Cette page explique comment configurer l'accès au réseau privé et acheminer le trafic dans un réseau. Google Cloud
Pour configurer l'accès au réseau privé, vous devez configurer trois projets :
- Un projet contenant un réseau cloud privé virtuel (VPC) à utiliser par l'instance de machine virtuelle (VM) cible ou l'équilibreur de charge interne cible.
- Un projet qui fait office de projet de service de l'Annuaire des services.
- Un projet pour un Google Cloud produit avec la configuration qui appelle l'accès au réseau privé. Dialogflow CX est un exemple de Google Cloud produit qui peut appeler des points de terminaison à l'aide de l'accès au réseau privé.
Les artefacts des projets peuvent se trouver dans le même projet ou dans des projets différents.
Avant de commencer
Avant de configurer l'accès au réseau privé, procédez comme suit :
Pour chaque projet, dans la Google Cloud console, sur la page API et services, cliquez sur Activer les API et les services pour activer les API que vous souhaitez utiliser, y compris l'API de l'Annuaire des services.
Pour associer votre réseau VPC à des hôtes sur site, créez un tunnel Cloud VPN ou une connexion Cloud Interconnect.
Assurez-vous que le Google Cloud projet se trouve dans le périmètre VPC Service Controls du projet réseau et du projet de l'Annuaire des services pour
servicedirectory.googleapis.com.Apprenez-en plus sur VPC Service Controls.
Configurer le projet pour le réseau VPC
Pour configurer le projet pour le réseau VPC, procédez comme suit :
Créez un réseau VPC ou sélectionnez un réseau VPC existant qui comporte un sous-réseau IPv4 uniquement ou à double pile dans la région que vous souhaitez utiliser. Les anciens réseaux ne sont pas compatibles.
Créez les règles de pare-feu autorisant les entrées nécessaires.
Si la cible est une VM ou un équilibreur de charge réseau passthrough interne, les règles de pare-feu doivent autoriser le trafic TCP de la plage
35.199.192.0/19vers les ports utilisés par le logiciel exécuté sur les instances de VM cibles.Si la cible est un équilibreur de charge d'application interne ou un équilibreur de charge réseau proxy interne, les règles de pare-feu VPC et les stratégies de pare-feu hiérarchiques ne contrôlent pas les protocoles et les ports acceptés par l'équilibreur de charge. Pour l'équilibreur de charge d'application interne, une stratégie de sécurité Google Cloud Armor peut être utilisée pour limiter l'accès à votre équilibreur de charge.
Pour en savoir plus sur la plage
35.199.192.0/19, consultez Chemins d'accès pour Cloud DNS et l'Annuaire des services.Accordez le rôle de service autorisé Private Service Connect de Identity and Access Management (IAM) (
roles/servicedirectory.pscAuthorizedService) à l'agent de service du Google Cloud produit qui appellera le point de terminaison.Pour en savoir plus sur les rôles et les autorisations, consultez la section Autorisations et rôles de l'Annuaire des services.
Configurer le projet de l'Annuaire des services
Pour configurer le projet de l'Annuaire des services, procédez comme suit :
Dans le réseau VPC, créez une VM ou un équilibreur de charge interne.
Accordez le rôle de lecteur de l'Annuaire des services IAM (
roles/servicedirectory.viewer) à l'agent de service du Google Cloud produit qui appellera le point de terminaison.Créez un espace de noms et un service de l'Annuaire des services. Créez ensuite un point de terminaison pour ce service en suivant les étapes de la section suivante.
Créer un point de terminaison avec accès au réseau privé
Pour créer un point de terminaison avec l'accès au réseau privé configuré, procédez comme suit :
Console
- Dans la Google Cloud console, accédez à la page Espaces de noms de l'Annuaire des services. Accéder aux espaces de noms de l'Annuaire des services
- Cliquez sur un espace de noms.
- Cliquez sur un service.
- Cliquez sur Ajouter un point de terminaison.
- Dans le champ Nom du point de terminaison, saisissez un nom pour le point de terminaison.
- Dans le champ Adresse IP, saisissez une adresse IPv4, par exemple
192.0.2.0. - Dans le champ Port, saisissez un numéro de port, par exemple
443ou80. - Pour activer l'accès au réseau privé, dans Réseau VPC associé, sélectionnez l'option requise
:
- Pour choisir dans une liste de réseaux disponibles, cliquez sur Choisir dans la liste, puis sélectionnez le réseau.
- Pour spécifier un projet et un réseau, cliquez sur Spécifier par nom de projet et de réseau, puis saisissez le numéro de projet et le nom du réseau.
