GSP210

Présentation

Le cloud privé virtuel (VPC) de Google Cloud fournit des fonctionnalités de mise en réseau pour les instances de machines virtuelles (VM) Compute Engine, les conteneurs Kubernetes Engine et l'environnement flexible App Engine. En d'autres termes, sans réseau VPC, vous ne pouvez pas créer d'instance de VM, de conteneur ni d'application App Engine. Par conséquent chaque projet Google Cloud comporte un réseau par défaut pour vous aider à démarrer.

Un réseau VPC est semblable à un réseau physique, sauf qu'il est virtualisé dans Google Cloud. Un réseau VPC est une ressource globale qui consiste en une liste de sous-réseaux virtuels régionaux hébergés dans des centres de données, lesquels sont reliés ensemble par un réseau étendu (WAN, Wide Area Network) mondial. Les réseaux VPC sont isolés de façon logique les uns des autres dans Google Cloud.

Dans cet atelier, vous allez créer un réseau VPC en mode automatique avec des règles de pare-feu et deux instances de VM. Vous explorerez ensuite la connectivité des instances de VM.

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

• Explorer le réseau VPC par défaut
• Créer un réseau en mode automatique avec des règles de pare-feu
• Créer des instances de VM à l'aide de Compute Engine
• Explorer la connectivité des instances de VM

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;

Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

   • Le bouton Ouvrir la console Google
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google. L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue Se connecter. Cliquez sur Suivant.

4. Copiez le mot de passe inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue de bienvenue. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis dans le panneau de gauche. Ne saisissez pas vos identifiants Google Cloud Skills Boost. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

5. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas aux essais offerts.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Vous pouvez afficher le menu qui contient la liste des produits et services Google Cloud en cliquant sur le menu de navigation en haut à gauche.

Tâche 1 : Explorer le réseau par défaut

Chaque projet Google Cloud comporte un réseau par défaut avec des sous-réseaux, des routes et des règles de pare-feu.

Afficher les sous-réseaux

Le réseau par défaut dispose d'un sous-réseau dans chaque région Google Cloud.

1. Dans la console Cloud, accédez au menu de navigation () > Réseau VPC > Réseaux VPC.

2. Cliquez sur le réseau par défaut. Repérez les détails du réseau par défaut et ses sous-réseaux.

Remarque : Chaque sous-réseau est associé à une région Google Cloud et à un bloc CIDR RFC 1918 privé pour sa plage d'adresses IP interne ainsi qu'à une passerelle.

Afficher les routes

Les routes indiquent aux instances de VM et au réseau VPC comment acheminer le trafic d'une instance jusqu'à sa destination, à l'intérieur du réseau ou en dehors de Google Cloud.

Chaque réseau VPC est fourni avec des routes par défaut pour acheminer le trafic entre ses sous-réseaux et envoyer le trafic des instances éligibles vers Internet.

1. Dans le volet de gauche, cliquez sur Routes.

2. Dans l'onglet Routes effectives, sélectionnez le réseau par défaut et la région us-central1.

Vous pouvez remarquer qu'il y a une route pour chaque sous-réseau et une pour la passerelle Internet par défaut (0.0.0.0./0).

Remarque : Ces routes sont gérées automatiquement, mais vous pouvez créer des routes statiques personnalisées pour diriger certains paquets vers des destinations spécifiques. Par exemple, vous pouvez créer une route qui envoie tout le trafic sortant vers une instance configurée en tant que passerelle NAT.

Afficher les règles de pare-feu

Chaque réseau VPC dispose d'un pare-feu virtuel distribué et paramétrable. Les règles de pare-feu permettent de contrôler quels paquets sont autorisés à transiter et vers quelles destinations.

Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.

1. Dans le volet de gauche, cliquez sur Pare-feu.

Notez qu'il existe 4 règles de pare-feu d'entrée pour le réseau par défaut :

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

Remarque : Ces règles de pare-feu autorisent tout trafic entrant via ICMP, RDP et SSH (0.0.0.0/0), ainsi que l'ensemble du trafic TCP, UDP et ICMP au sein du réseau (10.128.0.0/9). Ces règles sont détaillées dans les colonnes Cibles, Filtres sources, Protocoles/ports et Action.

