FAQ Amazon Virtual Private Cloud

Questions d'ordre général

Q : Qu'est-ce qu'Amazon Virtual Private Cloud (Amazon VPC) ?

Amazon VPC vous permet de mettre en service une section du nuage Amazon Web Services (AWS) isolée de manière logique, au sein de laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez. Vous conservez la totale maîtrise de votre environnement réseau virtuel, y compris pour la sélection de votre propre plage d'adresses IP, la création de sous-réseaux et la configuration de tables de routage et de passerelles réseau. De plus, vous pouvez créer une connexion VPN (Virtual Private Network) matériel entre le centre de données de votre entreprise et votre VPC, et exploiter le nuage AWS comme une extension de votre centre de données d'entreprise.

Vous pouvez facilement adapter la configuration du réseau à votre nuage Amazon VPC. Par exemple, vous pouvez créer un sous-réseau destiné au public pour vos serveurs Web : un sous-réseau qui a accès à Internet et place vos systèmes principaux, comme les bases de données ou les serveurs d'application, dans un sous-réseau non destiné au public sans accès Internet. Vous pouvez exercer un effet de levier sur des couches multiples de sécurité, y compris les groupes de sécurité et les listes de contrôles d'accès au réseau afin d'aider à contrôler l'accès aux instances Amazon EC2 dans chaque sous-réseau.

Q : Quels sont les éléments d'Amazon VPC ?

Amazon VPC comprend une variété d'objets bien connus des clients équipés de réseaux existants :

• Un nuage privé virtuel ou VPC (Virtual Private Cloud) est un réseau virtuel isolé de manière logique au sein du nuage AWS. Vous définissez un espace d'adresse IP d'un VPC depuis une plage que vous sélectionnez.
• Sous-réseau : un segment de plages d'adresses IP dans lequel vous pouvez placer des groupes de ressources isolées.
• Passerelle Internet : le côté Amazon VPC d'une connexion à l'Internet public.
• Instance NAT : une instance EC2 qui fournit une traduction de l'adresse du port pour des instances non EIP afin d'accéder à Internet via la passerelle Internet.
• Connexion au matériel VPN : une connexion VPN basée sur le matériel entre votre Amazon VPC et un centre de données, un réseau domestique ou une installation de colocation.
• Passerelle réseau privé virtuel ou passerelle VPN : le côté Amazon VPC d'une connexion VPN.
• Passerelle client : votre côté de la connexion VPN.
• Routeur : les routeurs assurent l'interconnexion des sous-réseaux et acheminent le trafic entre les passerelles Internet, les passerelles VPN, les instances NAT et les sous-réseaux.

Q : Pourquoi devrais-je utiliser Amazon VPC ?

Amazon VPC vous permet de construire un réseau virtuel dans le nuage AWS ; aucun VPN, matériel ou centre de données physique n'est requis. Vous pouvez définir votre propre espace réseau et contrôler comment votre réseau et les ressources Amazon EC2 au sein de votre réseau sont exposés à Internet. Vous pouvez également tirer profit des options de sécurité très renforcées dans Amazon VPC pour fournir un accès plus granulaire à la fois vers et à partir des instances Amazon EC2 dans votre réseau virtuel.

Q : Comment démarrer avec Amazon VPC ?

Vos ressources AWS sont automatiquement mises en service dans un VPC par défaut prêt à l'emploi. Vous pouvez créer des VPC supplémentaires. Pour cela, rendez-vous sur la page Amazon VPC sur AWS Management Console et cliquez sur le bouton « Start VPC Wizard ».

Vous vous verrez proposer quatre options basiques pour les architectures réseau. Après avoir sélectionné une option, vous pouvez modifier la taille et la plage des adresses IP du VPC et ses sous-réseaux. Si vous sélectionnez une option avec l'accès au matériel VPN, vous devrez spécifier l'adresse IP du matériel VPN sur votre réseau. Vous pouvez modifier le VPC pour ajouter plus de sous-réseaux ou ajouter ou supprimer des passerelles à n'importe quel moment après la création du VPC.

Voici les quatre options disponibles :

1. VPC avec un sous-réseau public seulement
2. VPC avec des sous-réseaux publics et privés
3. VPC avec des sous-réseaux publics et privés, et un accès au matériel VPN
4. VPC avec un sous-réseau privé seulement et un accès au matériel VPN

Facturation

Q : Comment l'utilisation d'Amazon VPC me sera-t-elle facturée ?

Il n'y a pas de frais supplémentaires pour la création et l'utilisation du VPC lui-même. Les frais d'utilisation pour d'autres Amazon Web Services, y compris Amazon EC2, s'appliquent aux taux publiés pour ces ressources y compris les frais de transfert de données.

Si vous connectez votre VPC au centre de données de votre entreprise en utilisant la connexion VPN matériel optionnelle, le tarif est calculé par heure de connexion VPN consommée (la durée pendant laquelle l'état de votre connexion VPN indique qu'elle est disponible.) Les heures commencées seront facturées comme des heures entières. Les données transférées au-delà des connexions VPN seront facturées aux taux standard de transfert de données AWS. Pour obtenir des informations sur la tarification VPC-VPN , veuillez consulter la section de tarification de la page produit Amazon VPC.

Q : Qu'est-ce qui définit les heures de connexions VPN facturables ?

