Présentation du réseau VPC

Un réseau VPC, parfois simplement appelé "réseau", est une version virtuelle d'un réseau physique, tel qu'un réseau de centre de données. Il permet de connecter les instances de machines virtuelles (VM) Compute Engine, les clusters Kubernetes Engine, les instances App Engine Flex et d'autres ressources de votre projet.

Les projets peuvent contenir plusieurs réseaux VPC. À moins de créer une règle d'administration qui l'interdit, les nouveaux projets démarrent avec un réseau default qui comporte un sous-réseau dans chaque région (réseau en mode automatique).

Spécifications

Les réseaux VPC ont les propriétés suivantes :

  • Les réseaux VPC, y compris leurs routes et règles de pare-feu associées, sont des ressources globales. Ils ne sont associés à aucune région ou zone particulière.

  • Les sous-réseaux sont des ressources régionales. Chaque sous-réseau définit une plage d'adresses IP. Pour plus d'informations sur les réseaux et les sous-réseaux, consultez la section Réseaux et sous-réseaux.

  • Le trafic à destination et en provenance des instances peut être contrôlé à l'aide de règles de pare-feu de réseau.

  • Les ressources d'un réseau VPC peuvent communiquer entre elles à l'aide d'adresses IPv4 internes (privées) sous réserve des règles de pare-feu de réseau applicables. Pour plus d'informations, consultez la section Communication au sein du réseau.

  • Les instances comportant des adresses IP internes peuvent communiquer avec les API et les services Google. Pour plus d'informations, consultez la section Options d'accès privé.

  • L'administration réseau peut être sécurisée à l'aide des rôles de gestion de l'authentification et des accès (IAM).

  • Une organisation peut utiliser un VPC partagé pour conserver un réseau VPC dans un projet hôte commun. Les membres IAM autorisés d'autres projets dans la même organisation peuvent créer des ressources utilisant des sous-réseaux du réseau VPC partagé.

  • Les réseaux VPC peuvent être connectés à d'autres réseaux VPC dans différents projets ou différentes organisations à l'aide de l'appairage de réseaux VPC.

  • Les réseaux VPC peuvent être connectés en toute sécurité dans des environnements hybrides à l'aide de Cloud VPN ou Cloud Interconnect.

  • Les réseaux VPC ne gèrent que le trafic de monodiffusion IPv4. Ils ne gèrent pas le trafic de diffusion, de multidiffusion ou le trafic IPv6 au sein du réseau : les VM appartenant au réseau VPC peuvent émettre du trafic uniquement à destination d'adresses IPv4 et en recevoir uniquement depuis des sources IPv4. Il est toutefois possible de créer une adresse IPv6 pour un équilibreur de charge global.

Réseaux et sous-réseaux

Chaque réseau VPC consiste en une ou plusieurs partitions de plages d'adresses IP utiles appelées sous-réseaux. Chaque sous-réseau est associé à une région. Les réseaux VPC ne sont associés à aucune plage d'adresses IP. Les plages d'adresses IP sont définies pour les sous-réseaux.

Un réseau doit comporter au moins un sous-réseau pour que vous puissiez l'utiliser. Les réseaux en mode automatique créent automatiquement des sous-réseaux dans chaque région. Les réseaux en mode personnalisé démarrent sans sous-réseaux, ce qui vous donne ainsi un contrôle total sur la création de sous-réseaux. Vous pouvez créer plusieurs sous-réseaux par région. Pour plus d'informations sur les différences entre les réseaux en mode automatique et en mode personnalisé, consultez la section Types de réseaux VPC.

Lorsque vous créez une ressource dans GCP, vous choisissez un réseau et un sous-réseau. Pour les ressources autres que les modèles d'instance, vous sélectionnez également une zone ou une région. Lorsque vous sélectionnez une zone, sa région parente est implicitement sélectionnée. Les sous-réseaux sont des objets régionaux ; ainsi, la région que vous sélectionnez pour une ressource détermine les sous-réseaux qu'elle peut utiliser :

  • Le processus de création d'une instance implique la sélection d'une zone, d'un réseau et d'un sous-réseau. Vous ne pouvez sélectionner que les sous-réseaux associés à la région sélectionnée. GCP attribue une adresse IP à l'instance parmi la plage d'adresses disponibles dans le sous-réseau.

