arrow_back

Premiers pas avec les réseaux VPC

Se connecter Rejoindre
Accédez à plus de 700 ateliers et cours

Premiers pas avec les réseaux VPC

Atelier 1 heure universal_currency_alt 5 crédits show_chart Débutant
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Accédez à plus de 700 ateliers et cours

Présentation

Le cloud privé virtuel (VPC, Virtual Private Cloud) de Google Cloud fournit des fonctionnalités de mise en réseau pour les instances de machines virtuelles (VM) Compute Engine, les conteneurs Kubernetes Engine et l'environnement flexible App Engine. En d'autres termes, sans réseau VPC, vous ne pouvez pas créer d'instance de VM, de conteneur ni d'application App Engine. Par conséquent chaque projet Google Cloud comporte un réseau default (par défaut) pour vous aider à démarrer.

Un réseau VPC est semblable à un réseau physique, sauf qu'il est virtualisé dans Google Cloud. Un réseau VPC est une ressource globale qui consiste en une liste de sous-réseaux virtuels régionaux hébergés dans des centres de données, qui sont reliés ensemble par un réseau étendu (WAN, Wide Area Network) global. Les réseaux VPC sont isolés de façon logique les uns des autres dans Google Cloud.

Dans cet atelier, vous allez créer un réseau VPC en mode automatique avec des règles de pare-feu et deux instances de VM. Vous explorerez ensuite la connectivité des instances de VM.

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

  • Explorer le réseau VPC par défaut

  • Créer un réseau en mode automatique avec des règles de pare-feu

  • Créer des instances de VM à l'aide de Compute Engine

  • Explorer la connectivité des instances de VM

Prérequis

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

  1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

  2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
    Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

  3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

  4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

  5. Cliquez sur Ouvrir la console Google.

  6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
    Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

  7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Explorer le réseau par défaut

Chaque projet Google Cloud comporte un réseau default (par défaut) avec des sous-réseaux, des routes et des règles de pare-feu.

Afficher les sous-réseaux

Le réseau default (par défaut) dispose d'un sous-réseau dans chaque région Google Cloud.

  • Dans Cloud Console, accédez au menu de navigation (Menu de navigation), puis cliquez sur VPC network > VPC networks (Réseau VPC > Réseaux VPC).

    Repérez le réseau par défaut avec ses sous-réseaux.

    Chaque sous-réseau est associé à une région Google Cloud et à un bloc CIDR RFC 1918 privé pour sa plage d'adresses IP et une passerelle.

Afficher les routes

Les routes indiquent aux instances de VM et au réseau VPC comment acheminer le trafic d'une instance jusqu'à sa destination, à l'intérieur du réseau ou en dehors de Google Cloud. Chaque réseau VPC est fourni avec des routes par défaut pour acheminer le trafic entre ses sous-réseaux et envoyer le trafic des instances éligibles vers Internet.

  • Dans le volet gauche, cliquez sur Routes.
    Vous remarquez qu'il y a une route pour chaque sous-réseau et une pour la passerelle Internet par défaut (0.0.0.0/0).
    Ces routes sont gérées automatiquement, mais vous pouvez créer des routes statiques personnalisées pour diriger certains paquets vers des destinations spécifiques. Par exemple, vous pouvez créer une route qui envoie tout le trafic sortant vers une instance configurée en tant que passerelle NAT.

Afficher les règles de pare-feu

Chaque réseau VPC dispose d'un pare-feu virtuel distribué et paramétrable. Les règles de pare-feu permettent de contrôler quels paquets sont autorisés à transiter et vers quelles destinations. Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.

  • Dans le volet de gauche, cliquez sur Firewall (Pare-feu).
    Notez qu'il existe quatre règles de pare-feu Entrée pour le réseau par défaut :
    • default-allow-icmp
    • default-allow-rdp
    • default-allow-ssh
    • default-allow-custom
Noter: Ces règles de pare-feu autorisent tout trafic entrant via ICMP, RDP et SSH (0.0.0.0/0), ainsi que l'ensemble du trafic TCP, UDP et ICMP au sein du réseau (10.128.0.0/9). Ces règles sont détaillées dans les colonnes Cibles, Filtres, Protocoles/ports et Action.

Supprimer les règles de pare-feu

  1. Dans le volet de gauche, cliquez sur Firewall (Pare-feu).
  2. Sélectionnez toutes les règles de pare-feu du réseau par défaut.
  3. Cliquez sur Delete (Supprimer).
  4. Cliquez sur Delete (Supprimer) pour confirmer la suppression des règles de pare-feu.

