Présentation

Dans cet atelier, vous allez créer deux serveurs Web nginx et contrôler l'accès HTTP externe à ces serveurs à l'aide de règles de pare-feu dotées d'un tag. Vous découvrirez ensuite les rôles et comptes de service IAM (gestion de l'authentification et des accès).

Objectifs

Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :

• Créer un serveur Web nginx
• Créer des règles de pare-feu dotées de tags
• Créer un compte de service avec des rôles IAM
• Découvrir les autorisations disponibles pour les rôles "Network Admin" (Administrateur réseau) et "Security Admin" (Administrateur de sécurité)

Préparation

Pour chaque atelier, nous vous attribuons un nouveau projet Google Cloud et un nouvel ensemble de ressources pour une durée déterminée, sans frais.

1. Connectez-vous à Qwiklabs dans une fenêtre de navigation privée.

2. Vérifiez le temps imparti pour l'atelier (par exemple : 01:15:00) : vous devez pouvoir le terminer dans ce délai.
   Une fois l'atelier lancé, vous ne pouvez pas le mettre en pause. Si nécessaire, vous pourrez le redémarrer, mais vous devrez tout reprendre depuis le début.

3. Lorsque vous êtes prêt, cliquez sur Démarrer l'atelier.

4. Notez vos identifiants pour l'atelier (Nom d'utilisateur et Mot de passe). Ils vous serviront à vous connecter à Google Cloud Console.

5. Cliquez sur Ouvrir la console Google.

6. Cliquez sur Utiliser un autre compte, puis copiez-collez les identifiants de cet atelier lorsque vous y êtes invité.
   Si vous utilisez d'autres identifiants, des messages d'erreur s'afficheront ou des frais seront appliqués.

7. Acceptez les conditions d'utilisation et ignorez la page concernant les ressources de récupération des données.

Tâche 1 : Créer les serveurs Web

Créez deux serveurs Web (blue et green) dans le réseau VPC par défaut. Installez ensuite nginx sur ces serveurs Web, puis modifiez la page d'accueil pour différencier les serveurs.

Créer le serveur "blue"

Créez le serveur blue avec un tag réseau.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur Compute Engine > Instances de VM.

2. Cliquez sur Créer une instance.

3. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	blue
   Région
   Zone

4. Cliquez sur Options avancées.

5. Cliquez sur Mise en réseau.

6. Dans le champ Tags réseau, saisissez web-server.

Remarque : Les tags réseau permettent aux réseaux d'identifier les instances de VM qui sont soumises à certaines règles de pare-feu et routes de réseau. Dans la tâche suivante, vous allez créer une règle de pare-feu autorisant l'accès HTTP pour les instances de VM à l'aide du tag web-server.

Vous pouvez aussi effectuer cette opération en cochant l'option Allow HTTP traffic (Autoriser le trafic HTTP), ce qui entraîne l'ajout du tag http-server à cette instance et la création automatique de la règle de pare-feu dotée d'un tag pour tcp:80.

7. Cliquez sur Create (Créer).

Créer le serveur "green"

Créez le serveur green sans tag réseau.

1. Cliquez sur Create instance (Créer une instance).

2. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	green
   Région
   Zone

3. Cliquez sur Créer.

Installer nginx et personnaliser la page d'accueil

Installez nginx sur les deux instances de VM et modifiez la page d'accueil pour différencier les serveurs.

1. Pour l'instance blue, cliquez sur SSH pour ouvrir un terminal et vous y connecter.
2. Exécutez la commande suivante pour installer nginx :

sudo apt-get install nginx-light -y

3. Exécutez la commande suivante pour ouvrir la page d'accueil de l'éditeur nano :

sudo nano /var/www/html/index.nginx-debian.html

4. Remplacez la ligne <h1>Welcome to nginx!</h1> par <h1>Welcome to the blue server!</h1>.
5. Appuyez sur les touches CTRL+O, Entrée, puisCTRL+X.
6. Exécutez la commande suivante pour constater la modification :

cat /var/www/html/index.nginx-debian.html

La sortie doit contenir les éléments suivants :

... <h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> ...

