arrow_back

Mise en réseau VPC (AWS)

Se connecter Rejoindre
Accédez à plus de 700 ateliers et cours

Mise en réseau VPC (AWS)

Atelier 1 heure 30 minutes universal_currency_alt 5 crédits show_chart Débutant
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Accédez à plus de 700 ateliers et cours

En tant qu'architecte de solutions, vous savez que votre réseau est l'un des piliers de votre infrastructure cloud dans AWS. Lorsque vous travaillez dans Google Cloud, vos principales préoccupations sont de connecter vos différentes ressources, de segmenter le réseau et d'assurer la sécurité.

En plus d'autres ressources, AWS vous propose un ou plusieurs clouds privés virtuels (VPC) Amazon, qui sont des réseaux virtuels isolés et dédiés à vos comptes AWS. Vous pouvez utiliser des VPC Amazon pour lancer vos ressources dans un réseau virtuel sécurisé.

Les VPC AWS ont un champ d'application régional et ne peuvent exister que dans une seule région. Lorsque vous avez créé votre compte AWS, un VPC par défaut a été créé dans chaque région AWS sans qu'aucune configuration ne soit nécessaire.

Diagramme AWS

Si vous souhaitez connecter des applications ou des ressources dans plusieurs régions, vous pouvez utiliser l'appairage de VPC ou une passerelle de transit.

Dans votre VPC AWS, vous pouvez configurer des sous-réseaux privés et publics dans différentes zones de disponibilité afin d'améliorer la disponibilité et la tolérance aux pannes. Selon les bonnes pratiques, il est d'usage de créer des groupes de sécurité, des tables de routage et des règles AWS Network Firewall afin de renforcer la sécurité réseau.

Avec ces informations en tête, vous allez explorer les services de mise en réseau disponibles dans Google Cloud, afin de déployer une architecture robuste.

Présentation

Le cloud privé virtuel (VPC) de Google Cloud fournit des fonctionnalités de mise en réseau pour les instances de machines virtuelles (VM) Compute Engine, les conteneurs Kubernetes Engine et l'environnement flexible App Engine. En d'autres termes, sans réseau VPC, vous ne pouvez pas créer d'instance de VM, de conteneur ni d'application App Engine. Par conséquent chaque projet Google Cloud comporte un réseau par défaut pour vous aider à démarrer.

Un réseau VPC est semblable à un réseau physique, sauf qu'il est virtualisé dans Google Cloud. Un réseau VPC est une ressource globale qui consiste en une liste de sous-réseaux virtuels régionaux hébergés dans des centres de données, qui sont reliés ensemble par un réseau étendu (WAN, Wide Area Network) mondial. Les réseaux VPC sont isolés de façon logique les uns des autres dans Google Cloud.

Dans cet atelier, vous allez créer un réseau VPC en mode automatique avec des règles de pare-feu et deux instances de VM. Vous allez ensuite passer du mode automatique au mode personnalisé et créer d'autres réseaux en mode personnalisé, comme indiqué dans l'exemple de schéma ci-dessous. Pour finir, vous allez également tester la connectivité sur différents réseaux.

Schéma de l'architecture de mise en réseau VPC

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

  • Explorer le réseau VPC par défaut
  • Créer un réseau en mode automatique avec des règles de pare-feu
  • Convertir un réseau en mode automatique en réseau en mode personnalisé
  • Créer des réseaux VPC en mode personnalisé dotés de règles de pare-feu
  • Créer des instances de VM à l'aide de Compute Engine
  • Explorer la connectivité des instances de VM sur plusieurs réseaux VPC

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

  1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

  2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
    Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

  3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

  4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

  5. Cliquez sur Ouvrir la console Google.

  6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
    Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

  7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Explorer le réseau par défaut

Chaque projet Google Cloud comporte un réseau par défaut avec des sous-réseaux, des routes et des règles de pare-feu.

Afficher les sous-réseaux

Le réseau par défaut dispose d'un sous-réseau dans chaque région Google Cloud.

  • Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Réseau VPC > Réseaux VPC.
  • Repérez le réseau par défaut avec ses sous-réseaux.
    Chaque sous-réseau est associé à une région Google Cloud et à un bloc CIDR RFC 1918 privé pour sa plage d'adresses IP interne ainsi qu'à une passerelle.

