Les bases de la mise en réseau

GUIDE DE MISE EN ROUTE

Introduction

Commencer votre transition vers une mise en réseau cloud peut sembler une tâche ardue. Surtout si vous êtes habitué à la méthode traditionnelle sur site de provisionnement du matériel et de gestion et configuration des réseaux. Une bonne compréhension des principaux concepts réseau tels que l'adressage IP, la communication TCP, le routage IP, la sécurité et la virtualisation vous aidera à vous familiariser avec la mise en réseau cloud sur AWS. Dans les sections suivantes, nous répondons aux questions courantes sur la mise en réseau cloud et explorons les bonnes pratiques pour créer une infrastructure sur AWS.

  • À l'instar de la mise en réseau sur site traditionnelle, la mise en réseau cloud permet de créer, de gérer, d'exploiter et de connecter en toute sécurité vos réseaux dans tous vos environnements cloud et dans les emplacements périphériques et cloud distribués. Le réseau cloud vous permet de concevoir une infrastructure résiliente et hautement disponible, ce qui vous permet de déployer vos applications plus rapidement, à grande échelle et au plus près de vos utilisateurs finaux lorsque vous en avez besoin.

  • Lorsque vous ouvrez un site Web ou utilisez une application, les données et les requêtes doivent être transférées de votre ordinateur ou de votre téléphone vers un serveur hébergeant le site Web ou l'application, puis vers vous. Cela se fait généralement via une combinaison de différents supports, tels que le Wi-Fi vers votre routeur domestique, puis vers votre FSI via la fibre optique, le câble, l'ADSL, la 5G, etc. Lorsqu'elles atteignent le FSI, celui-ci se connecte à son tour à un réseau plus vaste. À un moment ou à un autre, il est probable que vos données transitent par l'un des nombreux câbles à fibre optique sous-marins. La vitesse de la lumière détermine la vitesse la plus rapide possible à travers ces câbles, limitant ainsi la réponse la plus rapide possible. La lumière à l'intérieur du câble se réfléchit également sur le côté pendant son trajet, de sorte que la distance totale parcourue est plus longue que le câble lui-même. Par exemple, l'un des câbles reliant le Japon à la côte ouest des États-Unis a une longueur totale de 21 000 km, ce qui signifie que la lumière se déplaçant à 299 792 458 m/s mettrait environ 70 ms à parcourir la longueur totale du câble, ralentissant ainsi le site Web ou l'application au fur et à mesure que plusieurs appels se succèdent. Dans les exemples extrêmes, le temps peut être beaucoup plus long en raison non seulement de la distance parcourue, mais aussi de la congestion du réseau entre les points situés le long du trajet, les réponses prenant plusieurs secondes.

    Avec le cloud, vous pouvez étendre vos activités à de nouvelles régions géographiques et les déployer à l'international en quelques minutes. AWS, par exemple, dispose d'une infrastructure dans le monde entier, ce qui permet aux développeurs de déployer des applications sur plusieurs sites physiques en quelques clics. En rapprochant vos applications de vos utilisateurs finaux, vous pouvez réduire la latence et améliorer l'expérience utilisateur.

    L'infrastructure du cloud AWS repose sur des zones de disponibilité et des Régions AWS. Une Région est un emplacement physique hébergeant plusieurs zones de disponibilité. Une zone de disponibilité est constituée d'un ou de plusieurs centres de données distincts, chacun disposant d'une alimentation, d'un réseau et d'une connectivité redondants, hébergés dans des installations séparées. Ces zones de disponibilité vous permettent d'exploiter des applications de production et des bases de données dont la disponibilité, la tolérance aux pannes et l'évolutivité sont supérieures à ce qu'il serait possible d'obtenir à partir d'un seul centre de données.

    Vidéo explicative sur l'infrastructure mondiale AWS | Amazon Web Services
  • Avec Amazon Virtual Private Cloud (Amazon VPC), vous pouvez mettre en service une section du cloud AWS qui a été isolée de manière logique et dans laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez. Vous conservez la totale maîtrise de votre environnement de mise en réseau virtuel, y compris pour la sélection de vos propres plages d'adresses IP, la création de sous-réseaux et la configuration de tables de routage et de passerelles réseau. Vous pouvez également créer une connexion réseau privé virtuel (VPN) matérielle entre votre centre de données d'entreprise et votre VPC, ce qui vous permet de connecter les serveurs entre les deux comme s'ils se trouvaient sur le même réseau.


