De nombreuses ressources Google Cloud peuvent avoir des adresses IP internes et des adresses IP externes. Par exemple, vous pouvez attribuer une adresse IP interne et une adresse IP externe aux instances Compute Engine. Les instances utilisent ces adresses pour communiquer avec d'autres ressources Google Cloud et des systèmes externes.
Chaque interface réseau utilisée par une instance doit avoir une adresse IPv4 interne principale. Chaque interface réseau peut également avoir une ou plusieurs plages d'alias IPv4, ainsi qu'une adresse IPv4 externe. Si l'instance est connectée à un sous-réseau compatible avec IPv6, chaque interface réseau peut également se voir attribuer des adresses IPv6 internes ou externes.
Une instance peut communiquer avec d'autres instances sur le même réseau cloud privé virtuel (VPC) à l'aide de l'adresse IPv4 interne de l'instance. Si les instances sont configurées pour IPv6, vous pouvez également utiliser l'une des adresses IPv6 internes ou externes de l'instance. Il est recommandé d'utiliser des adresses IPv6 internes pour les communications internes.
Pour communiquer avec Internet, vous pouvez utiliser une adresse IPv4 externe ou une adresse IPv6 externe configurée sur l'instance. Si aucune adresse externe n'est configurée sur l'instance, Cloud NAT peut être utilisé pour le trafic IPv4.
De même, vous devez utiliser l'adresse IPv4 ou l'adresse IPv6 externe de l'instance pour vous connecter à des instances en dehors du même réseau VPC. Toutefois, si les réseaux sont connectés d'une manière ou d'une autre, par exemple à l'aide de l'appairage de réseaux VPC, vous pouvez utiliser l'adresse IP interne de l'instance.
Pour savoir comment identifier les adresses IP interne et externe de vos instances, consultez Afficher la configuration réseau d'une instance.
Adresses IP internes
Les interfaces réseau d'une instance se voient attribuer des adresses IP du sous-réseau auquel elles sont connectées. Chaque interface réseau possède une adresse IPv4 interne principale, attribuée à partir de la plage d'adresses IPv4 principale du sous-réseau. Si le sous-réseau possède une plage IPv6 interne, vous pouvez éventuellement configurer l'interface réseau avec une adresse IPv6 interne principale en plus de l'adresse IPv4 interne principale.
Les adresses IPv4 internes peuvent être attribuées de différentes manières :
- Compute Engine attribue automatiquement une adresse IPv4 unique à partir des plages de sous-réseaux IPv4 principales.
- Vous attribuez une adresse IPv4 interne spécifique lorsque vous créez une instance de calcul, soit en utilisant une adresse IPv4 interne statique réservée, soit en spécifiant une adresse IPv4 interne éphémère personnalisée.
Vous pouvez attribuer des adresses IPv6 internes aux instances connectées à un sous-réseau disposant d'une plage IPv6 interne comme suit :
- Lorsque vous configurez une adresse IPv6 interne sur la carte d'interface réseau virtuelle d'une instance, Compute Engine attribue automatiquement une seule plage d'adresses IPv6
/96à partir de la plage d'adresses IPv6 internes du sous-réseau. - Vous attribuez une adresse IPv6 interne spécifique lorsque vous créez une instance, soit en utilisant une adresse IPv6 interne statique réservée, soit en spécifiant une adresse IPv6 interne éphémère personnalisée.
Vous pouvez également réserver une adresse interne statique à partir de la plage IPv4 ou IPv6 du sous-réseau, puis l'attribuer à une instance.
Les instances de calcul peuvent également avoir des adresses IP d'alias et des plages d'adresses IP d'alias. Si plusieurs services sont exécutés sur une instance, vous pouvez attribuer à chacun sa propre adresse IP.
Noms DNS internes
Google Cloud résout automatiquement le nom DNS complet d'une instance en adresses IP internes de cette instance. Les noms DNS internes ne fonctionnent que dans le réseau VPC de l'instance.