Afficher les routes

Les routes indiquent aux instances de VM et au réseau VPC comment acheminer le trafic d'une instance jusqu'à sa destination, à l'intérieur du réseau ou en dehors de Google Cloud. Chaque réseau VPC est fourni avec des routes par défaut pour acheminer le trafic entre ses sous-réseaux et envoyer le trafic des instances éligibles vers Internet.

  • Dans le volet de gauche, cliquez sur Routes.
    Vous remarquez qu'il y a une route pour chaque sous-réseau et une pour la passerelle Internet par défaut (0.0.0.0/0).
    Ces routes sont gérées automatiquement, mais vous pouvez créer des routes statiques personnalisées pour diriger certains paquets vers des destinations spécifiques. Par exemple, vous pouvez créer une route qui envoie tout le trafic sortant vers une instance configurée en tant que passerelle NAT.

Afficher les règles de pare-feu

Chaque réseau VPC dispose d'un pare-feu virtuel distribué et paramétrable. Les règles de pare-feu permettent de contrôler quels paquets sont autorisés à transiter et vers quelles destinations. Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.

  • Dans le volet de gauche, cliquez sur Pare-feu.
    Notez qu'il existe quatre règles de pare-feu d'entrée pour le réseau par défaut :

    • default-allow-icmp
    • default-allow-rdp
    • default-allow-ssh
    • default-allow-internal

    Ces règles de pare-feu autorisent tout trafic entrant via ICMP, RDP et SSH (0.0.0.0/0), ainsi que l'ensemble du trafic TCP, UDP et ICMP au sein du réseau (10.128.0.0/9). Ces règles sont détaillées dans les colonnes Cibles, Filtres, Protocoles/ports et Action.

Supprimer les règles de pare-feu

  1. Dans le volet de gauche, cliquez sur Pare-feu.
  2. Sélectionnez toutes les règles de pare-feu du réseau par défaut.
  3. Cliquez sur Supprimer.
  4. Cliquez sur Supprimer pour confirmer la suppression des règles de pare-feu.

Supprimer le réseau par défaut

  1. Dans le volet de gauche, cliquez sur Réseaux VPC.
  2. Sélectionnez le réseau par défaut.
  3. Cliquez sur Supprimer le réseau VPC.
  4. Cliquez sur Supprimer pour confirmer la suppression du réseau par défaut.

Attendez que le réseau soit supprimé avant de continuer.

  1. Dans le volet de gauche, cliquez sur Routes.

Notez qu'il n'y a aucune route.

  1. Dans le volet de gauche, cliquez sur Pare-feu.

Notez qu'il n'y a aucune règle de pare-feu.

Remarque : Sans réseau VPC, il ne peut pas y avoir de routes.

Essayer de créer une instance de VM

Vérifiez que vous ne pouvez pas créer d'instance de VM sans réseau VPC.

  1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.
  2. Cliquez sur Créer une instance.
  3. Acceptez les valeurs par défaut, puis cliquez sur Créer.

Notez l'erreur.

  1. Cliquez sur Créer une instance.
  2. Cliquez sur Mise en réseau. Notez l'erreur Aucun autre réseau disponible sous Interfaces réseau.
  3. Cliquez sur Annuler.
Remarque : Sans surprise, vous ne pouvez pas créer d'instance de VM sans réseau VPC.

Tâche 2 : Créer un réseau en mode automatique

Vous devez créer un réseau en mode automatique avec deux instances de VM. Les réseaux en mode automatique sont faciles à configurer et à utiliser, parce qu'ils créent automatiquement des sous-réseaux dans chaque région. Cependant, vous ne contrôlez pas entièrement les sous-réseaux créés dans votre réseau VPC, y compris les régions et les plages d'adresses IP utilisées.

N'hésitez pas à consulter la documentation Google sur les réseaux VPC pour découvrir d'autres avantages à utiliser des réseaux en mode automatique. Pour l'instant, considérez que vous utilisez le réseau en mode automatique à des fins de prototypage.

Créer un réseau VPC en mode automatique avec des règles de pare-feu

  1. Dans le menu de navigation (Icône du menu de navigation), cliquez sur Réseau VPC > Réseaux VPC.
  2. Cliquez sur Créer un réseau VPC.
  3. Dans le champ Nom, saisissez mynetwork.
  4. Dans le champ Mode de création du sous-réseau, cliquez sur Automatique.