- Cliquez sur Créer.
gcloud
Utilisez la gcloud service-directory endpoints create
commande avec l'
ID du projet et le chemin d'accès au réseau spécifiés.
gcloud service-directory endpoints create ENDPOINT_NAME \ --project=PROJECT_ID \ --location=REGION \ --namespace=NAMESPACE_NAME \ --service=SERVICE_ID \ --address=IP_ADDRESS \ --port=PORT_NUMBER \ --network=NETWORK_PATH
Remplacez les éléments suivants :
ENDPOINT_NAME: nom du point de terminaison que vous créez dans votre service, par exemplemy-endpointPROJECT_ID: ID du projetREGION: région qui contient l'espace de noms Google CloudNAMESPACE_NAME: nom que vous avez attribué à l'espace de noms, par exemplemy-namespaceSERVICE_ID: ID du serviceIP_ADDRESS: adresse IP du point de terminaison, par exemple192.0.2.0PORT_NUMBER: ports sur lesquels les points de terminaison s'exécutent, généralement443ou80NETWORK_PATH: URL du réseau, par exempleprojects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME
Configurer le Google Cloud projet
Pour configurer le Google Cloud projet, procédez comme suit :
Activez l'APIduproduit. Google Cloud
Configurez votre Google Cloud produit pour qu'il appelle le service de l'Annuaire des services que vous avez créé. Les étapes requises dépendent du produit spécifique Google Cloud .
Cas d'utilisation
Cette section fournit des exemples de cas d'utilisation pour configurer l'accès au réseau privé.
Appeler un point de terminaison HTTP lorsqu'un réseau VPC, une VM et l'Annuaire des services se trouvent dans le même projet
Dans ce cas d'utilisation, vous configurez Dialogflow CX, un Google Cloud produit pour le traitement du langage naturel, afin d'appeler un point de terminaison HTTP sur votre VM. Lorsque vous appelez le point de terminaison, assurez-vous que le trafic ne transite pas par l'Internet public.
Dans ce cas d'utilisation, vous créez les artefacts suivants dans le même projet :
- Un réseau VPC
- Une VM
- Un service de l'Annuaire des services
- Dialogflow CX
La figure 1 montre comment autoriser une configuration de service Google d'un projet à sortir vers une VM. La VM réside dans un réseau VPC du projet.
Configurer votre réseau et votre réseau cible
- Créez un projet, par
exemple
myproject. Créez un réseau VPC, par exemple
vpc-1.Lors de la création du réseau VPC, dans Mode de création du sous-réseau, sélectionnez Automatique.
Créez une règle de pare-feu, par exemple
firewall-1.Lors de la création de la règle de pare-feu, saisissez ou sélectionnez les valeurs suivantes :
- Pour Réseau, sélectionnez
vpc-1. - Dans le champ Plages IPv4 sources, saisissez
35.199.192.0/19. - Dans le champ Protocoles et ports, sélectionnez TCP et saisissez
443ou80.
- Pour Réseau, sélectionnez
Dans la région
us-central1, créez une VM, par exemplevm-1.Lors de la création de la VM, saisissez ou sélectionnez les valeurs suivantes :
- Pour Mise en réseau > Interfaces réseau, sélectionnez
vpc-1. - Pour Pare-feu, sélectionnez Autoriser le trafic HTTP.
Si vous souhaitez utiliser HTTPS, sélectionnez Autoriser le trafic HTTPS. Assurez-vous également d'installer un certificat TLS (Transport Layer Security) d'infrastructure à clé publique (PKI).
- Pour Mise en réseau > Interfaces réseau, sélectionnez
Dans la région
us-central1, créez un espace de noms, par exemplenamespace-1.Dans l'espace de noms, enregistrez un service de l'Annuaire des services, par exemple
sd-1.Créez un point de terminaison dans
sd-1. Pour l'adresse du point de terminaison, utilisez l'adresse IP interne devm-1sur le port443. Pour en savoir plus, consultez la section Créer un point de terminaison avec accès au réseau privé .Accordez les rôles IAM suivants à l'agent de service du Google Cloud produit qui appellera le point de terminaison :
- Rôle de lecteur de l'Annuaire des services (
roles/servicedirectory.viewer) - Rôle de service autorisé Private Service Connect (
roles/servicedirectory.pscAuthorizedService)
- Rôle de lecteur de l'Annuaire des services (
Facultatif : Si vous souhaitez ajouter d'autres VM, vous pouvez configurer une autre VM, par exemple
vm-2, et ajouter son point de terminaison, par exempleendpoint-2.
Configurer un Google Cloud produit
- Configurez une Google Cloud configurationdeproduit, par exemple " Cloud Scheduler, appelez-moi toutes les minutes".
- Configurez une requête HTTP.
- Spécifiez que les requêtes doivent transiter par un réseau privé, par exemple via
sd-1. - Facultatif : Configurez les paramètres du service d'autorité de certification .
Le Google Cloud produit peut désormais appeler la requête HTTP à l'aide de sd-1.
Appeler un point de terminaison HTTP lorsqu'un réseau VPC partagé, une VM et l'Annuaire des services se trouvent dans des projets différents
Dans ce cas d'utilisation, vous configurez Dialogflow CX, un Google Cloud service de traitement du langage naturel, afin d'appeler un point de terminaison HTTP sur votre VM. Lorsque vous appelez le point de terminaison, assurez-vous que le trafic ne transite pas par l'Internet public.
