Les règles de pare-feu de cloud privé virtuel (VPC) s'appliquent à un projet et à un réseau donnés. Si vous souhaitez appliquer des règles de pare-feu à plusieurs réseaux VPC d'une organisation, consultez la section Présentation des stratégies de pare-feu hiérarchiques. Le reste de cette page ne couvre que les règles de pare-feu VPC. Show
Les règles de pare-feu VPC vous permettent d'autoriser ou de refuser les connexions vers ou depuis vos instances de machines virtuelles (VM) en fonction d'une configuration spécifiée. Les règles de pare-feu VPC activées sont toujours appliquées, protégeant vos instances quels que soient leur configuration et leur système d'exploitation, même si elles n'ont pas encore démarré. Chaque réseau privé virtuel (VPC) fonctionne comme un pare-feu distribué. Alors que les règles de pare-feu sont définies au niveau du réseau, les connexions sont autorisées ou interdites pour chaque instance. Vous pouvez considérer que les règles de pare-feu VPC existent non seulement entre vos instances et les autres réseaux, mais également entre les instances individuelles d'un même réseau. Pour obtenir plus d'informations sur les pare-feu, consultez la page Pare-feu (informatique). Bonnes pratiques pour les règles de pare-feuTenez compte des bonnes pratiques suivantes lorsque vous concevez et évaluez vos règles de pare-feu :
Règles de pare-feu dans Google CloudLorsque vous créez une règle de pare-feu VPC, vous spécifiez un réseau VPC et un ensemble de composants définissant son rôle. Les composants vous permettent de cibler certains types de trafic en fonction du protocole, des ports de destination, des sources et des destinations. Pour en savoir plus, consultez la section Composants des règles de pare-feu. Vous pouvez créer ou modifier des règles de pare-feu VPC à l'aide de Google Cloud Console ,Google Cloud CLI et l'API REST. Lorsque vous créez ou modifiez une règle de pare-feu, vous pouvez spécifier les instances auxquelles elle doit être appliquée à l'aide du composant cible de la règle. Outre les règles de pare-feu que vous créez, Google Cloud dispose d'autres règles pouvant affecter les connexions entrantes (entrée) et sortantes (sortie) :
SpécificationsLes règles de pare-feu VPC présentent les caractéristiques suivantes :
Règles implicitesChaque réseau VPC possède deux règles de pare-feu IPv4 implicites. Si IPv6 est activé dans un réseau VPC, ce réseau a également deux règles de pare-feu IPv6 implicites. Ces règles ne sont pas affichées dans la console Google Cloud. Les règles de pare-feu implicites sont présentes dans tous les réseaux VPC, que leur mode soit automatique ou personnalisé et quelle que soit la façon dont ils sont créés. Le réseaupar défaut possède les mêmes règles implicites.
Si IPv6 est activé, le réseau VPC possède également ces deux règles implicites :
Les règles implicites ne peuvent pas être supprimées, mais elles ont les priorités les plus faibles. Vous pouvez créer des règles qui les remplacent à
condition qu'elles aient des priorités plus élevées (numéros de priorité inférieurs à Règles préremplies dans le réseau par défautLe réseau par défaut est prérempli avec des règles de pare-feu autorisant les connexions entrantes vers les instances. Ces règles peuvent être supprimées ou modifiées si nécessaire :
Vous pouvez créer des règles de pare-feu similaires pour les réseaux autres que le réseau par défaut. Pour en savoir plus, consultez la section Configurer les règles de pare-feu pour les cas d'utilisation courants. Trafic bloqué et limitéEn dehors des règles de pare-feu VPC et des stratégies de pare-feu hiérarchiques, Google Cloud bloque ou limite certains types de trafic comme décrit dans le tableau suivant.
