GSP459

Présentation

Le service de traduction d'adresse réseau (NAT) de Google Cloud vous aide à provisionner des instances d'application sans adresses IP publiques tout en leur permettant d'accéder à Internet de manière efficace et contrôlée pour, par exemple, effectuer des mises à jour, appliquer des correctifs ou gérer la configuration.

Dans cet atelier, vous allez configurer l'accès privé à Google et Cloud NAT pour une instance de VM sans adresse IP externe. Vous vérifierez ensuite l'accès aux adresses IP publiques des API et des services Google ainsi que d'autres connexions à Internet. Enfin, vous utiliserez la journalisation Cloud NAT pour consigner les connexions établies dans votre passerelle.

Points abordés

Dans cet atelier, vous apprendrez à effectuer les tâches suivantes :

• Configurer une instance de VM sans adresse IP externe
• Créer un hôte bastion pour vous connecter à la VM sans adresse IP externe
• Activer l'accès privé à Google sur un sous-réseau
• Configurer une passerelle Cloud NAT
• Vérifier l'accès aux adresses IP publiques des API et des services Google et d'autres connexions à Internet
• Consigner les connexions NAT avec la journalisation Cloud NAT

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).

Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

   • Le bouton "Ouvrir la console Google Cloud"
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

2. Passez les fenêtres suivantes :

   • Accédez à la fenêtre d'informations de Cloud Shell.
   • Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

3. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

4. Cliquez sur Autoriser.

Résultat :

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Tâche 1 : Créer les instances de VM

Vous allez maintenant créer une instance de VM sans adresse IP externe et en créer une autre qui fera office d'hôte bastion.

Créer un réseau VPC et des règles de pare-feu

Tout d'abord, créez un réseau VPC pour les instances de VM et une règle de pare-feu pour autoriser l'accès SSH.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Réseau VPC > Réseaux VPC.

2. Cliquez sur Créer un réseau VPC.

3. Dans le champ Nom, saisissez privatenet.

4. Dans le champ Mode de création de sous-réseau, cliquez sur Personnalisé.

5. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	privatenet-us
   Région
   Plage d'adresses IP	10.130.0.0/20

   Remarque : N'activez pas l'accès privé à Google pour le moment.

6. Cliquez sur OK.

7. Cliquez sur Créer, puis attendez que le réseau soit créé.

8. Dans le volet de gauche, cliquez sur Pare-feu.

9. Cliquez sur Créer une règle de pare-feu.

10. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom	privatenet-allow-ssh
    Réseau	privatenet
    Cibles	Toutes les instances du réseau
    Filtre source	Plages IPv4
    Plages IPv4 sources	0.0.0.0/0
    Protocoles et ports	Specified protocols and ports (Protocoles et ports spécifiés)

11. Dans la section tcp, spécifiez le port 22.

12. Cliquez sur Créer.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer un réseau VPC et des règles de pare-feu

Créer l'instance de VM sans adresse IP publique

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Compute Engine > Instances de VM.

2. Cliquez sur Créer une instance.

3. Accédez à la section Configuration de la machine.

   Sélectionnez les valeurs suivantes :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	vm-internal
   Région
   Zone
   Série	E2
   Type de machine	e2-medium (2 vCPU, 1 cœur, 4 Go de mémoire)

4. Cliquez sur Mise en réseau.

   Pour Interfaces réseau, développez par défaut et spécifiez les éléments suivants :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Réseau	privatenet
   Sous-réseau	privatenet-us
   Adresse IPv4 externe	None

   Remarque : Une instance de VM dispose par défaut d'une adresse IP externe éphémère. Il est possible de modifier ce comportement avec une contrainte de règle au niveau de l'organisation ou du projet. Pour en savoir plus sur le contrôle des adresses IP externes sur des instances de VM, consultez Limiter les adresses IP externes à des instances spécifiques.