7. Fermez le terminal SSH pour blue :

exit

Effectuez la même procédure pour le serveur green :

8. Pour l'instance green, cliquez sur SSH pour ouvrir un terminal et vous y connecter.
9. Exécutez la commande suivante pour installer nginx :

sudo apt-get install nginx-light -y

10. Exécutez la commande suivante pour ouvrir la page d'accueil de l'éditeur nano :

sudo nano /var/www/html/index.nginx-debian.html

11. Remplacez la ligne <h1>Welcome to nginx!</h1> par la ligne <h1>Welcome to the green server!</h1>.
12. Appuyez sur les touches CTRL+O, Entrée, puisCTRL+X.
13. Exécutez la commande suivante pour constater la modification :

cat /var/www/html/index.nginx-debian.html

La sortie doit contenir les éléments suivants :

... <h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> ...

14. Fermez le terminal SSH pour green :

exit

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer les serveurs Web

Tâche 2 : Créer la règle de pare-feu

Créez la règle de pare-feu dotée d'un tag et testez la connectivité HTTP.

Créer la règle de pare-feu dotée d'un tag

Créez une règle de pare-feu qui s'applique aux instances de VM dotées du tag réseau web-server.

1. Dans la console Cloud, accédez au menu de navigation, puis cliquez sur Réseau VPC > Pare-feu.
2. Vous verrez alors la règle de pare-feu default-allow-internal.

Remarque : La règle de pare-feu default-allow-internal autorise le trafic sur tous les protocoles/ports au sein du réseau default. Votre objectif est de créer une règle de pare-feu pour autoriser le trafic provenant de l'extérieur de ce réseau vers le serveur blue uniquement à l'aide du tag réseau web-server.

3. Cliquez sur Create Firewall Rule (Créer une règle de pare-feu).

4. Spécifiez les paramètres suivants et conservez les valeurs par défaut des autres paramètres :

   Propriété	Valeur (saisissez la valeur ou sélectionnez l'option spécifiée)
   Nom	allow-http-web-server
   Réseau	par défaut
   Cibles	Tags cibles spécifiés
   Tags cibles	web-server
   Filtre source	Plages IPv4
   Plages IPv4 sources	0.0.0.0/0
   Protocoles et ports	Specified protocols and ports (Protocoles et ports spécifiés)

5. Pour le protocole tcp, indiquez le port 80.

Remarque : Pensez à ajouter /0 dans les plages IPv4 sources pour indiquer tous les réseaux.

6. Cliquez sur Créer.

Créer une instance "test-vm"

Créez une instance test-vm à l'aide de l'outil de ligne de commande gcloud.

1. Dans la console Cloud, cliquez sur Activer Cloud Shell ().
2. Cliquez sur Continuer si vous y êtes invité.
3. Exécutez la commande suivante pour créer une instance test-vm :

gcloud compute instances create test-vm --machine-type=e2-medium --subnet=default --zone={{{ project_0.default_zone | "filled at lab start" }}}

Le résultat doit ressembler aux éléments présentés ci-dessous. (Notez que la zone peut être différente.)

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm us-central1-a e2-medium 10.142.0.4 35.237.134.68 RUNNING Remarque : Vous pouvez facilement créer des instances de VM depuis la console Cloud ou l'outil de ligne de commande gcloud.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer la règle de pare-feu et l'instance

Tester la connectivité HTTP

Depuis l'instance test-vm, appliquez la commande curl aux adresses IP internes et externes des serveurs blue et green.

