Comment configurer des points de terminaison de VPC interrégionaux pour les services AWS ?

Date de la dernière mise à jour : 31/03/2022

Je veux configurer des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) interrégionaux, afin de pouvoir accéder à des ressources AWS telles des compartiments Amazon Simple Storage Cloud (Amazon S3), à l'aide d'un lien privé. Comment procéder ?

Brève description

Vous pouvez déployer des ressources telles qu'Amazon Elastic Compute Cloud (Amazon EC2), VPC et Amazon Relational Database Service (Amazon RDS), dans différentes régions AWS. Ce déploiement contribue à la haute disponibilité des ressources et permet aux utilisateurs d'accéder plus rapidement aux données. Vous pouvez également déployer des points de terminaison de VPC pour accéder aux ressources publiques AWS telles qu'Amazon S3 et Amazon DynamoDB via un lien privé. Toutefois, vous ne pouvez accéder à ces points de terminaison de VPC qu'à partir de la même région. Par exemple, si vous déployez un point de terminaison de VPC S3 dans la région us-west-2, vous pouvez accéder aux compartiments S3 dans us-west-2 à partir de ce point de terminaison de VPC. Le trafic vers des compartiments situés dans d'autres régions passera par Internet.

Solution

Procédez comme suit pour créer un appairage de VPC entre des VPC afin d'accéder aux points de terminaison d'une autre région :

Remarque : pour cet exemple de solution, les variables suivantes sont utilisées :

  • Le VPC1 (10.100.10.0/24) se trouve dans la région us-east-1.
  • Le VPC1 possède un point de terminaison S3.
  • Le VPC2 (172.16.20.0/24) se trouve dans la région us-east-2.
  • Les utilisateurs de la région us-east-2 souhaitent accéder au compartiment S3 dans us-east-1 à l'aide du point de terminaison S3 de la région us-east-1.

Configuration de l'appairage entre le VPC1 et le VPC2

1.    Ouvrez la console Amazon VPC. Assurez-vous que vous vous trouvez dans la région us-east-1.

2.    Sélectionnez VPC peering connections (connexions d'appairage de VPC).

3.    Choisissez Create peering connection (Créer une connexion d'appairage).

4.    Saisissez un nom pour la connexion d'appairage.

5.    Pour Select a local VPC to peer with (Sélectionnez un VPC local à appairer), saisissez l'ID du VPC (dans cet exemple, il s'agit de l'ID du VPC1).

5.    Dans Select another VPC to peer with (Sélectionnez un autre VPC à appairer), pour Account (Compte), s'il s'agit d'un VPC distant appartenant au même compte, sélectionnez My account (Mon compte). S'il ne s'agit pas d'un VPC distant appartenant au même compte, sélectionnez Another account (Autre compte), puis saisissez l'ID de compte.

7.    Dans Select another VPC to peer with (Sélectionner un autre VPC à appairer), pour Region, sélectionnez Another Region (Autre région), puis saisissez l'ID de VPC distant souhaité. (Dans cet exemple, il s'agit de l'ID du VPC2)

8.    Choisissez Create peering connection (Créer une connexion d'appairage). L'état de la connexion d'appairage passe à pending acceptance (en attente d'acceptation).

9.    Remplacez la région par us-east-2.

10.    Dans la console Amazon VPC, sélectionnez VPC peering connections (Connexions d'appairage de VPC).

11.    Sélectionnez Actions, puis Accept request (Accepter la demande).

Mise à jour de la table de routage du sous-réseau et de la cible de la table

1.    Ajoutez une route dans la table de routage du sous-réseau pour le point de terminaison us-east-1 pour 172.16.20.0/24 (VPC2).

2.    Ajoutez une route dans la cible de la table de routage de l'utilisateur dans us-east-2 pour 10.100.10.0/24 (VPC1) en tant que connexion d'appairage (pcx-xxxxxxxxxxxxxx).

Accès au compartiment S3

Accédez au compartiment S3 à l'aide du nom de domaine complet (FQDN) du point de terminaison de VPC à partir du VPC distant :

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

Dépannage

  • Les tables de routage des sous-réseaux de VPC locaux et distants doivent avoir des routes qui se ciblent mutuellement en tant que connexions d'appairage.
  • La politique d'autorisation du point de terminaison du VPC doit autoriser l'ID du VPC distant.
  • Les groupes de sécurité appliqués aux points de terminaison du VPC doivent autoriser les sous-réseaux de VPC distants.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?