  • Le processus de création d'un groupe d'instances géré implique la sélection d'une zone ou d'une région, en fonction du type de groupe et d'un modèle d'instance. Vous ne pouvez sélectionner que les modèles d'instance dont les sous-réseaux définis se trouvent dans la même région que celle sélectionnée pour le groupe d'instances géré.

    • Les modèles d'instance sont des ressources globales. Le processus de création d'un modèle d'instance implique la sélection d'un réseau et d'un sous-réseau. Si vous sélectionnez un réseau en mode automatique, vous pouvez choisir l'option "Sous-réseau automatique" pour différer la sélection d'un sous-réseau disponible dans la région sélectionnée d'un groupe d'instances géré utilisant le modèle. En effet, les réseaux en mode automatique comportent par définition un sous-réseau dans chaque région.
  • Le processus de création d'un cluster de conteneurs Kubernetes implique la sélection d'une zone ou d'une région (en fonction du type de cluster), d'un réseau et d'un sous-réseau. Vous ne pouvez sélectionner que les sous-réseaux associés à la région sélectionnée.

Terminologie associée au réseau et au sous-réseau

Les termes "subnet" et "subnetwork" faisant référence au sous-réseau sont synonymes. Ils sont utilisés indifféremment dans la console GCP, les commandes gcloud et la documentation de l'API.

Mode de création du sous-réseau

GCP propose deux types de réseaux VPC, déterminés par leur mode de création de sous-réseau :

  • Lorsqu'un réseau en mode automatique est créé, un sous-réseau de chaque région est automatiquement créé. Ces sous-réseaux créés automatiquement utilisent un ensemble de plages d'adresses IP prédéfinies qui correspondent au bloc CIDR 10.128.0.0/9. À mesure que de nouvelles régions GCP deviennent disponibles, de nouveaux sous-réseaux dans ces régions sont automatiquement ajoutés aux réseaux en mode automatique à l'aide d'une plage d'adresses IP de ce bloc. Outre les sous-réseaux créés automatiquement, vous pouvez ajouter manuellement d'autres sous-réseaux aux réseaux en mode automatique dans les régions de votre choix en utilisant des plages d'adresses IP autres que 10.128.0.0/9.

  • Lorsqu'un réseau en mode personnalisé est créé, aucun sous-réseau n'est créé automatiquement. Ce type de réseau vous offre le contrôle total de ses sous-réseaux et ses plages d'adresses IP. Vous créez des sous-réseaux dans les régions de votre choix et en utilisant les plages d'adresses IP que vous spécifiez.

Vous pouvez basculer un réseau en mode automatique vers un mode personnalisé. Cette conversion est à sens unique : les réseaux en mode personnalisé ne peuvent pas être basculés vers un mode automatique. Examinez attentivement les considérations relatives aux réseaux en mode automatique pour décider quel type de réseau répond à vos besoins.

Réseau par défaut

Sauf si vous choisissez de désactiver cette fonction, chaque nouveau projet démarre avec un réseau default. Le réseau default est un réseau en mode automatique avec des règles de pare-feu pré-remplies.

Vous pouvez désactiver la création de réseaux par défaut en créant une règle d'administration avec la contrainte compute.skipDefaultNetworkCreation. Les projets qui héritent de cette règle n'ont pas de réseau par défaut.

Considérations relatives aux réseaux en mode automatique

Les réseaux en mode automatique sont faciles à configurer et à utiliser ; ils conviennent parfaitement aux cas d'utilisation avec les attributs suivants :

  • La création automatique de sous-réseaux dans chaque région vous est utile.

  • Les plages d'adresses IP prédéfinies des sous-réseaux ne chevauchent pas les plages d'adresses IP que vous utilisez à des fins différentes (par exemple, les connexions Cloud VPN aux ressources sur site).

Cependant, les réseaux en mode personnalisé sont plus flexibles et conviennent mieux à la production. Les attributs suivants mettent en évidence les cas d'utilisation où des réseaux en mode personnalisé sont recommandés ou requis :

  • La création automatique de sous-réseaux dans chaque région ne vous est pas nécessaire.

