Questions d'ordre général

Q : Qu'est-ce qu'Amazon Virtual Private Cloud ?

Amazon VPC vous permet de mettre en service une section du cloud Amazon Web Services (AWS) isolée de manière logique, au sein de laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez. Vous conservez la totale maîtrise de votre environnement de mise en réseau virtuel, y compris pour la sélection de vos propres plages d'adresses IP, la création de sous-réseaux et la configuration de tables de routage et de passerelles réseau. De plus, vous pouvez créer une connexion VPN (Virtual Private Network) matérielle entre le data center de votre entreprise et votre VPC, et exploiter le cloud AWS comme une extension de votre datacenter d'entreprise.

Vous pouvez facilement adapter la configuration du réseau à votre nuage Amazon VPC. Par exemple, vous pouvez créer un sous-réseau destiné au public pour vos serveurs Web : un sous-réseau qui a accès à Internet et place vos systèmes principaux, comme les bases de données ou les serveurs d'application, dans un sous-réseau non destiné au public sans accès Internet. Vous pouvez exploiter plusieurs couches de sécurité, y compris les groupes de sécurité et les listes de contrôles d'accès au réseau, afin de renforcer le contrôle des accès aux instances Amazon EC2 dans chaque sous-réseau.

Q : Quels éléments composent Amazon VPC ?

Amazon VPC comprend une variété d'objets bien connus des clients déjà équipés de réseaux :

  • Cloud privé virtuel (Virtual Private Cloud) : un réseau virtuel isolé de manière logique au sein du cloud AWS. Vous définissez un espace d'adresse IP d'un VPC depuis des plages que vous sélectionnez.
  • Sous-réseau : un segment de plage d'adresses IP d'un VPC dans lequel vous pouvez placer des groupes de ressources isolées.
  • Passerelle Internet : le côté Amazon VPC d'une connexion à l'Internet public.
  • Passerelle NAT : un service géré de translation d'adresses réseau (NAT) à disponibilité élevée, qui permet à vos ressources d'accéder à Internet depuis un sous-réseau privé.
  • Connexion VPN matérielle : une connexion VPN basée sur le matériel entre votre Amazon VPC et un centre de données, un réseau domestique ou une installation de colocalisation.
  • Passerelle réseau privé : le côté Amazon VPC d'une connexion VPN.
  • Passerelle client : votre côté de la connexion VPN.
  • Connexion d'appairage : une connexion d'appairage vous permet d'acheminer le trafic via des adresses IP privées entre deux VPC appairés.
  • Points de terminaisons VPC : ils permettent une connectivité privée aux services hébergés sur AWS depuis votre VPC sans utiliser de passerelle Internet, de VPN, d'appareils de translation d'adresses réseau (NAT) ou de proxy pare-feu.
  • Passerelle Internet de sortie uniquement : une passerelle avec état qui fournit un accès sortant uniquement pour le trafic IPv6 du VPC vers Internet.
 
Q : Pourquoi devrais-je utiliser Amazon VPC ?
 
Amazon VPC vous permet de construire un réseau virtuel dans le cloud AWS ; aucun VPN, matériel ou centre de données physique n'est requis. Vous pouvez définir votre propre espace réseau et contrôler comment votre réseau et les ressources Amazon EC2 au sein de votre réseau sont exposés à Internet. Vous pouvez également tirer profit des options de sécurité renforcées dans Amazon VPC pour fournir un accès plus granulaire à la fois vers et à partir des instances Amazon EC2 dans votre réseau virtuel.
 
Q : Comment démarrer avec Amazon VPC ?
 
Vos ressources AWS sont automatiquement mises en service dans un VPC par défaut prêt à l'emploi. Vous pouvez créer des VPC supplémentaires. Pour cela, rendez-vous sur la page Amazon VPC sur AWS Management Console et sélectionnez « Start VPC Wizard ».
 
Vous vous verrez proposer quatre options basiques pour les architectures réseau. Après avoir sélectionné une option, vous pouvez modifier la taille et la plage des adresses IP du VPC et ses sous-réseaux. Si vous sélectionnez une option avec l'accès au matériel VPN, vous devrez spécifier l'adresse IP du matériel VPN sur votre réseau. Vous pouvez modifier le VPC pour ajouter ou supprimer des plages d'adresse IP et des passerelles secondaires, ou pour ajouter davantage de sous-réseaux aux plages d'adresses IP.
 
Voici les quatre options disponibles :
 
  1. VPC avec un sous-réseau public uniquement
  2. VPC avec des sous-réseaux publics et privés
  3. VPC avec des sous-réseaux publics et privés, et un accès au matériel VPN
  4. VPC avec un sous-réseau privé seulement et un accès au matériel VPN
 
Q : Quels sont les différents types de points de terminaison de VPC disponibles sur Amazon VPC ?
 
Les points de terminaison d'un VPC vous permettent de connecter votre VPC à un service hébergé sur AWS sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou de proxies de pare-feu. Les points de terminaison sont des appareils virtuels dimensionnables à l'horizontale et hautement disponibles qui permettent les communications entre les instances de votre VPC et des services AWS. Amazon VPC propose deux types de points de terminaison : des points de terminaison de type passerelle et d'autres de type interface.
 
Les points de terminaison de type passerelle sont disponibles uniquement pour les services AWS dont S3 et DynamoDB. Ces points de terminaison ajoutent une entrée à la table de routage que vous avez sélectionnée et routent le trafic vers les services pris en charge via le réseau privé d'Amazon.
 
Les points de terminaison de type interface fournissent une connectivité privée à des services fournis par PrivateLink, qui sont des services AWS, vos propres services ou des solutions SaaS, et prennent en charge la connectivité à Direct Connect. Dans l'avenir, d'autres solutions AWS et SaaS seront prises en charge par ces points de terminaison. Veuillez consulter la tarification VPC pour le prix des points de terminaison de type interface.
 

Facturation

Q : Comment l'utilisation d'Amazon VPC me sera-t-elle facturée ?

Il n'y a pas de frais supplémentaires pour la création et l'utilisation du VPC lui-même. Les frais d'utilisation pour d'autres solutions Amazon Web Services, y compris Amazon EC2, s'appliquent selon les tarifs en vigueur pour ces ressources, notamment pour les frais de transfert de données. Si vous connectez votre VPC au datacenter de votre entreprise en utilisant la connexion VPN matérielle facultative, le tarif est calculé par heure de connexion VPN consommée (la durée pendant laquelle l'état de votre connexion VPN indique qu'elle est disponible). Les heures partiellement consommées seront facturées comme des heures entières. Les données transférées au-delà des connexions VPN seront facturées aux taux standard de transfert de données AWS. Pour obtenir des informations sur la tarification VPC-VPN, consultez la section de tarification de la page produit Amazon VPC.

Q : Qu'est-ce qui définit les heures de connexion VPN facturables ?

Les heures de connexion VPN sont facturées chaque fois que vos connexions VPN sont indiquées comme étant disponibles. Vous pouvez déterminer l'état d'une connexion VPN via AWS Management Console, l'interface de ligne de commande ou une API. Si vous ne voulez plus utiliser votre connexion VPN, vous y mettez simplement fin pour éviter que des heures de connexion VPN supplémentaires ne vous soient facturées.

Q : Quels frais d'utilisation me seront facturés si j'utilise d'autres services AWS, comme Amazon S3, à partir des instances Amazon EC2 dans mon VPC ?

Les frais d'utilisation pour d'autres Amazon Web Services, y compris Amazon EC2, s'appliquent aux taux publiés pour ces ressources. Les frais de transfert de données ne sont pas facturés au moment de l'accès aux Amazon Web Services, tels que Amazon S3, via votre passerelle Internet de VPC.

Si vous accédez aux ressources AWS via votre connexion VPN, vous encourrez des frais pour vos transferts de données Internet.

Q : Vos prix sont-ils toutes taxes comprises ?

Sauf indication contraire, nos prix n'incluent pas les taxes et redevances applicables, y compris la TVA et les taxes sur les ventes applicables. Pour les clients dont l'adresse de facturation est située au Japon, l'utilisation de services AWS est soumise à la taxe sur la consommation applicable dans ce pays. En savoir plus.

Connectivité

Q : Quelles sont les options de connectivité pour mon VPC ?

Vous pouvez connecter votre VPC à :

  • Internet (via une passerelle Internet) ;
  • votre centre de données interne à partir d'une connexion VPN matérielle (via la passerelle réseau privé virtuel) ;
  • Internet et à votre centre de données interne (en utilisant à la fois une passerelle Internet et une passerelle réseau privé virtuel) ;
  • d'autres services AWS (via une passerelle Internet, une instance NAT, une passerelle privée virtuelle ou des points de terminaison VPC) ;
  • d'autres VPC (via des connexions d'appairage entre VPC).
 
Q : Comment connecter un VPC à Internet ?
 
Amazon VPC prend en charge la création d'une passerelle Internet. Cette passerelle active les instances Amazon EC2 dans le VPC pour accéder directement à Internet.
 