Supprimer le réseau par défaut

1. Sélectionnez toutes les règles de pare-feu et cliquez sur SUPPRIMER.

2. Dans le volet de gauche, cliquez sur Réseaux VPC.

3. Cliquez sur le réseau par défaut.

4. Cliquez sur Supprimer le réseau VPC en haut de la page.

5. Cliquez ensuite sur SUPPRIMER pour confirmer la suppression du réseau par défaut.

   Remarque : Attendez que le réseau soit supprimé avant de poursuivre.

6. Dans le volet de gauche, cliquez sur Routes.

   Notez qu'il n'y a aucune route. Vous devrez peut-être cliquer sur le bouton Actualiser en haut de la page.

Remarque : Sans réseau VPC, il ne peut pas y avoir de routes.

Essayer de créer une instance de VM

Vérifiez que vous ne pouvez pas créer d'instance de VM sans réseau VPC.

1. Dans la console Cloud, accédez au menu de navigation () > Compute Engine > Instances de VM.

2. Cliquez sur + CRÉER UNE INSTANCE pour créer une VM.

3. Conservez toutes les valeurs par défaut et cliquez sur Créer.

   Remarque : Notez la présence d'une erreur.

4. Développez la section Options avancées, puis faites défiler la page vers le bas jusqu'à Interfaces réseau.

   Remarque  : Notez la présence de l'erreur Aucun autre réseau disponible dans ce projet sous la zone Réseau.

5. Cliquez sur Annuler.

Remarque : Sans surprise, vous ne pouvez pas créer d'instance de VM sans réseau VPC.

Tâche 2 : Créer un réseau VPC et des instances de VM

Créez un réseau VPC pour pouvoir créer des instances de VM.

Créer un réseau VPC en mode automatique avec des règles de pare-feu

Reproduisez le réseau par défaut en créant un réseau en mode automatique.

1. Dans la console, accédez au menu de navigation () > Réseau VPC > Réseaux VPC, puis cliquez sur + CRÉER UN RÉSEAU VPC.

2. Définissez le paramètre Nom sur mynetwork.

3. Dans le champ Mode de création du sous-réseau, cliquez sur Automatique.

   Les réseaux en mode automatique créent automatiquement des sous-réseaux dans chaque région.

4. Dans le champ Règles de pare-feu, cochez toutes les règles disponibles.

   Ce sont les mêmes règles de pare-feu standards que celles du réseau par défaut.

Remarque : Les règles deny-all-ingress et allow-all-egress sont également affichées, mais vous ne pouvez pas les cocher ni les décocher, car elles sont implicites. La Priorité de ces deux règles est inférieure (les nombres entiers les plus élevés indiquent les priorités les plus faibles) : les règles d'autorisation ICMP, personnalisées, RDP et SSH sont donc prioritaires.

5. Cliquez sur Créer, puis attendez que le réseau mynetwork soit créé.

   Notez qu'un sous-réseau a été créé pour chaque région.

6. Cliquez sur le nom mynetwork, et notez la plage d'adresses IP des sous-réseaux situés dans les régions et . Nous en aurons besoin pour les prochaines étapes.

Remarque : Si jamais vous supprimez le réseau par défaut, vous pouvez le recréer rapidement en créant un réseau en mode automatique, comme vous venez de le faire.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer un réseau VPC

Créer une instance de VM dans

Créez une instance de VM dans la région . Le sous-réseau et l'adresse IP interne attribuée à partir de la plage d'adresses IP du sous-réseau dépendent de la région et de la zone sélectionnées.

1. Dans la console, accédez au menu de navigation () > Compute Engine > Instances de VM.

2. Cliquez sur + CRÉER UNE INSTANCE.

3. Définissez les valeurs suivantes, en conservant toutes les autres valeurs par défaut :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	mynet-us-vm
   Région
   Zone
   Série	E2
   Type de machine	e2-micro

4. Cliquez sur Créer, puis attendez que l'instance soit créée.

5. Vérifiez que l'adresse IP interne a été attribuée depuis la plage d'adresses IP du sous-réseau de la région .

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer une instance de VM dans

Créer une instance de VM dans

Créez une instance de VM dans la région .