Les réseaux en mode automatique créent automatiquement des sous-réseaux dans chaque région.

  1. Dans le champ Règles de pare-feu, sélectionnez toutes les règles disponibles.

Ce sont les mêmes règles de pare-feu standards que celles du réseau par défaut. Les règles deny-all-ingress et allow-all-egress sont également affichées, mais vous ne pouvez pas les sélectionner ni les désactiver, car elles sont implicites. La valeur Priorité de ces deux règles est inférieure (les nombres entiers les plus élevés indiquent les priorités les plus faibles) : les règles d'autorisation ICMP, personnalisées, RDP et SSH sont donc prioritaires.

  1. Cliquez sur Créer.

  2. Lorsque le nouveau réseau est prêt, cliquez sur mynetwork. Notez la plage d'adresses IP pour les sous-réseaux de et .

Remarque : Si jamais vous supprimez le réseau par défaut, vous pouvez le recréer rapidement. Pour cela, créez un réseau en mode automatique comme vous venez de le faire.

Créer une instance de VM dans

Créez une instance de VM dans la région . Le sous-réseau et l'adresse IP interne attribuée à partir de la plage d'adresses IP du sous-réseau dépendent de la région et de la zone sélectionnées.

  1. Dans la console Cloud, accédez au menu de navigation (☰). Cliquez sur Compute Engine > Instances de VM, puis sur Créer une instance.

    Renseignez les champs ci-dessous comme suit, en conservant la valeur par défaut dans les autres champs :

  2. Dans la section Configuration de la machine.

    Sélectionnez les valeurs suivantes :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom mynet-vm-1
    Région
    Zone
    Série E2
    Type de machine e2-micro (2 vCPU, 1 Go de mémoire)

  3. Cliquez sur OS et stockage.

    Cliquez sur Modifier pour commencer à configurer le disque de démarrage :

    • Assurez-vous que le disque de démarrage est configuré pour Debian GNU/Linux 12 (bookworm).

    Cliquez sur Sélectionner.

  4. Cliquez sur Créer.

Créer une instance de VM dans

Créez une instance de VM dans la région .

  1. Cliquez sur Créer une instance.

  2. Dans la section Configuration de la machine.

    Sélectionnez les valeurs suivantes :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom mynet-vm-2
    Région
    Zone
    Série E2
    Type de machine e2-micro (2 vCPU, 1 Go de mémoire)

  3. Cliquez sur OS et stockage.

    Cliquez sur Modifier pour commencer à configurer le disque de démarrage :

    • Assurez-vous que le disque de démarrage est configuré pour Debian GNU/Linux 12 (bookworm).

    Cliquez sur Sélectionner.

  4. Cliquez sur Créer.

Remarque : Les adresses IP externes des deux instances de VM sont éphémères. Si une instance est arrêtée, toute adresse IP externe éphémère qui lui a été attribuée est remise dans le pool Compute Engine général et devient disponible pour d'autres projets.

Lorsqu'une instance arrêtée est redémarrée, une nouvelle adresse IP externe éphémère lui est attribuée. Vous pouvez également réserver une adresse IP externe statique, qui est alors attribuée à votre projet pour une durée indéterminée, jusqu'à ce que vous la libériez explicitement.

Vérifier la connectivité des instances de VM

Les règles de pare-feu que vous avez créées avec mynetwork autorisent le trafic SSH et ICMP entrant depuis les adresses IP internes (au sein de mynetwork) et externes (en dehors de ce réseau).

  1. Dans le menu de navigation, cliquez sur Compute Engine > Instances de VM.

Notez les adresses IP externe et interne de mynet-vm-2.