Q : Les passerelles Internet sont-elles soumises à des restrictions en termes de bande passante ? Dois-je m'inquiéter de sa disponibilité ? Peut-il s'agir d'un point unique de défaillance ?
 
Une passerelle Internet est mise à l'échelle horizontalement, et est redondante et hautement disponible. Elle n'impose aucune restriction en matière de bande passante.
 
Q : Comment les instances dans un VPC accèdent-elles à Internet ?
 
Vous pouvez utiliser des adresses IP publiques, notamment des adresses IP Elastic (EIP) pour permettre aux instances du VPC de communiquer directement vers l'extérieur par Internet et de recevoir un trafic entrant non sollicité à partir d'Internet (c.-à-d. des serveurs Web). Vous pouvez également utiliser les solutions citées dans la réponse à la prochaine question.
 
Q : Comment les instances sans adresse IP publique accèdent-elles à Internet ?
 
Les instances sans adresse IP publique peuvent accéder à Internet de deux façons :
  1. Les instances sans adresse IP publique peuvent acheminer leur trafic via une passerelle NAT ou une instance NAT pour accéder à Internet. Ces instances utilisent l'adresse IP publique de la passerelle ou instance NAT pour traverser Internet. La passerelle ou instance NAT permet une communication sortante, mais n'autorise pas les machines sur Internet à initier une connexion vers des instances à adresse privée.
  2. Pour les VPC équipés d'une connexion VPN hardware ou d'une connexion Direct Connect, les instances peuvent acheminer leur trafic Internet jusqu'à votre centre de données, via la passerelle privée virtuelle. À partir de là, il est possible d'accéder à Internet via vos points de sortie existants et les périphériques de surveillance/sécurité du réseau.
 
Q : Puis-je me connecter à mon VPC en utilisant un logiciel VPN ?
 
Oui. Vous pouvez utiliser un logiciel VPN tiers pour créer une connexion VPN site à site ou d'accès distant avec votre VPC via la passerelle Internet.
 
Q : Comment une connexion VPN matérielle fonctionne-t-elle avec Amazon VPC ?
 
Une connexion VPN hardware connecte votre VPC à votre centre de données. Amazon prend en charge les connexions VPN utilisant l'Internet Protocol Security (IPsec). Les données transférées entre votre VPC et votre centre de données empruntent une connexion VPN codée pour maintenir la confidentialité et l'intégrité des données en transit. Une passerelle Internet n'est pas nécessaire pour établir une connexion VPN matérielle.
 
Q : Qu'est-ce que IPsec ?
 
IPsec est une suite de protocoles de sécurisation des communications IP (Internet Protocol) par l'authentification et le cryptage de chaque paquet IP d'un flux de données.
 
Q : Quels périphériques de passerelle client puis-je utiliser pour me connecter à Amazon VPC ?
 
Vous pouvez créer deux types de connexions VPN : les connexions VPN acheminées de façon statique et les connexions VPN acheminées de façon dynamique. Les périphériques de passerelle client qui prennent en charge les connexions VPN acheminées de façon statique doivent pouvoir :
  • établir une association de sécurité IKE en utilisant des clés pré-partagées ;
  • établir des associations de sécurité IPsec en mode tunnel ;
  • utiliser la fonction de chiffrement AES 128 bits ou 256 bits ;
  • utiliser la fonction de hachage SHA-1 ou SHA-2 (256) ;
  • utiliser Diffie-Hellman (DH) Perfect Forward Secrecy en mode « Groupe 2 », ou l'un des groupes DH supplémentaires que nous prenons en charge ;
  • pratiquer une fragmentation par paquets avant le chiffrement.
En plus des capacités ci-dessus, les périphériques qui prennent en charge les connexions VPN acheminées de façon dynamique doivent pouvoir :
  • établir des appairages Border Gateway Protocol (BGP) ;
  • relier des tunnels à des interfaces logiques (VPN basé sur un routage) ;
  • utiliser IPsec Dead Peer Detection.
 
Q : Quels sont les groupes Diffie-Hellman pris en charge ?
 
Nous prenons en charge les groupes Diffie-Hellman (DH) ci-dessous, pour les phases 1 et 2.
  • Phase 1 : groupes DH 2, 14-18, 22, 23, 24
  • Phase 2 : groupes DH 2, 5, 14-18, 22, 23, 24
 
Q : Quels périphériques de passerelle client sont connus pour fonctionner avec Amazon VPC ?
 
Les appareils suivants, correspondant aux exigences mentionnées ci-dessus, sont connus pour fonctionner avec des connexions VPN matérielles et prennent en charge, via les outils de ligne de commande, la génération automatique de fichiers de configuration adaptés à votre périphérique :
Notez que ces exemples de configurations concernent les exigences minimales pour AES128, SHA1 et le groupe DH 2. Vous devez modifier ces exemples de fichiers de configuration pour exploiter pleinement AES256, SHA256 ou les autres groupes DH.
 
Q : Si mon périphérique n'est pas listé, où puis-je trouver plus d'informations sur son utilisation avec Amazon VPC ?
 
Nous vous recommandons de visiter le forum Amazon VPC ; il se peut que d'autres clients utilisent déjà votre périphérique.
 
Q : Quel est le débit maximal approximatif d'une connexion VPN ?
 
La passerelle réseau privé virtuel prend en charge un débit ISPEC VPN allant jusqu'à 1,25 Go/s. De multiples connexions VPN au même VPC sont rattachées de manière cumulative au débit passerelle réseau privé virtuel de 1,25 Go/s.
 
Q : Quels facteurs influencent le débit de ma connexion VPN ?
 
Le débit de la connexion VPN peut dépendre de plusieurs facteurs, notamment la capacité de votre passerelle client, la capacité de votre connexion, la taille moyenne des paquets, le protocole utilisé (TCP ou UDP) et la latence du réseau entre votre passerelle client et la passerelle privée virtuelle.
 
Q : Quels sont les outils disponibles pour m'aider à trouver des solutions à mes problèmes de configuration du matériel VPN ?
 
L'API DescribeVPNConnection affiche l'état de la connexion VPN, y compris l'état (« up »/« down ») de chaque tunnel VPN et les messages d'erreur correspondants dans le cas où un tunnel serait « down ». Cette information est également affichée dans AWS Management Console.
 
Q : Comment connecter un VPC à mon réseau existant ?
 
Établir une connexion VPN matérielle entre votre réseau existant et Amazon VPC vous permet d'interagir avec les instances Amazon EC2 au sein d'un VPC comme si elles étaient dans votre réseau existant. AWS n'effectue pas la traduction d'adresse réseau (NAT) sur les instances Amazon EC2 au sein d'un VPC auquel on accède via une connexion VPN matérielle.
 
Q : Puis-je activer la fonction NAT de mon CGW derrière un routeur ou un pare-feu ?
 
Oui, vous devez activer la fonction NAT-T et ouvrir le port UDP 4500 sur votre périphérique NAT.
 
Q : Quelle adresse IP utiliser pour CGW ?
 
Utilisez l'adresse IP publique de votre périphérique NAT.
 
Q : Comment désactiver la fonction NAT-T sur ma connexion ?
 
Vous devez désactiver la fonction NAT-T sur votre périphérique. Si vous ne comptez pas utiliser la fonction NAT-T et qu'elle n'est pas désactivée sur votre périphérique, nous tenterons d'établir un tunnel sur le port UDP 4500. Si ce port n'est pas ouvert, le tunnel ne sera pas établi.
 
Q : Je souhaite disposer de plusieurs CGW derrière un périphérique NAT, comment procéder à ce type de configuration ?
 
Pour chaque connexion, utilisez l'adresse IP publique de votre périphérique NAT pour le CGW. Vérifiez également que le port UDP 4500 est ouvert.
 
Q : Combien d'associations de sécurité IPsec peut-on établir en même temps par tunnel ?
 
Le service AWS VPN est une solution basée sur des routages. L'utilisation d'une configuration basée sur des routages n'entraînera donc pas de limites d'associations de sécurité. Toutefois, si vous utilisez une solution basée sur des politiques, vous devrez vous limiter à une seule association de sécurité, car le service est une solution basée sur des routages.

Adressage IP

Q : Quelles plages d'adresses IP utiliser au sein de mon VPC ?

Vous pouvez utiliser n'importe quelle plage d'adresse IPv4, dont RFC 1918 ou des plages d'adresse IP publiquement routables pour le bloc d'adresse CIDR primaire. Pour les blocs d'adresse CIDR secondaires, certaines restrictions s'appliquent. Les blocs IP pouvant être acheminés publiquement ne sont accessibles qu'à partir de la passerelle VPN et ne le sont pas sur Internet, par le biais de la passerelle Internet. AWS n'annonce pas les blocs d'adresses IP de clients sur Internet. Vous pouvez allouer un bloc d'adresse IPv6 CIDR fourni par Amazon au VPC en faisant appel à l'API pertinente ou via AWS Management Console.

Q : Comment attribuer des plages d'adresses IP à des VPC ?