Trafic toujours autoriséPour les instances de VM, les règles de pare-feu VPC et les règles de pare-feu hiérarchiques ne s'appliquent pas aux éléments suivants :
Serveur de métadonnées Google CloudGoogle Cloud exécute un serveur de métadonnées local avec chaque instance à l'adresse
Interaction avec les produitsLes sections suivantes décrivent la manière dont les règles de pare-feu et les stratégies de pare-feu hiérarchiques interagissent avec d'autres produits Google Cloud. Règles de pare-feu et équilibreurs de charge à stratégie directeLes règles de pare-feu VPC et les stratégies de pare-feu hiérarchiques contrôlent les protocoles et les ports compatibles avec la règle de transfert qui sont autorisés pour les backends d'équilibrage de charge TCP/UDP interne et d'équilibrage de charge réseau. Pour plus d'informations, consultez :
Règles de pare-feu et équilibreurs de charge proxyPour l'équilibrage de charge HTTP(S) externe, l'équilibrage de charge HTTP(S) interne, l'équilibrage de charge proxy SSL externe et l'équilibrage de charge proxy TCP externe, les règles de pare-feu VPC et les stratégies de pare-feu hiérarchiques ne contrôlent pas les protocoles et ports acceptés par l'adresse IP de la règle de transfert de l'équilibreur de charge proxy. La règle de transfert à elle seule détermine les protocoles et les ports acceptés par l'équilibreur de charge proxy. Les règles de pare-feu VPC et les stratégies de pare-feu hiérarchiques contrôlent la manière dont ces équilibreurs de charge proxy communiquent avec leurs backends. Pour plus d'informations, consultez :
Règles de pare-feu et Cloud VPNLes règles de pare-feu et les règles de pare-feu hiérarchiques ne contrôlent pas les protocoles et les ports acceptés par la passerelle Cloud VPN. Les passerelles Cloud VPN n'acceptent que les paquets pour les protocoles et les ports décrits dans les spécifications Cloud VPN. Règles de pare-feu et GKEGoogle Kubernetes Engine crée et gère automatiquement les règles de pare-feu lorsque vous créez un cluster ou des ressources dans le cluster (y compris les services et les entrées). Pour plus d'informations, consultez la section Règles de pare-feu créées automatiquement dans la documentation de Google Kubernetes Engine. Composants des règles de pare-feuChaque règle de pare-feu comprend les composants de configuration suivants :
Résumé des composants
Direction of traffic (Sens du trafic)Vous pouvez créer des règles de pare-feu qui s'appliquent au trafic entrant ou sortant. Une même règle ne peut pas s'appliquer à la fois au trafic entrant et sortant. Cependant, vous pouvez créer plusieurs règles pour définir le trafic d'entrée et de sortie que vous autorisez ou refusez via le pare-feu. Le sens est toujours défini du point de vue de la VM à laquelle la règle de pare-feu s'applique (la cible).
Prenons l'exemple d'une connexion entre deux VM du même réseau. Le trafic de la VM1 vers la VM2 peut être contrôlé à l'aide de l'une de ces règles de pare-feu :
PrioritéLa priorité de la règle de pare-feu est un entier compris entre La priorité relative d'une règle de pare-feu détermine si elle est applicable lorsqu'elle est évaluée par rapport à d'autres. La logique d'évaluation fonctionne comme suit :
Prenons l'exemple suivant où deux règles de pare-feu existent :
La priorité de la seconde règle
détermine si le trafic TCP sur le port 80 est autorisé pour les cibles
L'exemple précédent montre comment vous pouvez utiliser des priorités pour créer des règles Action en cas de correspondanceLe composant d'action d'une règle de pare-feu détermine si elle autorise ou bloque le trafic, en tenant compte des autres composants de la règle :
ApplicationVous pouvez décider si une règle de pare-feu est appliquée ou non en définissant son état sur Si vous ne définissez pas d'état d'application lorsque vous créez une règle de pare-feu, la règle de pare-feu est automatiquement Cas d'utilisationLa désactivation et l'activation sont utiles pour le dépannage et l'exécution de la maintenance. Envisagez de modifier l'application d'une règle de pare-feu dans les situations suivantes :
Effets sur le trafic existantLorsque vous modifiez l'état d'application d'une règle de pare-feu ou lorsque vous créez une règle Source, destination, cibleVous spécifiez une source ou une destination, mais pas les deux, selon le sens de la règle de pare-feu que vous créez. La signification du paramètre cible varie en fonction du sens de la règle de pare-feu.