  1. Pour mynet-vm-1, cliquez sur SSH afin de lancer un terminal et de vous y connecter.
Remarque : Vous pouvez vous connecter en SSH grâce à la règle de pare-feu allow-ssh, qui autorise le trafic entrant vers tcp:22 depuis n'importe quelle adresse IP (0.0.0.0/0). La connexion SSH fonctionne parfaitement, car Compute Engine génère une clé SSH pour vous et la stocke dans l'un des emplacements suivants :
  • Par défaut, Compute Engine ajoute la clé générée aux métadonnées du projet ou de l'instance.
  • Si votre compte est configuré pour utiliser OS Login, Compute Engine stocke la clé générée avec votre compte utilisateur.
Vous pouvez également contrôler l'accès aux instances Linux en créant des clés SSH et en modifiant les métadonnées des clés SSH publiques.
  1. Pour tester la connectivité à l'adresse IP interne de mynet-vm-2, exécutez la commande suivante en indiquant l'adresse IP interne de mynet-vm-2 :
ping -c 3 <Saisir l'adresse IP interne de mynet-vm-2 ici>

Vous pouvez pinguer l'adresse IP interne de mynet-vm-2 grâce à la règle de pare-feu allow-custom.

  1. Pour tester la connectivité à l'adresse IP externe de mynet-vm-2, exécutez la commande suivante en indiquant l'adresse IP externe de mynet-vm-2 :
ping -c 3 <Saisir l'adresse IP externe de mynet-vm-2 ici>

Remarque : Comme prévu, vous pouvez vous connecter en SSH à mynet-vm-1 et pinguer les adresses IP interne et externe de mynet-vm-2. Vous pouvez également vous connecter en SSH à mynet-vm-2 et pinguer les adresses IP interne et externe de mynet-vm-1.

Convertir le réseau en réseau en mode personnalisé

Le réseau en mode automatique a bien fonctionné jusqu'à présent, mais il vous a été demandé de le convertir en réseau en mode personnalisé, afin d'éviter qu'un sous-réseau soit créé chaque fois qu'une nouvelle région est disponible. Ces créations automatiques de sous-réseaux pourraient entraîner un chevauchement des adresses IP utilisées par les sous-réseaux créés manuellement ou les routes statiques, ou interférer avec la planification globale de votre réseau.

  1. Dans le menu de navigation (Icône du menu de navigation), cliquez sur Réseau VPC > Réseaux VPC.
  2. Cliquez sur mynetwork pour accéder aux informations sur le réseau.
  3. Cliquez sur Modifier.
  4. Dans Mode de création du sous-réseau, sélectionnez Personnalisé.
  5. Cliquez sur Enregistrer.
  6. Revenez à la page Réseaux VPC.

Attendez que le mode de mynetwork bascule sur Personnalisé.

Vous pouvez cliquer sur Actualiser pendant que vous patientez.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer un réseau VPC et des instances de VM

Remarque : Faire passer un réseau du mode automatique au mode personnalisé est une façon simple de gagner en flexibilité. En production, nous vous recommandons d'utiliser des réseaux en mode personnalisé.

Tâche 3 : Créer des réseaux en mode personnalisé

Vous devez créer deux réseaux personnalisés supplémentaires, managementnet et privatenet, ainsi que des règles de pare-feu pour autoriser le trafic entrant SSH, ICMP et RDP, et les instances de VM (comme indiqué dans cet exemple de schéma, à l'exception de vm-appliance) :

Schéma de l&#39;architecture de mise en réseau VPC

Notez que les plages CIDR d'adresses IP de ces réseaux ne se chevauchent pas. Cela vous permet de mettre en place des systèmes tels que l'appairage VPC entre les réseaux. Si vous spécifiez des plages CIDR d'adresses IP différentes de celles de votre réseau sur site, vous pouvez même configurer une connectivité hybride à l'aide d'un VPN ou de Cloud Interconnect.

Créer le réseau managementnet

Créez le réseau managementnet à l'aide de la console Cloud.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Réseau VPC > Réseaux VPC.

  2. Cliquez sur Créer un réseau VPC.

  3. Dans le champ Nom, saisissez managementnet.

  4. Dans le champ Mode de création du sous-réseau, cliquez sur Personnalisé.

  5. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom managementsubnet-1
    Région
    Plage IPv4 10.240.0.0/20

  6. Cliquez sur OK.

  7. Cliquez sur Ligne de commande équivalente.

    Ces commandes montrent que les réseaux et les sous-réseaux peuvent être créés à l'aide de la ligne de commande gcloud. Vous allez créer le réseau privatenet à l'aide de ces commandes en utilisant des paramètres similaires.

  8. Cliquez sur Fermer.

  9. Cliquez sur Créer.

Créer le réseau privatenet

Créez le réseau privatenet à l'aide de la ligne de commande gcloud.