Dans ce cas d'utilisation, vous créez les artefacts suivants dans différents projets :
- Un réseau VPC partagé
- Une VM
- Un service de l'Annuaire des services
- Dialogflow CX
Avant de créer les projets, notez les points suivants :
- Assurez-vous que l'appel d'API respecte le périmètre VPC Service Controls.
- Assurez-vous que la configuration du Google Cloud projet de service autorise la sortie vers une VM qui réside dans le projet réseau VPC.
- Le projet producteur peut être différent du Google Cloud service projet.
- Assurez-vous que les périmètres VPC Service Controls des deux projets sont utilisés.
- Le projet de l'Annuaire des services et le projet réseau n'ont pas besoin d'être connectés, mais ils doivent tous deux faire partie du même VPC Service Controls.
- Dans le réseau et le service, le pare-feu et IAM sont désactivés par défaut.
La figure 2 montre comment envoyer du trafic à l'aide de l'accès au réseau privé avec les périmètres VPC Service Controls appliqués.
Configurer le projet réseau
- Créez un projet, par
exemple
my-vpc-project. Créez un réseau VPC, par exemple
vpc-1.Lors de la création du réseau VPC, pour Mode de création du sous-réseau, sélectionnez Automatique.
Créez une règle de pare-feu, par exemple
firewall-1.Lors de la création de la règle, saisissez ou sélectionnez les valeurs suivantes :
- Pour Réseau, sélectionnez
vpc-1. - Dans le champ Plages IPv4 sources, saisissez
35.199.192.0/19. - Dans le champ Protocoles et ports, sélectionnez TCP et saisissez
443ou80.
- Pour Réseau, sélectionnez
Dans la région
us-central1, créez une VM, par exemplevm-1.Lors de la création de la VM, saisissez ou sélectionnez les valeurs suivantes :
- Pour Mise en réseau > Interfaces réseau, sélectionnez
vpc-1. - Pour Pare-feu, sélectionnez Autoriser le trafic HTTP.
Si vous souhaitez utiliser HTTPS, sélectionnez Autoriser le trafic HTTPS. Assurez-vous également d'installer un certificat TLS (Transport Layer Security) d'infrastructure à clé publique (PKI).
- Pour Mise en réseau > Interfaces réseau, sélectionnez
Si vous utilisez VPC Service Controls, le périmètre VPC Service Controls permet à l'Annuaire des services de se connecter au Google Cloud projet de service et au projet de l'Annuaire des services.
Configurer le projet de l'Annuaire des services
Créez un projet, par exemple
my-sd-project.Vous avez besoin d'une autorisation IAM supplémentaire, car le projet réseau VPC et le projet de l'Annuaire des services sont des projets différents.
À partir du projet réseau, accordez le rôle d'Agent d'association de réseaux à l'Annuaire des services (
roles/servicedirectory.networkAttacher) au compte principal IAM qui crée le point de terminaison de l'Annuaire des services.Créez un point de terminaison de l'Annuaire des services qui pointe vers la VM du réseau VPC :
- Dans la région
us-central1, créez un espace de noms, par exemplenamespace-1. - Dans l'espace de noms, enregistrez un service de l'Annuaire des services, par exemple
sd-1. - Créez un point de terminaison dans
sd-1. Pour l'adresse du point de terminaison, utilisez l'adresse IP interne devm-1sur le port443. Pour en savoir plus, consultez la section Créer un point de terminaison avec accès au réseau privé .
- Dans la région
Accordez les rôles IAM suivants à l'agent de service du Google Cloud produit qui appellera le point de terminaison :
- Rôle de lecteur de l'Annuaire des services (
roles/servicedirectory.viewer) dans le projet de l'Annuaire des services - Rôle de service autorisé Private Service Connect (
roles/servicedirectory.pscAuthorizedService) dans le projet réseau
- Rôle de lecteur de l'Annuaire des services (
Si vous utilisez VPC Service Controls, le périmètre VPC Service Controls permet à l'Annuaire des services de se connecter au Google Cloud projet de service et au projet de l'Annuaire des services.
Configurer le Google Cloud projet de service
- Activez l'API pour le Google Cloud service que vous utilisez.
- Pour configurer le Google Cloud service
PUSH, utilisez le service de l'Annuaire des services à partir du projet de l'Annuaire des services.
Si vous utilisez VPC Service Controls, le périmètre VPC Service Controls permet à l'Annuaire des services de se connecter au projet réseau et au projet de l'Annuaire des services.
Utiliser l'accès au réseau privé de l'Annuaire des services avec Dialogflow
Pour savoir comment utiliser l'accès au réseau privé de l'Annuaire des services avec Dialogflow, consultez la section Utiliser l'Annuaire des services pour l'accès au réseau privé.
Étape suivante
- Pour obtenir une présentation de l'Annuaire des services, consultez la page Présentation de l'Annuaire des services.
- Pour en savoir plus sur Private Service Connect, consultez la page Private Service Connect.
- Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de l' Annuaire des services, consultez la page Dépannage.