    Vous pouvez facilement personnaliser la configuration réseau de votre VPC en fonction de vos besoins. Un VPC couvre toute une Région et les sous-réseaux sont utilisés pour spécifier des plages d'adresses IP au sein des zones de disponibilité de la Région afin de les attribuer aux machines virtuelles et à d'autres services. Par exemple, vous pouvez créer un sous-réseau public pour vos serveurs Web qui a accès à Internet et place vos systèmes backend, comme les bases de données ou les serveurs d'application, dans un sous-réseau privé sans accès Internet. Vous pouvez utiliser plusieurs couches de sécurité, y compris les groupes de sécurité et les listes de contrôles d'accès réseau afin de renforcer le contrôle des accès aux instances Amazon EC2 dans chaque sous-réseau.

    Les fonctionnalités suivantes vous aident à configurer un VPC afin de fournir la connectivité dont vos applications ont besoin :

    Fonction Description
    VPC Un VPC est un réseau virtuel qui ressemble étroitement à un réseau traditionnel que vous pourriez faire fonctionner dans votre propre centre de données. Après avoir créé un VPC, vous pouvez ajouter des sous-réseaux.
    Sous-réseaux Un sous-réseau est une plage d'adresses IP de votre VPC. Un sous-réseau doit résider au sein d'une seule zone de disponibilité. Après avoir ajouté des sous-réseaux, vous pouvez déployer des ressources AWS dans votre VPC.
    Adressage IP Vous pouvez attribuer des adresses IPv4 et IPv6 à vos VPC et sous-réseaux. Vous pouvez également transférer vos GUA (adresses Unicast globales) IPv4 et IPv6 publiques vers AWS et les affecter aux ressources de votre VPC, telles que les instances EC2, les passerelles NAT et les Network Load Balancer.
    Routage Utilisez les tables de routage pour déterminer où est dirigé le trafic réseau provenant de votre sous-réseau ou de votre passerelle.
    Passerelles et points de terminaison Une passerelle connecte votre VPC à un autre réseau. Par exemple, utilisez une passerelle Internet pour connecter votre VPC à Internet. Utilisez un point de terminaison d'un VPC pour vous connecter aux services AWS en privé, sans passer par une passerelle Internet ou un périphérique NAT.
    Connexions d'appairage Utilisez une connexion d'appairage de VPC pour acheminer le trafic entre les ressources de deux VPC.
    Surveillance du trafic Copiez le trafic réseau depuis les interfaces réseau et envoyez-le aux appliances de sécurité et de surveillance pour une inspection approfondie des paquets.
    Passerelles de transit Utilisez une passerelle de transit, qui fait office de hub central, pour acheminer le trafic entre vos VPC, vos connexions VPN et vos connexions AWS Direct Connect.
    Journaux de flux VPC Un journal de flux collecte les informations relatives au trafic IP entrant et sortant dans les interfaces réseau de votre VPC.
    Connexions VPN Connectez vos VPC à vos réseaux sur site en utilisant AWS Virtual Private Network (AWS VPN).

    Démarrez avec Amazon VPC

    Votre compte AWS inclut un VPC par défaut dans chaque Région AWS. Vos VPC par défaut sont configurés de telle sorte que vous pouvez immédiatement commencer à lancer et à vous connecter aux instances EC2. Pour plus d'informations, veuillez consulter Commencer avec Amazon VPC.

  • Les VPC vous offrent un contrôle total sur votre environnement de réseau virtuel, notamment le placement des ressources, la connectivité et la sécurité. Commencez par configurer votre VPC dans la console de gestion AWS. Ajoutez-y ensuite des ressources, telles que des instances Amazon EC2 et Amazon Relational Database Service (Amazon RDS). Enfin, définissez comment vos VPC communiquent entre eux, entre les comptes, les zones de disponibilité ou les Régions.

    Dans un VPC, vous pouvez utiliser à la fois l'adressage IPv4 et IPv6. Avec IPv4, vous sélectionnez et attribuez un bloc VPC CIDR (Classless Inter-Domain Routing) d'une taille maximale de /16 à une taille minimale de /28. Vous pouvez utiliser toutes les adresses publiques que vous possédez (dans certaines Régions). Nous vous recommandons d'utiliser des adresses RFC 1918 privées. Une fois que vous avez un CIDR, vous définissez les sous-réseaux. Les sous-réseaux peuvent avoir une taille comprise entre /16 et /28 et sont délimités par des zones de disponibilité. Chaque sous-réseau VPC doit être associé à une table de routage de sous-réseau.