  1. Dans la console Cloud, cliquez sur Activer Cloud Shell (Icône Activer Cloud Shell).
  2. Cliquez sur Continuer si vous y êtes invité.
  3. Pour créer le réseau privatenet, exécutez la commande suivante. Si vous y êtes invité, cliquez sur Autoriser.
gcloud compute networks create privatenet --subnet-mode=custom
  1. Pour créer le sous-réseau privatesubnet-1, exécutez la commande suivante :
gcloud compute networks subnets create privatesubnet-1 --network=privatenet --region={{{project_0.default_region|Region 1}}} --range=172.16.0.0/24
  1. Pour créer le sous-réseau privatesubnet-2, exécutez la commande suivante :
gcloud compute networks subnets create privatesubnet-2 --network=privatenet --region={{{ project_0.default_region_2|Region 2}}} --range=172.20.0.0/20
  1. Pour obtenir la liste des réseaux VPC disponibles, exécutez la commande suivante :
gcloud compute networks list

Le résultat doit se présenter comme suit :

NAME SUBNET_MODE BGP_ROUTING_MODE IPV4_RANGE GATEWAY_IPV4 managementnet CUSTOM REGIONAL mynetwork CUSTOM REGIONAL privatenet CUSTOM REGIONAL
  1. Pour obtenir la liste des sous-réseaux VPC disponibles (classés par réseau VPC), exécutez la commande suivante :
gcloud compute networks subnets list --sort-by=NETWORK Remarque : Les réseaux managementnet et privatenet ne contiennent que les sous-réseaux que vous avez créés, car il s'agit de réseaux en mode personnalisé. mynetwork en est un également, mais il était auparavant un réseau en mode automatique qui comptait des sous-réseaux dans chaque région.
  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Réseau VPC > Réseaux VPC.
    Vérifiez que les mêmes réseaux et sous-réseaux sont listés dans la console Cloud.

Créer les règles de pare-feu pour managementnet

Créez des règles de pare-feu pour autoriser le trafic entrant SSH, ICMP et RDP vers les instances de VM du réseau managementnet.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Réseau VPC > Pare-feu.

  2. Cliquez sur Créer une règle de pare-feu.

  3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom managementnet-allow-icmp-ssh-rdp
    Réseau managementnet
    Cibles Toutes les instances du réseau
    Filtre source Plages IPv4
    Plages IPv4 sources 0.0.0.0/0
    Protocoles et ports Protocoles et ports spécifiés
Remarque : Pensez à ajouter /0 dans les plages IPv4 sources pour indiquer tous les réseaux.

  1. Sélectionnez tcp, puis spécifiez les ports 22 et 3389.

  2. Sélectionnez Autres protocoles, puis spécifiez le protocole icmp.

  3. Cliquez sur Ligne de commande équivalente.

    Ces commandes montrent que les règles de pare-feu peuvent aussi être créées à l'aide de la ligne de commande gcloud. Vous allez créer les règles de pare-feu de privatenet à l'aide de ces commandes en utilisant des paramètres similaires.

  4. Cliquez sur Fermer.

  5. Cliquez sur Créer.

Créer les règles de pare-feu pour privatenet

Créez les règles de pare-feu du réseau privatenet à l'aide de la ligne de commande gcloud.

  1. Revenez dans Cloud Shell. Si nécessaire, cliquez sur Activer Cloud Shell (Icône Activer Cloud Shell).
  2. Pour créer la règle de pare-feu privatenet-allow-icmp-ssh-rdp, exécutez la commande suivante :
gcloud compute firewall-rules create privatenet-allow-icmp-ssh-rdp --direction=INGRESS --priority=1000 --network=privatenet --action=ALLOW --rules=icmp,tcp:22,tcp:3389 --source-ranges=0.0.0.0/0

Le résultat doit se présenter comme suit :

NAME NETWORK DIRECTION PRIORITY ALLOW DENY privatenet-allow-icmp-ssh-rdp privatenet INGRESS 1000 icmp,tcp:22,tcp:3389
  1. Pour obtenir la liste des règles de pare-feu (classées par réseau VPC), exécutez la commande suivante :
gcloud compute firewall-rules list --sort-by=NETWORK

Le résultat doit se présenter comme suit :