Les heures de connexion VPN sont facturées chaque fois que vos connexions VPN sont indiquées comme étant disponibles. Vous pouvez déterminer l'état d'une connexion VPN via AWS Management Console, l'interface de ligne de commande ou une API. Si vous ne voulez plus utiliser votre connexion VPN, vous y mettez simplement fin pour éviter que des heures de connexion VPN supplémentaires ne vous soient facturées.

Q : Quels frais d'utilisation me seront facturés si j'utilise d'autres services AWS, comme Amazon S3, à partir des instances Amazon EC2 dans mon VPC ?

Les frais d'utilisation pour d'autres Amazon Web Services, y compris Amazon EC2, s'appliquent aux taux publiés pour ces ressources. Les frais de transfert de données ne sont pas facturés au moment de l'accès aux Amazon Web Services, tels que Amazon S3, via votre passerelle Internet de VPC.

Si vous accédez aux ressources AWS via votre connexion VPN, vous encourrez des frais pour vos transferts de données Internet.

Connectivité

Q : Quelles sont les options de connectivité pour mon VPC ?

Vous pouvez connecter votre VPC à :

• Internet (via une passerelle Internet)
• votre centre de données interne à partir d'une connexion VPN (via la passerelle réseau privé virtuel)
• Internet et à votre centre de données interne (en utilisant à la fois une passerelle Internet et une passerelle réseau privé virtuel)

Q : Comment connecter mon VPC à Internet ?

Amazon VPC prend en charge la création d'une passerelle Internet. Cette passerelle active les instances Amazon EC2 pour accéder directement à Internet.

Q : Comment des instances dans un VPC accèdent-elles à Internet ?

Des adresses IP élastique (EIP) donnent aux instances dans le VPC la capacité de communiquer directement vers l'extérieur vers Internet et de recevoir un trafic entrant non sollicité à partir d'Internet (c.-à-d. des serveurs Web).

Q : Comment les instances sans EIP accèdent-elles à Internet ?

Les instances sans EIP peuvent accéder à Internet de deux façons.

1. Les instances sans EIP peuvent acheminer leur trafic vers une instance NAT pour accéder à Internet. Ces instances utilisent l'EIP de l'instance NAT pour traverser Internet. L'instance NAT permet une communication vers l'extérieur mais n'active pas les machines sur Internet pour initier une connexion vers des machines dont l'adresse est privée et qui utilisent NAT, et
2. Pour les VPC équipés d'une connexion VPN matérielle, les instances peuvent acheminer leur trafic Internet jusqu'à votre centre de données existant, via la passerelle réseau privé virtuel (passerelle VPN). A partir de là, il peut accéder à Internet via vos points de sortie existants et les périphériques de surveillance/sécurité du réseau.

Q : Puis-je me connecter à mon VPC en utilisant un logiciel VPN ?

Oui. Vous pouvez utiliser un logiciel VPC tiers pour créer une connexion d'accès VPN site à site ou un accès distant avec votre VPC via la passerelle Internet.

Q : Comment une connexion VPN hardware fonctionne-t-elle avec Amazon VPC ?

Une connexion VPN hardware connecte votre VPC à votre centre de données. Amazon prend en charge les connexions VPN utilisant l'Internet Protocol Security (IPsec). Les données transférées entre votre VPC et votre centre de données emprunte une connexion VPN codée pour maintenir la confidentialité et l'intégrité des données en transit. Une passerelle Internet n'est pas nécessaire pour établir une connexion matériel VPN.

Q : Qu'est-ce que IPsec ?

IPsec est un ensemble de protocoles de sécurisation des communications IP (Internet Protocol) par l'authentification et le cryptage de chaque paquet IP d'un flux de données.

Q : Quels périphériques de passerelle client puis-je utiliser pour me connecter à Amazon VPC ?

Vous pouvez créer deux types de connexions VPN : les connexions VPN acheminées de façon statique et les connexions VPN acheminées de façon dynamique. Les périphériques de passerelle client qui prennent en charge les connexions VPN acheminées de façon statique doivent pouvoir :

• établir une association de sécurité IKE en utilisant des clés pré-partagées
• établir des associations de sécurité IPsec en mode tunnel
• utiliser la fonction de cryptage AES 128-bit
• utiliser la fonction de hachage SHA-1
• utiliser Diffie-Hellman Perfect Forward Secrecy dans le mode « groupe 2 »
• pratiquer une fragmentation par paquets avant le chiffrement

En plus des capacités ci-dessus, les périphériques qui prennent en charge les connexions VPN acheminées de façon dynamique doivent pouvoir :

• établir des peerings Border Gateway Protocol (BGP)
• relier des tunnels à des interfaces logiques (VPN basé sur un routage)
• utiliser IPsec Dead Peer Detection

Q : Quels périphériques de passerelle client sont connus pour fonctionner avec Amazon VPC ?