    Lorsque vous créez des sous-réseaux, vous devez les associer à une table de routage VPC principale. Par défaut, cette table de routage contiendra uniquement les CIDR IPv4 et IPv6 locaux du VPC. Un sous-réseau ne peut être associé qu'à une seule table de routage de sous-réseau. Une table de routage peut comporter plusieurs associations de sous-réseaux. Les tables de routage sont utilisées pour contrôler le trafic quittant le sous-réseau. Chaque sous-réseau possède un routeur VPC. Il n'existe pas de périphérique unique pour un VPC. Le logiciel VPC s'occupe du routage pour vous. Vous pouvez ajouter des itinéraires plus spécifiques pour filtrer le trafic est-ouest.

  • Vous pouvez connecter votre VPC à d'autres réseaux, tels que d'autres VPC, à Internet ou à votre réseau sur site. Vous pouvez connecter votre Amazon VPC à :
    Comment se connecter Description
    Internet (via une passerelle Internet) ; Une passerelle Internet est un composant VPC redondant, hautement disponible et à l'échelle horizontale qui permet la communication entre votre VPC et Internet. Il prend en charge le trafic IPv4 et IPv6 et n'entraîne aucun risque de disponibilité ni de contraintes de bande passante sur votre trafic réseau. Une passerelle Internet permet aux ressources de vos sous-réseaux publics (telles que les instances EC2) de se connecter à Internet si la ressource possède une adresse IPv4 publique ou une adresse IPv6. De même, les ressources sur Internet peuvent établir une connexion aux ressources de votre sous-réseau à l'aide de l'adresse IPv4 ou IPv6 publique. Par exemple, une passerelle Internet vous permet de vous connecter à une instance EC2 dans AWS depuis votre ordinateur local. Une passerelle Internet fournit une cible dans les tables de routage de votre VPC pour le trafic routable sur Internet. Pour les communications utilisant IPv4, la passerelle Internet effectue également une traduction d'adresses réseau (NAT). Pour les communications utilisant IPv6, la NAT n'est pas nécessaire car les adresses IPv6 sont publiques.
    votre centre de données d'entreprise en utilisant AWS Site-to-Site VPN (au moyen d'une passerelle privée virtuelle) ; Par défaut, les instances que vous lancez dans un Amazon VPC ne peuvent pas communiquer avec votre propre réseau (distant). Vous pouvez autoriser l'accès à votre réseau distant depuis votre VPC en créant une connexion AWS Site-to-Site VPN (Site-to-Site VPN) et en configurant le routage pour faire passer le trafic par la connexion. 
    REMARQUE : lorsque vous connectez vos VPC à un réseau sur site commun, nous vous recommandons d'utiliser des blocs CIDR qui ne se chevauchent pas pour vos réseaux.
    Internet et à votre centre de données d'entreprise (en utilisant à la fois une passerelle Internet et une passerelle privée virtuelle) ; Le VPC possède une passerelle privée virtuelle attachée et votre réseau sur site (distant) inclut un dispositif de passerelle client, que vous devez configurer pour activer la connexion Site-to-Site VPN. Vous configurez le routage de manière à ce que tout trafic provenant du VPC à destination de votre réseau soit acheminé vers la passerelle privée virtuelle.
    Instance NAT Vous pouvez utiliser une instance NAT pour autoriser les ressources des sous-réseaux privés à se connecter à Internet, à d'autres VPC ou à des réseaux sur site. Ces instances peuvent communiquer avec des services extérieurs au VPC, mais elles ne peuvent pas recevoir de demandes de connexion non sollicitées.
    Passerelles NAT Une passerelle NAT est un service de traduction d'adresses réseau (NAT). Vous pouvez utiliser une passerelle NAT pour que les instances d'un sous-réseau privé puissent se connecter à des services en dehors de votre VPC. Toutefois, les services externes ne peuvent pas établir de connexion avec ces instances. Lorsque vous créez une passerelle NAT, vous spécifiez l'un des types de connectivité suivants :

    Public : (par défaut) les instances des sous-réseaux privés peuvent se connecter à Internet via une passerelle NAT publique, mais ne peuvent pas recevoir de connexions entrantes non sollicitées depuis Internet. Vous créez une passerelle NAT publique dans un sous-réseau public et vous devez associer une adresse IP Elastic à la passerelle NAT lors de sa création. Vous acheminez le trafic de la passerelle NAT vers la passerelle Internet du VPC. Vous pouvez également utiliser une passerelle NAT publique pour vous connecter à d'autres VPC ou à votre réseau sur site. Dans ce cas, vous acheminez le trafic depuis la passerelle NAT via une passerelle de transit ou une passerelle privée virtuelle.