Lorsque vous créez un VPC, vous attribuez une seule plage d'adresse IP Classless Internet Domain Routing (CIDR) comme bloc CIDR primaire et vous pouvez ajouter jusqu'à quatre (4) blocs CIDR secondaires une fois le VPC créé. Vous adressez les sous-réseaux au sein d'un VPC depuis ces plages CIDR. Même si vous pouvez créer plusieurs VPC avec des chevauchements de plages d'adresses IP, le faire ne vous permettra pas de connecter ces VPC à un réseau familial commun via la connexion VPN matérielle. C'est pourquoi nous recommandons d'utiliser des plages d'adresses IP non superposées. Vous pouvez allouer un bloc d'adresses IPv6 CIDR fourni par Amazon à votre VPC.

Q : Quelles sont les plages d'adresses IP affectées au VPC par défaut ?

La plage CIDR 172.31.0.0/16 est affectée aux VPC par défaut. Les sous-réseaux par défaut au sein d'un VPC par défaut se voient affectés les netblocks /20 au sein de la plage CIDR du VPC. 

Q : Puis-je annoncer la plage d'adresses IP de mon VPC public sur Internet et acheminer le trafic par mon centre de données, via la connexion VPN matérielle, en direction de mon VPC ?

Oui, vous pouvez acheminer le trafic via une connexion VPN matérielle et rendre publique la plage d'adresses depuis votre réseau interne.

Q : Puis-je utiliser mes adresses IPv4 publiques dans VPC et y accéder via Internet ?

Oui, vous pouvez transférer vos adresses IPv4 publiques dans AWS VPC et les allouer de manière statique aux sous-réseaux et aux instances EC2. Pour accéder à ces adresses via Internet, vous devrez les publier sur Internet à partir de votre réseau local. Vous devrez également acheminer le trafic sur ces adresses entre votre VPC et votre réseau local à l'aide d'une connexion AWS DX ou AWS VPN. Vous pouvez acheminer le trafic depuis votre VPC à l'aide de la passerelle privée virtuelle. De même, vous pouvez acheminer le trafic de votre réseau local vers votre VPC à l'aide de vos routeurs.

Q : Quelle taille de VPC puis-je créer ?

Actuellement, Amazon VPC prend en charge cinq (5) plages d'adresses IP, une (1) primaire et quatre (4) secondaires pour IPv4. Chacune de ces plages peut présenter une taille comprise entre /28 (en rotation CIDR) et /16. Les plages d'adresses IP de votre VPC ne doivent pas se superposer aux plages d'adresses IP de votre réseau existant.

Pour IPv6, le VPC a une taille fixe de /56 (en notation CIDR). Les blocs IPv4 et IPv6 peuvent être tous les deux associés à un VPC.

Q : Puis-je modifier la taille d'un VPC ?

Oui. Vous pouvez étendre votre VPC existant en y ajoutant quatre (4) plages d'adresses IPv4 secondaires (CIDR). Vous pouvez réduire votre VPC en supprimant les blocs CIDR secondaires ajoutés à votre VPC. Cela dit, vous ne pouvez pas modifier la taille de la plage d'adresses IPv6 de votre VPC.

Q : Combien de sous-réseaux puis-je créer par VPC ?

À l'heure actuelle, vous pouvez créer 200 sous-réseaux par VPC. Si vous souhaitez en créer davantage, soumettez une demande auprès du Centre de support.

Q : Existe-t-il une limite à la taille d'un sous-réseau ?

La taille minimum d'un sous-réseau est de /28 (ou 14 adresses IP) pour IPv4. Les sous-réseaux ne peuvent pas être supérieurs au VPC dans lequel ils sont créés.

Pour IPv6, la taille du sous-réseau est fixée à /64. Seul un bloc IPv6 CIDR peut être alloué à un sous-réseau.

Q : Puis-je utiliser les adresses IP que j'attribue à un sous-réseau ?

Amazon réserve les quatre (4) premières adresses IP et la dernière (1) adresse IP de chaque sous-réseau pour le réseau IP. 

Q : Comment puis-je attribuer des adresses IP privées aux instances Amazon EC2 au sein d'un VPC ?

Lorsque vous lancez une instance Amazon EC2 au sein d'un VPC, vous pouvez, éventuellement, indiquer l'adresse IP privée principale de cette instance. Si vous n'indiquez rien, AWS récupère automatiquement cette adresse à partir de la plage d'adresses IP que vous attribuez à ce sous-réseau. Vous pouvez attribuer des adresses IP privées secondaires lorsque vous lancez une instance, lorsque vous créez une Elastic Network Interface ou à tout moment après le lancement de l'instance ou la création de l'interface.

Q : Est-il possible de changer les adresses IP privées d'une instance Amazon EC2 alors que celle-ci est en cours d'exécution et/ou arrêtée au sein d'un VPC ?

Les adresses IP privées principales sont conservées pour toute la durée de vie de l'instance ou de l'interface. Les adresses IP privées secondaires peuvent être associées, dissociées ou déplacées entre différentes interfaces ou instances, à tout moment.

Q : Si une instance Amazon EC2 est arrêtée au sein d'un VPC, puis-je lancer une autre instance avec la même adresse IP dans le même VPC ?

Une adresse IP attribuée à une instance en cours d'exécution peut être réutilisée par une autre instance seulement lorsque cette instance est dans un état « terminé ».

Q : Puis-je attribuer des adresses IP simultanément pour plusieurs instances ?

Vous pouvez indiquer l'adresse IP d'une instance au moment du lancement de l'instance.

Q : Puis-je attribuer une adresse IP à une instance ?

Vous pouvez attribuer n'importe quelle adresse IP à votre instance tant qu'elle :

  • figure dans la plage d'adresses IP du sous-réseau associé ;
  • n'est pas réservée par Amazon pour un réseau IP ;
  • n'est pas actuellement attribuée à une autre interface.

Q : Puis-je attribuer plusieurs adresses IP à une instance ?

Oui. Vous pouvez attribuer une ou plusieurs adresses IP privées secondaires à une Elastic Network Interface ou à une instance EC2 au sein d'Amazon VPC. Le nombre d'adresses IP privées secondaires que vous pouvez attribuer dépend du type d'instance. Pour en savoir plus sur le nombre d'adresses IP privées secondaires pouvant être attribuées à chaque type d'instance, consultez le Guide de l'utilisateur d'Amazon EC2.

Q : Puis-je attribuer une ou plusieurs adresses IP élastiques à des instances Amazon EC2 reposant sur un VPC ?

Oui. Néanmoins, ces adresses IP élastiques seront accessibles uniquement à partir d'Internet (et non par le biais de la connexion VPN). Chaque adresse EIP doit être associée à une adresse IP privée unique sur l'instance. Les adresses EIP doivent seulement être utilisées sur des instances dans des sous-réseaux pour acheminer leur trafic directement vers la passerelle Internet. Les EIP ne peuvent pas être utilisées sur des instances dans des sous-réseaux configurés pour l'utilisation d'une passerelle NAT ou une instance NAT afin d'accéder à Internet. Ce n'est applicable que pour IPv4. Les Amazon VPC ne prennent pas en charge les EIP pour IPv6 à l'heure actuelle.

Topologie

Q : Puis-je spécifier quel sous-réseau utilisera quelle passerelle par défaut ?

Oui. Vous pouvez créer un itinéraire par défaut pour chaque sous-réseau. L'itinéraire par défaut peut acheminer le trafic hors du VPC via la passerelle Internet, la passerelle réseau privé virtuel ou la passerelle NAT.

Q : Amazon VPC prend-il en charge la multidiffusion ou la diffusion ?

Non.

Sécurité et filtrage

Q : Comment sécuriser les instances Amazon EC2 s'exécutant au sein de mon VPC ?

Les groupes de sécurité Amazon EC2 peuvent être utilisés pour sécuriser les instances au sein de Amazon VPC. Les groupes de sécurité dans un VPC vous permettent de spécifier le trafic réseau entrant et sortant, autorisé vers et à partir de chaque instance Amazon EC2. Le trafic qui n'est pas autorisé de façon explicite vers ou à partir d'une instance est automatiquement refusé.

En plus des groupes de sécurité, le trafic réseau entrant et sortant de chaque sous-réseau peut être autorisé ou rejeté via les listes de contrôle d'accès (ACL) réseau.

Q : Quelles sont les différences entre les groupes de sécurité dans un VPC et les ACL réseau dans un VPC ?

Les groupes de sécurité dans un VPC spécifient quel trafic est autorisé vers et à partir d'une instance Amazon EC2. Les ACL réseau fonctionnent au niveau du sous-réseau et évaluent le trafic entrant et sortant dans un sous-réseau. Les ACL réseau peuvent être utilisées pour déterminer à la fois les règles d'autorisation et de refus. Les ACL réseau ne filtrent pas le trafic entre les instances dans le même sous-réseau. De plus, les ACL réseau pratiquent un filtrage statique alors que les groupes de sécurité pratiquent un filtrage dynamique.

Q : Quelle est la différence entre les filtres dynamiques et les filtres statiques ?