Supprimer le réseau par défaut

  1. Dans le volet gauche, cliquez sur VPC networks (Réseaux VPC).
  2. Sélectionnez le réseau default (par défaut).
  3. Cliquez sur Delete VPC network (Supprimer le réseau VPC).
  4. Cliquez sur Supprimer pour confirmer la suppression du réseau par défaut.
    Attendez que le réseau soit supprimé avant de continuer.
  5. Dans le volet gauche, cliquez sur Routes.
    Vous remarquerez qu'il n'y a aucune route. Vous devrez peut-être cliquer sur Actualiser pour voir cela.
  6. Dans le volet de gauche, cliquez sur Firewall (Pare-feu).
    Notez qu'il n'y a aucune règle de pare-feu.
Noter: Sans réseau VPC, il ne peut y avoir ni de routes, ni de règles de pare-feu.

Essayer de créer une instance de VM

Vérifiez que vous ne pouvez pas créer d'instance de VM sans réseau VPC.

  1. Dans le menu de navigation (Menu de navigation), cliquez sur Compute Engine > VM instances (Instances de VM).
  2. Cliquez sur Create instance (Créer une instance).
  3. Acceptez les valeurs par défaut, puis cliquez sur Create (Créer). Notez l'erreur.
  4. Dans la zone d'avertissement, cliquez sur Aller aux problèmes(S). Vous devrez peut-être faire défiler vers le bas pour voir plus d'informations. Il n'y a pas de réseaux pour ce projet et pas de sous-réseaux.
  5. Cliquez sur Cancel (Annuler).
Noter: Comme prévu, vous ne pouvez pas créer d'instance de VM sans réseau VPC.

Tâche 2 : Créer un réseau VPC et des instances de VM

Créez un réseau VPC pour pouvoir créer des instances de VM.

Créer un réseau VPC en mode automatique avec des règles de pare-feu

Reproduisez le réseau par défaut (default) en créant un réseau en mode automatique.

  1. Dans le menu de navigation (Navigation menu icon), cliquez sur VPC network > VPC networks (Réseau VPC > Réseaux VPC).
  2. Cliquez sur Créer un réseau VPC.
  3. Dans le champ Nom, saisissez mynetwork.
  4. Dans le champ Mode de création du sous-réseau, cliquez sur Automatique.
    Les réseaux en mode automatique créent systématiquement des sous-réseaux dans chaque région.
  5. Dans le champ Pare-feu, sélectionnez toutes les règles disponibles.
    Ce sont les mêmes règles de pare-feu standards que celles du réseau par défaut.
    Les règles deny-all-ingress et allow-all-egress sont également affichées, mais vous ne pouvez pas les cocher ou les décocher, car elles sont implicites. La priorité de ces deux règles est inférieure (les nombres entiers les plus élevés indiquent les priorités les plus faibles). Les règles d'autorisation ICMP, internes, RDP et SSH sont donc prioritaires.
  6. Cliquez sur Create (Créer).
    Lorsque le nouveau réseau est prêt, vous pouvez voir qu'un sous-réseau a été créé pour chaque région.
  7. Notez la plage d'adresses IP des sous-réseaux situés dans les régions us-central1 et europe-west4.
    Nous en aurons besoin au cours des prochaines étapes.
Noter: Si vous supprimez le réseau par défaut, vous pouvez le recréer rapidement en ajoutant un réseau en mode automatique comme vous venez de le faire.

Créer une instance de VM dans la région us-central1

Créez une instance de VM dans la région us-central1. Le sous-réseau et l'adresse IP interne attribuée à partir de la plage d'adresses IP du sous-réseau dépendent de la région et de la zone sélectionnées.

  1. Dans le menu de navigation (Menu de navigation), cliquez sur Compute Engine > VM instances (Instances de VM).

  2. Cliquez sur Create instance (Créer une instance).

  3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Property (Propriété) Value (Valeur : saisissez la valeur ou sélectionnez l'option spécifiée)
    Name (Nom) mynet-us-vm
    Region (Région) us-central1
    Zone us-central1-c
    Series (Série) N1
    Machine type (Type de machine) f1-micro (1 vCPU, 614 Mo de mémoire)

  4. Cliquez sur Create (Créer).

  5. Vérifiez que l'adresse IP interne de la nouvelle instance a été attribuée depuis la plage d'adresses IP du sous-réseau de la région us-central1 (10.128.0.0/20).

