Présentation de la connectivité privée sur AWS Outposts

Nous souhaitons mettre en avant la disponibilité de la connectivité privée sur AWS Outposts. En effet, jusqu’à décembre 2020, les points de terminaison dans chaque région où AWS Outposts est disponible étaient situés dans le domaine public AWS de la région choisie et pouvaient être connectés soit via Internet soit via une interface virtuelle (VIF) publique au travers d’AWS Direct Connect (DX).

Précédemment, utiliser les points de terminaison publics d’AWS Outposts nécessitait une connexion depuis le rack AWS Outposts jusqu’au point de terminaison public au travers de routeurs et pare-feux. Les points de terminaison constituent un groupe de tunnels chiffrés permettant la gestion du trafic mais aussi son acheminement au sein d’un Amazon Virtual Private Cloud (VPC) entre la région AWS choisie et le service AWS Outposts. Le déploiement d’un point de terminaison est un pré-requis à l’utilisation d’un Outpost et doit être maintenu pour permettre au service AWS Outposts d’opérer.

Pour une présentation de la connectivité réseau d’AWS Outposts, y compris l’accès aux points de terminaison publics, vous pouvez consulter l’architecture de référence AWS Outposts – Network.

La nouvelle fonctionnalité de connectivité privée au sein d’AWS Outposts repose sur AWS Direct Connect, modifiant le point de terminaison public pour utiliser une interface réseau élastique (ENI) au sein d’un VPC déployé dans votre environnement AWS. Le point de terminaison permet ainsi d’établir une connexion privée au travers d’une VIF privée depuis votre Outpost jusqu’au VPC au sein de la région AWS utilisée.
Utiliser une VIF privée au travers d’une passerelle privée virtuelle (VGW) associée à un VPC permet de se connecter de manière privée aux points de terminaison AWS Outposts sans avoir à traverser le réseau public. Cela donne également la possibilité d’utiliser des fonctionnalités de Direct Connect pour résoudre des problèmes de connectivité, comme la bascule en cas de problèmes, notamment via des métriques Amazon CloudWatch.

La mise en oeuvre d’une connectivité privée avec AWS Outposts supprime également le besoin d’utiliser de grandes listes d’autorisation publiques sur votre pare-feu car les points de terminaison se trouvent dans un VPC avec une plage d’adresses (CIDR) IP (Internet Protocol) gérée par vos soins.

Figure1. Connectivité privée AWS Outposts et passerelle virtuelle privée . Pour des raisons de simplicité, seulement une connexion DX est représentée. Nous recommandons l’application des bonnes pratiques de résilience d’une connexion DX afin de construire une architecture répondant à vos besoins de résilience.

À droite de la Figure 1. se trouve un Outpost (A) installé dans votre environnement sur site avec une connexion (B) aux points de terminaison du service AWS Outposts (C) situés dans une région AWS (D). Dans ce diagramme, nous utilisons la passerelle privée virtuelle (E) attachée à un VPC (F) pour terminer une VIF DX privée (G) servant de point de terminaison privé pour les connexions AWS Outposts au sein d’une région.

Note: Au moment de la rédaction de cet article, la connectivité privée sur AWS Outposts ne supporte pas le VPN (Virtual Private Network) ou l’AWS Transit Gateway. Il est cependant possible d’utiliser une passerelle Amazon Direct Connect pour, si besoin, implémenter des accès inter-région.

L’interface virtuelle privée associée à votre lien DX constitue une connexion privée vers votre équipement situé dans le point de présence (POP) Direct Connect de votre choix et utilise le protocole BGP (Border Gateway Protocol) pour l’échange de routes.
Le CIDR utilisé au sein de votre VPC est annoncée au travers de la session BGP à votre équipement (10.2.0.0/16 dans l’exemple de la Figure 1.). De même, la plage d’adresses IP /26 de la liaison de service (service link) (10.5.0.0/26 dans l’exemple de la Figure 1.) est annoncée à la région par le protocole BGP à partir de votre équipement.