Le filtrage dynamique suit l'origine d'une demande et peut automatiquement autoriser le retour de la réponse à une demande vers l'ordinateur d'origine. Par exemple, un filtre dynamique qui autorise un trafic entrant vers un port TCP 80 sur un serveur web autorisera le trafic de retour, habituellement sur un port dont le chiffre est élevé (par ex, port de destination TCP 63 912) pour le transmettre à un filtre dynamique entre le client et le serveur web. Le dispositif de filtrage maintient un tableau d'état qui suit les numéros de port et d'adresses IP d'origine et de destination. Une seule règle est requise sur le dispositif de filtrage : autoriser le trafic entrant vers le serveur web sur le port TCP 80.

Le filtrage statique, quant à lui, examine seulement la source ou la destination d'une adresse IP et le port de destination, ignorant si le trafic correspond à une nouvelle demande ou à une réponse à une demande. Dans l'exemple ci-dessus, deux règles auraient besoin d'être mises en œuvre sur le dispositif de filtrage : une règle pour autoriser le trafic entrant vers le serveur web sur le port TCP 80, et une autre pour autoriser le trafic sortant à partir du serveur web (plage de ports TCP 49 152 à 65 535).

Q : Au sein d'Amazon VPC, puis-je utiliser des paires de clés SSH créées pour des instances au sein d'Amazon EC2, et vice versa ?

Oui.

Q : Les instances Amazon EC2 au sein d'un VPC communiquent-elles avec les instances Amazon EC2 qui ne sont pas au sein d'un VPC ?

Oui. Si une passerelle Internet a été configurée, le trafic Amazon VPC lié aux instances Amazon EC2 et qui n'est pas au sein d'un VPC traverse la passerelle Internet et entre ensuite dans le réseau AWS public pour atteindre l'instance EC2. Si aucune passerelle Internet n'a été configurée, ou si l'instance est dans un sous-réseau configuré pour un routage vers une passerelle réseau privé virtuel, le trafic traverse la connexion VPN, sort du centre de données, puis entre à nouveau dans le réseau AWS public.

Q : Les instances Amazon EC2 au sein d'un VPC dans une région communiquent-elles avec les instances Amazon EC2 dans une autre région ?

Oui. Les instances au sein d'une région donnée peuvent communiquer les unes avec les autres à l'aide de l'appairage de VPC entre régions, les adresses IP publiques, la passerelle NAT, les instances NAT, les connexions VPN ou les connexions Direct Connect.

Q : Les instances Amazon EC2 au sein d'un VPC communiquent-elles avec Amazon S3 ?

Oui. Il existe plusieurs possibilités pour permettre à vos ressources au sein d'un VPC de communiquer avec Amazon S3. Vous pouvez utiliser un point de terminaison d'un VPC pour Amazon S3, ce qui permet de s'assurer que l'ensemble du trafic reste dans le réseau d'Amazon et vous donne la possibilité d'appliquer des politiques supplémentaires de gestion des accès à votre trafic Amazon S3. Vous pouvez utiliser la passerelle Internet pour autoriser l'accès à Internet depuis votre VPC tout en permettant aux instances du VPC de communiquer avec Amazon S3. Vous pouvez également faire en sorte que l'ensemble du trafic vers Amazon S3 traverse la connexion VPN ou Direct Connect, sorte de votre datacenter, puis entre à nouveau dans le réseau AWS public.

Q : Puis-je surveiller le trafic réseau sur mon VPC ?

Oui. Vous pouvez utiliser la fonctionnalité des journaux de flux Amazon VPC pour surveiller le trafic réseau sur votre VPC.

Amazon VPC et EC2

Q : Dans quelles régions d'Amazon EC2 Amazon VPC est-il disponible ?

Amazon VPC est actuellement disponible dans plusieurs zones de disponibilité dans toutes les régions Amazon EC2.

Q : Un VPC peut-il couvrir plusieurs zones de disponibilité ?

Oui. 

Q : Un sous-réseau peut-il couvrir plusieurs zones de disponibilité ?

Un sous-réseau doit résider au sein d'une seule zone de disponibilité.

Q : Comment spécifier dans quelle zone de disponibilité mes instances Amazon EC2 sont lancées ?

Lorsque vous lancez une instance Amazon EC2, vous devez spécifier le sous-réseau dans lequel la lancer. L'instance sera lancée dans la zone de disponibilité associée au sous-réseau spécifié.

Q : Comment puis-je déterminer la zone de disponibilité incluant mes sous-réseaux ?

Lorsque vous créez un sous-réseau, vous devez spécifier la zone de disponibilité à utiliser. Lorsque vous utilisez l'assistant VPC, vous pouvez sélectionner la zone de disponibilité du sous-réseau dans l'écran de confirmation de l'assistant. Lorsque vous utilisez l'API ou l'interface de ligne de commande, vous pouvez spécifier la zone de disponibilité du sous-réseau au moment de sa création. Si vous ne spécifiez aucune zone de disponibilité, l'option par défaut « No Preference » est sélectionnée et le sous-réseau est créé dans une zone de disponibilité libre de la région.

Q : Suis-je facturé pour la bande passante réseau utilisée entre les instances de différents sous-réseaux ?

Si les instances résident dans des sous-réseaux (subnets) dans différentes Zones de Disponibilité (AZ), vous serez facturé 0,01 USD par Go pour le transfert de données.

Q : Lorsque j'appelle DescribeInstances(), est-ce que je vois toutes mes instances EC2, y compris celles dans EC2-Classic et EC2-VPC ?

Oui. DescribeInstances() retournera toutes les instances Amazon EC2 en cours d'exécution. Vous pouvez différencier les instances EC2-Classic des instances EC2-VPC en consultant la valeur du champ relatif au sous-réseau. S'il y a un ID de sous-réseau indiqué, l'instance figure au sein d'un VPC. 

Q : Lorsque j'appelle DescribeVolumes(), est-ce que je vois tous mes volumes EBS, y compris ceux dans EC2-Classic et EC2-VPC ?

Oui. DescribeVolumes() retournera tous vos volumes EBS.

Q : Combien d'instances Amazon EC2 puis-je utiliser au sein d'un VPC ?

Vous pouvez exécuter un nombre illimité d'instances Amazon EC2 au sein d'un VPC, aussi longtemps que la taille de votre VPC est appropriée pour qu'une adresse IP soit attribuée à chaque instance. La limite initiale de lancement est de 20 instances Amazon EC2 en simultané et la limite de taille du VPC de /16 (65 536 adresses IP). Si ces limites vous semblent trop contraignantes, remplissez le formulaire suivant.

Q : Puis-je utiliser mes AMI existantes dans Amazon VPC ?

Vous pouvez utiliser des AMI dans Amazon VPC, qui sont enregistrées au sein de la même région que votre VPC. Par exemple, vous pouvez utiliser des AMI enregistrées dans la région usa-est-1 avec un VPC dans la région usa-est-1. Plus d'informations sont disponibles dans la FAQ sur les régions et zones de disponibilité d'Amazon EC2.

Q : Puis-je utiliser mes instantanés Amazon EBS existants ?

Oui, vous pouvez utiliser des instantanés Amazon EBS s'ils sont situés dans la même région que votre VPC. Plus de détails sont disponibles dans la FAQ sur la région et la zone de disponibilité d'Amazon EC2.

Q : Puis-je démarrer une instance Amazon EC2 depuis un volume Amazon EBS au sein d'Amazon VPC ?

Oui, cependant, une instance, lancée dans un VPC utilisant une AMI d'Amazon EBS, conserve la même adresse IP lorsqu'elle est arrêtée et redémarrée, contrairement aux instances similaires lancées en dehors d'un VPC, qui obtiennent une nouvelle adresse IP. Les adresses IP pour des instances arrêtées dans un sous-réseau sont considérées comme non disponibles.

Q : Puis-je utiliser des instances réservées Amazon EC2 avec Amazon VPC ?

Oui. Vous pouvez réserver une instance dans Amazon VPC lorsque vous achetez des Instances réservées. Lors du calcul de votre facture, AWS ne distingue pas si votre instance fonctionne dans Amazon VPC ou Amazon EC2 standard. AWS optimise automatiquement quelles instances sont facturées au taux le plus bas des Instances réservées pour garantir que vous payez toujours le montant le moins élevé. Par contre, la réservation de votre instance sera spécifique à Amazon VPC. Consultez la page Instances réservées pour plus de détails.

Q : Puis-je utiliser Amazon CloudWatch au sein d'Amazon VPC ?

Oui.

Q : Puis-je utiliser Auto Scaling au sein d'Amazon VPC ?

Oui. 

Q : Puis-je lancer des instances en cluster Amazon EC2 dans un VPC ?

Oui. Les instances en cluster sont prises en charge dans Amazon VPC, mais certains types d'instances ne sont pas disponibles dans toutes les régions et zones de disponibilité (AZ).

 

VPC par défaut

Q : Qu'est-ce qu'un VPC par défaut ?