1. Dans la console Cloud, accédez au menu de navigation, puis cliquez sur Compute Engine > VM instances (Instances de VM).
   Notez les adresses IP internes et externes des serveurs blue et green.
2. Pour l'instance test-vm, cliquez sur SSH pour lancer un terminal et vous y connecter.
3. Pour tester la connectivité HTTP à l'adresse IP interne du serveur blue, exécutez la commande suivante en indiquant l'adresse IP interne de blue :

curl <saisir l'adresse IP externe du serveur "blue" ici>

Vous devriez voir l'en-tête Welcome to the blue server!

4. Pour tester la connectivité HTTP à l'adresse IP interne du serveur green, exécutez la commande suivante en indiquant l'adresse IP interne du serveur green :

curl <saisir l'adresse IP interne du serveur "green" ici>

Vous devriez voir l'en-tête Welcome to the green server!

Remarque : Vous pouvez accéder aux deux serveurs via le protocole HTTP à l'aide de leur adresse IP interne. La connexion sur tcp:80 est autorisée par la règle de pare-feu default-allow-internal, car test-vm se trouve sur le même réseau VPC que les serveurs Web (réseau default).

5. Pour tester la connectivité HTTP à l'adresse IP externe du serveur blue, exécutez la commande suivante en indiquant l'adresse IP externe du serveur blue :

curl <saisir l'adresse IP externe du serveur "blue" ici>

Vous devriez voir l'en-tête Welcome to the blue server!

6. Pour tester la connectivité HTTP à l'adresse IP externe du serveur green, exécutez la commande suivante en indiquant l'adresse IP externe du serveur green :

curl <saisir l'adresse IP externe du serveur "green" ici> Remarque : Cela ne devrait pas fonctionner.

7. Appuyez sur les touches CTRL+C pour arrêter la requête HTTP.

Remarque : Comme prévu, vous pouvez uniquement accéder via le protocole HTTP à l'adresse IP externe du serveur blue, car allow-http-web-server ne s'applique qu'aux instances de VM avec le tag web-server.

8. Pour constater le même comportement depuis votre navigateur, ouvrez un nouvel onglet, puis accédez à http://[adresse IP externe du serveur].

Tâche 3 : Découvrir les rôles d'administrateur réseau et d'administrateur de sécurité

Cloud IAM vous permet d'accorder les autorisations nécessaires aux utilisateurs intervenant sur des ressources spécifiques. Grâce à cette solution, vous contrôlez l'accès à vos ressources cloud et leur visibilité afin de centraliser leur gestion. Lors de la mise en réseau d'un projet unique, les rôles suivants vous permettent de contrôler individuellement l'accès Administrateur à chaque réseau VPC :

• Network Admin (Administrateur réseau) : ce rôle permet de créer, modifier et supprimer des ressources réseau, à l'exception des règles de pare-feu et des certificats SSL.
• Security Admin (Administrateur de sécurité) : ce rôle permet de créer, modifier et supprimer des règles de pare-feu et des certificats SSL.

Examinez le fonctionnement de ces rôles en les appliquant à un compte de service (compte Google spécifique qui appartient à votre instance de VM) plutôt qu'à un utilisateur final individuel. Vous devez autoriser test-vm à utiliser le compte de service afin d'illustrer les autorisations des rôles Network Admin (Administrateur réseau) et Security Admin (Administrateur de sécurité), plutôt que de créer un nouveau compte utilisateur.

Vérifier les autorisations actuelles

En l'état, test-vm utilise le compte de service Compute Engine par défaut, activé sur toutes les instances créées par l'outil de ligne de commande gcloud et la console Cloud.

Essayez de répertorier ou de supprimer les règles de pare-feu disponibles à partir de test-vm.

1. Revenez au terminal SSH de l'instance test-vm.
2. Exécutez la commande suivante pour essayer de répertorier les règles de pare-feu disponibles :

gcloud compute firewall-rules list

Le résultat doit se présenter comme suit :

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Remarque : Cela ne devrait pas fonctionner.

