Je souhaite créer une instance de traduction d'adresses réseau (NAT) dans un sous-réseau public au sein de mon Amazon Virtual Private Cloud (VPC) pour permettre aux instances du sous-réseau privé d'initier un trafic sortant vers Internet ou d'autres services AWS. Comment créer une instance NAT dans un sous-réseau public de mon VPC à ces fins ?

Vous pouvez configurer une instance NAT pour filtrer le trafic en suivant les instructions de la section Comment ajouter un filtrage DNS à votre NAT avec Squid, la déployer avec un serveur Jump ou l'utiliser pour le transfert de port et la définition des priorités de trafic avec les méthodes disponibles sur la plupart des systèmes d'exploitation modernes.

Comme les instances NAT ne sont pas gérées par AWS, vous devez vous occuper vous-même des mises à jour de logiciel et de sécurité. Vous devez également gérer les défaillances d'instance et vous assurer que le trafic entrant est contrôlé avec les groupes de sécurité. Les clients peuvent déployer un logiciel AWS qui n'est pas géré par AWS, mais sa maintenance et sa gestion deviennent alors un effort mutuel, comme décrit dans la section Modèle AWS de responsabilité partagée.

Remarque
Pour les scénarios d'utilisation courants, nous vous recommandons d'utiliser une passerelle NAT plutôt qu'une instance NAT. Pour plus d'informations sur l'utilisation d'une passerelle NAT, consultez la section Migration d'une instance NAT dans le Guide de l'utilisateur Amazon Virtual Private Cloud.

  1. Dans la console Amazon EC2, sélectionnez la dernière AMI NAT Amazon VPC ou votre AMI NAT personnalisée.
  2. Choisissez Launch.
  3. A moins que le trafic ne soit minime, sélectionnez un type d'instance avec la mise en réseau améliorée, comme c4.large.
  4. Sélectionnez Configure Instance Details.
  5. Sélection un sous-réseau public (avec IGW) dans votre VPC. Si vous avez des doutes, vérifiez chaque sous-réseau dans VPC Console Subnets. Pour un sous-réseau public, l'onglet Route Table spécifie une destination similaire à celle-ci : 0.0.0.0/0 igw-abcd1234.
  6. Choisissez Review and Launch.
  7. Sélectionnez Edit security groups et apportez les modifications requises pour répondre aux exigences d'accès entrant.
  8. Sélectionnez Launch pour choisir une paire de clés et lancer votre instance via l'assistant.
  9. Dans EC2 Console Instances, cliquez sur votre instance avec le bouton droit de la souris. Sous Networking, sélectionnez Change Source/Destination Check, puis Disabled.
  10. La sectionVPC Console Route Tables contient toutes les tables de routage privées.
    a) Sélectionnez l'onglet Route. La destination des tables de routage privées est similaire à celle-ci : 0.0.0.0/0 eni-abcd1234 / i-098765abcdef12345.
    b) Sélectionnez Edit et pour le routage « 0.0.0.0/0 », remplacez la cible par la nouvelle instance NAT.
    c) Sélectionnez Save.
  11. Connectez-vous à une instance d'un sous-réseau privé et vérifiez qu'elle est en mesure de traiter les demandes Internet entrantes.
  12. (Facultatif) Connectez-vous à l'instance NAT et installez les options de réglage et les outils au niveau du système d'exploitation. Par exemple :
         sudo yum install conntrack-tools

Une fois l'installation terminée, exécutez les commandes suivantes à partir du shell Linux pour définir le nombre de connexions à surveiller afin d'optimiser les performances de l'instance NAT :

cat <

# for large instance types, allow keeping track of more

# connections (requires enough RAM)

net.ipv4.netfilter.ip_conntrack_max=262144

EOF

sudo sysctl -p /etc/sysctl.d/custom_nat_tuning.conf

Amazon VPC, installer une instance NAT, filtrage DNS, serveur Jump, transfert de port, priorités du trafic réseau, passerelle NAT


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 06/05/2016