Chargement...
Aucun résultat.
Accédez à plus de 700 ateliers et cours

Réseaux VPC – Contrôler les accès

Atelier 1 heure universal_currency_alt 5 crédits show_chart Intermédiaire
info Cet atelier peut intégrer des outils d'IA pour vous accompagner dans votre apprentissage.
Accédez à plus de 700 ateliers et cours

GSP213

Logo des ateliers d'auto-formation Google Cloud

Présentation

Dans le monde réel, vous devez protéger vos données sensibles et faire en sorte que vos applications Web soient disponibles à tout moment. Découvrez comment utiliser le réseau VPC Google Cloud pour déployer des serveurs Web plus sécurisés, évolutifs et gérables dans votre environnement Google Cloud.

Dans cet atelier, vous allez créer deux serveurs Web nginx sur le réseau VPC par défaut et contrôler l'accès HTTP externe à ces serveurs à l'aide de règles de pare-feu dotées de tags. Ensuite, vous découvrirez les rôles et comptes de service IAM (gestion de l'authentification et des accès).

  • Avoir deux serveurs Web vous permet d'assurer la redondance : si un serveur Web est défaillant, l'autre peut continuer à diffuser le trafic Web, ce qui évite les temps d'arrêt.
  • Avec des règles de pare-feu dotées de tags, vous pouvez contrôler précisément le trafic autorisé à accéder à des serveurs Web spécifiques.
  • En autorisant un compte de service à effectuer des tâches, vous respectez le principe du moindre privilège qui contribue à protéger vos ressources Cloud.

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

  • Créer un serveur Web nginx sur un réseau VPC
  • Créer des règles de pare-feu dotées de tags
  • Créer un compte de service avec des rôles IAM
  • Découvrir les autorisations disponibles pour les rôles "Network Admin" (Administrateur réseau) et "Security Admin" (Administrateur de sécurité)

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Des identifiants temporaires vous sont fournis pour vous permettre de vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

  • Vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome).
Remarque : Ouvrez une fenêtre de navigateur en mode incognito (recommandé) ou de navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.
  • Vous disposez d'un temps limité. N'oubliez pas qu'une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Remarque : Utilisez uniquement le compte de participant pour cet atelier. Si vous utilisez un autre compte Google Cloud, des frais peuvent être facturés à ce compte.

Démarrer l'atelier et se connecter à la console Google Cloud

  1. Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, une boîte de dialogue s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau "Détails concernant l'atelier", qui contient les éléments suivants :

    • Le bouton "Ouvrir la console Google Cloud"
    • Le temps restant
    • Les identifiants temporaires que vous devez utiliser pour cet atelier
    • Des informations complémentaires vous permettant d'effectuer l'atelier

  2. Cliquez sur Ouvrir la console Google Cloud (ou effectuez un clic droit et sélectionnez Ouvrir le lien dans la fenêtre de navigation privée si vous utilisez le navigateur Chrome).

    L'atelier lance les ressources, puis ouvre la page "Se connecter" dans un nouvel onglet.

    Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.

    Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte.

  3. Si nécessaire, copiez le nom d'utilisateur ci-dessous et collez-le dans la boîte de dialogue Se connecter.

    {{{user_0.username | "Username"}}}

    Vous trouverez également le nom d'utilisateur dans le panneau "Détails concernant l'atelier".

  4. Cliquez sur Suivant.

  5. Copiez le mot de passe ci-dessous et collez-le dans la boîte de dialogue Bienvenue.

    {{{user_0.password | "Password"}}}

    Vous trouverez également le mot de passe dans le panneau "Détails concernant l'atelier".

  6. Cliquez sur Suivant.

    Important : Vous devez utiliser les identifiants fournis pour l'atelier. Ne saisissez pas ceux de votre compte Google Cloud. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés.

  7. Accédez aux pages suivantes :

    • Acceptez les conditions d'utilisation.
    • N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
    • Ne vous inscrivez pas à des essais sans frais.

Après quelques instants, la console Cloud s'ouvre dans cet onglet.

Remarque : Pour accéder aux produits et services Google Cloud, cliquez sur le menu de navigation ou saisissez le nom du service ou du produit dans le champ Recherche. Icône du menu de navigation et champ de recherche

Activer Cloud Shell

Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.

  1. Cliquez sur Activer Cloud Shell Icône Activer Cloud Shell en haut de la console Google Cloud.

  2. Passez les fenêtres suivantes :

    • Accédez à la fenêtre d'informations de Cloud Shell.
    • Autorisez Cloud Shell à utiliser vos identifiants pour effectuer des appels d'API Google Cloud.

Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET : . Le résultat contient une ligne qui déclare l'ID_PROJET pour cette session :

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.

  1. (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :
gcloud auth list
  1. Cliquez sur Autoriser.

Résultat :

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :
gcloud config list project

Résultat :

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Remarque : Pour consulter la documentation complète sur gcloud, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.

Tâche 1 : Créer les serveurs Web

Dans cette section, vous allez créer deux serveurs Web (blue et green) dans le réseau VPC default. Vous installerez ensuite nginx sur ces serveurs Web et modifierez la page d'accueil pour différencier les serveurs.

Créer le serveur blue

Créez le serveur blue avec un tag réseau.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) > Compute Engine > Instances de VM.

  2. Pour créer une instance, cliquez sur Créer une instance.

  3. Dans la section Configuration de la machine.

    Sélectionnez les valeurs suivantes :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom blue
    Région
    Zone

    Pour plus d'informations, consultez la section Régions et zones disponibles de la documentation Régions et zones de Google Cloud Compute Engine.

  4. Cliquez sur Mise en réseau.

    • Dans le champ Tags réseau, saisissez web-server.
    Remarque : Les tags réseau permettent aux réseaux d'identifier les instances de VM qui sont soumises à certaines règles de pare-feu et routes de réseau. Dans la suite de cet atelier, vous créerez une règle de pare-feu afin d'autoriser l'accès HTTP pour les instances de VM dotées du tag web-server. Vous pourriez aussi effectuer cette opération en cochant la case Autoriser le trafic HTTP, ce qui entraînerait l'ajout du tag http-server à cette instance et la création automatique de la règle de pare-feu dotée d'un tag pour tcp:80.

  5. Cliquez sur Créer.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer le serveur blue

Créer le serveur green

Créez le serveur green sans tag réseau.

  1. Toujours dans la console, sur la page Instances de VM, cliquez sur Créer une instance.

  2. Accédez à la section Configuration de la machine.

    Sélectionnez les valeurs suivantes :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom green
    Région
    Zone

  3. Cliquez sur Créer.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer le serveur green

Installer nginx et personnaliser la page d'accueil

Installez nginx sur les deux instances de VM et modifiez la page d'accueil pour différencier les serveurs.

  1. Toujours dans la boîte de dialogue Instances de VM, pour le serveur blue, cliquez sur SSH pour lancer un terminal et vous y connecter.
Remarque : Si la connexion à la VM échoue et que l'erreur Échec de l'authentification SSH s'affiche, cliquez sur Réessayer pour rétablir la connexion.
  1. Dans le terminal SSH associé à blue, installez nginx en exécutant la commande suivante :
sudo apt-get install nginx-light -y
  1. Ouvrez la page d'accueil dans l'éditeur nano :
sudo nano /var/www/html/index.nginx-debian.html
  1. Remplacez la ligne <h1>Welcome to nginx!</h1> par <h1>Welcome to the blue server!</h1>.
  2. Appuyez sur les touches CTRL+o, ENTRÉE, CTRL+x.
  3. Vérifiez que la modification a bien été prise en compte avec la commande suivante :
cat /var/www/html/index.nginx-debian.html

Le résultat doit contenir les éléments suivants :

<h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>
  1. Fermez le terminal SSH associé à blue :
exit

Effectuez la même procédure pour le serveur green :

  1. Pour l'instance green, cliquez sur SSH pour ouvrir un terminal et vous y connecter.
  2. Installez nginx :
sudo apt-get install nginx-light -y
  1. Ouvrez la page d'accueil dans l'éditeur nano :
sudo nano /var/www/html/index.nginx-debian.html
  1. Remplacez la ligne <h1>Welcome to nginx!</h1> par la ligne <h1>Welcome to the green server!</h1>.
  2. Appuyez sur les touches CTRL+o, ENTRÉE, CTRL+x.
  3. Vérifiez que la modification a bien été prise en compte avec la commande suivante :
cat /var/www/html/index.nginx-debian.html

Le résultat doit contenir les éléments suivants :

<h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>
  1. Fermez le terminal SSH associé à green :
exit

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Installer Nginx et personnaliser la page d'accueil

Tâche 2 : Créer la règle de pare-feu

Créez la règle de pare-feu dotée d'un tag et testez la connectivité HTTP.

Créer la règle de pare-feu dotée d'un tag

Créez une règle de pare-feu qui s'applique aux instances de VM marquées du tag réseau web-server.

