GSP016

Présentation

Dans cet atelier, vous allez apprendre à effectuer des tâches élémentaires de gestion de réseaux sur Google Cloud (ce qui inclut les instances Compute Engine). Vous découvrirez en outre les différences entre une configuration Google Cloud et une configuration sur site. Vous allez développer un réseau composé de trois sous-réseaux, ce qui aura pour résultat la création de l'environnement final suivant :

Enfin, vous apprendrez à créer des règles de pare-feu et à utiliser des tags d'instance pour les appliquer.

Points abordés

• Concepts de base de la gestion de réseaux Google Cloud
• Configuration des réseaux par défaut et créés par l'utilisateur
• Création de règles de pare-feu et utilisation de tags d'instance pour les appliquer

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;

Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Démarrer l'atelier et se connecter à la console Google Cloud

1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :

   • Le bouton Ouvrir la console Google Cloud
   • Le temps restant
   • Les identifiants temporaires que vous devez utiliser pour cet atelier
   • Des informations complémentaires vous permettant d'effectuer l'atelier

2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

   L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.

   Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

   Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

   {{{user_0.username | "Username"}}}

   Vous trouverez également le nom d'utilisateur dans le panneau Détails concernant l'atelier.

4. Cliquez sur Suivant.

5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

   {{{user_0.password | "Password"}}}

   Vous trouverez également le mot de passe dans le panneau Détails concernant l'atelier.

6. Cliquez sur Suivant.

   Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

7. Accédez aux pages suivantes :

   • Acceptez les conditions d'utilisation.
   • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
   • Ne vous inscrivez pas à des essais gratuits.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour afficher un menu contenant la liste des produits et services Google Cloud, cliquez sur le menu de navigation en haut à gauche.

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

1. Cliquez sur Activer Cloud Shell  en haut de la console Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

2. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :

gcloud auth list

3. Cliquez sur Autoriser.

4. Vous devez à présent obtenir le résultat suivant :

Résultat :

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :

gcloud config list project

Résultat :

[core] project = <ID_Projet>

Exemple de résultat :

[core] project = qwiklabs-gcp-44776a13dea667a6 Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Concepts de régions et de zones

Certaines ressources Compute Engine sont hébergées dans des régions ou des zones. Une région est un emplacement géographique spécifique où vous pouvez exécuter vos ressources. Chaque région se compose d'une ou plusieurs zones. Par exemple, la région "us-central1" est une région située au centre des États-Unis qui comprend les zones us-central1-a, us-central1-b, us-central1-c et us-central1-f.

Régions	Zones
Ouest des États-Unis	us-west1-a, us-west1-b
Centre des États-Unis	us-central1-a, us-central1-b, us-central1-d, us-central1-f
Est des États-Unis	us-east1-b, us-east1-c, us-east1-d
Europe de l'Ouest	europe-west1-b, europe-west1-c, europe-west1-d
Asie orientale	asia-east1-a, asia-east1-b, asia-east1-c

Les ressources contenues dans des zones sont des ressources dites "zonales". Par exemple, les instances de machines virtuelles et les disques persistants sont deux types de ressources situées dans des zones. Pour associer un disque persistant à une instance de machine virtuelle, vous devez placer ces deux ressources dans la même zone. Si vous souhaitez attribuer une adresse IP statique à une instance, l'instance doit se trouver dans la même région que l'adresse IP statique.

Pour en savoir plus et accéder à une liste complète des régions et zones disponibles sur la page Compute Engine, accédez à la documentation Régions et zones.

Réseau Google Cloud : concepts

Dans Google Cloud Platform, les réseaux fournissent des connexions de données vers et depuis vos ressources cloud (en général ces ressources sont des instances Compute Engine). Il est primordial de sécuriser vos réseaux pour protéger vos données et contrôler l'accès à vos ressources.

Google Cloud Platform, compatible avec les projets, les réseaux et les sous-réseaux, vous permet d'isoler des ressources non associées de façon flexible et logique.

