GSP062

Présentation

Dans cet atelier pratique, vous allez apprendre à créer un VPN sécurisé à haut débit et à tester sa vitesse.

Pour la plupart des développeurs, il est absolument nécessaire d'avoir une communication sécurisée entre Google Cloud et d'autres clouds ou systèmes sur site. Heureusement, Google Cloud vous permet de créer facilement un réseau privé virtuel (VPN) IPsec (Internet Protocol security) sécurisé pour atteindre cet objectif. Si un tunnel unique ne fournit pas le débit nécessaire, Google Cloud peut répartir le trafic sur plusieurs tunnels de manière fluide pour fournir davantage de bande passante.

Objectifs

Créer un VPN

• Créer un cloud privé virtuel (VPC) nommé cloud pour simuler votre réseau Google Cloud et un autre nommé on-prem pour simuler un réseau externe
• Créer des passerelles VPN, des règles de transfert et des adresses pour le VPC cloud
• Créer un tunnel pour le nouveau VPN, puis acheminer le trafic via celui-ci
• Créer un second VPN en répétant le processus de création de VPN pour le VPC on-prem

Tester les VPN

• Créer une machine virtuelle (VM) à l'aide de Compute Engine pour les tests de charge de débit
• Tester le débit d'un VPN unique en utilisant iperf

Prérequis

• Revoir et maîtriser la création d'un VPN à l'aide de Google Cloud
• Lire le guide de présentation des réseaux VPC

Tâche 1 : Créer le VPC cloud

Dans cette section, vous allez effectuer les tâches suivantes :

• Créer un VPC pour simuler votre réseau de production cloud
• Autoriser les types de trafic courants à transiter au sein du VPC
• Créer un sous-réseau pour déployer des hôtes.

1. Après avoir démarré Cloud Shell, créez un VPC personnalisé nommé cloud et associé à votre projet Google Cloud en exécutant la commande suivante :

gcloud compute networks create cloud --subnet-mode custom

Ce VPC vous permet d'utiliser un adressage IP différent de celui par défaut, mais il n'inclut pas de règles de pare-feu par défaut.

2. Exécutez la commande suivante pour activer SSH et icmp, car vous aurez besoin d'une interface système sécurisée pour communiquer avec les VM pendant les tests de charge :

gcloud compute firewall-rules create cloud-fw --network cloud --allow tcp:22,tcp:5001,udp:5001,icmp

3. Créez un sous-réseau au sein de ce VPC, puis spécifiez une région et une plage d'adresses IP en exécutant la commande suivante :

gcloud compute networks subnets create cloud-east --network cloud \ --range 10.0.1.0/24 --region {{{project_0.default_region_2 | REGION2}}}

Dans cette solution, vous allez utiliser 10.0.1.0/24 et la région .

Tâche 2 : Créer le VPC sur site

Dans cette section, vous allez créer une simulation de votre VPC on-prem ou de tout réseau que vous souhaitez connecter à cloud. En pratique, vous disposez déjà des ressources à ce niveau. Toutefois, vous allez créer des tunnels et valider des configurations en suivant les étapes ci-dessous :

1. Dans Cloud Shell, créez un VPC de sous-réseau personnalisé (appelé on-prem) associé à votre projet en exécutant la commande suivante :

gcloud compute networks create on-prem --subnet-mode custom

2. Exécutez la commande suivante pour activer SSH et icmp pour les hôtes du VPC on-prem, car vous aurez besoin d'une interface système sécurisée pour communiquer avec les VM pendant les tests de charge :

gcloud compute firewall-rules create on-prem-fw --network on-prem --allow tcp:22,tcp:5001,udp:5001,icmp

3. Spécifiez le préfixe de sous-réseau de la région à l'aide de la commande suivante :

gcloud compute networks subnets create on-prem-central \ --network on-prem --range 192.168.1.0/24 --region {{{project_0.default_region |REGION}}} Remarque : Dans cet exemple, vous attribuez "192.168.1.0/24" à la région . Créer deux VPC personnalisés avec des sous-réseaux et des règles de pare-feu

Tâche 3 : Créer des passerelles VPN

Chaque environnement nécessite des passerelles VPN pour permettre une communication externe sécurisée. Pour créer les passerelles initiales pour vos VPC cloud et on-prem, procédez comme suit :

1. Dans Cloud Shell, créez une passerelle VPN nommée on-prem-gw1 dans le VPC on-prem et la région  :

gcloud compute target-vpn-gateways create on-prem-gw1 --network on-prem --region {{{project_0.default_region |REGION}}}

2. Saisissez ensuite la commande suivante pour créer une passerelle VPN nommée cloud-gw1 dans le VPC cloud et la région  :

gcloud compute target-vpn-gateways create cloud-gw1 --network cloud --region {{{project_0.default_region_2 | REGION2}}}

Tâche 4 : Créer un tunnel VPN basé sur le routage entre des réseaux locaux et des réseaux Google Cloud

Vous devez attribuer à chaque passerelle VPN une adresse IP externe statique pour que les systèmes en dehors du VPC puissent communiquer avec elles. Vous allez maintenant créer des adresses IP et des routes sur les VPC cloud et on-prem.