Les instances incluent également les clusters GKE et les instances de l'environnement flexible App Engine. Paramètre de cibleLe paramètre de cible identifie toujours les instances Google Cloud, mais une cible peut être soit la destination, soit la source du trafic, en fonction du sens de la règle, comme décrit dans la section Source, destination et cible Pour spécifier une cible, utilisez l'une des options suivantes :
Pour en savoir plus sur les avantages et les limites des tags cibles et des comptes de service cibles, consultez la section Filtrer par compte de service ou par tag réseau. Cibles et adresses IP pour les règles d'entréeLa cible d'une règle de pare-feu d'entrée s'applique à tout le trafic arrivant sur l'interface réseau (carte d'interface réseau) d'une instance du réseau VPC, quelle que soit la façon dont la cible est specifiée. Une règle de pare-feu d'entrée s'applique aux paquets dont les destinations correspondent à l'une des adresses IP suivantes :
Cibles et adresses IP pour les règles de sortieLa cible d'une règle de pare-feu de sortie s'applique à tout le trafic quittant l'interface réseau (carte d'interface réseau) d'une instance du réseau VPC, quelle que soit la façon dont la cible est spécifiée.
Paramètre de sourceLe paramètre de source ne s'applique qu'aux règles d'entrée. Il doit s'agir de l'un des éléments suivants :
Sources et adresses IPLorsque le paramètre de source d'une règle de pare-feu d'entrée inclut un tag source ou le compte de service source, Google Cloud identifie les VM correspondant au tag ou au compte de service, et inclut les adresses IP suivantes de ces VM dans l'ensemble de sources effectivement utilisé pour la règle de pare-feu.
Les plages d'adresses IP d'alias de cette carte d'interface réseau et les adresses IP des règles de transfert associées ne sont pas incluses lorsque vous utilisez des tags sources ou des comptes de service sources. Si vous devez inclure les plages d'adresses IP d'alias de l'interface réseau d'une VM, ajoutez les plages d'alias à l'aide d'une plage d'adresses IPv4 source. Si la règle de pare-feu utilise une combinaison de plages d'adresses IP sources et de tags sources ou une combinaison de plages d'adresses IP sources et de comptes de service sources, l'ensemble de sources effectivement utilisé contient les adresses IP identifiées par le tag ou le compte de service, plus les adresses IP spécifiées dans les plages d'adresses IP sources. Paramètre de destinationLe paramètre de destination ne s'applique qu'aux règles de sortie. Le paramètre de destination n'accepte que les plages d'adresses IP. Les plages peuvent comprendre des adresses à l'intérieur et à l'extérieur de votre réseau VPC. Si vous ne spécifiez pas de plage de destination, Google Cloud définit la destination comme étant toutes les adresses IPv4 ( Protocoles et portsVous pouvez réduire le champ d'application d'une règle de pare-feu en spécifiant des protocoles, ou des protocoles et des ports de destination. Vous pouvez spécifier un protocole, ou une combinaison de protocoles et de leurs ports de destination. Si vous ne spécifiez ni protocoles, ni ports, la règle de pare-feu est applicable pour l'ensemble du trafic sur n'importe quel protocole et n'importe quel port de destination. Vous ne pouvez spécifier que des ports de destination. Les règles basées sur les ports sources ne sont pas acceptées. Il est nécessaire de spécifier un protocole pour rendre une règle de pare-feu spécifique. Si le protocole est compatible avec les ports, vous pouvez éventuellement spécifier un numéro de port de destination ou une plage de ports. Cependant, tous les protocoles ne sont pas compatibles avec les ports. Par exemple, des ports existent pour TCP et UDP, mais pas pour ICMP (ce protocole regroupe différents types ICMP, qui ne sont pas des ports et ne peuvent donc pas être spécifiés dans une règle de pare-feu). Vous pouvez utiliser les noms de protocoles suivants
dans les règles de pare-feu : De nombreux protocoles ont les mêmes nom et numéro dans IPv4 et IPv6, ce qui n'est pas le cas de certains protocoles comme ICMP. Le protocole IPv6 Hop-by-Hop n'est pas compatible avec les règles de pare-feu. Les règles de pare-feu Google Cloud utilisent les informations de port pour référencer le port de destination d'un paquet, et non son port source :
Le tableau ci-dessous récapitule les combinaisons de spécifications de protocole et de port de destination valides pour les règles de pare-feu Google Cloud.