  1. Dans la console Cloud, accédez au menu de navigation (Icône du menu de navigation) > Réseau VPC > Pare-feu.
  2. Vous verrez alors la règle de pare-feu default-allow-internal.
Remarque : La règle de pare-feu default-allow-internal autorise le trafic sur tous les protocoles/ports au sein du réseau default. Votre objectif est de créer une règle de pare-feu pour autoriser le trafic provenant de l'extérieur de ce réseau vers le serveur blue uniquement à l'aide du tag réseau web-server.

  1. Cliquez sur Créer une règle de pare-feu.

  2. Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :

    Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
    Nom allow-http-web-server
    Réseau par défaut
    Cibles Tags cibles spécifiés
    Tags cibles web-server
    Filtre source Plages IPv4
    Plages IPv4 sources 0.0.0.0/0
    Protocoles et ports Sélectionnez Protocoles et ports spécifiés, puis cochez tcp et saisissez 80, puis cochez Autres protocoles et saisissez icmp.
Remarque : Pensez à ajouter /0 dans les plages d'adresses IP sources pour indiquer tous les réseaux.
  1. Cliquez sur Créer.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer la règle de pare-feu avec tag

Créer une instance test-vm

Créez une instance test-vm à l'aide de la ligne de commande Cloud Shell.

  1. Ouvrez un autre terminal Cloud Shell.

  2. Exécutez la commande suivante pour créer une instance test-vm dans la zone  :

gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone={{{project_0.default_zone|ZONE}}}

Le résultat doit se présenter comme suit :

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm {{{project_0.default_zone|ZONE}}} e2-micro 10.142.0.4 35.237.134.68 RUNNING Remarque : Vous pouvez facilement créer des instances de VM à partir de la console ou de la ligne de commande gcloud.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer une instance test-vm

Tester la connectivité HTTP

Depuis l'instance test-vm, utilisez la commande curl sur les adresses IP internes et externes des serveurs blue et green.

  1. Dans la console, accédez au Menu de navigation (Icône du menu de navigation) > Compute Engine > Instances de VM.
  2. Notez les adresses IP internes et externes des serveurs blue et green.
  3. Pour l'instance test-vm, cliquez sur SSH pour lancer un terminal et vous y connecter.
  4. Pour tester la connectivité HTTP à l'adresse IP interne du serveur blue, exécutez la commande suivante en indiquant l'adresse IP interne de blue :
curl <saisir l'adresse IP externe du serveur "blue" ici>

Vous devriez voir l'en-tête Welcome to the blue server!

  1. Pour tester la connectivité HTTP à l'adresse IP interne du serveur green, exécutez la commande suivante en indiquant l'adresse IP interne du serveur green :
curl -c 3 <saisir l'adresse IP interne du serveur "green" ici>

Vous devriez voir l'en-tête Welcome to the green server!

Remarque : Vous pouvez accéder aux deux serveurs via HTTP à l'aide de leur adresse IP interne. La connexion sur tcp:80 est autorisée par la règle de pare-feu default-allow-internal, car test-vm se trouve sur le même réseau VPC que le réseau default du serveur Web.
  1. Pour tester la connectivité HTTP à l'adresse IP externe du serveur blue, exécutez la commande suivante en indiquant l'adresse IP externe du serveur blue :
curl <saisir l'adresse IP externe du serveur "blue" ici>

Vous devriez voir l'en-tête Welcome to the blue server!

  1. Pour tester la connectivité HTTP à l'adresse IP externe du serveur green, exécutez la commande suivante en indiquant l'adresse IP externe du serveur green :
curl -c 3 <saisir l'adresse IP externe du serveur "green" ici> Remarque : Cela ne doit pas fonctionner. La requête est bloquée.
  1. Appuyez sur les touches CTRL+c pour arrêter la requête HTTP.
Remarque : Comme prévu, vous disposez uniquement d'un accès HTTP à l'adresse IP externe du serveur blue, car la règle allow-http-web-server ne s'applique qu'aux instances de VM dotées du tag web-server.

Vous pouvez observer le même comportement depuis votre navigateur en ouvrant un nouvel onglet et en accédant à http://[adresse IP externe du serveur].

Tâche 3 : Découvrir les rôles d'administrateur réseau et d'administrateur de sécurité

Cloud IAM vous permet d'accorder les autorisations nécessaires aux utilisateurs intervenant sur des ressources spécifiques. Grâce à cette solution, vous contrôlez l'accès à vos ressources cloud et leur visibilité afin de centraliser leur gestion. Lors de la mise en réseau d'un projet unique, les rôles suivants vous permettent de contrôler individuellement l'accès Administrateur à chaque réseau VPC :

  • Network Admin (Administrateur réseau) : ce rôle permet de créer, modifier et supprimer des ressources réseau, à l'exception des règles de pare-feu et des certificats SSL.
  • Security Admin (Administrateur de sécurité) : ce rôle permet de créer, modifier et supprimer des règles de pare-feu et des certificats SSL.