Un VPC par défaut est un réseau virtuel isolé de manière logique dans le cloud AWS, qui est créé automatiquement pour votre compte AWS lorsque vous mettez en service des ressources Amazon EC2 pour la première fois. Lorsque vous lancez une instance sans indiquer aucun ID de sous-réseau, celle-ci s'exécute dans votre VPC par défaut.

Q : Quels sont les avantages d'un VPC par défaut ?

Lorsque vous lancez des ressources dans un VPC par défaut, vous pouvez bénéficier des fonctions avancées de mise en réseau d'Amazon VPC (EC2-VPC) associées à la simplicité d'utilisation d'Amazon EC2 (EC2-Classic). Vous pouvez profiter de fonctionnalités comme la modification immédiate des membres d'un groupe de sécurité, le filtrage des sorties de groupes de sécurité, l'utilisation de plusieurs adresses IP et de plusieurs interfaces réseau, sans avoir à explicitement créer un VPC et à y lancer des instances.

Q : Quels sont les comptes autorisés pour un VPC par défaut ?

Si votre compte AWS a été créé après le 18 mars 2013, vous pouvez l'utiliser pour lancer des ressources dans un VPC par défaut. Consultez cette annonce sur le forum pour savoir quelles régions permettent d'utiliser l'ensemble des fonctionnalités du VPC par défaut. Par ailleurs, les comptes créés à une date antérieure permettent d'utiliser des VPC par défaut dans toutes les régions compatibles avec cette fonctionnalité et dans lesquelles vous n'avez pas encore lancé d'instances EC2 ou mis en service des ressources Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache ou Amazon Redshift.

Q : Comment savoir si mon compte est configuré pour utiliser un VPC par défaut ?

La console d'Amazon EC2 indique les plates-formes sur lesquelles vous pouvez lancer des instances pour la région sélectionnée. Elle précise également si vous disposez d'un VPC par défaut dans cette région. Assurez-vous que la région à utiliser est bien sélectionnée dans la barre de navigation. Sur le tableau de bord de la console Amazon EC2, recherchez la rubrique « Supported Platforms » sous « Account Attributes ». Lorsque deux valeurs sont définies (EC2-Classic et EC2-VPC), vous pouvez lancer des instances sur la plate-forme de votre choix. Lorsqu'une seule valeur est définie (EC2-VPC), vous pouvez uniquement lancer des instances dans EC2-VPC. Si votre compte est configuré pour utiliser un VPC par défaut, l'ID de votre VPC par défaut apparaît sous « Account Attributes ». Vous pouvez également utiliser l'interface de ligne de commande ou l'API EC2 DescribeAccountAttributes pour indiquer les plates-formes prises en charge.

Q : Que dois-je savoir sur Amazon VPC pour utiliser un VPC par défaut ?

Vous pouvez utiliser AWS Management Console, l'interface de ligne de commande AWS EC2 ou l'API Amazon EC2 pour lancer et gérer des instances EC2, ainsi que d'autres ressources AWS dans un VPC par défaut. AWS crée automatiquement un VPC par défaut pour vous, ainsi qu'un sous-réseau (subnet) par défaut dans chaque Zone de Disponibilité (AZ) de la région AWS. Votre VPC par défaut est connecté à une passerelle Internet et vos instances reçoivent automatiquement des adresses IP publiques, comme c'est le cas dans EC2-Classic.

Q : Quelles sont les différences entre les instances lancées dans EC2-Classic et les instances lancées dans EC2-VPC ?

Consultez la section Différences entre EC2-Classic et EC2-VPC du Guide de l'utilisateur d'Amazon EC2.

Q : Une connexion VPN est-elle nécessaire pour utiliser un VPC par défaut ?

Les VPC par défaut sont connectés à Internet et toutes les instances lancées dans les sous-réseaux par défaut du VPC par défaut reçoivent automatiquement une adresse IP publique. Toutefois, vous pouvez ajouter une connexion VPN à votre VPC par défaut si vous le souhaitez.

Q : Puis-je créer d'autres VPC et les utiliser en plus de mon VPC par défaut ?

Oui. Pour lancer une instance dans un VPC autre que votre VPC par défaut, vous devez indiquer un ID de sous-réseau lors du lancement de l'instance.

Q : Puis-je créer des sous-réseaux supplémentaires, tels que des sous-réseaux privés, dans mon VPC par défaut ?

Oui. Pour utiliser un autre sous-réseau, vous pouvez cibler votre lancement en utilisant la console ou l'option --subnet de la ligne de commande, de l'API ou du kit SDK.

Q : Combien de VPC par défaut puis-je utiliser ?

Vous pouvez utiliser un VPC par défaut dans chacune des régions AWS pour lesquelles l'attribut Supported Platforms est défini sur « EC2-VPC ».

Q : Quelle est la plage d'adresses IP d'un VPC par défaut ?

La notation CIDR du VPC par défaut est 172.31.0.0/16. Les sous-réseaux par défaut utilisent des adresses CIDR /20 au sein de l'adresse CIDR du VPC.

Q : Combien de sous-réseaux par défaut sont inclus dans un VPC par défaut ?

Dans votre VPC par défaut, un sous-réseau par défaut est créé pour chaque zone de disponibilité (AZ).

Q : Puis-je indiquer quel VPC doit être utilisé en tant que VPC par défaut ?

Pas à l'heure actuelle.

Q : Puis-je indiquer quels sous-réseaux doivent être utilisés en tant que sous-réseaux par défaut ?

Pas à l'heure actuelle.

Q : Puis-je supprimer un VPC par défaut ?

Oui, vous pouvez supprimer un VPC par défaut. Une fois que vous l'avez supprimé, vous pouvez créer un nouveau VPC par défaut directement à partir de la console VPC ou à l'aide d'une interface de ligne de commande. Vous pourrez ainsi créer un nouveau VPC par défaut dans la région. Ceci ne restaurera pas l'ancien VPC supprimé.

Q : Puis-je supprimer un sous-réseau par défaut ?

Oui, vous pouvez supprimer un sous-réseau par défaut. Une fois ce sous-réseau supprimé, vous pouvez en créer un nouveau par défaut dans la zone de disponibilité grâce à la CLI ou un kit SDK. Cette action créera un nouveau sous-réseau par défaut dans la zone de disponibilité spécifiée. Ceci ne permet pas de restaurer l'ancien sous-réseau supprimé.

Q : Je possède déjà un compte EC2-Classic. Puis-je obtenir un VPC par défaut ?

Pour obtenir un VPC par défaut, le plus simple est de créer un nouveau compte dans une région autorisant les VPC par défaut, ou d'utiliser un compte existant dans une région que vous n'avez pas encore utilisée, à condition que l'attribut Supported Platforms soit défini sur « EC2-VPC » pour ce compte et dans cette région.

Q : Je voudrais vraiment disposer d'un VPC par défaut pour un compte EC2 existant. Est-ce possible ?

Oui, néanmoins, nous ne pouvons permettre l'utilisation d'un VPC par défaut sur un compte existant que dans la mesure où vous ne possédez pas de ressources EC2-Classic pour ce compte dans la région concernée. De plus, vous devez mettre fin à toutes les ressources Elastic Load Balancer, Amazon RDS, Amazon ElastiCache et Amazon Redshift n'étant pas mises en service dans un VPC pour cette région. Une fois votre compte configuré pour utiliser un VPC par défaut, toutes les ressources, y compris les instances lancées via Auto Scaling, seront lancées dans votre VPC par défaut. Pour demander que votre compte existant soit configuré avec un VPC par défaut, rendez-vous sur Account and BillingService: AccountCategory: Convert EC2 Classic to VPC et faites votre demande. Nous examinerons votre demande, vos services AWS existants et votre présence EC2-Classic et vous guiderons dans les prochaines étapes.

Q : Dans quelle mesure les comptes IAM sont-ils affectés par les VPC par défaut ?

Si votre compte AWS possède un VPC par défaut, tous les comptes IAM associés à votre compte AWS utiliseront le même VPC par défaut que celui-ci.

 

Interfaces réseau élastiques

Q : Est-il possible d'associer une ou plusieurs interfaces réseau à une instance EC2 en cours d'exécution (ou de les dissocier) ?

Oui.

Q : Puis-je avoir plus de deux interfaces réseau rattachées à mon instance EC2 ?

Le nombre total d'interfaces réseau pouvant être associées à une instance EC2 dépend du type d'instance. Pour en savoir plus sur le nombre d'interfaces réseau autorisé pour chaque type d'instance, reportez-vous au Guide de l'utilisateur d'Amazon EC2.

Q : Puis-je rattacher une interface réseau située dans une zone de disponibilité à une instance située dans une autre zone de disponibilité ?

Les interfaces réseau ne peuvent être rattachées qu'à des instances situées dans la même zone de disponibilité.

Q : Puis-je rattacher une interface réseau située dans un VPC à une instance située dans un autre VPC ?

Les interfaces réseau ne peuvent être rattachées qu'à des instances situées dans le même VPC qu'elles.

Q : Puis-je utiliser les interfaces réseau élastiques dans le but d'héberger sur une instance unique de multiples sites Web nécessitant des adresses IP distinctes ?