Les périphériques suivants, correspondant aux exigences mentionnées ci-dessus, sont connus pour fonctionner avec des connexions VPN matériel et prennent en charge, via les outils de ligne de commande, la génération automatique de fichiers de configuration adaptés à votre périphérique :

• Connexions VPN acheminées de façon statique
  • Cisco ASA 5500 Series version 8.2 (ou plus récente)
  • Cisco ISR fonctionnant avec Cisco IOS 12.4 (ou version plus récente)
  • Juniper J-Series Service Router fonctionnant avec JunOS 9.5 (ou version plus récente)
  • Juniper SRX-Series Services Gateway fonctionnant avec des logiciels JunOS 9.5 (ou version plus récente)
  • Juniper SSG fonctionnant avec des logiciels Screen OS 6.1 ou 6.2 (ou version plus récente)
  • Juniper ISG fonctionnant avec Screen OS 6.1 ou 6.2 (ou version plus récente)
  • Microsoft Windows Server 2008 R2 (ou version plus récente)
  • Routeur Yamaha RTX1200
• Connexions VPN acheminées de façon dynamique (BGP requis)
  • Astaro Security Gateway fonctionnant avec la version 8.3 (ou plus récente)
  • Astaro Security Gateway Essential Firewall Edition fonctionnant avec la version 8.3 (ou plus récente)
  • ISR Cisco fonctionnant avec Cisco IOS 12.4 (ou version plus récente)
  • Fortinet Fortigate 40+ Series fonctionnant avec FortiOS 4.0 (ou version plus récente)
  • Juniper J-Series Service Router fonctionnant avec JunOS 9.5 (ou version plus récente)
  • Juniper SRX-Series Services Gateway fonctionnant avec des logiciels JunOS 9.5 (ou version plus récente)
  • Juniper SSG fonctionnant avec des logiciels Screen OS 6.1 ou 6.2 (ou version plus récente)
  • Juniper ISG fonctionnant avec Screen OS 6.1 ou 6.2 (ou version plus récente)
  • Palo Alto Networks PA Series fonctionnant avec PANOS 4.1.2 (ou version plus récente)
  • Vyatta Network OS 6.5 (ou version plus récente)
  • Routeur Yamaha RTX1200

Q : Si mon périphérique n'est pas répertorié, où puis-je trouver plus d'informations sur son utilisation avec Amazon VPC ?

Nous recommandons de visiter le forum Amazon VPC ; il se peut que d'autres clients utilisent déjà votre périphérique.

Q : Y a-t-il des limitations de débit de connexion VPN ?

Amazon n'applique aucune restriction sur le débit VPN. En revanche, d'autres facteurs, tels que la capacité cryptographique de votre passerelle client, la capacité de votre connexion Internet, la taille moyenne d'un paquet, le protocole utilisé (TCP ou UDP) et la latence du réseau entre votre passerelle client et la passerelle VPN peuvent affecter le débit.

Q : Quels sont les outils disponibles pour m'aider à trouver des solutions à mes problèmes de configuration du matériel VPN ?

L'API vgw-telemetry affiche l'état de la connexion VPN, y compris l'état (up/down) de chaque tunnel VPN et les messages d'erreur correspondants dans le cas où un tunnel serait « down ». Cette information est aussi affichée dans la console de gestion d'AWS.

Q : Comment connecter un VPC à mon centre de données interne ?

Établir une connexion VPN hardware entre votre réseau existant et Amazon VPC vous permet d'interagir avec les instances Amazon EC2 au sein d'un VPC comme si elles étaient dans votre réseau existant. AWS n'effectue pas la traduction d'adresse réseau (NAT) sur les instances Amazon EC2 au sein d'un VPC auquel on accède via une connexion matériel VPN.

Adressage IP

Q : Quelles plages d'adresses IP utiliser au sein de mon VPC ?

Vous pouvez adresser votre VPC à partir de n'importe quelle plage d'adresses IPv4 y compris RFC 1918 ou des blocs IP publiquement routables. Les blocs IP pouvant être acheminés publiquement ne sont accessibles qu'à partir de la passerelle VPN et ne le sont pas sur Internet, par le biais de la passerelle Internet. AWS n'annonce pas les blocs d'adresses IP de clients sur Internet. De plus, les VPC ne peuvent pas être adressés actuellement depuis des plages d'adresses IP IPv6.

Q : Comment attribuer des plages d'adresses IP à des VPC ?

Vous attribuez un unique bloc d'adresses IP Classless Internet Domain Routing (CIDR) lorsque vous créez un VPC. Vous adressez les sous-réseaux au sein d'un VPC depuis cette plage. On peut attribuer à un VPC au plus une (1) plage d'adresses IP à un moment donné ; l'adressage d'un VPC à partir de plusieurs plages d'adresses IP n'est à l'heure actuelle pas pris en charge. Même si vous pouvez créer plusieurs VPC avec des chevauchements de plages d'adresses IP, le faire ne vous permettra pas de connecter ces VPC à un réseau familial commun via la connexion VPN hardware. Pour cette raison, nous recommandons d'utiliser des plages d'adresses IP non superposées.

Q : Quelles sont les plages d'adresses IP affectées au VPC par défaut ?

La plage CIDR 172.31.0.0/16 est affectée aux VPC par défaut. Les sous-réseaux par défaut au sein d'un VPC par défaut se voient affectés les netblocks /20 au sein de la plage CIDR du VPC.

Q : Puis-je annoncer la plage d'adresses IP de mon VPC sur Internet et acheminer le trafic par mon centre de données, via le matériel VPN et vers mon VPC ?

Oui, vous pouvez acheminer le trafic via une connexion VPN hardware et annoncer la plage d'adresses depuis votre réseau maison.

Q : Quelle taille de VPC puis-je créer ?

À l'heure actuelle, Amazon VPC prend en charge des tailles de VPC comprises entre /28 (en notation CIDR) et /16. La plage d'adresses IP de votre VPC ne doit pas se superposer aux plages d'adresses IP de votre réseau existant.

Q : Puis-je changer la taille d'un VPC ?

Non. À l'heure actuelle, pour changer la taille d'un VPC, vous devez terminer votre VPC existant et en créer un nouveau.