Pour plus d'informations sur les noms de domaine complets, consultez la section DNS interne.
Adresses IP externes
Si vous devez communiquer avec Internet ou avec les ressources d'un autre réseau VPC, vous pouvez attribuer une adresse IPv4 ou IPv6 externe à une instance. Si les règles de pare-feu ou les stratégies de pare-feu hiérarchiques autorisent la connexion, les sources extérieures à un réseau VPC peuvent atteindre une ressource spécifique en utilisant son adresse IP externe. Seules les ressources disposant d'une adresse IP externe peuvent communiquer directement avec des ressources situées en dehors du réseau VPC. La communication avec une ressource à l'aide d'une adresse IP externe peut entraîner des frais supplémentaires.
Les adresses IPv4 externes peuvent être attribuées de différentes manières :
- Compute Engine attribue automatiquement une adresse IPv4 à partir des plages d'adresses IPv4 externes de Google.
Vous attribuez une adresse IPv4 externe spécifique lorsque vous créez une instance à l'aide d'une adresse IPv4 externe statique réservée.
Pour plus d'informations, consultez la section Où puis-je trouver les plages d'adresses IP Compute Engine ?.
Vous pouvez attribuer des adresses IPv6 externes aux instances connectées à un sous-réseau disposant d'une plage IPv6 externe comme suit :
- Lorsque vous configurez une adresse IPv6 externe sur la carte d'interface réseau virtuelle d'une instance, Compute Engine attribue automatiquement une seule plage d'adresses IPv6
/96de la plage d'adresses IPv6 externe du sous-réseau. - Vous pouvez attribuer une adresse IPv6 externe spécifique lorsque vous créez une instance, soit en utilisant une adresse IPv6 externe statique réservée, soit en spécifiant une adresse IPv6 externe éphémère personnalisée.
Alternatives à l'utilisation d'une adresse IP externe
Les adresses IP internes ou privées offrent de nombreux avantages par rapport aux adresses IP externes ou publiques :
- Surface d'attaque réduite. Le fait de supprimer les adresses IP externes des instances de calcul complique la tâche aux pirates informatiques qui cherchent à accéder aux instances et à exploiter d'éventuelles failles.
- Flexibilité accrue. L'introduction d'une couche d'abstraction, telle qu'un équilibreur de charge ou un service NAT, permet une prestation de service plus fiable et plus flexible et fait vraiment la différence en comparaison avec les adresses IP externes et statiques.
Le tableau suivant récapitule les différentes manières dont les instances de calcul peuvent accéder à Internet ou être accessibles depuis Internet lorsqu'elles ne disposent pas d'adresse IP externe.
| Méthode d'accès | Solution | Utilisation optimale |
|---|---|---|
| Interactive | Configurer le transfert TCP pour Identity-Aware Proxy (IAP) | Vous souhaitez utiliser des services d'administration tels que SSH et RDP pour vous connecter à vos instances de backend, mais les requêtes doivent passer les contrôles d'authentification et d'autorisation avant de parvenir à la ressource cible. |
| Récupération | Passerelle Cloud NAT | Vous souhaitez que vos instances Compute Engine sans adresse IP externe se connectent à Internet (sortant), mais les hôtes situés en dehors de votre réseau VPC ne peuvent pas initier leurs propres connexions à vos instances de calcul (entrant). Vous pouvez utiliser cette approche pour les mises à jour de l'OS ou les API externes. |
| Proxy Web sécurisé | Vous devez isoler vos instances Compute Engine d'Internet en créant de nouvelles connexions TCP en leur nom, tout en respectant la règle de sécurité administrée. | |
| Diffusion | Créer un équilibreur de charge externe | Vous souhaitez que les clients se connectent à des ressources sans adresse IP externe n'importe où dans Google Cloud tout en protégeant vos instances de calcul contre les attaques DDoS et les attaques directes. |
Adresses IP régionales et globales
Lorsque vous répertoriez ou décrivez des adresses IP dans votre projet, Google Cloudspécifie que les adresses sont globales ou régionales, ce qui indique la façon dont une adresse particulière est utilisée. Lorsque vous associez une adresse à une ressource régionale, telle qu'une instance, Google Cloud spécifie que cette adresse est régionale.