Les projets constituent le type de conteneurs de plus haut niveau de la hiérarchie. Ils permettent de regrouper les ressources qui partagent les mêmes limites de confiance. Chaque projet possédant ses propres règles d'accès (IAM) et sa liste de membres, de nombreux développeurs décident de mapper leurs projets à des équipes. Les projets servent également à rassembler toutes les informations relatives à la facturation et aux quotas, qui reflètent la consommation de vos ressources. Les projets contiennent des réseaux (qui contiennent eux-mêmes des sous-réseaux), des règles de pare-feu ainsi que des routes. Les diagrammes d'architecture ci-dessous illustrent ce système.

Les réseaux connectent directement vos ressources les unes aux autres ainsi qu'au monde extérieur. Ils utilisent des pare-feu et hébergent également les règles d'accès relatives aux connexions entrantes et sortantes. Ils peuvent être soit mondiaux (auquel cas ils offrent une évolutivité horizontale sur plusieurs régions), soit régionaux (auquel cas ils offrent une latence faible au sein d'une unique région).

Les sous-réseaux vous permettent de regrouper des ressources associées (instances Compute Engine) dans des espaces d'adressage RFC1918 privés. Ils sont exclusivement régionaux, et vous pouvez les configurer en mode automatique ou personnalisé.

• Un réseau en mode automatique contient un sous-réseau par région, et chaque sous-réseau possède une plage d'adresses IP et une passerelle prédéterminées. Lorsque vous créez un réseau en mode automatique, ces sous-réseaux sont automatiquement créés. Chacun d'eux porte le même nom que le réseau.
• Un réseau en mode personnalisé ne contient aucun sous-réseau au moment de sa création. Si vous souhaitez créer une instance dans un réseau en mode personnalisé, vous devez d'abord créer un sous-réseau dans cette région et spécifier sa plage d'adresses IP. Un réseau en mode personnalisé peut posséder zéro, un ou plusieurs sous-réseaux par région.

Définir votre région et votre zone

Certaines ressources Compute Engine sont hébergées dans des régions et des zones. Une région est un emplacement géographique spécifique où vous pouvez exécuter vos ressources. Chaque région se compose d'une ou plusieurs zones.

Exécutez les commandes gcloud suivantes dans Cloud Shell pour définir la région et la zone par défaut de votre atelier :

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone) gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

Tâche 1 : Passer en revue le réseau par défaut

Lorsque vous créez un projet, une configuration réseau par défaut dote chaque région d'un réseau de sous-réseaux automatiquement provisionnés. Vous pouvez créer jusqu'à quatre réseaux supplémentaires dans un projet. Il peut s'agir de réseaux de sous-réseaux automatiquement provisionnés ou personnalisés, ou encore d'anciens réseaux.

Chaque instance que vous créez au sein d'un sous-réseau obtient une adresse IPv4 appartenant à la plage d'adresses de ce sous-réseau.

• Passez en revue votre réseau. Cliquez sur le menu de navigation > Réseau VPC.

Pare-feu

Pour savoir comment isoler des sous-réseaux à l'aide de règles de pare-feu, consultez les pages concernant les sous-réseaux et les règles de pare-feu.

Chaque réseau dispose d'un pare-feu par défaut qui bloque l'ensemble du trafic entrant vers les instances. Pour autoriser ce trafic, vous devez créer des règles "allow". En outre, le pare-feu par défaut autorise le trafic en provenance des instances, sauf si vous le configurez de façon qu'il bloque les connexions sortantes à l'aide d'une configuration "egress". Vous pouvez donc créer par défaut des règles "allow" pour le trafic entrant que vous souhaitez laisser passer, et des règles "deny" pour le trafic sortant que vous souhaitez restreindre. Vous avez également la possibilité de définir une règle de refus par défaut pour le trafic sortant afin d'empêcher toute connexion externe.