Q : Combien de sous-réseaux puis-je créer par VPC ?

A l'heure actuelle, vous pouvez créer 200 sous-réseaux par VPC. Si vous voulez en créer plus, veuillez remplir le formulaire suivant.

Q : Y a-t-il une limite à la taille d'un sous-réseau ?

La taille minimum d'un sous-réseau est un /28 (ou 14 adresses IP). Les sous-réseaux ne peuvent pas être supérieurs au VPC dans lequel ils sont créés.

Q : Puis-je utiliser les adresses IP que j'attribue à un sous-réseau ?

Non. Amazon réserve les quatre (4) premières adresses IP et la dernière (1) adresse IP de chaque sous-réseau pour le réseau IP.

Q : Comment puis-je attribuer des adresses IP privées aux instances Amazon EC2 au sein d'un VPC ?

Lorsque vous lancez une instance Amazon EC2 au sein d'un VPC, vous pouvez, éventuellement, indiquer l'adresse IP privée principale de cette instance. Si vous n'indiquez rien, AWS récupère automatiquement cette adresse à partir de la plage d'adresses IP que vous attribuez à ce sous-réseau. Vous pouvez attribuer des adresses IP privées secondaires lorsque vous lancez une instance, lorsque vous créez une interface réseau élastique ou à tout moment après le lancement de l'instance ou la création de l'interface.

Q : Est-il possible de changer les adresses IP privées d'une instance Amazon EC2 alors que celle-ci est en cours d'exécution et/ou arrêtée au sein d'un VPC ?

Les adresses IP privées principales sont conservées pour toute la durée de vie de l'instance ou de l'interface. Les adresses IP privées secondaires peuvent être associées, dissociées ou déplacées entre différentes interfaces ou instances, à tout moment.

Q : Si une instance Amazon EC2 est arrêtée au sein d'un VPC, puis-je lancer une autre instance avec la même adresse IP dans le même VPC ?

Non. Une adresse IP attribuée à une instance en cours d'exécution peut être réutilisée par une autre instance seulement lorsque cette instance est dans un état « terminé ».

Q : Puis-je attribuer des adresses IP simultanément pour plusieurs instances ?

Non. Vous pouvez indiquer l'adresse IP d'une instance au moment du lancement de l'instance.

Q : Puis-je attribuer une adresse IP à une instance ?

Vous pouvez attribuer n'importe quelle adresse IP à votre instance tant qu'elle est :

• une partie de la plage d'adresses IP du sous-réseau associé
• non réservée par Amazon pour un réseau IP
• non attribuée actuellement à une autre instance

Q : Puis-je attribuer plusieurs adresses IP à une instance ?

Oui. Vous pouvez attribuer une ou plusieurs adresses IP privées secondaires à une interface réseau élastique ou à une instance EC2 au sein d'Amazon VPC. Le nombre d'adresses IP privées secondaires que vous pouvez attribuer dépend du type d'instance. Pour en savoir plus sur le nombre d'adresses IP privées secondaires pouvant être attribuées selon le type d'instance, consultez le guide de l'utilisateur d'EC2.

Q . Puis-je attribuer une ou plusieurs adresses IP élastiques à des instances Amazon EC2 reposant sur un VPC ?

Oui. Néanmoins, ces adresses IP élastiques seront accessibles uniquement à partir d'Internet (et non par le biais de la connexion VPN). Chaque adresse IP élastique doit être associée à une adresse IP privée unique sur l'instance. Les adresses EIP devraient seulement être utilisées sur des instances dans des sous-réseaux pour acheminer leur trafic directement vers la passerelle Internet. Les EIP ne peuvent pas être utilisées sur des instances dans des sous-réseaux configurés pour l'utilisation d'une instance NAT afin d'accéder à Internet.

Acheminement et topologie

Q : Que fait un routeur Amazon VPC ?

Un routeur Amazon VPC permet aux instances Amazon EC2 dans des sous-réseaux de communiquer avec les instances Amazon EC2 dans d'autres sous-réseaux au sein du même VPC. Le routeur VPC active également les sous-réseaux, les passerelles Internet et les passerelles VPN pour permettre la communication. Les données d'utilisation du réseau ne sont pas disponibles depuis le routeur, par contre vous pouvez obtenir des statistiques d'utilisation du réseau depuis vos instances à l'aide d'Amazon CloudWatch.

Q : Puis-je modifier les tables de routage VPC ?

Oui. Vous pouvez créer des règles d'acheminement afin de définir quels sous-réseaux sont dirigés vers la passerelle Internet, la passerelle VPN ou d'autres instances (par ex, des instances NAT).

Q : Puis-je spécifier quel sous-réseau la passerelle utilisera par défaut ?

Oui. Vous pouvez créer un itinéraire par défaut pour chaque sous-réseau. L'itinéraire par défaut peut acheminer le trafic hors du VPC via la passerelle Internet, la passerelle réseau privé virtuel ou l'instance NAT.

Q : Amazon VPC prend-il en charge la multidiffusion ou la diffusion ?

Non.

Sécurité et filtrage

Q : Comment est-ce que je sécurise les instances Amazon EC2 fonctionnant au sein de mon VPC ?

Les groupes de sécurité Amazon EC2 peuvent être utilisés pour sécuriser les instances au sein de Amazon VPC. Les groupes de sécurité dans un VPC vous permettent de spécifier le trafic réseau entrant et sortant, autorisé vers et à partir de chaque instance Amazon EC2. Le trafic qui n'est pas autorisé de façon explicite vers ou à partir d'une instance est automatiquement refusé.

