Configurer la classification gérée du trafic

Cette page explique comment configurer la classification du trafic géré pour automatiser l'attribution de bits DSCP (Differentiated Services Field Codepoint) dans vos paquets sortants.

Pour configurer la classification gérée du trafic, vous devez créer une ressource de stratégie réseau qui sert de conteneur pour les règles de classification du trafic. Ces règles indiquent à Cloud Interconnect comment marquer vos paquets sortants. Les sections suivantes expliquent comment les règles de classification du trafic et les règles de réseau fonctionnent ensemble.

Règles de réseau

Une règle de réseau est un conteneur pouvant contenir un ensemble de règles de classification du trafic. Lorsque vous créez une règle de réseau, vous spécifiez une région dans laquelle vous souhaitez l'appliquer. Ensuite, après avoir ajouté des règles à la stratégie, vous l'associez à un ou plusieurs de vos réseaux VPC. Cloud Interconnect applique ensuite vos règles à toutes les instances de machines virtuelles de chaque réseau associé dans la région spécifiée. Vous pouvez également utiliser des tags sécurisés pour appliquer des règles à un sous-ensemble d'instances dans chaque réseau.

Vous ne pouvez associer qu'une seule règle de réseau à chaque réseau VPC par région. Cela signifie que vous pouvez associer plusieurs règles de réseau dans différentes régions à un réseau VPC, ou que vous pouvez associer plusieurs règles de réseau dans la même région à différents réseaux VPC.

Règles de classification du trafic

Les règles de classification du trafic comportent trois composants :

  • Priorité : nombre qui détermine l'ordre dans lequel les règles d'une stratégie réseau sont évaluées.
  • Condition de correspondance : valeur qui détermine les paquets auxquels une règle s'applique
  • Action de la règle : action effectuée sur les paquets qui correspondent à la condition de correspondance. Les règles de classification du trafic ne peuvent comporter que l'action APPLY_TRAFFIC_CLASSIFICATION.

Les sections suivantes décrivent chacun des composants des règles en détail.

Ordre d'évaluation des règles

L'ordre dans lequel vos règles sont évaluées par rapport à un paquet est déterminé par la priorité de la règle, du nombre le plus faible au nombre le plus élevé. La règle qui se voit attribuer la valeur numérique la plus basse correspond à la priorité logique la plus élevée et est évaluée avant les règles ayant des priorités logiques inférieures. Cela signifie qu'une règle avec la priorité numérique minimale (0) est toujours évaluée en premier.

Vous ne pouvez pas configurer deux règles (ou plus) ayant la même priorité. La priorité de chaque règle doit être définie sur une valeur numérique comprise entre 0 et 2147483646 (inclus). La valeur de priorité 2147483647, également appelée INT-MAX, est réservée à la règle par défaut dans la stratégie réseau. Vous ne pouvez pas supprimer la règle par défaut, mais vous pouvez la modifier.

Il est possible que les numéros de priorité ne soient pas consécutifs. Ces suites discontinues vous permettent d'ajouter ou de supprimer des règles ultérieurement sans affecter les autres règles. Par exemple, 1, 2, 3, 4, 5, 9, 12, 16 est une série valide de valeurs numériques de priorité auxquelles vous pourrez ajouter des règles numérotées de 6 à 8, 10 à 11 et 13 à 15. L'ajout de règles avec les valeurs de priorité 7, 10 et 14 modifie l'ordre d'exécution, même si vous ne modifiez aucune des règles d'origine.

Conditions de correspondance

La condition de correspondance est une expression qui décrit les critères auxquels un paquet doit correspondre pour que l'action de la règle soit appliquée. Vous pouvez utiliser les catégories de conditions de correspondance suivantes avec les règles de classification du trafic, en fonction de l'attribut que vous souhaitez rechercher :

  • Plages d'adresses IP : elles correspondent à la plage d'adresses IP source ou de destination d'un paquet. Chaque règle peut contenir un maximum de 5 000 plages d'adresses IP CIDR (Classless Inter-Domain Routing), qui doivent toutes être en IPv4 ou en IPv6. Si vous devez faire correspondre les plages d'adresses IPv4 et IPv6, vous devez créer plusieurs règles.