Filtrer la source et la cible par compte de serviceVous pouvez utiliser des comptes de service pour créer des règles de pare-feu de nature plus spécifique :
Le compte de service doit être créé dans le même projet que la règle de pare-feu et avant la création d'une règle de pare-feu qui lui est associée. Bien que le système ne vous empêche pas de créer une règle qui utilise un compte de service d'un autre projet, la règle n'est pas appliquée si le compte de service n'existe pas dans le projet de la règle de pare-feu. Les règles de pare-feu qui utilisent des comptes de service pour identifier des instances s'appliquent aux instances créées et associées au compte de service, et aux instances existantes si vous modifiez leur compte de service. Si vous modifiez le compte de service associé à une instance, vous devez arrêter et redémarrer celle-ci. Vous pouvez associer des comptes de service à des instances individuelles et à des modèles d'instance utilisés par des groupes d'instances gérés. Filtrer par compte de service ou par tag réseauCette section met en évidence les points clés à prendre en compte pour décider si vous devez utiliser des comptes de service ou des tags réseau pour définir des cibles et des sources (pour les règles d'entrée). Si vous avez besoin d'un contrôle strict sur la manière dont les règles de pare-feu sont appliquées aux VM, utilisez les comptes de service cibles et sources au lieu des tags cibles et sources :
Vous ne pouvez pas combiner et faire correspondre des comptes de service et des tags réseau dans une règle de pare-feu :
Les considérations opérationnelles concernant les comptes de service et les tags réseau sont les suivantes :
Rôles et autorisationsLe tableau suivant décrit les autorisations de gestion de l'authentification et des accès (IAM) dont vous avez besoin pour utiliser les règles de pare-feu VPC.
Cas d'utilisationLes cas d'utilisation suivants illustrent le fonctionnement des règles de pare-feu. Dans ces exemples, toutes les règles de pare-feu sont activées. Cas d'entréeLes règles de pare-feu d'entrée contrôlent les connexions entrantes d'une source vers les instances cibles de votre réseau VPC. La source d'une règle d'entrée peut être définie par l'un des éléments suivants :
La source par défaut est n'importe quelle adresse IP ( Les règles d'entrée ayant une action Exemples d'entréeLe schéma suivant illustre des exemples de règles de pare-feu pouvant contrôler des connexions d'entrée. Les exemples utilisent le paramètre de cible dans les attributions de règles pour appliquer des règles à des instances spécifiques.
Cas de sortieLes règles de pare-feu de sortie contrôlent les
connexions sortantes des instances cibles vers votre réseau VPC. Les règles de sortie ayant une action Chaque règle de sortie a besoin d'une destination. La destination par défaut est n'importe quelle adresse IPv4 ( Exemples de sortieLe schéma suivant illustre des exemples de règles de pare-feu pouvant contrôler des connexions de sortie. Les exemples utilisent le paramètre de cible dans les attributions de règles pour appliquer des règles à des instances spécifiques. Exemple de règles de pare-feu de sortie (cliquez pour agrandir)
Étape suivante
Faites l'essaiSi vous débutez sur Google Cloud, créez un compte pour évaluer les performances de VPC en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail. Profiter d'un essai gratuit de VPC Quelles valeurs peut prendre chaque nombre d'une adresse IPv4 ?Dans la version 4 du protocole (IPv4), une adresse IP comporte 32 bits, ce qui permet de créer jusqu'à 4 294 967 296 (232) de numéros uniques. Dans sa version 6 (IPv6), l'adresse est longue de 128 bits : on dispose ainsi de 3,4 x 1038 (2128) adresses uniques.
Quelle est la plage d'adresses attribuables selon le protocole IPv4 ?Les numéros du premier octet de l'adresse IPv4 définissent la classe du réseau (soit A, B ou C). La plage des trois autres octets est 0–255. Les numéros 0 et 255 sont réservés. Vous pouvez attribuer les numéros 1 à 254 à chaque octet, selon la classe de réseau attribuée à votre réseau par l'IANA.
Quelle est la taille d'une adresse IPv4 ?La taille maximum supportée par IPv4 (car codée sur 16 bits) est de 65 535 octets mais les réseaux ne prennent généralement pas en charge de trames de telles longueurs, en général on trouve des MTU de l'ordre de 1 500 octets (Ethernet).
Quelles sont les 4 classes d'IP en IPv4 ?La répartition en pourcentages de l'espace total d'adressage IPv4 est :. Classes A - 50%. Classes B - 25%. Classes C - 12.5%. Classes D - 6.25%. Classes E - 6.25%. |