5. Cliquez sur OK.

6. Cliquez sur Créer.

7. Sur la page Instances de VM, vérifiez que le champ Adresse IP externe de vm-internal indique None.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer l'instance de VM sans adresse IP publique

Créer l'hôte bastion

Puisque vm-internal ne possède aucune adresse IP externe, elle n'est accessible que par d'autres instances du réseau ou via une passerelle VPN gérée. Cette condition s'applique à l'accès SSH à vm-internal, qui est grisé (indisponible) dans la console Cloud.

Afin de vous connecter en SSH à vm-internal, créez un hôte bastion vm-bastion sur le même réseau VPC que vm-internal.

1. Dans la console Cloud, sur la page Instances de VM, cliquez sur Créer une instance.

2. Accédez à la section Configuration de la machine.

   Sélectionnez les valeurs suivantes :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	vm-bastion
   Région
   Zone
   Série	E2
   Type de machine	e2-micro (2 vCPU)

3. Cliquez sur Mise en réseau.

   Pour Interfaces réseau, développez par défaut et spécifiez les éléments suivants :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Réseau	privatenet
   Sous-réseau	privatenet-us
   Adresse IPv4 externe	Ephemeral

   Cliquez sur OK.

4. Cliquez sur Sécurité.

   • Dans Identité et accès à l'API :
     • Niveaux d'accès : Définir l'accès pour chaque API
     • Compute Engine : Lecture/Écriture

5. Cliquez sur Créer.

Remarque : Si vous créez vm-bastion sur le même réseau VPC que vm-internal, vous pourrez accéder à vm-internal à l'aide de son adresse IP interne ou de son nom d'hôte.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer l'hôte bastion

Se connecter en SSH à vm-bastion et vérifier l'accès à vm-internal

Vérifiez que vous avez accès à vm-internal par le biais de vm-bastion.

1. Pour vm-bastion, cliquez sur SSH pour lancer un terminal et vous connecter.

2. Depuis le terminal SSH vm-bastion, vérifiez la connectivité externe en exécutant la commande suivante :

ping -c 2 www.google.com

Cela devrait fonctionner.

3. Connectez-vous à vm-internal en exécutant la commande suivante :

gcloud compute ssh vm-internal --zone={{{project_0.default_zone | Zone}}} --internal-ip

4. Lorsque vous y êtes invité, saisissez Y pour continuer.
5. Lorsqu'un message vous demande de saisir une phrase secrète, appuyez une première fois sur ENTRÉE pour ne pas en fournir, puis une seconde fois.

6. Pour tester la connectivité externe de vm-internal, exécutez la commande suivante :

ping -c 2 www.google.com

Cela ne devrait pas fonctionner, puisque vm-internal n'a aucune adresse IP externe.

7. Attendez que l'exécution de la commande ping soit terminée.
8. Pour fermer la connexion à vm-internal, exécutez la commande suivante :

exit

9. Pour fermer le terminal SSH de vm-bastion, exécutez la commande suivante :

exit Remarque : Les instances sans adresses IP externes ne sont accessibles que par le biais d'autres instances du réseau ou via une passerelle VPN gérée. Dans ce cas, vm-bastion fait office d'interface de gestion et de maintenance pour vm-internal.

Tâche 2 : Activer l'accès privé à Google

Les instances de VM sans adresses IP externes peuvent utiliser l'accès privé à Google pour accéder aux adresses IP externes des API et services Google. L'accès privé à Google est désactivé par défaut sur les réseaux VPC.

Créer un bucket Cloud Storage

Créez un bucket Cloud Storage pour tester l'accès aux API et aux services Google.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Cloud Storage > Buckets.

2. Cliquez sur Créer.

3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	Saisissez un nom unique
   Classe de stockage par défaut	Multirégional

4. Cliquez sur Create (Créer).

5. Notez le nom de votre bucket de stockage pour la tâche secondaire suivante. Il sera nommé [my_bucket].

Copier un fichier image dans votre bucket

Copiez une image provenant d'un bucket Cloud Storage public dans votre propre bucket.