De manière générale, il est préférable de configurer la règle de pare-feu la moins permissive possible, adaptée au trafic que vous souhaitez laisser passer. Par exemple, si vous avez besoin d'autoriser le trafic à accéder à des instances spécifiques, mais de l'empêcher d'accéder à d'autres, vous devez créer des règles n'autorisant le trafic que vers les instances en question. Cette configuration plus restrictive est bien plus prévisible qu'une règle de pare-feu étendue autorisant le trafic à accéder à toutes les instances. Si vous souhaitez que certaines règles "deny" prévalent sur certaines règles "allow", vous pouvez assigner un niveau de priorité à chacune d'elles. Ainsi, la règle ayant la valeur la plus faible (et la priorité la plus élevée) sera évaluée en premier. Créer des ensembles complexes et étendus de règles de priorité peut entraîner l'autorisation ou le blocage involontaire de certains types de trafic.

Le réseau par défaut définit automatiquement des règles de pare-feu, décrites ci-dessous. Les réseaux manuellement créés, quel que soit leur type, ne définissent pas automatiquement de règles de pare-feu. Vous devez donc définir vous-même les règles de pare-feu dont vous avez besoin pour vos réseaux, hormis le réseau par défaut.

Voici les règles de pare-feu de trafic entrant automatiquement définies pour le réseau par défaut :

default-allow-internal	Autorise les connexions réseau à partir de tous les ports et protocoles entre les instances du réseau.
default-allow-ssh	Autorise les connexions SSH à partir de toutes les sources vers toutes les instances du réseau via le port TCP 22.
default-allow-rdp	Autorise les connexions RDP à partir de toutes les sources vers toutes les instances du réseau via le port TCP 3389.
default-allow-icmp	Autorise le trafic ICMP à partir de toutes les sources vers toutes les instances du réseau.

• Pour consulter les règles de pare-feu par défaut, accédez à la console Cloud, puis cliquez sur le menu de navigation > Réseau VPC > Pare-feu.

Routes de réseau

Tous les réseaux disposent de routes automatiquement créées qui dirigent le trafic vers Internet (route par défaut) et vers les plages d'adresses IP du réseau. Les noms des routes sont générés automatiquement et diffèrent pour chaque projet.

• Pour consulter les routes par défaut, accédez au menu de navigation, cliquez sur Réseau VPC > Routes, puis sélectionnez un réseau et une région pour afficher les routes.

Tâche 2 : Créer un réseau personnalisé

Lorsque vous affectez manuellement des plages de sous-réseaux, vous créez tout d'abord un réseau personnalisé, puis les sous-réseaux que vous souhaitez utiliser au sein d'une région. Vous n'avez pas besoin de spécifier immédiatement (ni même du tout) de sous-réseaux pour chaque région. Toutefois, vous ne pouvez pas créer d'instances dans une région ne comportant pas de sous-réseaux.

Lorsque vous créez un sous-réseau, son nom doit être unique dans le projet pour la région, mais aussi entre les différents réseaux de cette région. Le même nom peut apparaître deux fois dans un projet tant que les deux sous-réseaux se situent dans une région différente. Comme les sous-réseaux ne disposent ni de plage IPv4 au niveau du réseau, ni d'adresse IP de passerelle, ces informations n'apparaissent pas.

Vous pouvez créer votre réseau personnalisé à l'aide de la console ou de Cloud Shell. Nous allons vous expliquer la marche à suivre avec les deux méthodes, mais c'est à vous de décider celle que vous allez employer lors de cet atelier. Par exemple, vous ne pouvez pas effectuer une section en suivant les instructions relatives à la console, puis réaliser les étapes de la même section à l'aide de la ligne de commande gcloud.