  • Ports et protocoles : correspond à un ou plusieurs ports de destination, au numéro de protocole Internet (IP) ou à l'une des chaînes de protocole suivantes d'un paquet :

    • tcp
    • udp
    • icmp
    • esp
    • ah
    • ipip
    • sctp

    Vous ne pouvez faire correspondre les ports de destination que lorsque vous utilisez les protocoles UDP, TCP ou SCTP.

  • Tags cibles : correspondent aux paquets entrants dont la cible possède un tag sécurisé spécifique. Pour en savoir plus sur les tags sécurisés, consultez la présentation des tags.

Vous pouvez combiner tout ou partie de ces conditions de correspondance pour obtenir une correspondance plus précise.

Actions de la règle

L'action de la règle est celle qui est effectuée lorsqu'un paquet correspond à la condition de correspondance d'une règle. Une seule action est appliquée à chaque paquet. Une fois qu'une action a été appliquée, aucune autre règle n'est évaluée. Les règles de classification du trafic ne peuvent comporter que l'action APPLY_TRAFFIC_CLASSIFICATION.

L'action APPLY_TRAFFIC_CLASSIFICATION applique la classe de trafic spécifiée au paquet IP. Vous pouvez choisir d'attribuer automatiquement la valeur DSCP en fonction de la classe de trafic ou de lui attribuer une valeur personnalisée. Les affectations automatiques basées sur la classe de trafic sont les suivantes :

Classe de trafic Valeur DSCP
TC1 7 (000111)
TC2 15 (001111)
TC3 23 (010111)
TC4 31 (011111)
TC5 47 (101111)
TC6 63 (111111)

Les valeurs DSCP personnalisées peuvent être comprises entre 0 et 63 (inclus).

Configurer une règle de réseau

La procédure suivante explique comment créer une règle de réseau et l'attribuer à une région :

Console

  1. Dans la console Google Cloud , accédez à l'onglet Classification du trafic.

    Accéder à la classification du trafic

  2. Cliquez sur Créer une règle.

  3. Dans le champ Nom, saisissez un nom pour la règle réseau.

  4. Dans la zone de liste Région, sélectionnez la région dans laquelle vous souhaitez appliquer votre règle de réseau.

  5. Cliquez sur Créer.

gcloud 

gcloud compute network-policies create NETWORK_POLICY_NAME \
  --region REGION

Remplacez les éléments suivants :

  • NETWORK_POLICY_NAME : nom que vous souhaitez donner à votre stratégie réseau
  • REGION : région dans laquelle vous souhaitez appliquer votre règle de réseau

Configurer des règles de classification du trafic

Les sections suivantes décrivent comment créer des règles de classification du trafic et les associer à une règle de réseau existante.

Faire correspondre les paquets à l'aide de plages d'adresses IP de destination

Procédez comme suit pour créer une règle qui correspond aux paquets en fonction de leur plage d'adresses IP de destination :

Console

  1. Dans la console Google Cloud , accédez à l'onglet Classification du trafic.

    Accéder à la classification du trafic

  2. Cliquez sur le nom de la règle de réseau à laquelle vous souhaitez ajouter une règle.

  3. Cliquez sur Créer une règle.

  4. Dans le champ Nom, saisissez un nom pour la règle.

  5. Dans le champ Priorité, saisissez la priorité numérique à utiliser dans l'ordre d'évaluation des règles.

  6. Dans la zone de liste Classe, sélectionnez la classe de trafic à laquelle vous souhaitez attribuer ce paquet.

  7. Dans le champ Valeur DSCP, sélectionnez Automatique ou Spécifiée. Si vous sélectionnez Spécifié, saisissez une valeur DSCP.

  8. Dans le champ Filtres de destination, spécifiez le protocole et la plage d'adresses IP :

    • Dans la zone de liste Type d'adresse IP, sélectionnez un protocole d'adresse IP.
    • Dans le champ Plages d'adresses IP, saisissez au moins une plage d'adresses IP de destination.