Examinez le fonctionnement de ces rôles en les appliquant à un compte de service (compte Google spécial qui appartient à votre instance de VM) plutôt qu'à un utilisateur final individuel. Au lieu de créer un compte utilisateur, vous allez autoriser l'instance test-vm à utiliser le compte de service pour illustrer les autorisations des rôles Administrateur réseau et Administrateur de sécurité.

Vérifier les autorisations actuelles

Actuellement, l'instance test-vm utilise le compte de service Compute Engine par défaut, qui est activé sur toutes les instances créées par la ligne de commande Cloud Shell et la console Cloud.

Essayez de lister ou de supprimer les règles de pare-feu disponibles à partir de test-vm.

  1. Revenez au terminal SSH de l'instance test-vm.
  2. Essayez d'obtenir la liste des règles de pare-feu disponibles :
gcloud compute firewall-rules list

Le résultat doit se présenter comme suit :

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Remarque : Cela ne doit pas fonctionner.
  1. Essayez de supprimer la règle de pare-feu allow-http-web-server :
gcloud compute firewall-rules delete allow-http-web-server
  1. Si vous êtes invité à poursuivre l'opération, saisissez Y.

Le résultat doit se présenter comme suit :

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Remarque : Cela ne devrait pas fonctionner. Remarque : Le compte de service Compute Engine par défaut ne dispose pas des autorisations adéquates pour vous permettre de répertorier ou de supprimer les règles de pare-feu. Il en va de même pour les autres utilisateurs qui ne possèdent pas les rôles appropriés.

Créer un compte de service

Créez un compte de service et appliquez-lui le rôle Administrateur réseau.

  1. Dans la console, accédez au menu de navigation (Icône du menu de navigation) > IAM et administration > Comptes de service.

  2. Vous pouvez voir le compte de service Compute Engine par défaut.

  3. Cliquez sur Créer un compte de service.

  4. Définissez Nom du compte de service sur Network-admin, puis cliquez sur CRÉER ET CONTINUER.

  5. Dans le champ Sélectionnez un rôle, choisissez Compute Engine > Administrateur de réseaux Compute. Cliquez ensuite sur CONTINUER, puis sur OK.

  6. Après avoir créé le compte de service Network-admin, cliquez sur les trois points situés en haut à droite, puis cliquez sur Gérer les clés dans le menu déroulant. Sélectionnez ensuite Ajouter une clé, puis Créer une clé dans le menu déroulant. Cliquez sur Créer pour télécharger la sortie JSON.

  7. Cliquez sur Fermer.

    Un fichier de clé JSON est téléchargé sur votre ordinateur local. Recherchez ce fichier de clé. Vous devrez l'importer dans la VM par la suite.

  8. Remplacez le nom du fichier de clé JSON sur votre ordinateur local par credentials.json.

Tester la tâche terminée

Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.

Créer un compte de service Network-admin

Autoriser l'instance test-vm et vérifier les autorisations

Autorisez test-vm à utiliser le compte de service Network-admin.

  1. Revenez au terminal SSH de l'instance test-vm.
  2. Pour importer le fichier credentials.json via le terminal SSH de la VM, cliquez sur l'icône Importer un fichier dans l'angle supérieur droit.
  3. Sélectionnez le fichier credentials.json, puis importez-le.
  4. Dans la fenêtre Transfert de fichiers, cliquez sur Fermer. Remarque : Si vous y êtes invité, cliquez sur Réessayer dans la boîte de dialogue Échec de la connexion via Cloud Identity-Aware Proxy et importez de nouveau le fichier.
  5. Autorisez la VM avec les identifiants que vous venez d'importer :
gcloud auth activate-service-account --key-file credentials.json Remarque : Étant donné que Cloud SDK est préinstallé dans l'image que vous utilisez, vous n'avez pas besoin de l'initialiser. Si vous essayez d'effectuer cet atelier dans un autre environnement, vérifiez que vous avez bien suivi les procédures concernant l'installation de Cloud SDK.
  1. Essayez d'obtenir la liste des règles de pare-feu disponibles :
gcloud compute firewall-rules list

Le résultat doit se présenter comme suit :

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Cela devrait fonctionner.

  1. Essayez de supprimer la règle de pare-feu allow-http-web-server :
gcloud compute firewall-rules delete allow-http-web-server
  1. Si vous êtes invité à poursuivre l'opération, saisissez Y.