Pour créer un réseau personnalisé :

1. Cliquez sur le menu de navigation > Réseau VPC.

2. Cliquez sur Créer un réseau VPC et nommez-le taw-custom-network.

3. Dans l'onglet Personnalisé, définissez les éléments suivants :

   • Nom du sous-réseau : subnet-
   • Région :
   • Plage d'adresses IP : 10.0.0.0/16

4. Cliquez sur OK.

   

5. Cliquez sur Ajouter un sous-réseau et ajoutez deux autres sous-réseaux dans leur région respective :

   • subnet-, , 10.1.0.0/16
   • subnet-, , 10.2.0.0/16

6. Cliquez sur Créer pour terminer la procédure.

À ce stade, le réseau dispose de routes vers Internet et vers les instances que vous êtes susceptible de créer. Il ne possède toutefois aucune règle de pare-feu autorisant l'accès aux instances, même depuis d'autres instances. Pour autoriser l'accès, vous devez créer des règles de pare-feu.

Passez à la section Ajouter des règles de pare-feu.

Tâche 3 : Ajouter des règles de pare-feu

Pour autoriser l'accès aux instances de VM, vous devez appliquer des règles de pare-feu. Dans cet atelier, vous allez utiliser des tags d'instance pour appliquer les règles de pare-feu à vos instances de VM. Ces règles s'appliqueront à toutes les VM utilisant le même tag d'instance.

Remarque : Les réseaux et pare-feu utilisent les tags d'instance pour appliquer certaines règles de pare-feu aux instances de VM taguées. Par exemple, si plusieurs instances effectuent la même tâche (telle que desservir un site Web volumineux), vous pouvez leur attribuer un tag sous la forme d'un mot ou terme partagé, que vous pouvez ensuite utiliser pour autoriser l'accès HTTP à ces instances via une règle de pare-feu.

Et comme les tags s'appliquent également au serveur de métadonnées, vous pouvez les utiliser pour les applications en cours d'exécution sur vos instances.

• Tout d'abord, configurez le pare-feu de façon à autoriser les requêtes Internet HTTP. Vous allez ensuite ajouter d'autres règles.

Ajouter des règles de pare-feu à l'aide de la console

1. Dans la console Cloud, accédez à Réseaux VPC, puis cliquez sur le réseau taw-custom-network :

2. Cliquez sur l'onglet Pare-feu, puis sur Ajouter une règle de pare-feu.

3. Saisissez les informations suivantes :

Champ	Valeur	Commentaires
Nom	nw101-allow-http	Nom de la nouvelle règle
Cibles	Tags cibles spécifiés	Instances auxquelles s'applique la règle de pare-feu
Tags cibles	http	Tag que nous avons créé
Filtre source	Plages IPv4	Nous allons ouvrir le pare-feu à toutes les adresses IP provenant d'Internet.
Plages IPv4 sources	0.0.0.0/0	Vous allez ouvrir le pare-feu à toutes les adresses IP provenant d'Internet.
Protocoles et ports	Sélectionnez Protocoles et ports spécifiés, cochez la case tcp, puis saisissez 80.	HTTP uniquement

Votre écran ressemblera à ceci :

4. Cliquez sur Créer et laissez la commande s'exécuter. Vous allez ensuite créer les règles de pare-feu supplémentaires dont vous avez besoin.

Créer des règles de pare-feu supplémentaires

Ces règles de pare-feu supplémentaires vont autoriser les connexions ICMP, SSH, RDP ainsi que les communications internes. Vous pouvez les créer à l'aide de la console.