  • Si des sous-réseaux sont créés automatiquement à mesure que de nouvelles régions deviennent disponibles, ceux-ci peuvent chevaucher les adresses IP utilisées par les sous-réseaux créés manuellement ou les routes statiques, ou interférer avec la planification globale de votre réseau.

  • Vous avez besoin d'un contrôle complet sur les sous-réseaux créés dans votre réseau VPC, y compris les régions et les plages d'adresses IP utilisées.

  • Vous envisagez de connecter des réseaux VPC à l'aide de l'appairage de réseaux VPC ou de Cloud VPN. Étant donné que les sous-réseaux de chaque réseau en mode automatique utilisent la même plage d'adresses IP prédéfinie, vous ne pouvez pas connecter les réseaux en mode automatique les uns aux autres.

Sous-réseaux et plages d'adresses IP

Lorsque vous créez un sous-réseau, vous devez définir une plage d'adresses IP principales. Vous avez la possibilité de définir jusqu'à cinq plages d'adresses IP secondaires :

  • Plage d'adresses IP principale : vous pouvez choisir n'importe quel bloc CIDR RFC 1918 privé pour la plage d'adresses IP principale du sous-réseau. Ces adresses IP peuvent être utilisées pour les adresses IP internes principales des VM, les adresses IP d'alias de VM et les adresses IP des équilibreurs de charge internes.

  • Plages d'adresses IP secondaires : vous pouvez définir jusqu'à cinq plages d'adresses IP secondaires, qui correspondent à des blocs CIDR RFC 1918 distincts. Ces plages d'adresses IP ne sont utilisées que pour les adresses IP d'alias.

Les sous-réseaux n'ont pas besoin de former un bloc CIDR contigu prédéfini, mais cette configuration est possible si vous le souhaitez. Par exemple, les réseaux en mode automatique créent des sous-réseaux qui correspondent à une plage IP en mode automatique prédéfinie.

Pour en savoir plus, reportez-vous à la section Utiliser des sous-réseaux de la page Utiliser des réseaux VPC.

Adresses IP réservées

Chaque sous-réseau possède quatre adresses IP réservées dans sa plage d'adresses IP principales :

Adresse réservée Description Exemple
Réseau Première adresse dans la plage d'adresses IP principales du sous-réseau 10.1.2.0 dans 10.1.2.0/24
Passerelle par défaut Deuxième adresse dans la plage d'adresses IP principales du sous-réseau 10.1.2.1 dans 10.1.2.0/24
Avant-dernière adresse réservée Avant-dernière adresse dans la plage d'adresses IP principales du sous-réseau 10.1.2.254 dans 10.1.2.0/24
Diffusion Dernière adresse dans la plage d'adresses IP principales du sous-réseau 10.1.2.255 dans 10.1.2.0/24

Plages d'adresses IP du mode automatique

Ce tableau répertorie les plages d'adresses IP des sous-réseaux créés automatiquement dans un réseau en mode automatique. Les plages d'adresses IP de ces sous-réseaux entrent dans le bloc CIDR 10.128.0.0/9. Les réseaux en mode automatique sont conçus avec un sous-réseau par région au moment de la création et reçoivent automatiquement les nouveaux sous-réseaux dans les nouvelles régions. Par conséquent, les portions inutilisées de 10.128.0.0/9 sont réservées pour une utilisation future par GCP.