    Privé
     : les instances des sous-réseaux privés peuvent se connecter à d'autres VPC ou à votre réseau sur site via une passerelle NAT privée. Vous pouvez acheminer le trafic depuis la passerelle NAT via une passerelle de transit ou une passerelle privée virtuelle. Vous ne pouvez pas associer une adresse IP Elastic à une passerelle NAT privée. Vous pouvez associer une passerelle Internet à un VPC à l'aide d'une passerelle NAT privée, mais si vous acheminez le trafic de la passerelle NAT privée vers la passerelle Internet, la passerelle Internet interrompt le trafic.

    La passerelle NAT remplace l'adresse IP source des instances par l'adresse IP privée de la passerelle NAT. Pour une passerelle NAT publique, il s'agit de l'adresse IP Elastic de la passerelle NAT. Pour une passerelle NAT privée, il s'agit de l'adresse IP privée de la passerelle NAT. Lors de l'envoi du trafic de réponse aux instances, le dispositif NAT traduit les adresses vers l'adresse IP source d'origine.
    AWS Direct Connect Bien que le VPN sur Internet soit une excellente option pour démarrer, la connectivité Internet peut ne pas être fiable pour le trafic de production. En raison de ce manque de fiabilité, de nombreux clients choisissent AWS Direct Connect. AWS Direct Connect est un service de mise en réseau qui offre une alternative à l'utilisation d'Internet pour se connecter à AWS. En utilisant AWS Direct Connect, des données qui auraient été précédemment transmises via Internet peuvent désormais être livrées par le biais d'une connexion réseau privée entre vos installations et AWS. Généralement, les connexions réseau privées peuvent réduire les coûts, augmenter la bande passante et fournir une expérience réseau plus constante que les connexions basées sur Internet. Pour en savoir plus, veuillez consulter le livre blanc Création d'une infrastructure réseau AWS multi-VPC évolutive et sécurisée (langue française non garantie).
    d'autres Amazon VPC (via des connexions d'appairage de VPC). Une connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet de router le trafic entre eux de manière privée. Les instances des deux VPC peuvent communiquer entre elles comme si elles se trouvaient sur le même réseau. Vous pouvez créer une connexion d'appairage de VPC entre vos propres VPC, avec un VPC d'un autre compte AWS ou avec un VPC d'une autre Région AWS. AWS utilise l'infrastructure existante du VPC pour créer la connexion d'appairage de VPC ; il ne s'agit ni d'une passerelle ni d'une connexion AWS Site-to-Site VPN, et elle ne dépend pas d'un matériel physique distinct. Il n'y a donc pas de point unique de défaillance pour la communication, ni de goulet d'étranglement en termes de bande passante.
  • Oui, en supposant que le propriétaire de l'autre VPC accepte votre requête de connexion d'appairage, vous pouvez établir un appairage vers d'autres VPC sur différents comptes.

    Partage de VPC

    Le partage de VPC est utile lorsque l'isolation du réseau entre les équipes n'a pas besoin d'être gérée strictement par le propriétaire du VPC, mais que les utilisateurs et les autorisations au niveau du compte doivent l'être. Avec un VPC partagé, plusieurs comptes AWS créent leurs ressources d'application (telles que les instances EC2) dans des Amazon VPC partagés et gérés de manière centralisée. Dans ce modèle, le compte propriétaire du VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d'autres comptes (participants). Après le partage d'un sous-réseau, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d'application dans les sous-réseaux partagés avec eux. Les participants ne peuvent pas afficher, modifier ou supprimer les ressources qui appartiennent à d'autres participants ou au propriétaire du VPC. La sécurité entre les ressources des VPC partagés est gérée à l'aide de groupes de sécurité, de listes de contrôle d'accès réseau (NACL) ou via un pare-feu entre les sous-réseaux.