Le résultat doit se présenter comme suit :

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewall.delete' permission for 'projects/[PROJECT_ID]/global/firewall/allow-http-web-server' Remarque : Cela ne devrait pas fonctionner. Remarque : Comme prévu, le rôle Administrateur réseau est autorisé à répertorier les règles de pare-feu, mais pas à les modifier ni à les supprimer.

Mettre à jour le compte de service et vérifier les autorisations

Mettez à jour le compte de service Network-admin en lui appliquant le rôle Security Admin (Administrateur de sécurité).

  1. Dans la console, accédez au menu de navigation (Icône du menu de navigation) > IAM et administration > IAM.

  2. Recherchez le compte Network-admin. Pour identifier facilement ce compte, examinez la colonne Nom.

  3. Cliquez sur l'icône en forme de crayon associée au compte Network-admin.

  4. Définissez Rôle sur Compute Engine > Administrateur de sécurité de Compute.

  5. Cliquez sur Enregistrer.

  6. Revenez au terminal SSH de l'instance test-vm.

  7. Essayez d'obtenir la liste des règles de pare-feu disponibles :

gcloud compute firewall-rules list

Le résultat doit se présenter comme suit :

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Cela devrait fonctionner.

  1. Essayez de supprimer la règle de pare-feu allow-http-web-server :
gcloud compute firewall-rules delete allow-http-web-server
  1. Si vous êtes invité à poursuivre l'opération, saisissez Y.

Le résultat doit se présenter comme suit :

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewall/allow-http-web-server].

Cela devrait fonctionner.

Remarque : Comme prévu, le rôle Administrateur de sécurité est autorisé à répertorier et à supprimer les règles de pare-feu.

Vérifier la suppression de la règle de pare-feu

Vérifiez que vous ne disposez plus d'aucun accès HTTP à l'adresse IP externe du serveur blue, puisque vous avez supprimé la règle de pare-feu allow-http-web-server.

  1. Revenez au terminal SSH de l'instance test-vm.
  2. Pour tester la connectivité HTTP à l'adresse IP externe du serveur blue, exécutez la commande suivante en indiquant l'adresse IP externe du serveur blue :
curl -c 3 <saisir l'adresse IP externe du serveur "blue" ici> Remarque : Cela ne doit pas fonctionner.
  1. Appuyez sur les touches CTRL+c pour arrêter la requête HTTP.
Remarque : Pour éviter tout risque de modification non souhaitée de vos règles de pare-feu, choisissez avec soin l'utilisateur ou le compte de service auquel vous attribuez le rôle Administrateur de sécurité.

Félicitations !

Au cours de cet atelier, vous avez créé deux serveurs Web nginx et contrôlé l'accès HTTP externe à l'aide d'une règle de pare-feu dotée d'un tag. Vous avez ensuite créé un compte de service auquel vous avez d'abord appliqué le rôle Administrateur réseau, puis le rôle Administrateur de sécurité afin de découvrir les différentes autorisations de ces deux rôles.

Étapes suivantes et informations supplémentaires

Pour en savoir plus sur les comptes de service et les rôles, suivez cet atelier :

Pour en savoir plus sur les concepts de base de la gestion de l'authentification et des accès dans Google Cloud, consultez la présentation de Google Cloud Identity and Access Management.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 9 juin 2025

Dernier test de l'atelier : 9 juin 2025

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.

Avant de commencer

  1. Les ateliers créent un projet Google Cloud et des ressources pour une durée déterminée.
  2. Les ateliers doivent être effectués dans le délai imparti et ne peuvent pas être mis en pause. Si vous quittez l'atelier, vous devrez le recommencer depuis le début.
  3. En haut à gauche de l'écran, cliquez sur Démarrer l'atelier pour commencer.

Utilisez la navigation privée

  1. Copiez le nom d'utilisateur et le mot de passe fournis pour l'atelier
  2. Cliquez sur Ouvrir la console en navigation privée

Connectez-vous à la console

  1. Connectez-vous à l'aide des identifiants qui vous ont été attribués pour l'atelier. L'utilisation d'autres identifiants peut entraîner des erreurs ou des frais.
  2. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.
  3. Ne cliquez pas sur Terminer l'atelier, à moins que vous n'ayez terminé l'atelier ou que vous ne vouliez le recommencer, car cela effacera votre travail et supprimera le projet.

Ce contenu n'est pas disponible pour le moment

Nous vous préviendrons par e-mail lorsqu'il sera disponible

Parfait !

Nous vous contacterons par e-mail s'il devient disponible

Un atelier à la fois

Confirmez pour mettre fin à tous les ateliers existants et démarrer celui-ci

Utilisez la navigation privée pour effectuer l'atelier

Ouvrez une fenêtre de navigateur en mode navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le compte temporaire de participant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.