En plus des groupes de sécurité, le trafic réseau entrant et sortant de chaque sous-réseau peut être autorisé ou rejeté via les listes de contrôle d'accès (ACL) réseau.

Q : Quelles sont les différences entre les groupes de sécurité dans un VPC et des ACL réseau dans un VPC ?

Les groupes de sécurité dans un VPC spécifient quel trafic est autorisé vers et à partir d'une instance Amazon EC2. Les ACL réseau fonctionnent au niveau du sous-réseau et évaluent le trafic entrant et sortant dans un sous-réseau. Les ACL réseau peuvent être utilisées pour déterminer à la fois les règles d'autorisation et de refus. Les ACL réseau ne filtrent pas le trafic entre les instances dans le même sous-réseau. De plus, les ACL réseau pratiquent un filtrage statique alors que les groupes de sécurité pratiquent un filtrage dynamique.

Q : Quelle est la différence entre un filtrage statique et dynamique ?

Le filtrage dynamique suit l'origine d'une demande et peut automatiquement autoriser le retour de la réponse à une demande vers l'ordinateur d'origine. Par exemple, un filtre dynamique qui autorise un trafic entrant vers un port tcp 80 sur un serveur Web autorisera le traffic de retour, habituellement sur un port dont le chiffre est élevé (par ex, port tcp 63 912) pour le transmettre à un filtre dynamique entre le client et le serveur Web. Le dispositif de filtrage maintient un tableau d'état qui suit les numéros de port et d'adresses IP d'origine et de destination. Seule une règle est requise sur le dispositif de filtrage : autoriser le trafic entrant vers le serveur Web sur le port tcp 80.

Le filtrage statique, quant à lui, examine seulement la source ou la destination d'une adresse IP et le port de destination, ignorant si le trafic correspond à une nouvelle demande ou à une réponse à une demande. Dans l'exemple ci-dessus, deux règles auraient besoin d'être mises en œuvre sur le dispositif de filtrage : une règle pour autoriser le trafic entrant vers le serveur Web sur le port tcp 80 et une autre règle pour autoriser le trafic sortant à partir du serveur Web (plage de port tcp 49 152 à 65 535).

Q : Au sein d'Amazon VPC, puis-je utiliser des paires de clés SSH créées pour des instances au sein d'Amazon EC2, et vice versa ?

Oui.

Q :Les instances Amazon EC2 au sein d'un VPC communiquent-elles avec les instances Amazon EC2 qui ne sont pas au sein d'un VPC ?

Oui. Si une passerelle Internet a été configurée, le trafic Amazon VPC lié aux instances Amazon EC2 et qui n'est pas au sein d'un VPC traverse la passerelle Internet et entre ensuite dans le réseau AWS public pour atteindre l'instance EC2. Si aucune passerelle Internet n'a été configurée, ou si l'instance est dans un sous-réseau configuré pour un routage vers une passerelle réseau privé virtuel, le trafic traverse la connexion VPN, sort du centre de données, puis entre à nouveau dans le réseau AWS public.

Q : Les instances Amazon EC2 au sein d'un VPC dans une région communiquent-elles avec les instances Amazon EC2 au sein d'une autre région ?

Oui, tant que toute la communication a lieu au-dessus de la passerelle Internet de chaque VPC et utilise les adresses IP élastique assignées aux instances dans chaque VPC. Veuillez noter : les groupes de sécurité ne couvrent pas les régions. Tout le filtrage de trafic entre les instances dans un VPC et les instances dans un autre VPC doivent utiliser les adresses IP élastique comme la source spécifiée ou l'adresse de destination.

Q : Les instances Amazon EC2 au sein d'un VPC communiquent-elles avec Amazon S3 ?

Oui. Si le VPC est connecté à Internet, les instances dans le VPC peuvent communiquer avec Amazon S3. Si aucune passerelle Internet n'existe, tout le trafic vers Amazon S3 traverse la connexion VPN, sort de votre centre de données, puis entre à nouveau dans le réseau AWS public.

Q : Pourquoi ne puis-je pas effectuer un test Ping du routeur ou de ma passerelle par défaut qui interconnecte mes sous-réseaux ?

Les demandes Ping (ICMP Echo Request et Echo Reply) vers le routeur dans votre VPC ne sont pas prises en charge. Ping entre les instances Amazon EC2 au sein d'un VPC est pris en charge tant que les pare-feux de votre système d'exploitation, les groupes de sécurité et les listes de contrôle d'accès réseau permettent un tel trafic.

Amazon VPC et Amazon EC2

Q : Dans quelle(s) région(s) d'Amazon EC2 Amazon VPC est-il disponible ?

Amazon VPC est actuellement disponible dans plusieurs zones de disponibilité dans toutes les régions Amazon EC2.

Q : Un VPC peut-il couvrir plusieurs zones de disponibilité ?

Oui.

Q : Un sous-réseau peut-il couvrir plusieurs zones de disponibilité ?

Non. Un sous-réseau doit résider au sein d'une seule zone de disponibilité.

Q : Comment spécifier dans quelle zone de disponibilité mes instances Amazon EC2 sont lancées ?

Lorsque vous lancez une instance Amazon EC2, vous devez spécifier le sous-réseau dans lequel la lancer. L'instance sera lancée dans la zone de disponibilité associée au sous-réseau spécifié.