Région Plage d'adresses IP (CIDR) Passerelle par défaut Adresses utilisables (inclusives)
asia-east1 10.140.0.0/20 10.140.0.1 de 10.140.0.2 à 10.140.15.253
asia-east2 10.170.0.0/20 10.170.0.1 de 10.170.0.2 à 10.170.15.253
asia-northeast1 10.146.0.0/20 10.146.0.1 de 10.146.0.2 à 10.146.15.253
asia-south1 10.160.0.0/20 10.160.0.1 de 10.160.0.2 à 10.160.15.253
asia-southeast1 10.148.0.0/20 10.148.0.1 de 10.148.0.2 à 10.148.15.253
australia-southeast1 10.152.0.0/20 10.152.0.1 de 10.152.0.2 à 10.152.15.253
europe-north1 10.166.0.0/20 10.166.0.1 de 10.166.0.2 à 10.166.15.253
europe-west1 10.132.0.0/20 10.132.0.1 de 10.132.0.2 à 10.132.15.253
europe-west2 10.154.0.0/20 10.154.0.1 de 10.154.0.2 à 10.154.15.253
europe-west3 10.156.0.0/20 10.156.0.1 de 10.156.0.2 à 10.156.15.253
europe-west4 10.164.0.0/20 10.164.0.1 de 10.164.0.2 à 10.164.15.253
northamerica-northeast1 10.162.0.0/20 10.162.0.1 de 10.162.0.2 à 10.162.15.253
southamerica-east1 10.158.0.0/20 10.158.0.1 de 10.158.0.2 à 10.158.15.253
us-central1 10.128.0.0/20 10.128.0.1 de 10.128.0.2 à 10.128.15.253
us-east1 10.142.0.0/20 10.142.0.1 de 10.142.0.2 à 10.142.15.253
us-east4 10.150.0.0/20 10.150.0.1 de 10.150.0.2 à 10.150.15.253
us-west1 10.138.0.0/20 10.138.0.1 de 10.138.0.2 à 10.138.15.253
us-west2 10.168.0.0/20 10.168.0.1 de 10.168.0.2 à 10.168.15.253

Routes et règles de pare-feu

Routes

Les routes représentent des chemins pour les paquets sortant des instances (trafic de sortie). Les routes dans GCP sont divisées en deux catégories : les routes générées par le système et les routes personnalisées. Cette section décrit brièvement les deux types de routes générées par le système. Vous pouvez également créer des routes personnalisées sur votre réseau. Consultez la section Présentation des routes pour plus d'informations sur le routage dans GCP.

Chaque nouveau réseau commence par deux types de routes générées par le système :

  • La route par défaut définit un chemin de sortie du réseau VPC utilisé par le trafic. Elle fournit un accès Internet général aux VM répondant aux conditions d'accès à Internet. Elle fournit également le chemin typique pour l'Accès privé à Google.

  • Une route de sous-réseau est créée pour chacune des plages d'adresses IP associées à un sous-réseau. Chaque sous-réseau comporte au moins une route de sous-réseau pour sa plage d'adresses IP principales. Des routes de sous-réseau supplémentaires sont créées pour un sous-réseau si vous lui ajoutez des plages d'adresses IP secondaires. Les routes de sous-réseau définissent des chemins permettant au trafic d'atteindre les VM utilisant les sous-réseaux.

Mode de routage dynamique

Chaque réseau VPC possède un mode de routage dynamique associé qui contrôle le comportement de tous les routeurs Cloud. Les routeurs Cloud partagent des routes vers votre réseau VPC et apprennent des routes dynamiques personnalisées à partir de réseaux connectés lorsque vous connectez votre réseau VPC à un autre réseau via un tunnel Cloud VPN utilisant le routage dynamique, l'interconnexion dédiée ou l'interconnexion partenaire.

  • Le routage dynamique régional est le routage par défaut. Dans ce mode, les routes vers les ressources sur site apprises par un routeur Cloud dans le réseau VPC ne s'appliquent qu'aux sous-réseaux de la même région que le routeur Cloud. Chaque routeur Cloud ne partage les routes vers les sous-réseaux de sa région qu'avec son homologue sur site, sauf si ces routes sont modifiées par des annonces personnalisées.

  • Le routage dynamique global modifie le comportement de tous les routeurs Cloud du réseau. Ainsi, les routes vers les ressources sur site apprises sont disponibles dans tous les sous-réseaux du réseau VPC, quelle que soit la région. Chaque routeur Cloud partage les routes vers tous les sous-réseaux du réseau VPC avec son homologue sur site, sauf si ces routes sont modifiées par des annonces personnalisées.

Consultez la section relative aux annonces personnalisées pour obtenir des informations sur la façon dont l'ensemble des routes partagées par un routeur Cloud peut être personnalisé.

Le mode de routage dynamique peut être défini lorsque vous créez un réseau VPC ou que vous le modifiez. Vous pouvez modifier le mode de routage dynamique de la valeur "regional" à la valeur "global" et vice-versa sans restriction. Consultez la page Utiliser des réseaux VPC pour y obtenir des instructions.

Règles de pare-feu

Les règles de pare-feu s'appliquent au trafic sortant (de sortie) et entrant (d'entrée) du réseau. Les règles de pare-feu contrôlent le trafic même s'il est entièrement intégré au réseau, y compris la communication entre instances de VM.

