Comment transférer mon VPN à partir d'une passerelle réseau privé virtuel vers une passerelle de transit ?

Dernière mise à jour : 23/03/2021

Je souhaite fournir une connexion sécurisée entre mon Amazon Virtual Private Cloud (Amazon VPC) et mon réseau privé virtuel (VPN) à l'aide d'une passerelle de transit. Comment transférer mon VPN à partir d'une passerelle réseau privé virtuel vers une passerelle de transit ?

Brève description

Pour transférer un VPN d'une passerelle réseau privé virtuel vers une passerelle de transit :

1.    Créer une passerelle de transit

2.    Attacher vos VPC à la passerelle de transit

3.    Attacher votre VPN à la passerelle de transit

4.    Basculer le trafic de la passerelle virtuelle vers la passerelle de transit

Solution

Remarque : si vous recevez des erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), assurez-vous d'utiliser la version la plus récente d'AWS CLI.

Vous pouvez mettre fin à une connexion VPN pour la déplacer vers une passerelle de transit. Ensuite, vous pouvez basculer le trafic de la passerelle virtuelle vers la passerelle de transit. Tout VPC attaché à la passerelle de transit est accessible à l'aide de la connexion VPN unique. Tous les VPC attachés à la passerelle de transit peuvent communiquer, s'ils y sont autorisés, via le routage et les groupes de sécurité.

Une connexion VPN unique vers AWS Transit Gateway doit toujours disposer d'une capacité maximale de débit de 1,25 Gbit/s. Si vous avez besoin d'une bande passante plus rapide, vous devez alors mettre fin à plusieurs connexions VPN vers la passerelle de transit, puis répartir vos sous-réseaux sur site à travers ces connexions.

Avant de commencer, gardez à l'esprit que :

  • Vous pouvez utiliser l'outil TGW Migrator pour automatiser les étapes 1 et 2 indiquées ci-après.
  • Pour effectuer une migration à partir de votre passerelle virtuelle existante vers une passerelle de transit sans apporter de modification, vous pouvez utiliser un appel API ModifyVpnConnection. Toutefois, puisque cet appel peut entraîner des temps d'arrêt, envisagez d'apporter des modifications au cours de votre fenêtre de maintenance programmée.

Étape 1 : Créer une passerelle de transit

Suivez les étapes pour créer une passerelle de transit.

Lorsque vous configurez la passerelle de transit, veillez à sélectionner Auto accept shared attachments (Acceptation automatique des attachements partagés).

Vous pouvez également créer une passerelle de transit à l'aide de l'interface de ligne de commande AWS :

aws ec2 create-transit-gateway

Étape 2 : Attacher votre VPC à la passerelle de transit

Suivez les étapes pour attacher vos VPC à la passerelle de transit.

Dans chaque zone de disponibilité, il est nécessaire de spécifier un sous-réseau qui sera utilisé par la passerelle de transit pour le routage du trafic. Cela permet au trafic d'atteindre des ressources situées dans chaque sous-réseau présent dans cette même zone de disponibilité.

Pour attacher un VPC à la passerelle de transit via l'AWS CLI :

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids "subnet-12312312" "subnet-41343432"

Étape 3 : Attacher votre VPN à la passerelle de transit

Suivez les étapes pour attacher votre VPN à la passerelle de transit.

Lors de la création d'un attachement à une passerelle de transit :

  • Pour Passerelle client, choisissez Existante, puis sélectionnez votre identifiant de passerelle client.
  • Pour Options de tunnel, vous pouvez si vous le souhaitez spécifier un tunnel personnalisé à l'intérieur de CIDR et des clés pré-partagées pour vos tunnels VPN. Dans le cas contraire, les options de tunnel sont générées de façon aléatoire.

Pour créer un attachement VPN à l'aide de l'AWS CLI, utilisez la commande create-vpn-connection.

Une fois que vous avez créé l'attachement VPN, téléchargez le fichier de configuration et appliquez la configuration à votre passerelle client. Vous pouvez afficher des sessions Internet Protocol Security (IPsec) et Border Gateway Protocol (BGP), mais pensez à maintenir le routage du trafic via le VPN vers la passerelle virtuelle.

Le domaine de routage AWS Transit Gateway contient des routes destinées aux VPC et VPN attachés. Pour afficher la table de routage :

1.    Ouvrez la console Amazon VPC.

2.    Dans le volet de navigation, sélectionnez Tables de routage Transit Gateway.

3.    Sélectionnez la table de routage.

-ou-

Dans l'interface de ligne de commande AWS, exécutez la commande suivante :

aws ec2 search-transit-gateway-routes --transit-gateway-route-table-id tgw-rtb-xxxxxxxxxxxxxxxxxx --filters Name=route-search.subnet-of-match,Values="0.0.0.0/0"

Étape 4 : Basculer le trafic de la passerelle virtuelle vers la passerelle de transit

1.    Ouvrez la console Amazon VPC.

2.    Dans le volet de navigation, choisissez Tables de routage.

3.    Sélectionnez la table de routage VPC à partir de la liste.

4.    Choisissez Actions, puis choisissez Modifier des routes.

5.    Ajoutez une route moins spécifique pour votre réseau sur site pour la diriger vers la plateforme de transit. Par exemple, si la route actuellement utilisée pour accéder à votre réseau sur site à travers la passerelle réseau privé virtuel est 10.10.0.0/24, utilisez le bloc CIDR 10.10.0.0/16. Cette configuration permet de garantir que la route vers la passerelle réseau privé virtuel sera prioritaire jusqu'à ce que vous soyez prêt à rediriger le trafic vers la passerelle de transit.

6.    Pour déplacer le trafic vers la passerelle de transit, configurez la passerelle client connectée à votre passerelle virtuelle pour interrompre la publicité des CIDR sur site au travers des tunnels VPN. Vous pouvez aussi désactiver votre session BGP.

7.    Désactivez la propagation du routage pour le routage VPC.

8.    Répétez les étapes 3 à 7 pour chaque table de routage VPC qui contient des entrées de passerelle virtuelle.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?