Q : Comment puis-je déterminer la zone de disponibilité incluant mes sous-réseaux ?

Lorsque vous créez un sous-réseau, vous devez spécifier la zone de disponibilité à utiliser. Lorsque vous utilisez l'assistant VPC Wizard, vous pouvez sélectionner la zone de disponibilité du sous-réseau dans l'écran de confirmation de l'assistant. Lorsque vous utilisez l'API ou l'interface de ligne de commande, vous pouvez spécifier la zone de disponibilité du sous-réseau au moment de sa création. Si vous ne spécifiez aucune zone de disponibilité, l'option par défaut « No Preference » est sélectionnée et le sous-réseau est créé dans une zone de disponibilité libre de la région.

Q. Suis-je facturé pour la bande passante réseau entre les instances dans différents sous-réseaux ?

Si les instances résident dans des sous-réseaux dans différentes zones de disponibilité, vous serez facturé 0,01 USD par Go pour le transfert de données.

Q : Lorsque j'appelle DescribeInstances(), est-ce que je vois toutes mes instances EC2, y compris celles dans EC2-Classic et EC2-VPC ?

Oui. DescribeInstances() retournera toutes les instances Amazon EC2 en cours d'exécution. Vous pouvez différencier les instances EC2-Classic de celles EC2-VPC en consultant la valeur du champ relatif au sous-réseau. S'il y a un ID de sous-réseau indiqué, l'instance figure au sein d'un VPC.

Q : Lorsque j'appelle DescribeVolumes(), est-ce que je vois tous mes volumes EBS, y compris ceux dans EC2-Classic et EC2-VPC ?

Oui. DescribeVolumes() retournera tous vos volumes EBS.

Q : Combien d'instances Amazon EC2 puis-je utiliser au sein d'un VPC ?

Vous pouvez exécuter un nombre illimité d'instances Amazon EC2 au sein d'un VPC, aussi longtemps que la taille de votre VPC est appropriée pour qu'une adresse IP soit attribuée à chaque instance. La limite initiale de lancement est de 20 instances Amazon EC2 en simultané et la limite de taille du VPC de /16 (65 536 adresses IP). Si vous voulez dépasser ces limites, veuillez remplir le formulaire suivant.

Q : Puis-je utiliser mes AMI existantes dans Amazon VPC ?

Vous pouvez utiliser des AMI dans Amazon VPC, qui sont enregistrées au sein de la même région que votre VPC. Par exemple, vous pouvez utiliser des AMI enregistrées dans la région usa-est-1 avec un VPC dans la région usa-est-1. Plus d'informations sont disponibles dans les FAQ sur les régions et zones de disponibilité d'Amazon EC2.

Q : Puis-je utiliser mes instantanés Amazon EBS existants ?

Oui, vous pouvez utiliser des instantanés Amazon EBS s'ils sont situés dans la même région que votre VPC. Plus de détails sont disponibles dans la FAQ sur la région et la zone de disponibilité d'Amazon EC2.

Q : Puis-je démarrer une instance Amazon EC2 depuis un volume Amazon EBS au sein d'Amazon VPC ?

Oui, cependant, une instance, lancée dans un VPC utilisant une AMI d'Amazon EBS, conserve la même adresse IP lorsqu'elle est arrêtée et redémarrée. Contrairement aux instances similaires lancées en dehors d'un VPC, qui obtiennent une nouvelle adresse IP. Les adresses IP pour des instances arrêtées dans un sous-réseau sont considérées comme non disponibles.

Q : Puis-je utiliser des instances réservées Amazon EC2 avec Amazon VPC ?

Oui. Vous pouvez réserver une instance dans Amazon VPC lorsque vous achetez des Instances réservées. Lors du calcul de votre facture, AWS ne distingue pas si votre instance fonctionne dans Amazon VPC ou Amazon EC2 standard. AWS optimise automatiquement quelles instances sont facturées au taux le plus bas des Instances réservées pour garantir que vous payez toujours le montant le moins élevé. Par contre, la réservation de votre instance sera spécifique à Amazon VPC. Veuillez consulter la page Instances réservées pour plus de détails.

Q : Puis-je employer Amazon CloudWatch au sein d'Amazon VPC ?

Oui.

Q : Puis-je employer Auto Scaling au sein d'Amazon VPC ?

Oui.

Q : Puis-je lancer des instances en cluster Amazon EC2 dans un VPC ?

Oui. Les instances en cluster sont prises en charge dans Amazon VPC ; toutefois, le type d'instance CC1.4xlarge n'est pas disponible dans Amazon VPC. Sachez que tous les types d'instance ne sont pas disponibles dans toutes les régions et zones de disponibilité.

VPC par défaut

Q : Qu'est-ce qu'un VPC par défaut ?

Un VPC par défaut est un réseau virtuel isolé de manière logique dans le nuage AWS, qui est créé automatiquement pour votre compte AWS lorsque vous mettez en service des ressources Amazon EC2 pour la première fois. Lorsque vous lancez une instance sans indiquer aucun ID de sous-réseau, celle-ci s'exécute dans votre VPC par défaut.

Q : Quels sont les avantages d'un VPC par défaut ?