1. Dans Cloud Shell, attribuez une adresse IP à la passerelle VPN cloud-gw1 :

gcloud compute addresses create cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

2. Attribuez ensuite une adresse IP à la passerelle VPN on-prem-gw1 :

gcloud compute addresses create on-prem-gw1 --region {{{project_0.default_region |REGION}}}

3. Conservez les adresses des passerelles afin de ne pas avoir à les rechercher pour les commandes ultérieures.

D'abord, pour la passerelle cloud-gw1 :

cloud_gw1_ip=$(gcloud compute addresses describe cloud-gw1 \ --region {{{project_0.default_region_2 | REGION2}}} --format='value(address)')

Puis, pour la passerelle on-prem-gw1 :

on_prem_gw_ip=$(gcloud compute addresses describe on-prem-gw1 \ --region {{{project_0.default_region |REGION}}} --format='value(address)')

4. Vous allez maintenant créer des règles de transfert pour IPsec sur le VPC cloud. Vous devez créer des règles de transfert dans les deux sens.

Transférez le protocole ESP (Encapsulating Security Payload) à partir de cloud-gw1 :

gcloud compute forwarding-rules create cloud-1-fr-esp --ip-protocol ESP \ --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Transférez le trafic UDP:500 à partir de cloud-gw1 :

gcloud compute forwarding-rules create cloud-1-fr-udp500 --ip-protocol UDP \ --ports 500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Transférez le trafic UDP:4500 à partir de cloud-gw1 :

gcloud compute forwarding-rules create cloud-fr-1-udp4500 --ip-protocol UDP \ --ports 4500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

5. Utilisez la même méthode pour créer des règles de transfert de pare-feu pour le tunnel IPsec sur le VPC on-prem. Cette étape permet au tunnel IPsec de quitter vos pare-feu :

Transférez le protocole ESP à partir de on-prem-gw1 :

gcloud compute forwarding-rules create on-prem-fr-esp --ip-protocol ESP \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Transférez le trafic UDP:500, utilisé pour créer le tunnel IPsec, à partir de on-prem-gw1 :

gcloud compute forwarding-rules create on-prem-fr-udp500 --ip-protocol UDP --ports 500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Transférez le trafic UDP:4500, qui achemine le trafic chiffré, à partir de on-prem-gw1 :

gcloud compute forwarding-rules create on-prem-fr-udp4500 --ip-protocol UDP --ports 4500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}} Créer deux passerelles VPN et les règles de transfert nécessaires

Normalement, il faut générer un secret pour l'étape suivante, lors de laquelle vous allez créer et valider les tunnels on-prem-tunnel1 et cloud-tunnel1. Pour savoir comment créer des secrets et les stocker de manière sécurisée, consultez le guide de présentation des concepts de Secret Manager. Pour l'instant, utilisez simplement la chaîne "sharedsecret".

Créez un tunnel pour le réseau local on-prem-tunnel1 et pour le réseau basé sur le cloud cloud-tunnel1. Chaque réseau doit disposer d'une passerelle VPN, et les secrets doivent correspondre. Dans les deux commandes suivantes où, dans un scénario de production, vous remplaceriez [MY_SECRET] par le secret généré, remplacez ce texte par "sharedsecret".

6. Créez un tunnel VPN entre on-prem et cloud :

gcloud compute vpn-tunnels create on-prem-tunnel1 --peer-address $cloud_gw1_ip \ --target-vpn-gateway on-prem-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region |REGION}}}

7. Créez un tunnel VPN entre cloud et on-prem :

gcloud compute vpn-tunnels create cloud-tunnel1 --peer-address $on_prem_gw_ip \ --target-vpn-gateway cloud-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region_2 | REGION2}}}

Maintenant que vous avez créé les passerelles et les tunnels, vous devez ajouter des routes à partir des sous-réseaux via les deux tunnels.

8. Acheminez le trafic à partir du VPC on-prem vers la plage cloud 10.0.1.0/24 dans le tunnel :

gcloud compute routes create on-prem-route1 --destination-range 10.0.1.0/24 \ --network on-prem --next-hop-vpn-tunnel on-prem-tunnel1 \ --next-hop-vpn-tunnel-region {{{project_0.default_region |REGION}}}

9. Acheminez le trafic à partir du VPC cloud vers la plage on-prem 192.168.1.0/24 dans le tunnel :

gcloud compute routes create cloud-route1 --destination-range 192.168.1.0/24 \ --network cloud --next-hop-vpn-tunnel cloud-tunnel1 --next-hop-vpn-tunnel-region {{{project_0.default_region_2 | REGION2}}} Créer deux tunnels VPN

Tâche 5 : Tester le débit au sein des VPN

À ce stade, vous avez établi un chemin d'accès sécurisé entre les VPC on-prem et cloud. Pour tester le débit, utilisez iperf, un outil Open Source permettant de tester la charge du réseau. Pour effectuer le test, vous aurez besoin d'une VM dans chaque environnement, une pour envoyer le trafic et l'autre pour le recevoir. Nous allons les créer maintenant.