1. Cliquez sur + CRÉER UNE INSTANCE.

2. Définissez les valeurs suivantes, en conservant toutes les autres valeurs par défaut :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	mynet-second-vm
   Région
   Zone
   Série	E2
   Type de machine	e2-micro

3. Cliquez sur Créer, puis attendez que l'instance soit créée.

Remarque : Si vous recevez un message d'erreur indiquant que cette zone ne dispose pas de suffisamment de ressources pour répondre à la requête, essayez d'effectuer à nouveau les étapes 1 à 3 avec une zone différente.

4. Vérifiez que l'adresse IP interne a été attribuée depuis la plage d'adresses IP du sous-réseau de la région .

   L'adresse IP interne doit être , car x.x.x.1 est réservé à la passerelle, et vous n'avez configuré aucune autre instance dans ce sous-réseau.

Remarque : Les adresses IP externes des deux instances de VM sont éphémères. Si une instance est arrêtée, toute adresse IP externe éphémère qui lui a été attribuée est remise dans le pool Compute Engine général et devient disponible pour d'autres projets.

Lorsqu'une instance arrêtée est redémarrée, une nouvelle adresse IP externe éphémère lui est attribuée. Vous pouvez également réserver une adresse IP externe statique, qui est alors attribuée à votre projet pour une durée indéterminée, jusqu'à ce que vous la libériez explicitement.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer une instance de VM dans

Tâche 3 : Explorer la connectivité des instances de VM

Explorez la connectivité des instances de VM. Plus précisément, connectez-vous en SSH à vos instances de VM à l'aide de tcp:22 et pinguez les adresses IP internes et externes de vos instances de VM en utilisant ICMP. Ensuite, étudiez les effets des règles de pare-feu sur la connectivité en supprimant les règles de pare-feu une par une.

Vérifier la connectivité des instances de VM

Les règles de pare-feu que vous avez créées avec mynetwork autorisent le trafic SSH et ICMP entrant depuis les adresses IP internes (au sein de mynetwork) et externes (en dehors de ce réseau).

1. Dans la console, accédez au menu de navigation () > Compute Engine > Instances de VM.

   Notez les adresses IP externe et interne pour mynet-second-vm.

2. Pour mynet-us-vm, cliquez sur SSH pour lancer un terminal et vous connecter. Vous devrez peut-être cliquer deux fois sur SSH.

   Vous pouvez vous connecter en SSH grâce à la règle de pare-feu allow-ssh, qui autorise toutes les sources de trafic entrant (0.0.0.0/0) pour tcp:22.

   Remarque : La connexion SSH fonctionne parfaitement, car Compute Engine génère une clé SSH pour vous et la stocke dans l'un des emplacements suivants :
   • Par défaut, Compute Engine ajoute la clé générée aux métadonnées du projet ou de l'instance.
   • Si votre compte est configuré pour utiliser OS Login, Compute Engine stocke la clé générée avec votre compte utilisateur.
   Vous pouvez également contrôler l'accès aux instances Linux en créant des clés SSH et en modifiant les métadonnées des clés SSH publiques.

3. Pour tester la connectivité à l'adresse IP interne de mynet-second-vm, exécutez la commande suivante en utilisant l'adresse IP interne de mynet-second-vm :

   ping -c 3 <Saisir l'adresse IP interne de mynet-second-vm ici>

   C'est grâce à la règle de pare-feu allow-custom que vous pouvez pinguer l'adresse IP interne de mynet-second-vm.

4. Pour tester la connectivité à l'adresse IP externe de mynet-second-vm, exécutez la commande suivante en utilisant l'adresse IP externe de mynet-second-vm :

   ping -c 3 <Saisir l'adresse IP externe de mynet-second-vm ici>

Tâche 4 : Tester vos connaissances

Voici quelques questions à choix multiples qui vous permettront de mieux maîtriser les concepts abordés lors de cet atelier. Tentez d'y répondre du mieux que vous le pouvez.

Remarque : Vous avez pu vous connecter en SSH à mynet-us-vm et pinguer les adresses IP interne et externe de mynet-second-vm comme prévu. Vous auriez pu également vous connecter en SSH à mynet-second-vm et pinguer les adresses IP interne et externe de mynet-us-vm.

