Configurer l'accès au réseau privé

Cette page explique comment configurer l'accès au réseau privé et comment acheminer le trafic au sein d'un réseau Google Cloud .

Pour configurer l'accès au réseau privé, vous devez configurer trois projets :

  • Projet contenant un réseau de cloud privé virtuel (VPC) à utiliser par l'instance de machine virtuelle (VM) cible ou l'équilibreur de charge interne cible.
  • Projet qui sert de projet de service Annuaire des services.
  • Projet pour un produit Google Cloud avec la configuration qui appelle l'accès au réseau privé. Dialogflow CX est un exemple de produit Google Cloud qui peut appeler des points de terminaison à l'aide de l'accès au réseau privé.

Les artefacts des projets peuvent se trouver dans le même projet ou dans des projets différents.

Avant de commencer

Avant de configurer l'accès au réseau privé, procédez comme suit :

  • Pour chaque projet, dans la console Google Cloud , sur la page API et services, cliquez sur Activer les API et les services pour activer les API que vous souhaitez utiliser, y compris l'API Service Directory.

  • Pour associer votre réseau VPC à des hôtes sur site, créez un tunnel Cloud VPN ou une connexion Cloud Interconnect.

  • Assurez-vous que le projet Google Cloud se trouve dans le périmètre VPC Service Controls du projet de réseau et du projet Annuaire des services pourservicedirectory.googleapis.com.

    Apprenez-en plus sur VPC Service Controls.

Configurer le projet pour le réseau VPC

Pour configurer le projet pour le réseau VPC, procédez comme suit :

  1. Créez un réseau VPC ou sélectionnez-en un existant qui comporte un sous-réseau IPv4 uniquement ou à double pile dans la région que vous souhaitez utiliser. Les anciens réseaux ne sont pas compatibles.

  2. Créez les règles de pare-feu autorisant les entrées nécessaires.

    • Si la cible est une VM ou un équilibreur de charge réseau passthrough interne, les règles de pare-feu doivent autoriser le trafic TCP de la plage 35.199.192.0/19 vers les ports utilisés par le logiciel exécuté sur les instances de VM cibles.

    • Si la cible est un équilibreur de charge d'application interne ou un équilibreur de charge réseau proxy interne, les règles de pare-feu doivent autoriser le trafic TCP de la plage 35.199.192.0/19 vers l'adresse IP et les ports utilisés par l'équilibreur de charge.

    Pour en savoir plus sur la plage 35.199.192.0/19, consultez Chemins d'accès pour Cloud DNS et l'Annuaire des services.

  3. Attribuez le rôle IAM (Identity and Access Management) "Service autorisé Private Service Connect" (roles/servicedirectory.pscAuthorizedService) à l'agent de service du produit Google Cloud qui appellera le point de terminaison.

    Pour en savoir plus sur les rôles et les autorisations, consultez Autorisations et rôles Service Directory.

Configurer le projet Annuaire des services

Pour configurer le projet Annuaire des services, procédez comme suit :

  1. Dans le réseau VPC, créez une VM ou un équilibreur de charge interne.

  2. Attribuez le rôle IAM Lecteur Service Directory (roles/servicedirectory.viewer) à l'agent de service du produitGoogle Cloud qui appellera le point de terminaison.

  3. Créez un espace de noms et un service de l'annuaire des services. Créez ensuite un point de terminaison pour ce service en suivant les étapes de la section suivante.

Créer un point de terminaison avec accès au réseau privé

Pour créer un point de terminaison avec un accès au réseau privé configuré, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Espaces de noms Service Directory. Accéder aux espaces de noms de l'Annuaire des services
  2. Cliquez sur un espace de noms.
  3. Cliquez sur un service.
  4. Cliquez sur Ajouter un point de terminaison.
  5. Dans le champ Nom du point de terminaison, saisissez un nom pour le point de terminaison.
  6. Dans le champ Adresse IP, saisissez une adresse IPv4, par exemple 192.0.2.0.
  7. Pour Port, saisissez un numéro de port, tel que 443 ou 80.
  8. Pour activer l'accès au réseau privé, dans Réseau VPC associé, sélectionnez l'option requise :
    • Pour choisir un réseau dans la liste des réseaux disponibles, cliquez sur Choisir dans la liste, puis sélectionnez le réseau.
    • Pour spécifier un projet et un réseau, cliquez sur Spécifier un projet et un nom de réseau, puis saisissez le numéro de projet et le nom du réseau.
  9. Cliquez sur Créer.

gcloud

Exécutez la commande gcloud service-directory endpoints create en spécifiant l'ID du projet et le chemin d'accès au réseau.

gcloud service-directory endpoints create ENDPOINT_NAME \
--project=PROJECT_ID \
--location=REGION \
--namespace=NAMESPACE_NAME \
--service=SERVICE_ID \
--address=IP_ADDRESS \
--port=PORT_NUMBER \
--network=NETWORK_PATH

Remplacez les éléments suivants :

  • ENDPOINT_NAME : nom du point de terminaison que vous créez dans votre service, tel que my-endpoint
  • PROJECT_ID : ID du projet
  • REGION : région Google Cloud contenant l'espace de noms
  • NAMESPACE_NAME : nom que vous avez attribué à l'espace de noms, tel que my-namespace
  • SERVICE_ID : ID du service
  • IP_ADDRESS : adresse IP du point de terminaison, telle que 192.0.2.0
  • PORT_NUMBER : ports sur lesquels les points de terminaison s'exécutent, généralement 443 ou 80
  • NETWORK_PATH : URL du réseau, par exemple projects/PROJECT_NUMBER/locations/global/networks/NETWORK_NAME.