    AWS PrivateLink fournit une connectivité privée entre les VPC, les services AWS et vos réseaux sur site sans exposer votre trafic à l'Internet public. AWS PrivateLink facilite la connexion aux services sur différents comptes et VPC afin de simplifier significativement l'architecture de votre réseau. Cela permet aux clients qui souhaitent exposer en privé un service/une application résidant dans un VPC (fournisseur de services) à d'autres VPC (consommateur) au sein d'une Région AWS de telle sorte que seuls les VPC consommateurs initient des connexions au VPC du fournisseur de services. La possibilité pour vos applications privées d'accéder aux API des fournisseurs de services en est un exemple.

    AWS Transit Gateway

    AWS Transit Gateway permet aux clients de connecter des milliers de VPC. Vous pouvez associer toute votre connectivité hybride (connexions VPN et Direct Connect) à une seule instance Transit Gateway, consolidant et contrôlant ainsi l'ensemble de la configuration de routage AWS de votre organisation en un seul endroit. Transit Gateway contrôle la façon dont le trafic est acheminé entre tous les réseaux en étoile connectés à l'aide de tables de routage. Ce modèle HUB & SPOKES (en roue) simplifie la gestion et réduit les coûts opérationnels, car les VPC se connectent uniquement à l'instance Transit Gateway pour accéder aux réseaux connectés.

    Solution de VPC de transit

    Les VPC de transit peuvent résoudre certaines des lacunes de l'appairage des VPC en introduisant une conception HUB & SPOKES pour la connectivité entre les VPC. Dans un réseau VPC de transit, un VPC central (le VPC hub) se connecte à tous les autres VPC (VPC en étoile) via une connexion VPN, généralement en utilisant BGP sur IPsec. Le VPC central contient des instances EC2 exécutant des appliances logicielles qui acheminent le trafic entrant vers leurs destinations à l'aide de la superposition VPN. L'appairage de VPC de transit présente les avantages suivants :

    • Le routage transitif est rendu possible à l'aide du réseau VPN superposé, ce qui permet une conception HUB & SPOKES plus simple.
    • Lorsque vous utilisez un logiciel tiers sur l'instance EC2 du hub de VPC de transit, les fonctionnalités du fournisseur relatives à la sécurité avancée, telles que le pare-feu de couche 7, le système de prévention des intrusions (IPS)/le système de détection des intrusions (IDS), peuvent être utilisées. Si les clients utilisent le même logiciel sur site, ils bénéficient d'une expérience opérationnelle et de surveillance unifiée.
    • L'architecture de VPC de transit permet une connectivité qui peut être souhaitée dans certains cas d'utilisation. Par exemple, vous pouvez connecter une instance AWS GovCloud et un VPC de la Région commerciale ou une instance de Transit Gateway à un VPC de transit et activer la connectivité inter-VPC entre les deux Régions. Évaluez vos exigences en matière de sécurité et de conformité lorsque vous envisagez cette option. Pour plus de sécurité, vous pouvez déployer un modèle d'inspection centralisé en utilisant les modèles de conception décrits plus loin dans ce livre blanc.

    REMARQUE : le VPC de transit présente ses propres défis, tels que des coûts plus élevés d'exécution d'appliances virtuelles de fournisseurs tiers sur Amazon EC2, en fonction de la taille/de la famille de l'instance, un débit limité par connexion VPN (jusqu'à 1,25 Gbit/s par tunnel VPN) et des frais supplémentaires de configuration, de gestion et de résilience (les clients sont responsables de la gestion de la haute disponibilité et de la redondance des instances EC2 exécutant les appliances virtuelles de fournisseurs tiers).

  • Les bonnes pratiques suivantes sont des directives générales et ne constituent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des réflexions utiles plutôt que comme des prescriptions.

    • Lorsque vous ajoutez des sous-réseaux à votre VPC pour héberger votre application, créez-les dans plusieurs zones de disponibilité. Une zone de disponibilité comprend un ou plusieurs centres de données à part entière dotés d'une alimentation, d'un réseau et d'une connectivité redondants dans une Région AWS. L'utilisation de plusieurs zones de disponibilité rend vos applications de production hautement disponibles, tolérantes aux pannes et évolutives.
    • Utilisez les ACL réseau pour contrôler l'accès à vos sous-réseaux et utilisez des groupes de sécurité pour contrôler le trafic vers les instances EC2 de vos sous-réseaux.
    • Gérez l'accès aux ressources et aux API Amazon VPC à l'aide de la fédération d'identités, des utilisateurs et des rôles AWS Identity and Access Management (IAM).
    • Utilisez Amazon CloudWatch avec les journaux de flux VPC pour surveiller le trafic IP en provenance et à destination des interfaces réseau de votre VPC.

