Comment puis-je migrer mon VPN à partir d'une passerelle réseau privé virtuel vers une passerelle de transit ?

Date de la dernière mise à jour : 23/05/2019

Je souhaite disposer de connexions sécurisées entre mon Amazon Virtual Private Cloud (Amazon VPC) et mon VPN à l'aide d'une passerelle de transit. Comment puis-je migrer mon VPN à partir d'une passerelle réseau privé virtuel vers une passerelle de transit ?

Brève description

Pour migrer un VPN d'une passerelle réseau privé virtuel vers une passerelle de transit :

1.    Créer une passerelle de transit

2.    Attacher vos VPC à la passerelle de transit

3.    Attacher votre VPN à la passerelle de transit

4.    Basculer le trafic de la passerelle virtuelle vers la passerelle de transit

Résolution

Vous pouvez mettre fin à une connexion VPN pour la déplacer vers une passerelle de transit. Ensuite, vous pouvez basculer le trafic de la passerelle virtuelle vers la passerelle de transit. Tout VPC attaché à la passerelle de transit est accessible à l'aide de la connexion VPN unique. Tous les VPC attachés à la passerelle de transit peuvent communiquer entre eux, s'ils y sont autorisés, via le routage et les groupes de sécurité.

Remarque : Une connexion VPN unique vers AWS Transit Gateway doit toujours disposer d'une capacité maximale de débit de 1,25 Gbit/s. Si vous avez besoin d'une bande passante plus rapide, vous devez mettre fin à plusieurs connexions VPN vers la passerelle de transit, puis répartir vos sous-réseaux sur site à travers ces connexions.

Avant de commencer, gardez à l'esprit que :

  • Vous pouvez utiliser l'outil TGW Migrator pour automatiser les étapes 1 et 2 indiquées ci-après.
  • Pour migrer à partir de votre passerelle virtuelle existante vers une passerelle de transit sans apporter de modification, vous pouvez utiliser un appel API ModifyVpnConnection. Dans la mesure où cette procédure peut entraîner des temps d'arrêt, envisagez d'apporter des modifications au cours de votre fenêtre de maintenance programmée.

Étape 1 : Créer une passerelle de transit

Lorsque vous configurez la passerelle de transit, veillez à sélectionner Auto accept shared attachments (Acceptation automatique des attachements partagés) pour activer l'acceptation automatique des attachements entre les comptes.

Vous pouvez également créer une passerelle de transit à l'aide de l'interface de ligne de commande AWS (CLI) :

aws ec2 create-transit-gateway

Étape 2 : Attacher votre VPC à la passerelle de transit

Dans chaque zone de disponibilité, il est nécessaire de spécifier un sous-réseau qui sera utilisé par la passerelle de transit pour le routage du trafic. Spécifier un sous-réseau dans chaque zone de disponibilité permet au trafic d'atteindre des ressources situées dans chaque sous-réseau présent dans cette même zone.

Attacher un VPC à la passerelle de transit à l'aide de l'interface de ligne de commande :

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids subnet-12312312,subnet-41343432

Étape 3 : Attacher votre VPN à la passerelle de transit

Lors de la création d'un attachement à une passerelle de transit :

  • Pour Customer Gateway (Passerelle client), choisissez Existing (Existante), puis sélectionnez votre identifiant de passerelle client dans la liste déroulante.
  • Pour Tunnel Options (Options de tunnel), vous pouvez, si vous le souhaitez, spécifier un tunnel personnalisé à l'intérieur de CIDR et des clés pré-partagées pour vos tunnels VPN. Dans le cas contraire, les options de tunnel sont générées de façon aléatoire.

Pour créer un attachement VPN à l'aide de l'interface de ligne de commande AWS, utilisez la commande create-vpn-connection.

Une fois que vous avez créé l'attachement VPN, téléchargez le fichier de configuration et appliquez la configuration à votre passerelle client. Vous pouvez afficher des sessions Internet Protocol Security (IPsec) et Border Gateway Protocol (BGP), mais veillez à maintenir le routage du trafic via le VPN vers la passerelle virtuelle.

Le domaine de routage AWS Transit Gateway contient des routes destinées aux VPC et VPN attachés. Pour afficher la table de routage :

  • Dans la console, choisissez Transit Gateway Route Tables (Tables de routage de passerelle de transit) dans le volet de navigation, puis sélectionnez la table de routage.
  • Dans l'interface de ligne de commande AWS, exécutez la commande suivante :
aws ec2 search-transit-gateway-routes --transit-gateway-route-table-id tgw-rtb-xxxxxxxxxxxxxxxxxx --filters Name=route-search.subnet-of-match,Values="0.0.0.0/0"

Étape 4 : Basculer le trafic de la passerelle virtuelle vers la passerelle de transit

1.    Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).

2.    Dans le volet de navigation, choisissez Route Tables (Tables de routage).

3.    Pour chaque table de routage VPC qui contient des entrées de passerelle virtuelle :

  • Sélectionnez la table de routage VPC à partir de la liste.
  • Sélectionnez l'onglet Routes, puisEdit routes (Modifier les routes).
  • Ajoutez une route moins spécifique pour votre réseau sur site pour qu'elle pointe vers la plateforme de transit. Par exemple, si la route actuellement utilisée pour accéder à votre réseau sur site à travers la passerelle réseau privé virtuel est 10.10.0.0/24, utilisez le bloc CIDR 10.10.0.0/16. Cette configuration permet de garantir que la route vers la passerelle réseau privé virtuel sera prioritaire jusqu'à ce que vous soyez prêt à rediriger le trafic vers la passerelle de transit.
  • Pour déplacer le trafic vers la passerelle de transit, configurez la passerelle client connectée à votre passerelle virtuelle pour interrompre la publicité des CIDR sur site au travers des tunnels VPN. De même, vous pouvez désactiver votre session BGP.
  • Désactivez la propagation du routage pour le routage VPC.

Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?