    L'adresse IP interne doit être 10.128.0.2, car l'adresse 10.128.0.1 est réservée à la passerelle, et vous n'avez configuré aucune autre instance dans ce sous-réseau.

Créer une instance de VM dans la région europe-west4

Créez une instance de VM dans la région europe-west4.

  1. Cliquez sur Create instance (Créer une instance).

  2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Property (Propriété) Value (Valeur : saisissez la valeur ou sélectionnez l'option spécifiée)
    Name (Nom) mynet-eu-vm
    Region (Région) europe-west4
    Zone europe-west4-c
    Series (Série) N1
    Machine type (Type de machine) f1-micro (1 vCPU, 614 Mo de mémoire)

  3. Cliquez sur Create (Créer).

  4. Vérifiez que l'adresse IP interne de la nouvelle instance a été attribuée depuis la plage d'adresses IP du sous-réseau de la région europe-west4 (10.164.0.0/20).

    L'adresse IP interne doit être 10.164.0.2, car l'adresse 10.164.0.1 est réservée à la passerelle, et vous n'avez configuré aucune autre instance dans ce sous-réseau.

Noter: Les adresses IP externes des deux instances de VM sont éphémères. Si une instance est arrêtée, toutes les adresses IP externes éphémères qui lui ont été attribuées sont remises dans le pool Compute Engine général et deviennent disponibles pour d'autres projets. Lorsqu'une instance arrêtée est redémarrée, une nouvelle adresse IP externe éphémère lui est attribuée. Vous pouvez également réserver une adresse IP externe statique, qui est alors attribuée à votre projet pour une durée indéterminée, jusqu'à ce que vous la libériez explicitement.

Cliquez sur Check my progress (Vérifier ma progression) pour vérifier l'objectif. Créer un réseau VPC et une instance de VM

Tâche 3 : Explorer la connectivité des instances de VM

Explorez la connectivité des instances de VM. Plus précisément, connectez-vous en SSH à vos instances de VM à l'aide de tcp:22 et pinguez les adresses IP internes et externes de vos instances de VM en utilisant ICMP. Ensuite, étudiez les effets des règles de pare-feu sur la connectivité en les supprimant une par une.

Vérifier la connectivité des instances de VM

Les règles de pare-feu que vous avez créées avec mynetwork autorisent le trafic SSH et ICMP entrant depuis les adresses IP internes (au sein de mynetwork) et externes (en dehors de ce réseau).

  1. Dans le menu de navigation (Menu de navigation), cliquez sur Compute Engine > VM instances (Instances de VM).
    Notez les adresses IP externe et interne de mynet-eu-vm.
  2. Pour mynet-us-vm, cliquez sur SSH afin de lancer un terminal et d'établir la connexion.
Noter: Vous pouvez vous connecter en SSH à l'aide de la règle de pare-feu allow-ssh, qui autorise le trafic entrant depuis toutes les adresses IP (0.0.0.0/0) sur le port tcp:22. La connexion SSH est facilitée par Compute Engine, qui génère automatiquement une clé SSH et la stocke dans l'un des emplacements suivants :
  • Par défaut, Compute Engine ajoute la clé générée aux métadonnées du projet ou de l'instance.
  • Si votre compte est configuré pour utiliser OS Login, Compute Engine stocke la clé générée avec votre compte utilisateur.

Vous pouvez également contrôler l'accès aux instances Linux en créant des clés SSH et en modifiant les métadonnées des clés SSH publiques.

  1. Pour tester la connectivité à l'adresse IP interne de mynet-eu-vm, exécutez la commande suivante en indiquant l'adresse IP interne de mynet-eu-vm :

ping -c 3 <Saisir l'adresse IP interne de mynet-eu-vm ici>

Vous pouvez pinguer l'adresse IP interne de mynet-eu-vm à l'aide de la règle de pare-feu allow-custom.

  1. Pour tester la connectivité à l'adresse IP externe de mynet-eu-vm, exécutez la commande suivante en indiquant l'adresse IP externe de mynet-eu-vm :

ping -c 3 <Saisir l'adresse IP externe de mynet-eu-vm ici>

Noter: Vous constatez que vous pouvez vous connecter en SSH à mynet-us-vm et pinguer les adresses IP interne et externe de mynet-eu-vm. Vous pouvez également vous connecter en SSH à mynet-eu-vm et pinguer les adresses IP interne et externe de mynet-us-vm.