Test de charge d'un VPN unique

Vous allez maintenant créer une machine virtuelle pour le VPC cloud nommée cloud-loadtest. Cet exemple utilise une image Debian Linux pour le système d'exploitation.

Remarque : Si vous disposez déjà d'un projet, n'hésitez pas à passer cette étape et à utiliser les ressources existantes. La bande passante pour la VM est de 2 Gbit/s* par vCPU. Vous avez donc besoin d'un minimum de quatre vCPU.

1. Exécutez la commande suivante :

gcloud compute instances create "cloud-loadtest" --zone {{{project_0.default_zone_2 |ZONE2}}} \ --machine-type "e2-standard-4" --subnet "cloud-east" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "cloud-loadtest"

2. Créez une machine virtuelle pour le VPC on-prem nommée on-prem-loadtest. Dans cet exemple, nous utilisons la même image Debian que dans le VPC cloud. Passez cette étape si vous disposez déjà des ressources.

Exécutez la commande suivante :

gcloud compute instances create "on-prem-loadtest" --zone {{{project_0.default_zone |ZONE}}} \ --machine-type "e2-standard-4" --subnet "on-prem-central" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "on-prem-loadtest"

3. Connectez-vous en SSH à chaque VM, à l'aide de la console ou de la ligne de commande, et installez une copie de iperf avec la ligne de commande suivante :

sudo apt-get install iperf

4. Sur la VM on-prem-loadtest, exécutez la commande suivante :

iperf -s -i 5

Vous avez créé un serveur iperf sur la VM, qui signale son état toutes les 5 secondes.

5. Sur la VM cloud-loadtest, exécutez la commande suivante :

iperf -c 192.168.1.2 -P 20 -x C

Cela crée un client iperf disposant de 20 flux, qui généreront des valeurs après 10 secondes de test.

Créer deux VM et installer iperf via SSH

Résolution des problèmes que vous pouvez rencontrer

Remarque : Cela ne fait pas partie des instructions de l'atelier.

1. Lors de la création de tunnels pour le réseau local, si vous avez oublié de remplacer [MY_SECRET] par "sharedsecret" :

Vous pouvez supprimer les tunnels de VPN créés en exécutant la commande suivante :

gcloud compute vpn-tunnels delete [tunnel-name] --region [region]

• Remplacez [tunnel-name] par le nom du tunnel.
• Remplacez [region] par la région que vous avez spécifiée lors de la création du tunnel.

2. Si vous rencontrez des problèmes avec la section "Tester une charge de VPN unique", procédez comme suit :

• Assurez-vous d'avoir installé iperf sur les deux VM.

• Si l'erreur "Connection refused" (Connexion refusée) s'affiche, vérifiez les points suivants :

  • Les règles de pare-feu des réseaux créés sont correctes (tcp:5001).
  • Le serveur fonctionne correctement sur on-prem-loadtest.
  • Vous essayez de vous connecter au serveur via cloud-loadtest.

3. Si vous souhaitez afficher les règles de transfert créées dans la console :

• Dans le menu de navigation, accédez à la section "Mise en réseau".
• Cliquez sur Connectivité réseau > VPN.
• Cliquez sur la passerelle Cloud VPN pour afficher la page d'informations la concernant.

Félicitations !

Terminer votre quête

Ces ateliers d'auto-formation font partie des quêtes Network Performance and Optimization et Security & Identity Fundamentals. Une quête est une série d'ateliers associés qui constituent un parcours de formation. Si vous terminez une quête, vous obtenez un badge attestant de votre réussite. Vous pouvez rendre publics les badges que vous recevez et ajouter leur lien dans votre CV en ligne ou sur vos comptes de réseaux sociaux. Inscrivez-vous à n'importe quelle quête contenant cet atelier pour obtenir immédiatement les crédits associés. Découvrez toutes les quêtes disponibles dans le catalogue Google Cloud Skills Boost.

Atelier suivant

Poursuivez votre quête avec l'atelier Cloud CDN ou consultez ces suggestions :

• Cloud Security Scanner : Qwik Start
• Cloud IAM : Qwik Start

Étape suivante

• Consultez la documentation Google Cloud Router pour activer le protocole BGP (Border Gateway Protocol) et augmenter la tolérance aux pannes.
• Consultez Google Cloud Interconnect pour découvrir d'autres options d'interconnexion.
• Surveillez les passerelles VPN avec Google Stackdriver.
• Testez d'autres fonctionnalités de Google Cloud en consultant nos tutoriels.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 10 janvier 2024

Dernier test de l'atelier : 10 janvier 2024

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.