NAME NETWORK DIRECTION PRIORITY ALLOW managementnet-allow-icmp-ssh-rdp managementnet INGRESS 1000 icmp,tcp:22,tcp:3389 mynetwork-allow-icmp mynetwork INGRESS 1000 icmp mynetwork-allow-internal mynetwork INGRESS 65534 all mynetwork-allow-rdp mynetwork INGRESS 1000 tcp:3389 mynetwork-allow-ssh mynetwork INGRESS 1000 tcp:22 privatenet-allow-icmp-ssh-rdp privatenet INGRESS 1000 icmp,tcp:22,tcp:3389

Les règles de pare-feu du réseau mynetwork ont été créées automatiquement. Vous pouvez définir plusieurs protocoles et ports dans une seule et même règle de pare-feu (privatenet et managementnet), ou les étendre à d'autres règles (default et mynetwork).

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation), puis cliquez sur Réseau VPC > Pare-feu.
    Vérifiez que les mêmes règles de pare-feu sont listées dans la console Cloud.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer des réseaux VPC en mode personnalisé avec des règles de pare-feu

Ensuite, créez deux instances de VM :

  • managementnet-vm-1 dans managementsubnet-1
  • privatenet-vm-1 dans privatesubnet-1

Créer l'instance managementnet-vm-1

Créez l'instance managementnet-vm-1 à l'aide de la console Cloud.

  1. Dans la console Cloud, accédez au menu de navigation (☰). Cliquez sur Compute Engine > Instances de VM, puis sur Créer une instance.

    Renseignez les champs ci-dessous comme suit, en conservant la valeur par défaut dans les autres champs :

  2. Dans la section Configuration de la machine.

    Sélectionnez les valeurs suivantes :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom managementnet-vm-1
    Région
    Zone
    Série E2
    Type de machine e2-micro (2 vCPU, 1 Go de mémoire)

  3. Cliquez sur OS et stockage.

    Cliquez sur Modifier pour commencer à configurer le disque de démarrage :

    • Assurez-vous que le disque de démarrage est configuré pour Debian GNU/Linux 12 (bookworm).

    Cliquez sur Sélectionner.

  4. Cliquez sur Mise en réseau.

    Pour Interfaces réseau, cliquez sur la flèche du menu déroulant afin d'effectuer vos modifications.

    Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Réseau managementnet
    Sous-réseau managementsubnet-1
Remarque : Vous ne pouvez sélectionner que les sous-réseaux associés à la région sélectionnée.

  1. Cliquez sur OK.

  2. Cliquez sur Code équivalent.

    Nous venons de voir qu'il est possible de créer des instances de VM à l'aide de la ligne de commande gcloud. Vous allez créer l'instance privatenet-vm-1 à l'aide de ces commandes en utilisant des paramètres similaires.

  3. Cliquez sur Fermer.

  4. Cliquez sur Créer.

Créer l'instance privatenet-vm-1

Créez l'instance privatenet-vm-1 à l'aide de la ligne de commande gcloud.

  1. Revenez dans Cloud Shell. Si nécessaire, cliquez sur Activer Cloud Shell (Icône Activer Cloud Shell).
  2. Pour créer l'instance privatenet-vm-1, exécutez la commande suivante :
gcloud compute instances create privatenet-vm-1 --zone={{{project_0.default_zone|Zone 1}}} --machine-type=e2-micro --subnet=privatesubnet-1 --image-family=debian-12 --image-project=debian-cloud --boot-disk-size=10GB --boot-disk-type=pd-standard --boot-disk-device-name=privatenet-vm-1
  1. Pour obtenir la liste des instances de VM (classées par zone), exécutez la commande suivante :
gcloud compute instances list --sort-by=ZONE
  1. Dans la console Cloud, accédez au menu de navigation (Menu de navigation), puis cliquez sur Compute Engine > Instances de VM.

Vérifiez que les instances de VM sont listées dans la console Cloud.