Lorsque vous lancez des ressources dans un VPC par défaut, vous pouvez bénéficier des fonctions avancées de mise en réseau d'Amazon VPC (EC2-VPC) associées à la simplicité d'utilisation d'Amazon EC2 (EC2-Classic). Vous pouvez profiter de fonctionnalités comme la modification immédiate des membres d'un groupe de sécurité, le filtrage des sorties de groupes de sécurité, l'utilisation de plusieurs adresses IP et de plusieurs interfaces réseau, sans avoir à explicitement créer un VPC et à y lancer des instances.

Q : Quels sont les comptes autorisés pour un VPC par défaut ?

Si votre compte AWS a été créé après le 18 mars 2013, vous pouvez l'utiliser pour lancer des ressources dans un VPC par défaut. Consulter cette annonce sur le forum pour savoir quelles régions permettent d'utiliser l'ensemble des fonctionnalités du VPC par défaut. Par ailleurs, les comptes créés à une date antérieure permettent d'utiliser des VPC par défaut dans toutes les régions compatibles avec cette fonctionnalité et dans lesquelles vous n'avez pas encore lancé d'instances EC2 ou mis en service des ressources Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache ou Amazon Redshift.

Q : Comment savoir si mon compte est configuré pour utiliser un VPC par défaut ?

La console d'Amazon EC2 indique les plates-formes sur lesquelles vous pouvez lancer des instances pour la région sélectionnée. Elle précise également si vous disposez d'un VPC par défaut dans cette région. Assurez-vous que la région à utiliser est bien sélectionnée dans la barre de navigation. Sur le tableau de bord de la console Amazon EC2, recherchez la rubrique Supported Platforms sous Account Attributes. Lorsque deux valeurs sont définies (EC2-Classic et EC2-VPC), vous pouvez lancer des instances sur la plate-forme de votre choix. Lorsqu'une seule valeur est définie (EC2-VPC), vous pouvez uniquement lancer des instances dans EC2-VPC. Si votre compte est configuré pour utiliser un VPC par défaut, l'ID de votre VPC par défaut apparaît sous Account Attributes VPC. Vous pouvez également utiliser l'interface de ligne de commande ou l'API EC2 DescribeAccountAttributes pour indiquer les plates-formes prises en charge.

Q : Ai-je besoin de connaissances préalables sur Amazon VPC pour utiliser un VPC par défaut ?

Non. Vous pouvez utiliser AWS Management Console, la ligne de commande EC2-Classic ou la syntaxe de l'API pour lancer et gérer des instances EC2, ainsi que d'autres ressources AWS dans un VPC par défaut. AWS crée automatiquement un VPC par défaut pour vous, ainsi qu'un sous-réseau par défaut dans chaque zone de disponibilité de la région AWS. Votre VPC par défaut est connecté à une passerelle Internet et vos instances reçoivent automatiquement des adresses IP publiques, comme c'est le cas dans EC2-Classic.

Q : Quelles sont les différences entre les instances lancées dans EC2-Classic et celles lancées dans EC2-VPC ?

Consultez la section Differences between EC2-Classic and EC2-VPC du guide de l'utilisateur d'EC2.

Q : En quoi les VPC par défaut sont-ils différents des autres VPC ?

Les VPC par défaut sont similaires aux autres VPC, mais peuvent inclure des sous-réseaux par défaut, qui accueillent les lancements d'instances non ciblés. Les instances lancées dans un sous-réseau par défaut reçoivent automatiquement une adresse IP publique.

Q : Ai-je besoin d'une connexion VPN pour utiliser un VPC par défaut ?

Non. Les VPC par défaut sont connectés à Internet et toutes les instances lancées dans les sous-réseaux par défaut du VPC par défaut reçoivent automatiquement une adresse IP publique. Toutefois, vous pouvez ajouter une connexion VPN à votre VPC par défaut si vous le souhaitez.

Q : Puis-je créer d'autres VPC et les utiliser en plus de mon VPC par défaut ?

Oui. Pour lancer une instance dans un VPC autre que votre VPC par défaut, vous devez indiquer un ID de sous-réseau lors du lancement de l'instance.

Q : Puis-je créer des sous-réseaux supplémentaires, tels que des sous-réseaux privés, dans mon VPC par défaut ?

Oui. Pour utiliser un autre sous-réseau, vous pouvez cibler votre lancement en utilisant la console ou l'option --subnet de la ligne de commande, de l'API ou du kit SDK.

Q : Combien de VPC par défaut puis-je utiliser ?

Vous pouvez utiliser un VPC par défaut dans chacune des régions AWS pour lesquelles l'attribut Supported-Platforms est défini sur « EC2-VPC ».

Q : Quelle est la plage d'adresses IP d'un VPC par défaut ? Quelle est la taille du réseau IP pour les sous-réseaux par défaut ?

La notation CIDR du VPC par défaut est 172.31.0.0/16. Les sous-réseaux par défaut utilisent des adresses CIDR /20 au sein de l'adresse CIDR du VPC.

Q : Combien de sous-réseaux par défaut sont inclus dans un VPC par défaut ?

Dans votre VPC par défaut, un sous-réseau par défaut est créé pour chaque zone de disponibilité.

Q : Puis-je indiquer quel VPC doit être utilisé en tant que VPC par défaut ?

Pas à l'heure actuelle.

Q : Puis-je indiquer quels sous-réseaux doivent être utilisés en tant que sous-réseaux par défaut ?

Pas à l'heure actuelle.

Q : Puis-je supprimer un VPC par défaut ?

Oui. Contactez AWS Support si vous avez supprimé votre VPC par défaut et souhaitez le redémarrer.

Q : Puis-je supprimer un sous-réseau par défaut ?