  9. Cliquez sur Créer.

gcloud

Pour créer une règle de classification du trafic qui attribue automatiquement un DSCP, utilisez la commande suivante :

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Remplacez les éléments suivants :

  • PRIORITY : priorité numérique à utiliser dans l'ordre d'évaluation des règles
  • TRAFFIC_CLASS : classe de trafic à laquelle vous souhaitez attribuer ce paquet
  • NETWORK_POLICY_NAME : nom de la règle de réseau à laquelle vous souhaitez ajouter cette règle
  • DESTINATION_RANGES : liste des plages d'adresses IP de destination sur lesquelles vous souhaitez établir une correspondance, séparées par une virgule

Pour créer une règle de classification du trafic qui attribue une valeur DSCP personnalisée, utilisez la commande suivante :

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Remplacez les éléments suivants :

  • PRIORITY : priorité numérique à utiliser dans l'ordre d'évaluation des règles
  • TRAFFIC_CLASS : classe de trafic à laquelle vous souhaitez attribuer le paquet correspondant
  • DSCP_VALUE : valeur DSCP personnalisée que vous souhaitez attribuer au paquet correspondant
  • NETWORK_POLICY_NAME : nom de la règle de réseau à laquelle vous souhaitez ajouter cette règle
  • DESTINATION_RANGES : liste des plages d'adresses IP de destination sur lesquelles vous souhaitez établir une correspondance, séparées par une virgule

Faire correspondre les paquets à l'aide d'un port ou d'un protocole

Suivez la procédure ci-dessous pour créer une règle qui correspond aux paquets en fonction de leurs ports ou protocoles :

Console

  1. Dans la console Google Cloud , accédez à l'onglet Classification du trafic.

    Accéder à la classification du trafic

  2. Cliquez sur le nom de la règle de réseau à laquelle vous souhaitez ajouter une règle.

  3. Cliquez sur Créer une règle.

  4. Dans le champ Nom, saisissez un nom pour la règle.

  5. Dans le champ Priorité, saisissez la priorité numérique à utiliser dans l'ordre d'évaluation des règles.

  6. Dans la zone de liste Classe, sélectionnez la classe de trafic à laquelle vous souhaitez attribuer ce paquet.

  7. Dans le champ Valeur DSCP, sélectionnez Automatique ou Spécifiée. Si vous sélectionnez Spécifié, saisissez une valeur DSCP.

  8. Dans le champ Filtres de destination, spécifiez le protocole et la plage d'adresses IP :

    • Dans la zone de liste Type d'adresse IP, sélectionnez un protocole d'adresse IP.
    • Dans le champ Plages d'adresses IP, saisissez au moins une plage d'adresses IP de destination.

  9. Dans le champ Protocoles et ports, sélectionnez Protocoles et ports spécifiés.

  10. Pour chaque protocole listé sur lequel vous souhaitez effectuer une correspondance, cochez la case correspondante et saisissez les ports dans le champ Ports.

  11. Facultatif : Pour faire correspondre les protocoles qui ne sont pas listés, cochez la case Autres protocoles, puis saisissez une liste de protocoles séparés par des virgules.

  12. Cliquez sur Créer.

gcloud

Pour créer une règle de classification du trafic qui attribue automatiquement un DSCP, utilisez la commande suivante :

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Remplacez les éléments suivants :

  • PRIORITY : priorité numérique à utiliser dans l'ordre d'évaluation des règles
  • TRAFFIC_CLASS : classe de trafic à laquelle vous souhaitez attribuer ce paquet
  • NETWORK_POLICY_NAME : nom de la règle de réseau à laquelle vous souhaitez ajouter cette règle
  • PROTOCOLS : liste de protocoles séparés par une virgule sur lesquels vous souhaitez établir une correspondance. Pour spécifier un port ou une plage de ports avec chaque protocole, utilisez le format suivant :
    • Un port : protocol:port. Par exemple, tcp:80.
    • Plage de ports : protocol:port1-port2. Par exemple, tcp:20000-25000.

Pour créer une règle de classification du trafic qui attribue une valeur DSCP personnalisée, utilisez la commande suivante :

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Remplacez les éléments suivants :

  • PRIORITY : priorité numérique à utiliser dans l'ordre d'évaluation des règles
  • TRAFFIC_CLASS : classe de trafic à laquelle vous souhaitez attribuer le paquet correspondant
  • DSCP_VALUE : valeur DSCP personnalisée que vous souhaitez attribuer au paquet correspondant
  • NETWORK_POLICY_NAME : nom de la règle de réseau à laquelle vous souhaitez ajouter cette règle
  • PROTOCOLS : liste de protocoles séparés par une virgule sur lesquels vous souhaitez établir une correspondance. Pour spécifier un port ou une plage de ports avec chaque protocole, utilisez le format suivant :
    • Un port : protocol:port. Par exemple, tcp:80.
    • Plage de ports : protocol:port1-port2. Par exemple, tcp:20000-25000.