  1. Pour Colonnes, sélectionnez Zone.

    Il y a trois instances dans et une instance dans . Cependant, ces instances sont réparties sur trois réseaux VPC (managementnet, mynetwork et privatenet), et aucune instance ne se trouve dans la même zone et le même réseau qu'une autre. Dans la prochaine tâche, vous allez découvrir les incidences de cette répartition sur la connectivité interne.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer des instances de VM

Remarque : Pour plus d'informations sur la mise en réseau de chaque instance de VM, cliquez sur le lien nic0 dans la colonne Adresse IP interne. La page d'informations sur l'interface réseau affiche alors le sous-réseau et la plage CIDR d'adresses IP, les règles de pare-feu et les routes qui s'appliquent à l'instance, ainsi que d'autres caractéristiques issues de l'analyse du réseau.

Tâche 4 : Explorer la connectivité entre les réseaux

Explorez la connectivité entre les instances de VM. Plus précisément, vous allez déterminer l'effet de la présence de plusieurs instances de VM dans la même zone par rapport à la présence de plusieurs instances dans le même réseau VPC.

Pinguer les adresses IP externes

Pinguez les adresses IP externes des instances de VM pour déterminer si vous pouvez atteindre ces instances à partir du réseau Internet public.

  1. Dans la console Cloud, accédez au menu de navigation, puis cliquez sur Compute Engine > Instances de VM.
    Notez les adresses IP externes de mynet-vm-2, managementnet-vm-1 et privatenet-vm-1.
  2. Pour mynet-vm-1, cliquez sur SSH afin de lancer un terminal et de vous y connecter.
  3. Pour tester la connectivité à l'adresse IP externe de mynet-vm-2, exécutez la commande suivante en indiquant l'adresse IP externe de mynet-vm-2 :
ping -c 3 <Saisir l'adresse IP externe de mynet-vm-2 ici>

Cela devrait fonctionner.

  1. Pour tester la connectivité à l'adresse IP externe de managementnet-vm-1, exécutez la commande suivante en indiquant l'adresse IP externe de managementnet-vm-1 :
ping -c 3 <Saisir l'adresse IP externe de managementnet-vm-1 ici>

Cela devrait fonctionner.

  1. Pour tester la connectivité de l'adresse IP externe de privatenet-vm-1, exécutez la commande suivante en indiquant l'adresse IP externe de privatenet-vm-1 :
ping -c 3 <Saisir l'adresse IP externe de privatenet-vm-1 ici>

Cela devrait fonctionner.

Remarque : Vous pouvez pinguer l'adresse IP externe de toutes les instances de VM, même si elles se trouvent dans une autre zone ou un autre réseau VPC. Cela confirme que l'accès public à ces instances est uniquement contrôlé par les règles de pare-feu ICMP que vous avez établies auparavant.

Pinguer les adresses IP internes

Pinguez les adresses IP internes des instances de VM afin de déterminer si vous pouvez atteindre ces instances à partir d'un réseau VPC.

  1. Dans la console Cloud, accédez au menu de navigation, puis cliquez sur Compute Engine > Instances de VM.
    Notez les adresses IP internes de mynet-vm-2, managementnet-vm-1 et privatenet-vm-1.
  2. Revenez au terminal SSH pour mynet-vm-1.
  3. Pour tester la connectivité à l'adresse IP interne de mynet-vm-2, exécutez la commande suivante en indiquant l'adresse IP interne de mynet-vm-2 :
ping -c 3 <Saisir l'adresse IP interne de mynet-vm-2 ici> Remarque : Vous pouvez pinguer l'adresse IP interne de mynet-vm-1, car elle se trouve sur le même réseau VPC que la source du ping (mynet-vm-1), bien que les deux instances de VM se situent dans des zones, des régions et des continents différents.
  1. Pour tester la connectivité à l'adresse IP interne de managementnet-vm-1, exécutez la commande suivante en indiquant l'adresse IP interne de managementnet-vm-1 :
ping -c 3 <Saisir l'adresse IP interne de managementnet-vm-1 ici> Remarque : Cela ne doit pas fonctionner, comme l'indique la perte de 100 % des paquets.
  1. Pour tester la connectivité à l'adresse IP interne de privatenet-vm-1, exécutez la commande suivante en indiquant l'adresse IP interne de privatenet-vm-1 :
ping -c 3 <Saisir l'adresse IP interne de privatenet-vm-1 ici> Remarque : Cela ne doit pas fonctionner non plus, comme l'indique la perte de 100 % des paquets. Vous ne pouvez pas pinguer l'adresse IP interne de managementnet-vm-1 ni celle de privatenet-vm-1, car ces instances se trouvent sur des réseaux VPC différents de celui de la source du ping (mynet-vm-1), et ce, bien que toutes les instances se situent dans la même zone.