Chaque réseau VPC possède deux règles de pare-feu implicites. Une règle implicite permet d'autoriser la majorité du trafic sortant, et une autre règle permet de refuser tout trafic entrant. Vous ne pouvez pas supprimer les règles implicites, mais vous pouvez les remplacer par les vôtres. GCP bloque toujours certains types de trafic, quelles que soient les règles du pare-feu. Pour plus d'informations, consultez la section relative au trafic bloqué.

Consultez la section Présentation des règles de pare-feu pour plus d'informations.

Vous pouvez surveiller quelle règle a autorisé ou bloqué une connexion particulière. Consultez la section Journalisation des règles de pare-feu pour plus d'informations.

Communication au sein du réseau

Les routes de sous-réseau générées par le système définissent les chemins d'envoi du trafic entre les instances du réseau à l'aide d'adresses IP internes (privées). Pour qu'une instance puisse communiquer avec une autre, des règles de pare-feu appropriées doivent également être configurées. En effet, chaque réseau possède une règle implicite de refus de pare-feu pour le trafic entrant.

Sauf pour le réseau default, vous devez explicitement créer des règles de pare-feu pour le trafic entrant dont la priorité est plus élevée afin de permettre aux instances de communiquer entre elles. Le réseau default comprend un certain nombre de règles de pare-feu, en plus des règles implicites, telles que la règle default-allow-internal qui permet une communication entre instances au sein du réseau. Le réseau default propose également des règles d'entrée autorisant des protocoles tels que RDP et SSH.

Les règles fournies avec le réseau default sont également présentées comme des options à appliquer aux nouveaux réseaux en mode automatique créés à l'aide de la console GCP.

Conditions d'accès à Internet

Les critères suivants doivent être remplis pour qu'une instance ait un accès Internet sortant :

  • Le réseau doit disposer d'une route de passerelle Internet par défaut valide ou d'une route personnalisée dont la plage d'adresses IP de destination est la plus générale (0.0.0.0/0). Cette route définit simplement le chemin d'accès à Internet. Consultez la section Routes pour plus d'informations sur le routage.

  • Les règles de pare-feu doivent autoriser le trafic de sortie de l'instance. Sauf en cas de substitution par une règle de priorité supérieure, la règle implicite d'autorisation pour le trafic de sortie autorise le trafic sortant de toutes les instances.

  • L'une des conditions suivantes doit être remplie :

    • L'instance doit avoir une adresse IP externe. L'adresse IP externe peut être attribuée à une instance lors de sa création ou après sa création.

    • L'instance doit pouvoir utiliser Cloud NAT ou un proxy basé sur une instance, correspondant à la cible d'une route statique 0.0.0.0/0.

Exemple de réseau VPC

L'exemple suivant illustre un réseau en mode personnalisé avec trois sous-réseaux dans deux régions :

Exemple de réseau VPC (cliquez pour agrandir)
Exemple de réseau VPC (cliquez pour agrandir)
  • Le sous-réseau Subnet1 est défini sur 10.240.0.0/24 dans la région us-west1.
    • Deux instances de VM dans la zone us-west1-a se trouvent dans ce sous-réseau. Leurs adresses IP proviennent de la plage d'adresses disponible dans le sous-réseau subnet1.
  • Le sous-réseau Subnet2 est défini sur 192.168.1.0/24 dans la région us-east1.
    • Deux instances de VM dans la zone us-east1-a se trouvent dans ce sous-réseau. Leurs adresses IP proviennent de la plage d'adresses disponible dans le sous-réseau subnet2.
  • Le sous-réseau Subnet3 est défini sur 10.2.0.0/16, également dans la région us-east1.
    • Une instance de VM dans la zone us-east1-a et une seconde instance dans la zone us-east1-b se trouvent dans le sous-réseau subnet3. Leurs adresses IP proviennent de la plage d'adresses disponible dans ce sous-réseau. Les sous-réseaux étant des ressources régionales, leurs interfaces réseau peuvent être associées à tout sous-réseau de la même région que leurs zones.

Étape suivante

  • Consultez la section Utiliser le VPC pour en savoir plus sur la création et la modification de réseaux VPC.
Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…