Note: Le point de terminaison au sein du VPC ne doit pas utiliser le CIDR 10.1.0.0/16. De plus, le VPC ainsi que le sous-réseau utilisés doivent être créés dans le même compte AWS, la même région et la même zone de disponibilité que l’Outpost.

Lors du déploiement d’AWS Outposts, il est possible de sélectionner l’option connectivité privée. Une fois sélectionnée, AWS créera automatiquement un point de terminaison privé et assignera une adresse IP privée à partir du CIDR alloué au VPC dans lequel sera déployé AWS Outposts. Une fois déployé, le trafic entre votre “rack” et le service AWS Outposts utilisera la connectivité privée dans la région AWS correspondante.

Il est également possible de configurer des Network Access Control Lists (NACLs) pour le sous-réseau hébergeant le point de terminaison privé. Le trafic peut ainsi être restreint en fonction du protocole (TCP/UDP) mais aussi selon la source/destination comme par exemple le port 443. Vous pouvez consulter les exigences de pare-feu du point de terminaison pour plus d’informations sur la configuration des NACLs.

Mettre en oeuvre un sous-réseau dédié pour le point de terminaison privé permet de ne définir qu’une seule ACL, ce qui simplifie la gestion et le contrôle du trafic lié au service AWS Outposts. Dédier un VPC aux points de terminaison privés peut également aider à minimiser les interruptions de service dues à des actions de configuration futures.

Configuration d’une connectivité privée sur Outpost

Les étapes suivantes montrent le déploiement d’un nouvel AWS Outposts avec une connectivité privée.

Pré-requis

Pour réaliser les étapes ci-dessous, vous aurez besoin de :

• Un VPC dédié et sous-réseau (/25 ou plus grand qui ne doit pas entrer en conflit avec 10.1.0.0/16) dans le même compte AWS et la même zone de disponibilité que votre AWS Outposts.
• L’utilisation d’une VIF privée pour permettre la communication entre votre Outpost sur site et votre VPC au sein de la région AWS retenue.
• Annoncer la plage d’adresses IP du sous-réseau au sein de votre réseau sur site.

Création d’un Outpost

On commence par renseigner les variables d’environnement nécessaires avant d’effectuer le déploiement des ressources.

1. La sélection de la connectivité privée doit être effectuée lors de la création de votre Outpost. Pour ce faire, cliquez simplement sur l’option “Adhérer” au sein de la section “Option de connectivité privée – facultatif”.

2.Sélectionnez la zone de disponibilité, le VPC et le sous-réseau dans lequel seront créés les points de terminaison privés pour connecter l’Outpost. AWS Outposts requiert la création d’un nouveau rôle AWS IAM disposant des permissions nécessaires afin de créer les interfaces réseau requises et attacher celles-ci aux points de terminaison. Si vous disposez déjà d’un Outpost en fonctionnement et utilisant une connectivité publique, il est possible de modifier celui-ci pour mettre en oeuvre une connectivité privée (et vice versa) via l’ouverture d’un ticket auprès du support.

3. En cliquant sur le bouton « Afficher les détails » dans la catégorie d’accès au service, il est possible de voir toutes les configurations qui seront appliquées.

4. Pour finir, un résumé des différentes options sélectionnées durant la configuration de votre Outpost est affiché.

Un rôle de service sera créé durant le processus. Il est possible de l’afficher via la console IAM, comme illustré dans la capture d’écran suivante.

Conclusion

Désormais, lorsque votre Outpost se reconnectera à la région AWS associée, il utilisera les points de terminaison privés dans le VPC de votre choix pour établir une communication privée avec le service AWS Outposts. La connectivité privée offre une option supplémentaire lorsque la connectivité publique n’est pas souhaitée. L’option de connectivité publique reste disponible et supportée. Dans le cas où votre organisation restreint les accès aux réseaux publics et requiert la mise en oeuvre d’une connectivité privée pour l’utilisation du service AWS Outposts, ceci est tout à fait possible !

Article original traduit en français par Arnaud JEAN, Solutions Architect dans l’équipe AWS France.