Configurer le projet de produit Google Cloud

Pour configurer le projet de produit Google Cloud , procédez comme suit :

  1. Activez l'API Google Cloud .

  2. Configurez votre produit Google Cloud pour qu'il appelle le service Annuaire des services que vous avez créé. Les étapes à suivre dépendent du produitGoogle Cloud spécifique.

Cas d'utilisation

Cette section fournit des exemples de cas d'utilisation pour configurer l'accès au réseau privé.

Appeler un point de terminaison HTTP lorsqu'un réseau VPC, une VM et Annuaire des services se trouvent dans le même projet

Dans ce cas d'utilisation, vous configurez Dialogflow CX, un produit Google Cloud pour le traitement du langage naturel, afin d'appeler un point de terminaison HTTP sur votre VM. Lorsque vous appelez le point de terminaison, assurez-vous que le trafic ne transite pas par l'Internet public.

Dans ce cas d'utilisation, vous allez créer les artefacts suivants dans le même projet :

  • Réseau VPC
  • Une VM
  • Un service d'annuaire des services
  • Dialogflow CX

La figure 1 montre comment autoriser une configuration de service Google d'un projet à sortir vers une VM. La VM réside dans un réseau VPC du projet.

Autorisez une configuration de service Google d'un projet à sortir vers une VM de projet réseau.
Figure 1. Autoriser la configuration d'un service Google d'un projet à sortir vers une VM (cliquez pour agrandir).

Configurer votre réseau et votre réseau cible

  1. Créez un projet, tel que myproject.

  2. Créez un réseau VPC, tel que vpc-1.

    Lors de la création du réseau VPC, dans Mode de création du sous-réseau, sélectionnez Automatique.

  3. Créez une règle de pare-feu, par exemple firewall-1.

    Lorsque vous créez la règle de pare-feu, saisissez ou sélectionnez les valeurs suivantes :

    • Pour Réseau, sélectionnez vpc-1.
    • Dans le champ Plages IPv4 sources, saisissez 35.199.192.0/19.
    • Dans le champ Protocoles et ports, sélectionnez TCP et saisissez 443 ou 80.

  4. Dans la région us-central1, créez une VM, telle que vm-1.

    Lorsque vous créez la VM, saisissez ou sélectionnez les valeurs suivantes :

    • Pour Mise en réseau > Interfaces réseau, sélectionnez vpc-1.
    • Pour l'option Pare-feu, sélectionnez Autoriser le trafic HTTP.

    Si vous souhaitez utiliser HTTPS, sélectionnez Autoriser le trafic HTTPS. Assurez-vous également d'installer un certificat TLS (Transport Layer Security) d'infrastructure à clé publique (PKI).

  5. Dans la région us-central1, créez un espace de noms, tel que namespace-1.

  6. Dans l'espace de noms, enregistrez un service Annuaire des services, tel que sd-1.

  7. Créez un point de terminaison dans sd-1. Pour l'adresse du point de terminaison, utilisez l'adresse IP interne de vm-1 sur le port 443. Pour en savoir plus, consultez Créer un point de terminaison avec accès au réseau privé.

  8. Attribuez les rôles IAM suivants à l'agent de service du produitGoogle Cloud qui appellera le point de terminaison :

    • Rôle Lecteur de l'Annuaire des services (roles/servicedirectory.viewer)
    • Rôle Service autorisé Private Service Connect (roles/servicedirectory.pscAuthorizedService)

  9. Facultatif : Si vous souhaitez ajouter d'autres VM, vous pouvez configurer une autre VM, telle que vm-2, et ajouter son point de terminaison, tel que endpoint-2.

Configurer un produit Google Cloud

  1. Configurez une configuration de produit Google Cloud , par exemple "Cloud Scheduler, appelle-moi toutes les minutes".
  2. Configurez une requête HTTP.
  3. Spécifiez que les requêtes doivent transiter par un réseau privé, par exemple via sd-1.
  4. Facultatif : Configurez les paramètres du service d'autorité de certification.

Le produit Google Cloud peut désormais appeler la requête HTTP à l'aide desd-1.

Appeler un point de terminaison HTTP lorsque le réseau VPC partagé, la VM et Annuaire des services se trouvent dans des projets différents

Dans ce cas d'utilisation, vous configurez Dialogflow CX, un service de traitement du langage naturel, pour appeler un point de terminaison HTTP sur votre VM. Google Cloud Lorsque vous appelez le point de terminaison, assurez-vous que le trafic ne transite pas par l'Internet public.