Associer des paquets à l'aide de tags

Utilisez la procédure suivante pour créer une règle qui correspond aux paquets en fonction des tags sécurisés cibles. Pour configurer des tags sécurisés, consultez Créer et gérer des tags.

Console

  1. Dans la console Google Cloud , accédez à l'onglet Classification du trafic.

    Accéder à la classification du trafic

  2. Cliquez sur le nom de la règle de réseau à laquelle vous souhaitez ajouter une règle.

  3. Cliquez sur Créer une règle.

  4. Dans le champ Nom, saisissez un nom pour la règle.

  5. Dans le champ Priorité, saisissez la priorité numérique à utiliser dans l'ordre d'évaluation des règles.

  6. Dans la zone de liste Classe, sélectionnez la classe de trafic à laquelle vous souhaitez attribuer ce paquet.

  7. Dans le champ Valeur DSCP, sélectionnez Automatique ou Spécifiée. Si vous sélectionnez Spécifié, saisissez une valeur DSCP.

  8. Dans le champ Cible, sélectionnez Tags sécurisés.

  9. Cliquez sur Sélectionner le champ d'application des tags. Dans la nouvelle fenêtre, choisissez un champ d'application (projet, dossier ou organisation). Spécifiez vos tags sécurisés :

    1. Dans le champ Clé 1, sélectionnez une clé dans la zone de liste.
    2. Dans le champ Valeur 1, sélectionnez une valeur dans la liste déroulante.
    3. Facultatif : Pour ajouter des tags sécurisés, cliquez sur Ajouter un tag, puis répétez les deux étapes précédentes.

  10. Dans le champ Filtres de destination, spécifiez le protocole et la plage d'adresses IP :

    • Dans la zone de liste Type d'adresse IP, sélectionnez un protocole d'adresse IP.
    • Dans le champ Plages d'adresses IP, saisissez au moins une plage d'adresses IP de destination.

  11. Cliquez sur Créer.

gcloud

Pour créer une règle de classification du trafic qui attribue automatiquement un DSCP, utilisez la commande suivante :

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Remplacez les éléments suivants :

  • PRIORITY : priorité numérique à utiliser dans l'ordre d'évaluation des règles
  • TRAFFIC_CLASS : classe de trafic à laquelle vous souhaitez attribuer ce paquet
  • NETWORK_POLICY_NAME : nom de la règle de réseau à laquelle vous souhaitez ajouter cette règle
  • TAG_KEY : clé de tag sécurisée
  • TAG_VALUE : valeur à attribuer à la clé de tag sécurisée

Pour créer une règle de classification du trafic qui attribue une valeur DSCP personnalisée, utilisez la commande suivante :

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Remplacez les éléments suivants :

  • PRIORITY : priorité numérique à utiliser dans l'ordre d'évaluation des règles
  • TRAFFIC_CLASS : classe de trafic à laquelle vous souhaitez attribuer le paquet correspondant
  • DSCP_VALUE : valeur DSCP personnalisée que vous souhaitez attribuer au paquet correspondant
  • NETWORK_POLICY_NAME : nom de la règle de réseau à laquelle vous souhaitez ajouter cette règle
  • TAG_KEY : clé de tag sécurisée
  • TAG_VALUE : valeur à attribuer à la clé de tag sécurisée

Associer une règle de réseau à des réseaux

Une fois que vous avez associé vos règles de classification du trafic à une règle de réseau, suivez la procédure ci-dessous pour associer la règle de réseau à un ou plusieurs réseaux.

Console

  1. Dans la console Google Cloud , accédez à l'onglet Classification du trafic.

    Accéder à la classification du trafic

  2. Cliquez sur le nom de la règle réseau que vous souhaitez associer à un réseau.

  3. Sélectionnez l'onglet Associations.

  4. Cliquez sur Ajouter une association.

  5. Cochez la case correspondant à chaque réseau auquel vous souhaitez associer le règlement du réseau.

  6. Cliquez sur Associer.

gcloud

Utilisez la commande suivante pour associer la règle de réseau à chaque réseau.

gcloud compute network-policies associations create \
  --network-policy NETWORK_POLICY_NAME \
  --network NETWORK_NAME

Remplacez les éléments suivants :

  • NETWORK_POLICY_NAME : nom de la règle de réseau que vous souhaitez associer.
  • NETWORK_NAME : nom du réseau auquel vous souhaitez associer la règle de réseau