Réseau & Sécurité¶
Services réseau et sécurité sur Google Cloud Platform.
VPC (Virtual Private Cloud)¶
Réseau prive virtuel global. Un VPC GCP est global par défaut et contient des sous-réseaux regionaux. Les règles de firewall controlent le trafic entrant et sortant.
Cas d'usage : isolation réseau, segmentation d'environnements (dev/staging/prod), peering entre projets.
Firewall rules¶
Les règles de firewall GCP sont stateful et s'appliquent au niveau de l'instance (via tags ou service accounts). Elles sont evaluees par priorité (0 = plus haute, 65535 = plus basse).
Cloud DNS¶
Service DNS manage, haute disponibilité et faible latence. Cloud DNS supporte les zones publiques et privées.
Cas d'usage : résolution DNS pour vos domaines, DNS prive interne a un VPC, DNS split-horizon.
Load Balancing¶
Répartition de charge gérée par Google. Le load balancing GCP est global (pas besoin de pre-warming) et supporte plusieurs protocoles.
| Type | Protocole | Portee |
|---|---|---|
| HTTP(S) LB | HTTP/HTTPS, HTTP/2 | Global |
| TCP Proxy | TCP | Global |
| Network LB | TCP/UDP | Regional |
| Internal LB | TCP/UDP | Regional, prive |
Cas d'usage : distribution de trafic web, terminaison SSL, backends multi-regions.
Cloud Armor¶
WAF (Web Application Firewall) et protection DDoS. Cloud Armor s'intégré au load balancer HTTP(S) pour filtrer le trafic malveillant.
Cas d'usage : protection contre les attaques DDoS L3/L4/L7, règles WAF OWASP, geo-blocking.
IAM (Identity and Access Management)¶
Gestion des identités et des accès. IAM contrôle qui (identité) peut faire quoi (rôle) sur quelle ressource.
Concepts clés :
- Membres — Comptes Google, service accounts, groupes
- Rôles — Ensembles de permissions (predefined, custom, basic)
- Bindings — Association membre + rôle + ressource
Service accounts¶
Comptes d'identité pour les applications et les services (et non des humains). Un service account permet à une VM, un pipeline CI/CD ou un outil IaC de s'authentifier aupres des APIs GCP.
Attribution d'un rôle :
PROJECT_ID=$(gcloud config get-value project)
gcloud projects add-iam-policy-binding $PROJECT_ID \
--member="serviceAccount:mon-service@${PROJECT_ID}.iam.gserviceaccount.com" \
--role="roles/compute.instanceAdmin.v1"
| Rôle courant | Permission |
|---|---|
compute.instanceAdmin.v1 | Créer/supprimer des VMs et images |
iam.serviceAccountUser | Utiliser un service account |
storage.admin | Gestion complète des buckets et objets |
Universe domain
En environnement souverain, les endpoints IAM utilisent le universe_domain configuré. Voir Souverainete.