Supprimer les règles de pare-feu allow-icmp

Supprimez la règle de pare-feu allow-icmp et essayez de pinguer les adresses IP interne et externe de mynet-eu-vm.

  1. Dans le menu de navigation (Navigation menu icon), cliquez sur VPC network > Firewall (Réseau VPC > Pare-feu).

  2. Sélectionnez la règle mynetwork-allow-icmp.

  3. Cliquez sur Delete (Supprimer).

  4. Cliquez sur Delete (Supprimer) pour confirmer la suppression.
    Attendez que la règle de pare-feu soit supprimée.

  5. Revenez au terminal SSH de mynet-us-vm.

  6. Pour tester la connectivité à l'adresse IP interne de mynet-eu-vm, exécutez la commande suivante en indiquant l'adresse IP interne de mynet-eu-vm :

ping -c 3 <Saisir l'adresse IP interne de mynet-eu-vm ici>

Vous pouvez pinguer l'adresse IP interne de mynet-eu-vm à l'aide de la règle de pare-feu allow-custom.

  1. Pour tester la connectivité à l'adresse IP externe de mynet-eu-vm, exécutez la commande suivante en indiquant l'adresse IP externe de mynet-eu-vm :

ping -c 3 <Saisir l'adresse IP externe de mynet-eu-vm ici>
Noter: La perte totale de paquets indique que vous ne pouvez pas pinguer l'adresse IP externe de mynet-eu-vm. Ce comportement est normal, car vous avez supprimé la règle de pare-feu allow-icmp.

Supprimer les règles de pare-feu allow-internal

Supprimez la règle de pare-feu allow-internal et essayez de pinguer l'adresse IP interne de mynet-eu-vm.

  1. Dans le menu de navigation (Navigation menu icon), cliquez sur VPC network > Firewall (Réseau VPC > Pare-feu).

  2. Sélectionnez la règle mynetwork-allow-custom.

  3. Cliquez sur Delete (Supprimer).

  4. Cliquez sur Delete (Supprimer) pour confirmer la suppression.
    Attendez que la règle de pare-feu soit supprimée.

  5. Revenez au terminal SSH de mynet-us-vm.

  6. Pour tester la connectivité à l'adresse IP interne de mynet-eu-vm, exécutez la commande suivante en indiquant l'adresse IP interne de mynet-eu-vm :

ping -c 3 <Saisir l'adresse IP interne de mynet-eu-vm ici>
Noter: La perte totale de paquets indique que vous ne pouvez pas pinguer l'adresse IP interne de mynet-eu-vm. Ce comportement est normal, car vous avez supprimé la règle de pare-feu allow-custom.

  1. Fermez le terminal SSH :

exit

Supprimer les règles de pare-feu allow-ssh

Supprimez la règle de pare-feu allow-ssh et essayez de vous connecter en SSH à mynet-us-vm.

  1. Dans le menu de navigation (Navigation menu icon), cliquez sur VPC network > Firewall (Réseau VPC > Pare-feu).
  2. Sélectionnez la règle mynetwork-allow-ssh.
  3. Cliquez sur Delete (Supprimer).
  4. Cliquez sur Delete (Supprimer) pour confirmer la suppression.
  5. Attendez que la règle de pare-feu soit supprimée.
  6. Dans le menu de navigation, cliquez sur Compute Engine > VM instances (Instances de VM).
  7. Pour mynet-us-vm, cliquez sur SSH afin de lancer un terminal et d'établir la connexion.
Noter: Le message Connection failed (Échec de la connexion) indique que vous ne pouvez pas vous connecter en SSH à mynet-us-vm, car vous avez supprimé la règle de pare-feu allow-ssh.

Tâche 4 : Examiner

Dans cet atelier, vous avez exploré le réseau par défaut ainsi que ses sous-réseaux, routes et règles de pare-feu. Vous avez supprimé le réseau par défaut et déterminé que vous ne pouvez pas créer d'instances de VM sans réseau VPC. C'est la raison pour laquelle vous avez créé un réseau VPC en mode automatique avec des sous-réseaux, des routes, des règles de pare-feu et deux instances de VM. Vous avez ensuite testé la connectivité des instances de VM et découvert les effets des règles de pare-feu sur la connectivité.

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

  • 1 étoile = très insatisfait(e)
  • 2 étoiles = insatisfait(e)
  • 3 étoiles = ni insatisfait(e), ni satisfait(e)
  • 4 étoiles = satisfait(e)
  • 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2020 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Ouvrez une fenêtre de navigateur en mode navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.