Tâche 5 : Supprimer les règles de pare-feu allow-icmp

Supprimez la règle de pare-feu allow-icmp et essayez de pinguer les adresses IP interne et externe de mynet-second-vm.

1. Dans la console, accédez au menu de navigation () > Réseau VPC > Pare-feu.

2. Cochez la règle mynetwork-allow-icmp.

3. Cliquez sur SUPPRIMER.

4. Cliquez sur SUPPRIMER pour confirmer la suppression.

   Attendez que la règle de pare-feu soit supprimée.

5. Revenez au terminal SSH de mynet-us-vm.

6. Pour tester la connectivité à l'adresse IP interne de mynet-second-vm, exécutez la commande suivante en utilisant l'adresse IP interne de mynet-second-vm :

ping -c 3 <Saisir l'adresse IP interne de mynet-second-vm ici>

C'est grâce à la règle de pare-feu allow-custom que vous pouvez pinguer l'adresse IP interne de mynet-second-vm.

7. Pour tester la connectivité à l'adresse IP externe de mynet-second-vm, exécutez la commande suivante en utilisant l'adresse IP externe de mynet-second-vm :

   ping -c 3 <Saisir l'adresse IP externe de mynet-second-vm ici>

Remarque : La perte de 100 % des paquets indique que vous ne pouvez pas pinguer l'adresse IP externe de mynet-second-vm. C'est normal, car vous avez supprimé la règle de pare-feu allow-icmp.

Tâche 6 : Supprimer les règles de pare-feu allow-custom

Supprimez la règle de pare-feu allow-custom et essayez de pinguer l'adresse IP interne de mynet-second-vm.

1. Dans la console, accédez au menu de navigation () > Réseau VPC > Pare-feu.

2. Cochez la règle mynetwork-allow-custom, puis cliquez sur SUPPRIMER.

3. Cliquez sur SUPPRIMER pour confirmer la suppression.

   Attendez que la règle de pare-feu soit supprimée.

4. Revenez au terminal SSH de mynet-us-vm.

5. Pour tester la connectivité à l'adresse IP interne de mynet-second-vm, exécutez la commande suivante en utilisant l'adresse IP interne de mynet-second-vm :

   ping -c 3 <Saisir l'adresse IP interne de mynet-second-vm ici>

Remarque : La perte de 100 % des paquets indique que vous ne pouvez pas pinguer l'adresse IP interne de mynet-second-vm. C'est normal, car vous avez supprimé la règle de pare-feu allow-custom.

6. Fermez le terminal SSH :

   exit

Tâche 7 : Supprimer les règles de pare-feu allow-ssh

Supprimez la règle de pare-feu allow-ssh et essayez de vous connecter en SSH à mynet-us-vm.

1. Dans la console, accédez au menu de navigation () > Réseau VPC > Pare-feu.

2. Cochez la règle mynetwork-allow-ssh, puis cliquez sur SUPPRIMER.

3. Cliquez sur SUPPRIMER pour confirmer la suppression.

   Attendez que la règle de pare-feu soit supprimée.

4. Dans la console, accédez au menu de navigation () > Compute Engine > Instances de VM.

5. Pour mynet-us-vm, cliquez sur SSH pour lancer un terminal et vous connecter.

Remarque : Le message Échec de la connexion indique que vous ne pouvez pas vous connecter en SSH à mynet-us-vm, car vous avez supprimé la règle de pare-feu allow-ssh.

Félicitations !

Dans cet atelier, vous avez exploré le réseau par défaut ainsi que ses sous-réseaux, routes et règles de pare-feu. Vous avez supprimé le réseau par défaut et déterminé que vous ne pouvez pas créer d'instances de VM sans réseau VPC. C'est la raison pour laquelle vous avez créé un réseau VPC en mode automatique avec des sous-réseaux, des routes, des règles de pare-feu et deux instances de VM. Vous avez ensuite testé la connectivité des instances de VM et découvert les effets des règles de pare-feu sur la connectivité.

Étapes suivantes et informations supplémentaires

Pour en savoir plus sur les VPC Google, consultez la page Présentation du réseau cloud privé virtuel (VPC).

Dernière mise à jour du manuel : 10 février 2024

Dernier test de l'atelier : 1er septembre 2023

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.