    Pour obtenir des réponses aux questions fréquemment posées concernant la sécurité des VPC, consultez la section relative à la sécurité et au filtrage dans les Questions fréquentes (FAQ) Amazon VPC.

  • VPC avec un sous-réseau public uniquement

    La configuration de ce scénario inclut un VPC avec un seul sous-réseau public et une passerelle Internet pour permettre la communication sur Internet. Nous recommandons cette configuration si vous devez exécuter une application Web à un seul niveau destinée au public, telle qu'un blog ou un simple site Web. Ce scénario peut également être configuré en option pour IPv6. Les instances lancées dans le sous-réseau public peuvent recevoir des adresses IPv6 et communiquer via IPv6.

    VPC avec sous-réseaux publics et privés (NAT)

    La configuration de ce scénario inclut un VPC avec un sous-réseau public et un sous-réseau privé. Nous recommandons ce scénario si vous souhaitez exécuter une application Web destinée au public, tout en conservant des serveurs principaux qui ne sont pas accessibles au public. Un exemple courant est celui d'un site Web à plusieurs niveaux, avec les serveurs Web dans un sous-réseau public et les serveurs de base de données dans un sous-réseau privé. Vous pouvez configurer la sécurité et le routage afin que les serveurs Web puissent communiquer avec les serveurs de base de données.

    Les instances du sous-réseau public peuvent envoyer du trafic sortant directement vers Internet, alors que les instances du sous-réseau privé ne le peuvent pas. En revanche, les instances du sous-réseau privé peuvent accéder à Internet en utilisant une passerelle de traduction d'adresses de réseau (NAT) qui réside dans le sous-réseau public. Les serveurs de base de données peuvent se connecter à Internet pour les mises à jour logicielles à l'aide de la passerelle NAT, mais Internet ne peut pas établir de connexion avec les serveurs de base de données.

    Ce scénario peut également être configuré en option pour IPv6. Les instances lancées dans les sous-réseaux peuvent recevoir des adresses IPv6 et communiquer via IPv6. Les instances du sous-réseau privé peuvent utiliser une passerelle Internet de sortie uniquement pour se connecter à Internet via IPv6, mais Internet ne peut pas établir de connexion avec les instances privées via IPv6.

    VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN

    La configuration de ce scénario inclut un VPC avec un sous-réseau public et un sous-réseau privé, ainsi qu'une passerelle privée virtuelle pour permettre la communication avec votre propre réseau via un tunnel VPN IPsec. Nous recommandons ce scénario si vous souhaitez étendre votre réseau au cloud et accéder directement à Internet depuis votre VPC. Ce scénario vous permet d'exécuter une application à plusieurs niveaux avec une interface Web évolutive dans un sous-réseau public et d'héberger vos données dans un sous-réseau privé connecté à votre réseau par une connexion AWS Site-to-Site VPN IPsec.

    Ce scénario peut également être configuré en option pour IPv6. Les instances lancées dans les sous-réseaux peuvent recevoir des adresses IPv6. Nous ne prenons pas en charge la communication IPv6 via une connexion Site-to-Site VPN sur une passerelle privée virtuelle ; toutefois, les instances du VPC peuvent communiquer entre elles via IPv6, et les instances du sous-réseau public peuvent communiquer sur Internet via IPv6.

    VPC avec un sous-réseau privé uniquement et un accès AWS Site-to-Site VPN

    La configuration de ce scénario inclut un VPC avec un seul sous-réseau privé et une passerelle privée virtuelle pour permettre la communication avec votre propre réseau via un tunnel VPN IPsec. Il n'existe pas de passerelle Internet pour permettre la communication sur Internet. Nous recommandons ce scénario si vous souhaitez étendre votre réseau dans le cloud à l'aide de l'infrastructure AWS sans exposer votre réseau à Internet.

    Ce scénario peut également être configuré en option pour IPv6. Les instances lancées dans le sous-réseau peuvent recevoir des adresses IPv6. Nous ne prenons pas en charge la communication IPv6 via une connexion AWS Site-to-Site VPN sur une passerelle privée virtuelle ; toutefois, les instances du VPC peuvent communiquer entre elles via IPv6.

Étapes suivantes

Vous pouvez commencer à créer sur AWS dès maintenant en accédant à l'offre gratuite d'AWS et notre bibliothèque de didacticiels pratiques et de guides de démarrage.

Cette page vous a-t-elle été utile ?