Dans ce cas d'utilisation, vous allez créer les artefacts suivants dans différents projets :

  • Un réseau VPC partagé
  • Une VM
  • Un service d'annuaire des services
  • Dialogflow CX

Avant de créer les projets, tenez compte des points suivants :

  • Assurez-vous que l'appel d'API respecte le périmètre VPC Service Controls.
  • Assurez-vous que la configuration du projet de service Google Cloud autorise le trafic sortant vers une VM résidant dans le projet de réseau VPC.
  • Il est possible que le projet producteur ne soit pas le même que le projet de service Google Cloud .
  • Assurez-vous que les périmètres VPC Service Controls des deux projets sont utilisés.
  • Le projet Service Directory et le projet de réseau n'ont pas besoin d'être connectés, mais ils doivent tous les deux faire partie du même VPC Service Controls.
  • Dans le réseau et le service, le pare-feu et IAM sont désactivés par défaut.

La figure 2 montre comment envoyer du trafic à l'aide de l'accès au réseau privé avec les périmètres VPC Service Controls appliqués.

Envoyez du trafic à l'aide de l'accès au réseau privé avec les périmètres VPC Service Controls appliqués.
Figure 2. Envoyez du trafic en utilisant l'accès au réseau privé avec les périmètres VPC Service Controls appliqués (cliquez pour agrandir).

Configurer le projet réseau

  1. Créez un projet, tel que my-vpc-project.

  2. Créez un réseau VPC, tel que vpc-1.

    Lors de la création du réseau VPC, sélectionnez Automatique pour le mode de création du sous-réseau.

  3. Créez une règle de pare-feu, par exemple firewall-1.

    Lorsque vous créez la règle, saisissez ou sélectionnez les valeurs suivantes :

    • Pour Réseau, sélectionnez vpc-1.
    • Dans le champ Plages IPv4 sources, saisissez 35.199.192.0/19.
    • Dans le champ Protocoles et ports, sélectionnez TCP et saisissez 443 ou 80.

  4. Dans la région us-central1, créez une VM, telle que vm-1.

    Lorsque vous créez la VM, saisissez ou sélectionnez les valeurs suivantes :

    • Pour Mise en réseau > Interfaces réseau, sélectionnez vpc-1.
    • Pour l'option Pare-feu, sélectionnez Autoriser le trafic HTTP.

    Si vous souhaitez utiliser HTTPS, sélectionnez Autoriser le trafic HTTPS. Assurez-vous également d'installer un certificat TLS (Transport Layer Security) d'infrastructure à clé publique (PKI).

Si vous utilisez VPC Service Controls, le périmètre VPC Service Controls permet à l'Annuaire des services de se connecter à la fois au projet de service Google Cloud et au projet Annuaire des services.

Configurer le projet Annuaire des services

  1. Créez un projet, tel que my-sd-project.

  2. Vous avez besoin d'une autorisation IAM supplémentaire, car le projet de réseau VPC et le projet Annuaire des services sont différents.

    Dans le projet réseau, attribuez le rôle "Agent d'association de réseaux à l'Annuaire des services" (roles/servicedirectory.networkAttacher) au compte principal IAM qui crée le point de terminaison Annuaire des services.

  3. Créez un point de terminaison Annuaire des services qui pointe vers la VM dans le réseau VPC :

    1. Dans la région us-central1, créez un espace de noms, tel que namespace-1.
    2. Dans l'espace de noms, enregistrez un service Annuaire des services, tel que sd-1.
    3. Créez un point de terminaison dans sd-1. Pour l'adresse du point de terminaison, utilisez l'adresse IP interne de vm-1 sur le port 443. Pour en savoir plus, consultez Créer un point de terminaison avec accès au réseau privé.

  4. Attribuez les rôles IAM suivants à l'agent de service du produitGoogle Cloud qui appellera le point de terminaison :

    • Rôle Lecteur de l'annuaire des services (roles/servicedirectory.viewer) dans le projet Annuaire des services
    • Rôle de service autorisé Private Service Connect (roles/servicedirectory.pscAuthorizedService) dans le projet réseau

Si vous utilisez VPC Service Controls, le périmètre VPC Service Controls permet à l'Annuaire des services de se connecter à la fois au projet de service Google Cloud et au projet Annuaire des services.

Configurer le projet de service Google Cloud

  1. Activez l'API pour le service Google Cloud que vous utilisez.
  2. Pour configurer le service Google Cloud PUSH, utilisez le service Annuaire des services du projet Annuaire des services.

Si vous utilisez VPC Service Controls, le périmètre VPC Service Controls permet à l'Annuaire des services de se connecter à la fois au projet réseau et au projet Annuaire des services.

Utiliser l'accès au réseau privé de l'Annuaire des services avec Dialogflow

Pour savoir comment utiliser l'accès au réseau privé de l'Annuaire des services avec Dialogflow, consultez Utiliser l'Annuaire des services pour l'accès privé au réseau.

Étapes suivantes