour la communication de VM à VM au sein des réseaux VPC. Elles ne peuvent être acheminées que dans le cadre de réseaux VPC et ne peuvent pas être routées vers Internet.

  • Les adresses IPv6 externes peuvent être utilisées pour la communication entre plusieurs VM au sein des réseaux VPC et sont également routables sur Internet.

Si l'interface d'une VM est connectée à un sous-réseau disposant d'une plage de sous-réseau IPv6, vous pouvez configurer des adresses IPv6 sur la VM. Le type d'accès IPv6 du sous-réseau détermine si une adresse IPv6 interne ou externe est attribuée à la VM.

Spécifications IPv6

  • Les plages de sous-réseaux IPv6 sont des ressources régionales.

  • Les plages de sous-réseaux IPv6 internes et externes sont disponibles dans toutes les régions.

  • Des plages /64 sont automatiquement attribuées aux plages de sous-réseaux IPv6.

  • Vous ne pouvez pas modifier le type d'accès IPv6 (interne ou externe) d'un sous-réseau.

  • Vous ne pouvez pas remplacer un sous-réseau à double pile par une pile unique si le type d'accès IPv6 est interne.

Spécifications IPv6 internes

  • Les plages IPv6 internes utilisent des adresses locales uniques (ULA).

  • Les ULA pour IPv6 sont analogues aux adresses RFC 1918 pour IPv4. Les ULA ne sont pas accessibles depuis Internet et ne peuvent pas être routées publiquement.

  • Pour créer des sous-réseaux avec des plages IPv6 internes, vous devez d'abord attribuer une plage IPv6 interne au réseau VPC. Une plage IPv6 /48 est attribuée. Lorsque vous créez un sous-réseau avec une plage IPv6 interne, la plage /64 du sous-réseau est attribuée à partir de la plage du réseau VPC.

    • La plage IPv6 interne d'un réseau VPC est unique dans Google Cloud.

    • Vous pouvez laisser Google attribuer la plage IPv6 interne du réseau VPC ou sélectionner une plage spécifique. Si votre réseau VPC se connecte à des réseaux extérieurs à Google Cloud, vous pouvez choisir une plage qui ne chevauche pas les plages utilisées dans ces environnements.

  • L'attribution d'une plage IPv6 interne /48 à un réseau VPC est permanente. Vous ne pouvez pas la désactiver ni la modifier ultérieurement.

  • Vous pouvez réserver des adresses IPv6 internes régionales statiques.

Aucun autre réseau VPC ne peut utiliser la même plage, ce qui élimine le risque de chevauchement de plages de sous-réseaux IPv6 lorsque vous utilisez l'appairage de réseaux VPC.

Spécifications IPv6 externes

Attribution de plages IPv6

Les plages IPv6 peuvent être attribuées à des réseaux, à des sous-réseaux et à des instances de machines virtuelles (VM).

Type de ressource Taille de la plage Détails
Réseau VPC /48

Pour activer le protocole IPv6 interne sur un sous-réseau, vous devez d'abord attribuer une plage IPv6 interne sur le réseau VPC.

Une plage ULA /48 comprise dans fd20::/20 est attribuée au réseau. Toutes les plages de sous-réseaux IPv6 internes du réseau sont attribuées à partir de cette plage /48.

La plage /48 peut être attribuée automatiquement, ou vous pouvez sélectionner une plage spécifique dans fd20::/20.

Sous-réseau /64

Le paramètre de type d'accès IPv6 contrôle si les adresses IPv6 sont internes ou externes.

Un sous-réseau peut avoir des adresses IPv6 internes ou externes, mais pas les deux.

Lorsque vous activez IPv6, voici ce qui se produit :

  • Si vous activez le protocole IPv6 interne sur un sous-réseau, une plage /64 d'ULA internes est attribuée à partir de la plage /48 de votre réseau VPC.

  • Si vous activez le protocole IPv6 externe sur un sous-réseau, une plage /64 de GUA externes est attribuée.
Instance de machine virtuelle (VM) /96

Lorsque vous activez le protocole IPv6 sur une VM, une plage /96 du sous-réseau auquel elle est associée est attribuée à la VM. La première adresse IP de cette plage est attribuée à l'interface principale à l'aide de DHCPv6.

Vous ne configurez pas si une VM obtient des adresses IPv6 internes ou externes. La VM hérite du type d'accès IPv6 du sous-réseau auquel elle est connectée.

Étape suivante

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud NAT en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits pour exécuter, tester et déployer des charges de travail.

Profiter d'un essai gratuit de Cloud NAT