1. Exécutez la commande suivante dans Cloud Shell, en remplaçant [my_bucket] par le nom de votre bucket :

gsutil cp gs://spls/gsp459/private/access.png gs://[my_bucket]

2. Dans la console Cloud, cliquez sur Actualiser pour vérifier que l'image a bien été copiée.

Vous pouvez cliquer sur le nom de l'image dans la console Cloud pour voir comment l'accès privé à Google peut être implémenté.

Accéder à l'image à partir de vos instances de VM

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Compute Engine > Instances de VM.

2. Pour vm-bastion, cliquez sur SSH pour lancer un terminal et vous connecter.
3. Essayez de copier l'image dans vm-bastion, puis exécutez la commande suivante, en remplaçant [my_bucket] par le nom de votre bucket :

gsutil cp gs://[my_bucket]/*.png .

Cela devrait fonctionner, puisque vm-bastion a une adresse IP externe.

4. Connectez-vous à vm-internal en exécutant la commande suivante :

gcloud compute ssh vm-internal --zone={{{project_0.default_zone | Zone}}} --internal-ip

5. Si vous y êtes invité, saisissez Y pour continuer.
6. Essayez de copier l'image dans vm-internal, puis exécutez la commande suivante, en remplaçant [my_bucket] par le nom de votre bucket :

gsutil cp gs://[my_bucket]/*.png . Remarque : Cela ne devrait pas fonctionner. vm-internal ne peut envoyer du trafic que sur le réseau VPC, car l'accès privé à Google est désactivé (par défaut).

7. Pour arrêter la requête après la première tentative, appuyez sur CTRL+C.

8. Fermez le terminal SSH.

Activer l'accès privé à Google

L'accès privé à Google est activé au niveau du sous-réseau. Lorsque cet accès est activé, les instances du sous-réseau qui ne possèdent que des adresses IP privées peuvent envoyer du trafic vers les API et les services Google par le biais de la route par défaut (0.0.0.0/0) avec un prochain saut réglé sur la passerelle Internet par défaut.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Réseau VPC > Réseaux VPC.
2. Cliquez sur privatenet > privatenet-us pour ouvrir le sous-réseau.
3. Cliquez sur Modifier.
4. Dans la section Accès privé à Google, sélectionnez Activé.
5. Cliquez sur Enregistrer.

Remarque : Pour activer l'accès privé à Google, il suffit de sélectionner Activé pour Accès privé à Google sur le sous-réseau.

6. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Compute Engine > Instances de VM.
7. Pour vm-bastion, cliquez sur SSH pour lancer un terminal et vous connecter.
8. Connectez-vous à vm-internal en exécutant la commande suivante :

gcloud compute ssh vm-internal --zone={{{project_0.default_zone | Zone}}} --internal-ip

9. Si vous y êtes invité, saisissez Y pour continuer.
10. Essayez de copier l'image dans vm-internal en exécutant la commande suivante :

gsutil cp gs://[my_bucket]/*.png .

Cela devrait fonctionner, puisque l'accès privé Google est activé pour le sous-réseau vm-internal.

11. Fermez le terminal SSH.

Remarque : Pour afficher les API et les services compatibles avec l'accès privé à Google, consultez la section concernant les services compatibles dans la présentation de l'accès privé à Google.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer un bucket Cloud Storage et activer l'accès privé à Google

Tâche 3 : Configurer une passerelle Cloud NAT

Même si vm-internal peut désormais accéder à certains services et API Google sans adresse IP externe, l'instance ne peut pas accéder à Internet pour télécharger des mises à jour et des correctifs. Vous allez maintenant configurer une passerelle Cloud NAT permettant à vm-internal d'accéder à Internet.

Essayer de mettre à jour les instances de VM

1. Pour vm-bastion, cliquez sur SSH pour lancer un terminal et vous connecter.
2. Essayez de resynchroniser l'index de package vm-bastion en exécutant la commande suivante :

sudo apt-get update

Le résultat doit se présenter comme suit :

... Reading package lists... Done

Cela devrait fonctionner, puisque vm-bastion a une adresse IP externe.

