Adresses IP

De nombreuses ressources Trusted Cloud by S3NS peuvent avoir des adresses IP internes et des adresses IP externes. Par exemple, vous pouvez attribuer une adresse IP interne et une adresse IP externe aux instances Compute Engine. Les instances utilisent ces adresses pour communiquer avec d'autres ressources Trusted Cloud by S3NS et des systèmes externes.

Chaque interface réseau utilisée par une instance doit avoir une adresse IPv4 interne principale. Chaque interface réseau peut également avoir une ou plusieurs plages d'alias IPv4, ainsi qu'une adresse IPv4 externe. Si l'instance est connectée à un sous-réseau compatible avec IPv6, chaque interface réseau peut également se voir attribuer des adresses IPv6 internes ou externes.

Une instance peut communiquer avec d'autres instances sur le même réseau cloud privé virtuel (VPC) à l'aide de l'adresse IPv4 interne de l'instance. Si les instances sont configurées pour IPv6, vous pouvez également utiliser l'une des adresses IPv6 internes ou externes de l'instance. Il est recommandé d'utiliser des adresses IPv6 internes pour les communications internes.

Pour communiquer avec Internet, vous pouvez utiliser une adresse IPv4 externe ou une adresse IPv6 externe configurée sur l'instance. Si aucune adresse externe n'est configurée sur l'instance, Cloud NAT peut être utilisé pour le trafic IPv4.

De même, vous devez utiliser l'adresse IPv4 ou l'adresse IPv6 externe de l'instance pour vous connecter à des instances en dehors du même réseau VPC. Toutefois, si les réseaux sont connectés d'une manière ou d'une autre, par exemple à l'aide de l'appairage de réseaux VPC, vous pouvez utiliser l'adresse IP interne de l'instance.

Pour savoir comment identifier les adresses IP interne et externe de vos instances, consultez Afficher la configuration réseau d'une instance.

Adresses IP internes

Les interfaces réseau d'une instance se voient attribuer des adresses IP du sous-réseau auquel elles sont connectées. Chaque interface réseau possède une adresse IPv4 interne principale, attribuée à partir de la plage d'adresses IPv4 principale du sous-réseau. Si le sous-réseau possède une plage IPv6 interne, vous pouvez éventuellement configurer l'interface réseau avec une adresse IPv6 interne principale en plus de l'adresse IPv4 interne principale.

Les adresses IPv4 internes peuvent être attribuées de différentes manières :

  • Compute Engine attribue automatiquement une adresse IPv4 unique à partir des plages de sous-réseaux IPv4 principales.
  • Vous attribuez une adresse IPv4 interne spécifique lorsque vous créez une instance de calcul, soit en utilisant une adresse IPv4 interne statique réservée, soit en spécifiant une adresse IPv4 interne éphémère personnalisée.

Vous pouvez attribuer des adresses IPv6 internes aux instances connectées à un sous-réseau disposant d'une plage IPv6 interne comme suit :

Vous pouvez également réserver une adresse interne statique à partir de la plage IPv4 ou IPv6 du sous-réseau, puis l'attribuer à une instance.

Les instances de calcul peuvent également avoir des adresses IP d'alias et des plages d'adresses IP d'alias. Si plusieurs services sont exécutés sur une instance, vous pouvez attribuer à chacun sa propre adresse IP.

Noms DNS internes

Trusted Cloud résout automatiquement le nom DNS complet d'une instance en adresses IP internes de cette instance. Les noms DNS internes ne fonctionnent que dans le réseau VPC de l'instance.

Pour plus d'informations sur les noms de domaine complets, consultez la section DNS interne.

Adresses IP externes

Si vous devez communiquer avec Internet ou avec les ressources d'un autre réseau VPC, vous pouvez attribuer une adresse IPv4 ou IPv6 externe à une instance. Si les règles de pare-feu ou les stratégies de pare-feu hiérarchiques autorisent la connexion, les sources extérieures à un réseau VPC peuvent atteindre une ressource spécifique en utilisant son adresse IP externe. Seules les ressources disposant d'une adresse IP externe peuvent communiquer directement avec des ressources situées en dehors du réseau VPC. La communication avec une ressource à l'aide d'une adresse IP externe peut entraîner des frais supplémentaires.

Les adresses IPv4 externes peuvent être attribuées de différentes manières :

  • Compute Engine attribue automatiquement une adresse IPv4 à partir des plages d'adresses IPv4 externes de Google.
  • Vous attribuez une adresse IPv4 externe spécifique lorsque vous créez une instance à l'aide d'une adresse IPv4 externe statique réservée.

    Pour plus d'informations, consultez la section Où puis-je trouver les plages d'adresses IP Compute Engine ?.

Vous pouvez attribuer des adresses IPv6 externes aux instances connectées à un sous-réseau disposant d'une plage IPv6 externe comme suit :

Alternatives à l'utilisation d'une adresse IP externe

Les adresses IP internes ou privées offrent de nombreux avantages par rapport aux adresses IP externes ou publiques :

  • Surface d'attaque réduite. Le fait de supprimer les adresses IP externes des instances de calcul complique la tâche aux pirates informatiques qui cherchent à accéder aux instances et à exploiter d'éventuelles failles.
  • Flexibilité accrue. L'introduction d'une couche d'abstraction, telle qu'un équilibreur de charge ou un service NAT, permet une prestation de service plus fiable et plus flexible et fait vraiment la différence en comparaison avec les adresses IP externes et statiques.

Le tableau suivant récapitule les différentes manières dont les instances de calcul peuvent accéder à Internet ou être accessibles depuis Internet lorsqu'elles ne disposent pas d'adresse IP externe.

Méthode d'accès Solution Utilisation optimale
Interactive Configurer le transfert TCP pour Identity-Aware Proxy (IAP) Vous souhaitez utiliser des services d'administration tels que SSH et RDP pour vous connecter à vos instances de backend, mais les requêtes doivent passer les contrôles d'authentification et d'autorisation avant de parvenir à la ressource cible.
Récupération Passerelle Cloud NAT

Vous souhaitez que vos instances Compute Engine sans adresse IP externe se connectent à Internet (sortant), mais les hôtes situés en dehors de votre réseau VPC ne peuvent pas initier leurs propres connexions à vos instances de calcul (entrant). Vous pouvez utiliser cette approche pour les mises à jour de l'OS ou les API externes.

Proxy Web sécurisé Vous devez isoler vos instances Compute Engine d'Internet en créant de nouvelles connexions TCP en leur nom, tout en respectant la règle de sécurité administrée.
Diffusion Créer un équilibreur de charge externe Vous souhaitez que les clients se connectent à des ressources sans adresse IP externe n'importe où dans Trusted Cloud by S3NS tout en protégeant vos instances de calcul contre les attaques DDoS et les attaques directes.

Adresses IP régionales et globales

Lorsque vous répertoriez ou décrivez des adresses IP dans votre projet, Trusted Cloudspécifie que les adresses sont globales ou régionales, ce qui indique la façon dont une adresse particulière est utilisée. Lorsque vous associez une adresse à une ressource régionale, telle qu'une instance, Trusted Cloud spécifie que cette adresse est régionale. Les régions sont des régions Trusted Cloud, telles que us-east4 ou europe-west2.

Les adresses IP globales sont utilisées dans les configurations suivantes :

Pour savoir comment créer une adresse IP globale, consultez Réserver une nouvelle adresse IP externe statique.

Étapes suivantes