Oui, toutefois, ce scénario d'utilisation ne convient pas idéalement à des interfaces multiples. Attribuez plutôt les adresses IP privées supplémentaires à l'instance, puis associez les adresses IP élastiques aux adresses IP privées selon vos besoins.

Q : Serai-je facturé pour une adresse IP élastique liée à une interface réseau, bien que cette dernière ne soit pas associée à une instance en cours d'exécution ?

Oui.

Q : Puis-je détacher l'interface principale (eth0) sur mon instance EC2 ?

Vous pouvez associer les interfaces secondaires (eth1-ethn) à une instance EC2 ou les dissocier, mais vous ne pouvez pas dissocier l'interface eth0.

 

Connexions d'appairage

Q : Puis-je créer une connexion d'appairage ciblant un VPC situé dans une autre région ?

Oui. Des connexions d'appairage peuvent être créées avec des VPC situés dans des régions différentes. L’appairage de VPC inter-régions est disponible dans les régions commerciales du monde entier (sauf la Chine).

Q : Puis-je associer mon VPC à un VPC appartenant à un autre compte AWS ?

Oui, à condition que le propriétaire de ce VPC accepte votre demande de connexion d'appairage.

Q : Puis-je associer deux VPC correspondant aux mêmes plages d'adresses IP ?

Les VPC dont les plages d'adresses IP se recoupent ne peuvent pas être associés.

Q : Combien coûtent les connexions d'appairage entre VPC ?

La création de connexions d'appairage entre VPC est gratuite, mais les transferts de données via ces connexions vous sont facturés. Référez vous à la section Transfert de données de la page Tarification Amazon EC2 pour connaître les tarifs applicables.

Q : Puis-je utiliser des connexions VPN matérielles ou AWS Direct Connect pour accéder aux VPC vers lesquels j'ai établi une connexion d'appairage ?

Non. Le routage d'un périphérique vers un autre périphérique (« Edge to Edge routing ») n'est pas pris en charge dans Amazon VPC. Pour en savoir plus, consultez le Guide d'appairage des VPC.

Q : Est-il nécessaire de disposer d'une passerelle Internet pour utiliser les connexions d'appairage ?

Les connexions d'appairage entre VPC ne nécessitent pas de passerelle Internet.

Q : Le trafic entre VPC appairés au sein d'une région est-il chiffré ?

Le trafic entre instances de VPC appairées reste privé et isolé, de la même manière que le trafic entre deux instances d'un même VPC est privé et isolé.

Q : Si je supprime ma partie d'une connexion d'appairage, l'autre partie aura-t-elle toujours accès à mon VPC ?

Les deux parties de la connexion d'appairage peuvent mettre fin à cette connexion à tout moment. Dans ce cas, plus aucun trafic ne circule entre les deux VPC.

Q : Si j'appaire le VPC A au VPC B, puis le VPC B au VPC C, les VPC A et C sont-ils appairés ?

Les relations d'appairage ne sont pas transmissibles.

Q : Ma connexion d'appairage peut-elle tomber en panne ?

AWS utilise l'infrastructure existante du VPC pour créer la connexion d'appairage de VPC ; il ne s'agit ni d'une passerelle ni d'une connexion VPN, et elle ne repose pas sur un équipement matériel distinct. Il n'y a donc pas de point unique de défaillance pour la communication, ni de goulet d'étranglement en termes de bande passante.

L'appairage de VPC entre régions repose sur la même technologie hautement disponible, redondante et dimensionnée horizontalement qui alimente VPC aujourd'hui. Le trafic de l'appairage de VPC entre régions passe par le réseau fédérateur AWS qui dispose d'une redondance intégrée et d'une allocation dynamique de la bande passante. Il n'existe donc pas de point unique de défaillance pour la communication.

Si une connexion d'appairage entre régions est interrompue, le trafic ne sera pas acheminé via Internet.

Q : Les connexions d'appairage sont-elles soumises à des restrictions en termes de bande passante ?

La bande passante entre les instances de VPC appairées est identique à celle que l'on peut observer entre des instances d'un même VPC. Remarque : un groupe de placement peut intégrer des VPC appairés ; cependant, dans ce cas, vous n'obtiendrez pas une bande passante entièrement bisectionnelle entre les instances des VPC pairs. En savoir plus sur les groupes de placement.

Q : Le trafic de l'appairage de VPC entre régions est-il chiffré ?

Le trafic est chiffré à l'aide d'algorithmes AEAD (Authenticated Encryption with Associated Data ou Chiffrement authentifié avec données supplémentaires) modernes. La négociation et la gestion des clés sont gérées par AWS.

Q : De quelle manière les traductions de DNS fonctionnent-elles avec l'appairage de VPC entre régions ?

Par défaut, une requête pour un nom d'hôte public d'une instance d'un VPC appairé situé dans une région différente sera résolue en une adresse IP publique. Le DNS privé de Route 53 peut être utilisé pour être résolu en une adresse IP privée avec appairage de VPC entre régions.

Q : Puis-je référencer des groupes de sécurité dans une connexion d'appairage de VPC entre régions ?

Les groupes de sécurité ne peuvent pas être référencés dans une connexion d'appairage de VPC entre régions.

Q : L'appairage de VPC entre régions prend-il en charge le protocole IPv6 ?

L'appairage de VPC entre régions ne prend pas en charge le protocole IPv6.

Q : L'appairage de VPC entre régions peut-il être utilisé avec EC2 Classic Link ?

L'appairage de VPC entre régions ne peut pas être utilisé avec EC2 ClassicLink.

Q : Existe-t-il des services AWS ne pouvant pas être utilisés avec l'appairage de VPC entre régions ?

Les équilibreurs de charge du réseau, AWS PrivateLink et Elastic File System ne peuvent pas être utilisés avec l'appairage de VPC entre régions.

Q : Qu'est-ce que ClassicLink ?

Amazon Virtual Private Cloud (VPC) ClassicLink permet aux instances EC2 dans la plate-forme EC2-Classic de communiquer avec les instances dans un VPC à l'aide d'adresses IP privées. Pour utiliser ClassicLink, activez-le pour un VPC dans votre compte et associez un groupe de sécurité à une instance dans EC2-Classic depuis ce VPC. Toutes les règles de votre groupe de sécurité VPC s'appliquent aux communications entre les instances dans EC2-Classic et les instances dans le VPC. 

Q : Combien coûte ClassicLink ?

L'utilisation de ClassicLink n'engendre pas de frais supplémentaires. En revanche, les frais inhérents au transfert de données entre plusieurs zones de disponibilité existantes s'appliquent. Pour plus d'informations, consultez la page Tarification Amazon EC2.

Q : Comment utiliser ClassicLink ?

Pour utiliser ClassicLink, vous devez d'abord activer au moins un VPC dans votre compte pour ClassicLink. Puis, vous associez un groupe de sécurité à l'instance EC2-Classic souhaitée depuis le VPC. L'instance EC2-Classic est désormais liée au VPC et fait partie du groupe de sécurité sélectionné dans le VPC. Votre instance EC2-Classic ne peut être liée qu'à un seul VPC à la fois.

Q : L'instance EC2-Classic fera-t-elle partie du VPC ?

L'instance EC2-Classic ne fera pas partie du VPC. Elle fera simplement partie du groupe de sécurité VPC associé à l'instance. Toutes les règles et références au groupe de sécurité VPC s'appliquent aux communications entre les instances dans l'instance EC2-Classic et les ressources internes au VPC.

Q : Est-il possible d'utiliser des noms d'hôte DNS publics EC2 depuis mes instances EC2-Classic et EC2-VPC afin qu'elles interagissent les unes avec les autres, pour communiquer à l'aide d'une adresse IP privée ?

Le nom d'hôte DNS public EC2 ne résout pas l'adresse IP privée de l'instance EC2-VPC lorsque la requête est effectuée depuis une instance EC2-Classic, et vice versa.

Q : Existe-t-il des VPC pour lesquels il est impossible d'activer ClassicLink ?

Oui. ClassicLink ne peut pas être activé pour un VPC présentant un routage inter-domaine sans classe (CIDR) situé au sein de la plage 10.0.0.0/8, à l'exception de 10.0.0.0/16 et de 10.1.0.0/16. De plus, ClassicLink ne peut pas être activé pour un VPC doté d'une entrée de table de routage pointant sur l'espace CIDR 10.0.0.0/8, vers une cible non locale.

Q : Le trafic provenant d'une instance EC2-Classic peut-il transiter via le VPC d'Amazon et sortir via la passerelle Internet, la passerelle réseau privé virtuel ou vers des VPC appairées ?

Le trafic provenant d'une instance EC2-Classic peut être acheminé uniquement vers des adresses IP privées au sein du VPC. Il ne peut pas être acheminé vers des destinations situées hors du VPC, notamment vers la passerelle Internet, la passerelle réseau privé virtuel ou les VPC appairés.

Q : ClassicLink a-t-il une incidence sur le contrôle des accès entre l'instance EC2-Classic et les autres instances se trouvant dans la plate-forme EC2-Classic ?