3. Connectez-vous à vm-internal en exécutant la commande suivante :

gcloud compute ssh vm-internal --zone={{{project_0.default_zone | Zone}}} --internal-ip

4. Si vous y êtes invité, saisissez Y pour continuer.
5. Essayez de resynchroniser l'index de package vm-internal en exécutant la commande suivante :

sudo apt-get update

Cela ne devrait fonctionner que pour les packages Google Cloud, puisque vm-internal n'a accès qu'aux API et aux services Google.

6. Appuyez sur les touches CTRL+C pour arrêter la requête.
7. Fermez le terminal SSH.

Configurer une passerelle Cloud NAT

Cloud NAT est une ressource régionale. Vous pouvez la configurer de sorte qu'elle autorise le trafic provenant de toutes les plages de tous les sous-réseaux d'une région, de certains sous-réseaux d'une région, ou de certaines plages CIDR primaires et secondaires uniquement.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Services réseau > Cloud NAT.

2. Cliquez sur Commencer pour configurer une passerelle NAT.

3. Renseignez les champs suivants :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom de la passerelle	nat-config
   Réseau	privatenet
   Région

4. Dans la section Cloud Router, sélectionnez Créer un routeur.

5. Dans le champ Nom, saisissez nat-router.

6. Cliquez sur Créer.

Remarque : La section de mappage NAT vous permet de choisir les sous-réseaux à mapper à la passerelle NAT. Vous pouvez également attribuer manuellement les adresses IP statiques à utiliser pour effectuer une NAT. Ne modifiez pas la configuration de mappage NAT dans cet atelier.

7. Cliquez sur Create (Créer).
8. Attendez que l'état de la passerelle passe à En cours d'exécution.

Vérifier la passerelle Cloud NAT

La propagation de la configuration NAT à la VM peut prendre jusqu'à trois minutes. Attendez au moins une minute avant d'essayer d'accéder de nouveau à Internet.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Compute Engine > Instances de VM.
2. Pour vm-bastion, cliquez sur SSH pour lancer un terminal et vous connecter.
3. Connectez-vous à vm-internal en exécutant la commande suivante :

gcloud compute ssh vm-internal --zone={{{project_0.default_zone | Zone}}} --internal-ip

4. Si vous y êtes invité, saisissez Y pour continuer.
5. Essayez de resynchroniser l'index de package vm-internal en exécutant la commande suivante :

sudo apt-get update

Le résultat doit se présenter comme suit :

... Reading package lists... Done

Cela devrait fonctionner, puisque vm-internal utilise la passerelle NAT.

6. Fermez le terminal SSH.

Remarque : La passerelle Cloud NAT implémente le NAT sortant, mais pas le NAT entrant. Autrement dit, les hôtes situés hors de votre réseau VPC ne peuvent répondre qu'à des connexions initiées par vos instances et ne peuvent pas initier eux-mêmes de nouvelles connexions à vos instances par le biais du NAT.

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer une passerelle Cloud NAT

Tâche 4 : Configurer et consulter les journaux avec la journalisation Cloud NAT

La journalisation Cloud NAT vous permet de consigner les connexions et les erreurs NAT. Lorsque la journalisation Cloud NAT est activée, une entrée de journal peut être générée pour chacun des scénarios suivants :

• Lorsqu'une connexion réseau utilisant le NAT est créée
• Lorsqu'un paquet est supprimé, car aucun port n'était disponible pour le NAT

Vous pouvez choisir de consigner les deux types d'événements, ou seulement l'un ou l'autre. Les journaux sont envoyés à Cloud Logging.

Activer la journalisation

Si la journalisation est activée, tous les journaux consignés sont envoyés à Stackdriver par défaut. Vous pouvez les filtrer, de manière à envoyer uniquement certains de ces journaux.