3. Exécutez la commande suivante pour essayer de supprimer la règle de pare-feu allow-http-web-server :

gcloud compute firewall-rules delete allow-http-web-server

4. Si vous êtes invité à poursuivre l'opération, saisissez Y.

Le résultat doit se présenter comme suit :

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Remarque : Cela ne devrait pas fonctionner. Remarque : Le compte de service Compute Engine par défaut ne dispose pas des autorisations adéquates pour vous permettre de répertorier ou de supprimer les règles de pare-feu. Il en va de même pour les autres utilisateurs qui ne possèdent pas les rôles appropriés.

Créer un compte de service

Créez un compte de service et appliquez-lui le rôle Administrateur réseau.

1. Dans la console Cloud, accédez au menu de navigation (), puis cliquez sur IAM & admin > Service accounts (IAM et administration > Comptes de service).
   Vous verrez alors le compte de service Compute Engine par défaut.
2. Cliquez sur Create service account (Créer un compte de service).
3. Définissez le Nom du compte de service sur Network-admin (Administrateur réseau).
4. Cliquez sur Créer et continuer.
5. Pour Sélectionner un rôle, sélectionnez Compute Engine > Compute Network Admin (Administrateur de réseaux Compute).
6. Cliquez sur Continue (Continuer).
7. Cliquez sur OK.

Remarque : Vous pouvez aussi créer et télécharger un fichier contenant la clé privée. Nous pouvons toutefois simplement arrêter test-vm et l'autoriser à utiliser le compte de service.

Autoriser "test-vm"

Autorisez test-vm à utiliser le compte de service Network-admin (Administrateur réseau).

1. Dans le menu de navigation, cliquez sur Compute Engine > VM instances (Instances de VM).
2. Cliquez sur le nom de l'instance test-vm pour ouvrir la page VM instance details (Détails de l'instance de VM).
3. Cliquez sur Stop (Arrêter), puis cliquez de nouveau sur Stop pour confirmer votre choix et arrêter l'instance. Attendez que l'instance s'arrête avant de passer à la prochaine étape.

Remarque : Vous devez arrêter une instance avant de pouvoir modifier son compte de service.

4. Une fois l'instance arrêtée, cliquez sur Modifier.

5. Sélectionnez Administrateur réseau dans le champ Compte de service.

6. Pour "Niveaux d'accès", sélectionnez Définir l'accès pour chaque API, puis sélectionnez l'option Lecture/Écriture dans le menu déroulant Compute Engine.

7. Cliquez sur Enregistrer et attendez que l'instance se mette à jour.

8. Cliquez sur Start (Démarrer) puis cliquez de nouveau sur Start pour confirmer votre choix et démarrer l'instance.

9. Revenez à la page Vm instances (Instances de VM), puis attendez que test-vm passe en état d'exécution.

10. Cliquez sur SSH pour l'instance test-vm.

Vérifier les autorisations

1. Exécutez la commande suivante pour essayer de répertorier les règles de pare-feu disponibles :

gcloud compute firewall-rules list

Le résultat doit se présenter comme suit :

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Cela devrait fonctionner.

2. Exécutez la commande suivante pour essayer de supprimer la règle de pare-feu allow-http-web-server :

gcloud compute firewall-rules delete allow-http-web-server

3. Si vous êtes invité à poursuivre l'opération, saisissez Y.

Le résultat doit se présenter comme suit :

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewalls.delete' permission for 'projects/[PROJECT_ID]/global/firewalls/allow-http-web-server' Remarque : Cela ne devrait pas fonctionner. Remarque : Comme prévu, le rôle Administrateur réseau est autorisé à répertorier les règles de pare-feu, mais pas à modifier ni à supprimer ces règles.

Mettre à jour le compte de service et vérifier les autorisations

Mettez à jour le compte de service Network-admin en lui appliquant le rôle Administrateur de sécurité.