• ICMP

Champ	Valeur	Commentaires
Nom	nw101-allow-icmp	Nom de la nouvelle règle
Cibles	Tags cibles spécifiés	À sélectionner dans la liste déroulante "Cibles"
Tags cibles	règles	tag
Filtre source	Plages IPv4	Nous allons ouvrir le pare-feu à toutes les adresses IP de cette liste.
Plages IPv4 sources	0.0.0.0/0	Nous allons ouvrir le pare-feu à toutes les adresses IP provenant d'Internet.
Protocoles et ports	Sélectionnez Protocoles et ports spécifiés, Autres protocoles, puis saisissez icmp.	Protocoles et ports auxquels s'applique le pare-feu

• Communications internes

Champ	Valeur	Commentaires
Nom	nw101-allow-internal	Nom de la nouvelle règle
Cibles	Toutes les instances du réseau	À sélectionner dans la liste déroulante "Cibles"
Filtre source	Plages IPv4	Filtre permettant d'appliquer la règle à des sources de trafic spécifiques
Plages IPv4 sources	10.0.0.0/16, 10.1.0.0/16, 10.2.0.0/16	Nous allons ouvrir le pare-feu à toutes les adresses IP provenant d'Internet.
Protocoles et ports	Sélectionnez Protocoles et ports spécifiés, puis tcp, et saisissez 0-65535 ; cochez la case udp, saisissez 0-65535 ; cochez la case Autres protocoles, puis saisissez icmp.	Autorise Tcp:0-65535, udp:0-65535 et ICMP

• SSH

Champ	Valeur	Commentaires
Nom	nw101-allow-ssh	Nom de la nouvelle règle
Cibles	Tags cibles spécifiés	ssh
Tags cibles	ssh	Instances auxquelles vous appliquez la règle de pare-feu
Filtre source	Plages IPv4	Filtre permettant d'appliquer la règle à des sources de trafic spécifiques
Plages IPv4 sources	0.0.0.0/0	Nous allons ouvrir le pare-feu à toutes les adresses IP provenant d'Internet.
Protocoles et ports	Sélectionnez Protocoles et ports spécifiés, cochez la case tcp, puis saisissez 22.	Autorise tcp:22

• RDP

Champ	Valeur	Commentaires
Nom	nw101-allow-rdp	Nom de la nouvelle règle
Cibles	Toutes les instances du réseau	À sélectionner dans la liste déroulante "Cibles"
Filtre source	Plages IPv4	Filtrer les adresses IP
Plages IPv4 sources	0.0.0.0/0	Nous allons ouvrir le pare-feu à toutes les adresses IP provenant d'Internet.
Protocoles et ports	Sélectionnez Protocoles et ports spécifiés, cochez la case tcp, puis saisissez 3389.	Autorise tcp:3389

• Sur la console, vérifiez les règles de pare-feu de votre réseau. Votre écran devrait ressembler à ceci :

Remarque : Qu'en est-il des routes visibles dans la console réseau ?

Les fonctionnalités de gestion de réseaux Google Cloud utilisent des routes pour rediriger les paquets entre les sous-réseaux et vers Internet. Lorsqu'un sous-réseau est créé (ou précréé) dans votre réseau, des routes sont automatiquement générées dans chaque région pour permettre aux paquets de circuler entre les sous-réseaux. Ces routes ne peuvent pas être modifiées.

Vous pouvez créer des routes supplémentaires afin d'envoyer du trafic à une instance, à une passerelle VPN ou à une passerelle Internet par défaut. Ces routes peuvent être modifiées de façon à s'adapter à l'architecture réseau souhaitée. Les routes et les pare-feu fonctionnent ensemble pour s'assurer que votre trafic atteint la bonne destination.

Cliquez sur Vérifier ma progression pour valider l'objectif.

Créer un réseau personnalisé, des sous-réseaux et des règles de pare-feu

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Votre compte et les ressources utilisées sont alors supprimés de la plate-forme d'atelier.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Voici à quoi correspond le nombre d'étoiles que vous pouvez attribuer à un atelier :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Félicitations

Vous avez découvert la configuration des réseaux par défaut et créés par l'utilisateur. Vous avez également appris à ajouter des sous-réseaux et à appliquer des règles de pare-feu pour contrôler les accès.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 22 octobre 2024

Dernier test de l'atelier : 22 octobre 2024

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.