ClassicLink ne modifie pas le contrôle des accès défini pour une instance EC2-Classic via ses groupes de sécurité existants depuis la plate-forme EC2-Classic.

Q : Les paramètres ClassicLink de mon instance EC2-Classic sont-ils maintenus durant les cycles d'interruption/de mise en route ?

La connexion ClassicLink n'est pas maintenue lors des cycles d'interruption/de mise en route de l'instance EC2-Classic. L'instance EC2-Classic doit de nouveau être liée à un VPC lorsqu'elle est interrompue et mise en route. Cependant, la connexion ClassicLink est préservée durant les cycles de redémarrage de l'instance.

Q : Mon instance EC2-Classic se verra-t-elle attribuer une nouvelle adresse IP privée une fois ClassicLink activé ?

Aucune nouvelle adresse IP privée n'est attribuée à l'instance EC2-Classic. Lorsque vous activez ClassicLink sur une instance EC2-Classic, l'instance conserve et utilise son adresse IP privée existante pour communiquer avec les ressources dans un VPC.

Q : ClassicLink permet-il aux règles du groupe de sécurité EC2-Classic de faire référence à des groupes de sécurité VPC, ou vice versa ?

ClassicLink ne permet pas aux règles du groupe de sécurité EC2-Classic de faire référence à des groupes de sécurité VPC, ou vice versa.

Passerelle réseau privé virtuel – Ajout de votre propre numéro de système autonome

Q : Quelle est cette fonction ?

Pour toute nouvelle passerelle réseau privé virtuel, le numéro de système autonome privé configurable (ASN) permet aux clients de définir l'ASN du côté Amazon de la session BGP pour les VPN et les VIF privés d'AWS Direct Connect.

Q : Combien coûte l'utilisation de cette fonctionnalité ?

Cette fonction n'entraîne aucuns frais supplémentaires.

Q : Comment puis-je configurer mon ASN pour qu'il puisse être annoncé comme un ASN du côté Amazon ?

Vous pouvez configurer/assigner un ASN pour qu'il soit annoncé comme un ASN du côté d'Amazon lors de la création de la nouvelle passerelle réseau privé virtuel. Vous pouvez créer une passerelle réseau privé virtuel à l'aide de la console VPC ou d'un appel d'API EC2/CreateVpnGateway.

Q : Quel ASN Amazon a affecté avant cette fonctionnalité ?

Amazon a affecté les ASN suivants : UE Ouest (Dublin) 9059, Asie-Pacific (Singapour) 17493 et Asie-Pacific (Tokyo) 10124. Toutes les autres régions ont reçu l'ASN 7224. Ces ASN sont qualifiés « d'ASN public existant » de la région.

Q : Puis-je utiliser un ASN, qu'il soit public ou privé ?

Vous pouvez affecter n'importe quel ASN privé du côté Amazon. Vous pouvez affecter « l'ASN public existant » de la région jusqu'au 30 juin 2018, mais vous ne pouvez affecter aucun autre ASN public. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : Pourquoi ne puis-je pas affecter d'ASN public pour la partie Amazon de la session BGP ?

Amazon ne valide pas la propriété des ASN, c'est pourquoi nous limitons les ASN du côté Amazon aux ASN privés. Nous voulons protéger les clients contre l'usurpation de BGP.

Q : Quel ASN puis-je choisir ?

Vous pouvez choisir n'importe quel ASN. La plage d'ASN privés 16 bits va de 64512 à 65534. Vous pouvez également fournir des ASN 32 bits entre 4200000000 et 4294967294.

Amazon fournira un ASN par défaut pour la passerelle réseau privé virtuel si vous n'en choisissez aucun. Jusqu'au 30 juin 2018, Amazon continuera de fournir « l'ASN public existant » de la région. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : Qu'arrivera-t-il si j'essaie d'affecter un ASN public à la partie Amazon de la session BGP ?

Nous vous demanderons de saisir à nouveau un ASN privé une fois que vous aurez tenté de créer la passerelle réseau privé virtuel, à moins que ce ne soit « l'ASN public existant » de la région.

Q : Si je ne fournis aucun ASN pour la partie Amazon de la session BGP, quel ASN dois-je m'attendre à recevoir de la part d'Amazon ?

Amazon fournira un ASN pour la passerelle réseau privé virtuel si vous n'en choisissez aucun. Jusqu'au 30 juin 2018, Amazon continuera de fournir « l'ASN public existant » de la région. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : Où puis-je voir l'ASN de la partie Amazon ?

Vous pouvez voir l'ASN de la partie Amazon sur la page relative à la passerelle réseau privé virtuel de la console VPC et dans la réponse de l'API EC2/DescribeVpnGateways.

Q : Si je dispose d'un ASN public, est-ce qu'il fonctionnera avec un ASN privé du côté AWS ?

Oui, vous pouvez affecter à la partie Amazon de la session BGP un ASN privé et un ASN public à la vôtre.

Q : Je dispose de VIF déjà configurés et j'aimerais configurer un ASN différent pour la partie Amazon de la session BGP sur une VIF existante. Comment puis-je procéder à cette modification ?

Vous devrez créer une nouvelle passerelle réseau privé virtuel avec l'ASN souhaité puis créer un nouveau VIF avec la nouvelle passerelle. La configuration de votre appareil requiert également la modification appropriée.

Q : Je dispose de connexions VPN déjà configurées et je souhaite modifier l'ASN de la partie Amazon de la session BGP de ces VPN. Comment puis-je procéder à cette modification ?

Vous devrez créer une nouvelle passerelle réseau privé virtuel avec l'ASN souhaité, puis recréer vos connexions VPN entre les passerelles clients et la nouvelle passerelle.

Q : J'ai déjà une passerelle réseau privé virtuel et une connexion VIF/VPN configurée qui utilise un ASN public affecté Amazon 7224. Si Amazon génère automatiquement l'ASN pour la nouvelle passerelle réseau privé virtuel privée, quel ASN de la partie Amazon recevrai-je ?

Amazon affectera l'ASN 64512 à la partie Amazon de la nouvelle passerelle réseau privé virtuel.

Q : J'ai une passerelle réseau privé virtuel et une connexion VIF/VPN configurée qui utilise un ASN public affecté Amazon. Je souhaite utiliser le même ASN public affecté par Amazon pour la nouvelle connexion VIF/VPN que je crée. Quelle est la marche à suivre ?

Vous pouvez configurer/assigner un ASN pour qu'il soit annoncé comme un ASN du côté d'Amazon lors de la création de la nouvelle passerelle réseau privé virtuel. Vous pouvez créer une passerelle réseau privé virtuel à l'aide de la console ou d'un appel d'API EC2/CreateVpnGateway. Comme évoqué plus tôt, Amazon continuera de fournir « l'ASN public existant » de la région jusqu'au 30 juin 2018. Après le 30 juin 2018, Amazon fournira l'ASN 64512.

Q : J'ai une passerelle réseau privé virtuel et une connexion VIF/VPN configurée qui utilise un ASN public affecté Amazon 7224. Si Amazon génère automatiquement l'ASN de la nouvelle connexion VIF/VPN créée à l'aide de la même passerelle réseau privé virtuel, quel ASN Amazon sera affecté ?

Amazon affectera l'ASN 7224 à la partie Amazon pour la nouvelle connexion VIF/VPN. L'ASN de la partie Amazon pour votre nouvelle connexion VIF/VPN provient de votre passerelle réseau privé virtuel existante et est définie par défaut sur cet ASN.

Q : Je joins plusieurs VIF privés à une seule passerelle réseau privé virtuel. Chaque VIF dispose-t-il d'un ASN Amazon distinct ?

Non, vous pouvez affecter/configurer un ASN Amazon distinct pour chaque passerelle réseau privé virtuel, mais pas pour chaque VIF. L'ASN Amazon pour le VIF provient de l'ASN Amazon de la passerelle réseau privé virtuel jointe.

Q : Je crée plusieurs connexions VPN vers une seule passerelle réseau privé virtuel. Chaque connexion VPN peut-elle disposer d'un ASN Amazon distinct ?

Non, vous pouvez affecter/configurer un ASN Amazon distinct pour chaque passerelle réseau privé virtuel, mais pas pour chaque connexion VPN. L'ASN Amazon pour la connexion VPN provient de l'ASN Amazon de la passerelle réseau privé virtuel.

Q : Où puis-je sélectionner mon propre ASN ?

Lors de la création d'une passerelle réseau privé virtuel dans la console VPC, décochez la case vous demandant si vous souhaitez avoir un ASN pour la partie Amazon de la session BGP généré automatiquement et indiquez votre propre ASN pour la partie Amazon de la session BGP. Une fois la passerelle réseau privé virtuel configurée avec l'ASN Amazon, les VIF privés et les connexions VPN créés à l'aide de la passerelle réseau privé virtuel utiliseront votre ASN Amazon.

Q : J'utilise déjà CloudHub. Est-ce que je devrai ajuster mes configurations à l'avenir ?