1. Dans la console Cloud, accédez au menu de navigation (), cliquez sur IAM & admin > IAM (IAM et administration > IAM).
2. Recherchez le compte Network-admin (Administrateur réseau). Pour identifier facilement ce compte, examinez la colonne Nom.
3. Cliquez sur l'icône en forme de crayon associée au compte Network-admin.
4. Définissez Rôle sur Compute Engine > Administrateur de sécurité de Compute.
5. Cliquez sur Enregistrer.
6. Revenez au terminal SSH de l'instance test-vm.
7. Exécutez la commande suivante pour essayer de répertorier les règles de pare-feu disponibles :

gcloud compute firewall-rules list

Le résultat doit se présenter comme suit :

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Cela devrait fonctionner.

8. Exécutez la commande suivante pour essayer de supprimer la règle de pare-feu allow-http-web-server :

gcloud compute firewall-rules delete allow-http-web-server

9. Si vous êtes invité à poursuivre l'opération, saisissez Y.

Le résultat doit se présenter comme suit :

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewalls/allow-http-web-server].

Cela devrait fonctionner.

Remarque : Comme prévu, le rôle Administrateur de sécurité est autorisé à répertorier et à supprimer les règles de pare-feu.

Vérifier la suppression de la règle de pare-feu

Vérifiez que vous ne disposez plus d'aucun accès HTTP à l'adresse IP externe du serveur blue, puisque vous avez supprimé la règle de pare-feu allow-http-web-server.

1. Revenez au terminal SSH de l'instance test-vm.
2. Pour tester la connectivité HTTP à l'adresse IP externe du serveur blue, exécutez la commande suivante en indiquant l'adresse IP externe du serveur blue :

curl <saisir l'adresse IP externe du serveur "blue" ici> Remarque : Cela ne devrait pas fonctionner.

3. Appuyez sur les touches CTRL+C pour arrêter la requête HTTP.

Remarque : Pour éviter tout risque de modifications indésirables de vos règles de pare-feu, choisissez avec soin l'utilisateur ou le compte de service auquel vous attribuez le rôle Administrateur de sécurité.

Cliquez sur Vérifier ma progression pour valider l'objectif. Découvrir les rôles d'administrateur réseau et d'administrateur de sécurité

Tâche 4 : Récapitulatif

Au cours de cet atelier, vous avez créé deux serveurs Web nginx et contrôlé l'accès HTTP externe à l'aide d'une règle de pare-feu dotée d'un tag. Vous avez ensuite créé un compte de service, auquel vous avez d'abord appliqué le rôle Network Admin (Administrateur réseau), puis le rôle Security Admin (Administrateur de sécurité), afin de découvrir les différentes autorisations de ces deux rôles.

Si votre entreprise dispose à la fois d'une équipe de sécurité qui gère les pare-feu et les certificats SSL et d'une équipe de mise en réseau qui gère le reste des ressources réseau, attribuez à l'équipe de sécurité le rôle Security Admin (Administrateur de sécurité), et à l'équipe de mise en réseau le rôle Network Admin (Administrateur réseau).

Terminer l'atelier

Une fois l'atelier terminé, cliquez sur Terminer l'atelier. Google Cloud Skills Boost supprime les ressources que vous avez utilisées, puis efface le compte.

Si vous le souhaitez, vous pouvez noter l'atelier. Sélectionnez un nombre d'étoiles, saisissez un commentaire, puis cliquez sur Envoyer.

Le nombre d'étoiles correspond à votre degré de satisfaction :

• 1 étoile = très insatisfait(e)
• 2 étoiles = insatisfait(e)
• 3 étoiles = ni insatisfait(e), ni satisfait(e)
• 4 étoiles = satisfait(e)
• 5 étoiles = très satisfait(e)

Si vous ne souhaitez pas donner votre avis, vous pouvez fermer la boîte de dialogue.

Pour soumettre des commentaires, suggestions ou corrections, veuillez accéder à l'onglet Assistance.

Copyright 2026 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms de société et de produit peuvent être des marques des sociétés auxquelles ils sont associés.