Comment permettre la communication entre plusieurs VPC à partir d'une seule connexion VPN connectée à ma passerelle de transit sans autoriser l'accès entre les VPC ?

Date de la dernière mise à jour : 07/07/2022

J'ai deux clouds privés virtuels (VPC) (VPC) appairés : Les utilisateurs sur site ont besoin d'accéder aux deux VPC avec une seule connexion VPN. Je souhaite établir une connectivité réseau entre les VPC et le réseau sur site via une connexion VPN unique. Comment procéder ?

Brève description

Si vous disposez de deux VPC, tels qu'un environnement de production et un environnement de développement, avec une seule connexion VPN, suivez ces étapes pour établir la connectivité réseau entre les ressources de plusieurs VPC afin que :

  • Les utilisateurs sur site peuvent accéder aux ressources de tous les VPC dans le VPN.
  • Les ressources VPC ne peuvent pas accéder aux ressources des autres VPC

Solution

Créez une passerelle de transit, puis attachez vos VPC et un VPN site à site.

  1. Dans la console Amazon Virtual Private Cloud (Amazon VPC), créez une passerelle de transit.
    Remarque : Désactivez le paramètre Default association route table (Table de routage avec association par défaut) lors de la création de votre passerelle de transit.
  2. Associez vos VPC à votre passerelle de transit.
  3. Créez une connexion VPN site à site et attachez-la à votre passerelle de transit.
    Remarque : Pour propager automatiquement les routes VPN vers la table de routage de la passerelle de transit, choisissez Dynamic (Dynamique) pour Routing option (Option de routage). Cette option nécessite le protocole de passerelle frontière.

Créez une table de routage de passerelle de transit et associez-la à vos VPC.

  1. Ouvrez la console Amazon VPC.
  2. Dans le panneau de navigation, sélectionnez Transit Gateways (Passerelles de transit).
  3. Vérifiez que le paramètre Default association route table (Table de routage avec association par défaut) pour votre passerelle de transit est défini sur Disable (Désactivé).
    Remarque : Si Default associate route table (Table de routage associée par défaut) est définie sur Enable (Activer), passez à l'étape 9.
  4. Sélectionnez Transit gateway route tables (Tables de routage de passerelle de transit).
  5. Choisissez Create transit gateway route table (Créer une table de routage de passerelle de transit).
    Pour Name tag (Balise de nom), saisissez Route Table A (Table de routage A).
    Pour Transit gateway ID (ID de passerelle de transit), sélectionnez l'ID de votre passerelle de transit.
    Choisissez ensuite Create transit gateway route table (Créer une table de routage de passerelle de transit).
  6. Choisissez la Table de routage A que vous avez créée à l'étape précédente ou la table de routage par défaut de votre passerelle de transit.
  7. Ensuite, choisissez Associations, puis Create Association (Créer une association).
  8. Pour Choose attachment to associate (Sélectionner un attachement à associer), sélectionnez les ID d'association de vos VPC. Choisissez ensuite Create Association (Créer une association). Répétez cette étape jusqu'à ce que tous vos VPC s'affichent sous Association.
  9. Supprimez l'association VPN de la table de routage de passerelle de transit par défaut.

Créez une deuxième table de routage de passerelle de transit et associez-la à votre connexion VPN.

  1. Dans la console Amazon VPC, choisissez Transit gateway routage tables (Tables de routage de passerelle de transit).
  2. Choisissez Create transit gateway route table (Créer une table de routage de passerelle de transit).
    Pour Name tag (Balise de nom), saisissez Route Table B (Table de routage B).
    Pour Transit gateway ID (ID de passerelle de transit), sélectionnez l'ID de votre passerelle de transit.
    Choisissez ensuite Create transit gateway route table (Créer une table de routage de passerelle de transit).
  3. Choisissez la table de routage B que vous avez créée à l'étape précédente.
  4. Ensuite, choisissez Associations, puis Create Association (Créer une association).
  5. Associez la connexion VPN que vous avez créée à la table de routage B.

Propagez les routes à partir de vos VPC et VPN sur les deux tables de routage.

  1. Dans la console Amazon VPC, choisissez Transit gateway routage tables (Tables de routage de passerelle de transit).
  2. Sélectionnez Table de routage A.
  3. Choisissez Actions, puis Create propagation (Créer une propagation).
  4. Pour Choose attachment to propagate (Sélectionner un attachement à propager), choisissez la propagation pour le VPN. Si la propagation est activée pour tous les attachements, vérifiez que l'association de connexion VPN n'est pas activée dans cette table de routage.
    Important : si vous avez créé une connexion VPN à route statique, plutôt qu'un routage dynamique, vous devez créer une route statique pour le réseau local vers le VPN sur la Table de routage A. Pour les connexions VPN statiques basées sur des politiques, une seule paire d'associations de sécurité (SA) est autorisée. Consolidez l'adresse CIDR sur site et l'adresse CIDR des VPC en une seule association de sécurité. Pour plus d'informations, consultez Comment résoudre les problèmes de connexion entre un point de terminaison AWS VPN et un VPN basé sur une politique ?
  5. Choisissez Create propagation (Créer une propagation).
  6. Dans les tables de routage de la passerelle de transit, sélectionnez la Table de routage B.
  7. Choisissez Actions, puis Create propagation (Créer une propagation).
  8. Pour Choose attachment to propagate (Choisir un attachement à propager), choisissez la propagation pour tous les VPC. Ensuite, choisissez Create propagation (Créer une propagation).

Configurez la table de routage associée à votre VPC et au sous-réseau d'attachements.

  1. Dans la console Amazon VPC, choisissez Route tables (Tables de routage).
  2. Choisissez la table de routage attachée au sous-réseau d'attachements.
  3. Sélectionnez l'onglet Routes, puis Edit routes (Modifier les routes).
  4. Choisissez l'onglet Add route (Ajouter une route).
    Pour Destination, choisissez le sous-réseau du réseau sur site.
    Pour Target (Cible), sélectionnez votre passerelle de transit.
  5. Choisissez Save routes (Enregistrer les routes).

Remarque : si votre cas d'utilisation nécessite un accès plus restrictif entre vos VPC, vous pouvez créer une table de routage distincte pour chaque VPC et configurer les routes. Gardez à l'esprit les points suivants :

  • Le routage dans la table de routage de la passerelle de transit dépend de l'association de la passerelle de transit et de la table de routage de la passerelle de transit.
  • Vous pouvez configurer des routes vers n'importe quelle destination de l'attachement de la passerelle de transit dans n'importe quelle table de routage de passerelle de transit. L'attachement de la passerelle de transit n'a pas besoin d'être associé à cette table de routage spécifique.

Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?