Les régions sont des régions Google Cloud, telles que us-east4 ou europe-west2.
Les adresses IP globales sont utilisées dans les configurations suivantes :
- Adresses IP internes globales : Accéder aux API Google via des points de terminaison ou Accès aux services privés
- Adresses IP externes globales : équilibreurs de charge réseau proxy externes et équilibreurs de charge d'application externes utilisant un réseau de niveau Premium
Pour savoir comment créer une adresse IP globale, consultez Réserver une nouvelle adresse IP externe statique.
Présentation du contrat de niveau de service pour la mise en réseau Compute Engine
Compute Engine est associé à un contrat de niveau de service (SLA) qui définit des objectifs de niveau de service (SLO) pour le pourcentage de disponibilité mensuel des niveaux de service réseau.
Lorsque vous créez une instance Compute Engine, vous obtenez par défaut une adresse IP interne. Vous pouvez également configurer une adresse IP externe avec le niveau Premium (par défaut) ou Standard pour la mise en réseau. Le niveau de service réseau que vous choisissez dépend de vos exigences en termes de coûts et de qualité de service. Chaque niveau de service réseau a un SLO différent.
Lorsque vous créez l'instance de calcul, vous pouvez configurer plusieurs cartes d'interface réseau qui y sont associées. Chaque carte d'interface réseau peut avoir une configuration réseau différente, comme illustré dans le schéma suivant :
Figure 1 : Instance avec trois cartes d'interface réseau, chacune gérant un trafic réseau différent avec des niveaux de service réseau différents.
Dans le schéma précédent, l'instance exemple nommée VM appliance comporte trois cartes d'interface réseau, qui sont configurées comme suit :
nic0est configuré avec un sous-réseau d'adresses IP internes.nic1est configurée avec un sous-réseau d'adresses IP externes et utilise le niveau réseau Standard.nic2est configuré avec un sous-réseau d'adresses IP externes et utilise le niveau réseau Premium.
Dans cet exemple, l'instance de VM n'est pas une VM à mémoire optimisée. Différents SLO s'appliquent selon la carte réseau qui subit une perte de connectivité. La liste suivante décrit le SLA pour les différentes cartes d'interface réseau de cet exemple.
nic0: VM à instance unique avec des adresses IP internes. Le pourcentage de disponibilité mensuelle est de 99,9 %.nic1: VM à instance unique avec une adresse IP externe qui utilise le niveau de mise en réseau Standard. Cette VM n'est protégée par aucun SLA. Seules plusieurs instances réparties dans différentes zones sont protégées à 99,9 % avec le niveau réseau Standard.nic2: VM à instance unique avec adresse IP externe qui utilise le niveau réseau Premium. Le pourcentage de disponibilité mensuelle est de 99,9 %. Pour plusieurs instances dans différentes zones, le pourcentage de disponibilité mensuel est de 99,99 % avec le niveau Premium de mise en réseau.
Étapes suivantes
- Afficher la configuration réseau d'une instance
- Réservez une nouvelle adresse IP externe statique.
- Attribuez une adresse IP externe statique à une nouvelle instance.
- Choisissez une adresse IP interne lors de la création de l'instance.
- Convertissez une adresse IP externe éphémère.
- Découvrez comment utiliser des noms DNS internes pour adresser des instances sur le Réseau VPC interne.
- Obtenez plus d'informations sur les adresses IP.
- Obtenez plus d'informations sur le protocole IPv6.
- Obtenez plus d'informations sur les adresses IP et l'équilibrage de charge.
- Consultez les tarifs des adresses IP externes.