Tâche 5 : Récapitulatif

Dans cet atelier, vous avez exploré le réseau par défaut et vous avez vu que vous ne pouviez pas créer d'instances de VM sans réseau VPC. Vous avez donc créé un réseau VPC en mode automatique avec des sous-réseaux, des routes, des règles de pare-feu et deux instances de VM, et vous avez testé la connectivité des instances de VM. Dans la mesure où les réseaux en mode automatique ne sont pas recommandés en production, vous avez converti le réseau en mode automatique en réseau en mode personnalisé.

Puis vous avez créé deux autres réseaux VPC en mode personnalisé avec des règles de pare-feu ainsi que des instances de VM à l'aide de la console Cloud et de la ligne de commande gcloud. Vous avez ensuite testé la connectivité sur les réseaux VPC. Un ping sur des adresses IP externes fonctionnait, contrairement à un ping sur des adresses IP internes.

Par défaut, les réseaux VPC sont des domaines de mise en réseau privé isolés. Par conséquent, aucune communication par adresse IP interne n'est autorisée entre les réseaux, sauf si vous mettez en place des systèmes tels qu'un appairage VPC ou un VPN.

Examinons les similitudes entre AWS et Google Cloud :

  • Dans AWS et Google Cloud, lorsque vous créez votre compte, vous obtenez un VPC par défaut préconfiguré et prêt à être utilisé. Vous pouvez également créer et configurer vos propres VPC (appelés VPC personnalisés dans AWS) en fonction de besoins plus spécifiques comme la taille des sous-réseaux.
  • Vous pouvez suivre différentes approches et bonnes pratiques pour assurer la sécurité de votre réseau. Une méthode consiste à créer un ensemble de règles de pare-feu VPC pour autoriser ou refuser les connexions vers ou depuis votre machine virtuelle (VM) ou vos instances EC2 en fonction d'une configuration que vous spécifiez. Chaque règle de pare-feu s'applique aux connexions entrantes (entrée) ou sortantes (sortie). En outre, chaque règle de pare-feu peut autoriser ou refuser le trafic. Il s'agit de règles avec état, ce qui signifie qu'elles suivent l'état des connexions réseau.

Il est également important de comprendre les différences entre Google Cloud et AWS :

  • Un VPC Google Cloud est un service mondial, contrairement à un VPC AWS qui est régional. Un VPC Google Cloud peut s'étendre sur plusieurs régions et permet de connecter facilement des ressources situées dans différentes zones géographiques.
  • Dans Google Cloud, les blocs CIDR (Classless Inter-Domain Routing) sont définis au niveau du sous-réseau, et non au niveau du VPC.
  • Par ailleurs, les sous-réseaux ont des champs d'application différents. Dans Google Cloud, ils sont régionaux et s'étendent sur plusieurs zones, alors que dans AWS, ils sont limités à une seule zone de disponibilité.
  • Les VPC Amazon et Google Cloud se différencient également par leurs modes de déploiement. Dans AWS, en plus des VPC par défaut, vous pouvez créer des VPC personnalisés que vous configurez en détail en spécifiant, par exemple, les sous-réseaux et les zones de disponibilité à utiliser. Dans Google Cloud, vous pouvez créer des VPC en mode automatique ou personnalisé. Lorsqu'un réseau VPC en mode automatique est créé dans Google Cloud, un sous-réseau y est automatiquement créé pour chaque région avec un ensemble de plages IPv4 prédéfinies pour les sous-réseaux. Dans un VPC en mode personnalisé, aucun sous-réseau n'est automatiquement créé, ce qui vous permet de contrôler totalement les sous-réseaux et les plages d'adresses IP. Vous créez les sous-réseaux de votre choix dans les régions souhaitées en utilisant les plages d'adresses IP que vous spécifiez.

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

  • 1 étoile = très insatisfait(e)
  • 2 étoiles = insatisfait(e)
  • 3 étoiles = ni insatisfait(e), ni satisfait(e)
  • 4 étoiles = satisfait(e)
  • 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2020 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Ouvrez une fenêtre de navigateur en mode navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.