Vous pouvez également spécifier ces valeurs lorsque vous créez une passerelle NAT, ou en modifier une après sa création. Les instructions suivantes expliquent comment activer la journalisation pour une passerelle NAT existante.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Services réseau > Cloud NAT.

2. Cliquez sur la passerelle nat-config, puis sur Modifier.

3. Cliquez sur Configurations avancées.

4. Sous "Journalisation", sélectionnez Traduction et erreurs, puis cliquez sur Enregistrer.

Journalisation NAT dans Stackdriver

Maintenant que vous avez configuré la journalisation Cloud NAT pour la passerelle nat-config, regardons où consulter les journaux. La page suivante s'affiche, avec votre passerelle mise à jour :

1. Cliquez sur nat-config pour en afficher les détails. Cliquez ensuite sur le lien Afficher dans l'explorateur de journaux.

2. Un nouvel onglet s'ouvre avec l'explorateur de journaux. Vérifiez que le haut de votre page ressemble à l'image ci-dessous :

Il n'y a aucun journal à l'écran pour l'instant, car nous venons tout juste d'activer la fonctionnalité pour la passerelle. Laissez cet onglet ouvert, puis retournez à votre autre onglet de la console Cloud.

Générer des journaux

Pour rappel, les journaux Cloud NAT sont générés pour les séquences suivantes :

• Lorsqu'une connexion réseau utilisant le NAT est créée
• Lorsqu'un paquet est supprimé, car aucun port n'était disponible pour le NAT

Connectons de nouveau l'hôte bastion à la VM interne pour vérifier si des journaux ont été générés.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Compute Engine > Instances de VM.
2. Pour vm-bastion, cliquez sur SSH pour lancer un terminal et vous connecter.
3. Connectez-vous à vm-internal en exécutant la commande suivante :

gcloud compute ssh vm-internal --zone={{{project_0.default_zone | Zone}}} --internal-ip

4. Si vous y êtes invité, saisissez Y pour continuer.
5. Essayez de resynchroniser l'index de package vm-internal en exécutant la commande suivante :

sudo apt-get update

Le résultat doit se présenter comme suit :

... Reading package lists... Done

6. Fermez le terminal SSH.

Regardons si l'ouverture de cette connexion a fait l'objet d'une consignation dans les journaux.

Afficher les journaux

1. Retournez à l'onglet "Journalisation NAT", puis cliquez sur le bouton Heure actuelle.

2. Après la connexion de l'hôte bastion à la VM interne, deux nouveaux journaux ont été générés.

Ces journaux nous renseignent sur le réseau VPC auquel nous sommes connectés et sur la méthode de connexion utilisée. N'hésitez pas à développer certaines étiquettes et détails.

Félicitations !

Cet atelier d'auto-formation "Configurer Cloud NAT et l'accès privé à Google" est à présent terminé.

Vous avez créé vm-internal, une instance sans adresse IP externe, et vm-bastion, un hôte bastion destiné à se connecter de manière sécurisée à vm-internal. Vous avez ensuite activé un accès privé à Google, configuré une passerelle NAT et vérifié l'accès de vm-internal aux API et aux services Google ainsi qu'à d'autres adresses IP publiques. Enfin, vous avez appris à configurer la journalisation NAT, ainsi qu'à générer et à afficher ces journaux dans Stackdriver.

Les instances de VM sans adresses IP externes sont isolées des réseaux externes. Avec Cloud NAT, ces instances peuvent accéder à Internet pour télécharger des mises à jour et des correctifs et, dans certains cas, effectuer un amorçage. En tant que service géré, Cloud NAT offre une haute disponibilité sans gestion ni intervention des utilisateurs.

Étapes suivantes et informations supplémentaires

• Consultez Options d'accès privé pour les services.
• Pour en savoir plus sur les passerelles NAT, consultez Cloud NAT.
• Suivez l'atelier intitulé Utiliser une passerelle NAT avec Kubernetes Engine.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 11 décembre 2024

Dernier test de l'atelier : 3 octobre 2024

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.