Oui, mais toute suppression est définitive. Les instances seront ensuite lancées dans vos autres sous-réseaux par défaut.

Q : Je possède déjà un compte EC2-Classic. Puis-je obtenir un VPC par défaut ?

Pour obtenir un VPC par défaut, le plus simple est de créer un nouveau compte dans une région autorisant les VPC par défaut, ou d'utiliser un compte existant dans une région que vous n'avez pas encore utilisée, à condition que l'attribut Supported-Platforms soit défini sur « EC2-VPC » pour ce compte et dans cette région.

Q : Je voudrais vraiment disposer d'un VPC par défaut pour un compte EC2 existant. Est-ce possible ?

Oui, néanmoins, nous ne pouvons permettre l'utilisation d'un VPC par défaut sur un compte existant que dans la mesure où vous ne possédez pas de ressources EC2-Classic pour ce compte dans la région concernée. De plus, vous devez mettre fin à toutes les ressources Elastic Load Balancer, Amazon RDS, Amazon ElastiCache et Amazon Redshift n'étant pas mises en service dans un VPC pour cette région. Une fois votre compte configuré pour utiliser un VPC par défaut, toutes les ressources, y compris les instances lancées via Auto Scaling, seront lancées dans votre VPC par défaut. Pour demander à ce que votre compte soit configuré pour utiliser un VPC par défaut, contactez AWS Support. Nous examinerons votre demande ainsi que vos services AWS existants et la présence d'EC2-Classic afin de déterminer si vous pouvez bénéficier d'un VPC par défaut. (Remarque : La priorité sera donnée aux régions où l'ensemble des fonctionnalités du VPC par défaut sont déjà disponibles.)

Q : Dans quelle mesure les comptes IAM sont-ils affectés par les VPC par défaut ?

Si votre compte AWS possède un VPC par défaut, tous les comptes IAM associés à votre compte AWS utiliseront le même VPC par défaut que celui-ci.

Interfaces réseau élastiques

Q : Est-il possible d'associer une ou plusieurs interfaces réseau à une instance EC2 en cours d'exécution (ou de les dissocier) ?

Oui.

Q : Puis-je avoir plus de deux interfaces réseau rattachées à mon instance EC2 ?

Le nombre total d'interfaces réseau pouvant être associées une instance EC2 dépend du type d'instance. Pour en savoir plus sur le nombre d'interfaces réseau autorisé pour chaque type d'instance, reportez-vous au guide de l'utilisateur d'EC2.

Q : Puis-je rattacher une interface réseau située dans une zone de disponibilité à une instance située dans une autre zone de disponibilité ?

Les interfaces réseau ne peuvent être rattachées qu'à des instances situées dans la même zone de disponibilité.

Q : Puis-je rattacher une interface réseau située dans un VPC à une instance située dans un autre VPC ?

Les interfaces réseau ne peuvent être rattachées qu'à des instances situées dans le même VPC qu'elles.

Q : Puis-je utiliser les interfaces réseau élastiques dans le but d'héberger sur une instance unique de multiples sites Web nécessitant des adresses IP distinctes ?

Oui. Toutefois, ce scénario d'utilisation ne convient pas idéalement à des interfaces multiples. Attribuez plutôt les adresses IP privées supplémentaires à l'instance, puis associez les adresses IP élastiques aux adresses IP privées selon vos besoins.

Q : Serai-je facturé pour une adresse IP élastique liée à une interface réseau, bien que cette dernière ne soit pas associée à une instance en cours d'exécution ?

Oui.

Q : Puis-je détacher l'interface principale (eth0) sur mon instance EC2 ?

Non. Vous pouvez associer les interfaces secondaires (eth1-ethn) à une instance EC2 ou les dissocier, mais vous ne pouvez pas dissocier l'instance eth0.

Questions supplémentaires

Q : Puis-je utiliser AWS Management Console pour contrôler et gérer Amazon VPC ?

Oui. Vous pouvez utiliser AWS Management Console pour gérer les objets Amazon VPC, comme des VPC, des sous-réseaux, des tables de routage, des passerelles Internet et des connexions VPN utilisant IPSec. De plus, vous pouvez utiliser un simple assistant pour créer un VPC.

Q : Combien de VPC, de sous-réseaux, d'adresses IP élastiques, de passerelles Internet, de passerelles clients, de passerelles réseau privé virtuel et de connexions VPN puis-je créer ?

Vous pouvez disposer de :

• Cinq Amazon VPC par compte AWS par région
• 200 sous-réseaux par nuage Amazon VPC
• Cinq adresses IP élastique VPC par compte AWS par région
• Une passerelle Internet par VPC
• Cinq passerelles réseau privé virtuel par compte AWS et par région
• Cinquante passerelles client par compte AWS et par région
• Dix connexions VPN IPsec par passerelle réseau privé virtuel

Q : La connexion VPN d'Amazon VPC a-t-elle un Accord de niveau de service (SLA) ?

Pas à l'heure actuelle.

Q : Puis-je obtenir AWS Support avec Amazon VPC ?

Oui. Cliquez ici pour plus d'informations sur AWS Support.

Q : Puis-je utiliser ElasticFox avec Amazon VPC ?

ElasticFox n'est plus officiellement pris en charge pour la gestion de votre Amazon VPC. Le support Amazon VPC est disponible via les API AWS, les outils de commande en ligne et la console de gestion d'AWS, tout comme une variété de services de tiers.