Vous n'aurez aucune modification à apporter.

Q : J'aimerais sélectionner un ASN 32 bits. Quelle est la plage d'ASN 32 bits privés ?

Nous prendrons en charge les ASN 32 bits de 4200000000 à 4294967294.

Q : Une fois la passerelle réseau privé virtuel créée, puis-je changer ou modifier l'ASN Amazon ?

Non. Vous ne pouvez pas modifier l'ASN Amazon après la création. Vous pouvez supprimer la passerelle réseau privé virtuel et en recréer une avec l'ASN souhaité.

Q : Existe-t-il une nouvelle API pour configurer/affecter l'ASN Amazon ?

Vous pouvez y parvenir avec les mêmes API qu'avant (EC2/CreateVpnGateway). Nous venons d'ajouter un nouveau paramètre (amazonSideAsn) à cette API.

Q : Existe-t-il une nouvelle API pour visualiser l'ASN Amazon ?

Vous pouvez visualiser l'ASN Amazon avec la même API EC2/DescribeVpnGateways. Nous venons d'ajouter un nouveau paramètre (amazonSideAsn) à cette API.

 

Q : Qu'est-ce qu'AWS PrivateLink ?

AWS PrivateLink permet aux clients d'accéder à des services hébergés sur AWS avec une haute disponibilité et de manière évolutive tout en conservant le trafic réseau dans le réseau AWS. Les utilisateurs du service peuvent l'utiliser pour accéder de manière privée aux services fournis par PrivateLink depuis leur Amazon Virtual Private Cloud (VPC) ou leur propre centre de données sans avoir à utiliser d'IP publiques et sans avoir besoin de faire passer le trafic par Internet. Les propriétaires du service peuvent enregistrer leurs équilibreurs de charge réseau auprès des services PrivateLink et fournir ces services à d'autres clients AWS.

Q : Comment utiliser AWS PrivateLink ?

En tant qu'utilisateur du service, vous devrez créer des points de terminaison d'un VPC de type interface pour les services fournis par PrivateLink. Ces points de terminaison de service apparaîtront en tant qu'interface réseau Elastic (ENI) avec des IP privées dans vos VPC. Une fois ces points de terminaison créés, tout trafic destiné à ces IP sera routé de manière privée vers les services AWS correspondants.

En tant que propriétaire du service, vous pouvez embarquer votre service sur AWS PrivateLink en créant un équilibreur de charge réseau (NBL) pour mettre en avant votre service et créer un service PrivateLink pour s'enregistrer auprès du NBL. Vos clients pourront créer des points de terminaison dans leurs propres VPC pour se connecter à votre service une fois que vous aurez établi une liste blanche de leurs comptes et de leurs rôles IAM.

Q : Quels services sont actuellement disponibles sur AWS PrivateLink ?

Les services AWS suivants prennent en charge cette fonctionnalité : Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager et Amazon SNS. De nombreuses solutions SaaS prennent également cette fonctionnalité en charge. Consultez AWS Marketplace pour plus de produits SaaS à technologie AWS PrivateLink.

Q : Puis-je accéder de manière privée aux services fournis par AWS PrivateLink via AWS Direct Connect ?

Oui. L'application dans votre propre centre de données peut se connecter aux points de terminaison de service dans Amazon VPC via AWS Direct Connect. Les points de terminaison de service dirigeront automatiquement le trafic vers les services AWS à technologie AWS PrivateLink.

Q : Quelles métriques de CloudWatch sont disponibles pour le point de terminaison VPC sur interface ?

Aucune métrique CloudWatch n'est actuellement disponible pour le point de terminaison VPC sur interface.

Q : Qui paie les frais de transfert de données pour le trafic passant par le point de terminaison VPC sur interface ?

Le concept de coûts de transfert de données est semblable à celui des instances EC2. Comme un point de terminaison VPC sur interface est un ENI dans le sous-réseau, les frais de transfert de données dépendent de la source du trafic. Si le trafic vers cette interface provient d'une ressource sur AZ, les frais de transfert de données EC2 sur AZ s'appliquent au client final. Les clients du VPC client peuvent utiliser un point de terminaison DNS propre à une AZ pour garantir la conservation du trafic dans la même AZ s'ils ont approvisionné chaque AZ disponible sur leur compte.

Aperçu de Bring Your Own IP

Q : Qu'est-ce que la fonctionnalité Bring Your Own IP ?

Bring Your Own IP permet aux clients de déplacer tout ou partie de leur espace d'adresse IPv4 public existant vers AWS pour l'utiliser avec leurs ressources AWS. Les clients resteront propriétaires de la plage IP, mais AWS reprendra sa publicité sur Internet. Les clients peuvent créer des IP élastiques à partir de l'espace IP qu'ils apportent à AWS et les utiliser avec des instances EC2, des passerelles NAT et des Network Load Balancer (équilibreurs de charge réseau). Les clients continueront d'avoir accès aux adresses IP fournies par Amazon et peuvent choisir d'utiliser Bring Your Own IP, les adresses fournies par Amazon, ou les deux.

Q : Pourquoi devrais-je utiliser Bring Your Own IP ?

Vous pouvez apporter vos propres adresses IP à AWS pour les raisons suivantes :

Réputation de l'IP : de nombreux clients considèrent la réputation de leurs IP comme un atout stratégique et veulent les utiliser sur AWS avec leurs ressources. Par exemple, les clients qui maintiennent des services tels que les MTA de courrier électronique sortant et qui ont des IP réputées, peuvent maintenant apporter leur espace IP et maintenir avec succès leur taux de réussite d'envoi existant.

Liste blanche des clients : Bring Your Own IP permet également aux clients de déplacer les anciennes charges de travail qui s'appuyaient sur la liste blanche des adresses IP vers AWS sans avoir besoin d'adresser et de reconfigurer manuellement les connexions des clients.

Dépendances codées en dur : plusieurs clients ont des IP codées en dur dans les appareils ou ont pris des dépendances architecturales sur leurs IP. Bring Your Own IP permet à ces clients de migrer sans tracas vers AWS.

Réglementation et conformité : de nombreux clients sont tenus d'utiliser certaines adresses IP pour des raisons de réglementation et de conformité. Elles aussi sont déverrouillées par Bring Your Own IP.

Q : Comment puis-je utiliser la fonction Bring Your Own IP ?

Bring Your Own IP est actuellement en prévisualisation. Vous pouvez vous inscrire ici et remplir le questionnaire. Une fois sélectionné, vous recevrez un courriel vous informant des prochaines étapes.

Q : Comment puis-je utiliser les IP du préfixe de Bring Your Own IP avec les ressources AWS ?

Votre préfixe Bring Your Own IP apparaîtra comme un pool d'adresses IP dans votre compte. Vous pouvez créer des adresses IP élastiques (EIP) à partir du pool d'adresses IP et les utiliser comme des EIP ordinaires avec n'importe quelle ressource AWS qui prend en charge les EIP. Actuellement, les instances EC2, les passerelles NAT et les équilibreurs de charge réseau prennent en charge les EIP.

Q : Que se passe-t-il si je publie un EIP Bring Your Own IP ?

Lorsque vous publiez un EIP Bring Your Own IP, il retourne au pool d'adresses IP de Bring Your Own IP à partir duquel il a été alloué.

Q : Dans quelles régions l'aperçu de Bring Your Own IP est-il disponible ?

L'aperçu est actuellement disponible dans la région USA Ouest (Oregon).

Q : Un préfixe Bring Your Own IP peut-il être partagé avec plusieurs VPC dans le même compte ?

Oui. Vous pouvez utiliser le préfixe Bring Your Own IP avec n'importe quel nombre de VPC dans le même compte.

Q : Combien de plages IP puis-je apporter via Bring Your Own IP ?

Vous pouvez apporter un maximum de cinq plages d'adresses IP à votre compte.

Q : Quel est le préfixe le plus spécifique que je peux apporter via Bring Your Own IP ?

Le préfixe le plus spécifique que vous pouvez apporter via Bring Your Own IP est un préfixe IPv4 /24.

Q : Quels préfixes RIR puis-je utiliser pour Bring Your Own IP ?

Dans l'aperçu, vous n'êtes autorisé à utiliser que les préfixes enregistrés par l'ARIN (American Registry for Internet Numbers).

Q : Puis-je apporter un préfixe réaffecté ou réattribué ?

Nous n'acceptons pas les préfixes réaffectés ou réattribués pour le moment. Les plages IP devraient être de type net d'attribution directe ou d'assignation directe.

Q : Un préfixe Bring Your Own IP peut-il être partagé avec plusieurs VPC dans le même compte ?

Oui. Vous pouvez utiliser le préfixe Bring Your Own IP avec n'importe quel nombre de VPC dans le même compte.

Questions supplémentaires

Q : Puis-je utiliser AWS Management Console pour contrôler et gérer Amazon VPC ?

Oui. Vous pouvez utiliser AWS Management Console pour gérer les objets Amazon VPC, comme des VPC, des sous-réseaux (subnets), des tables de routage, des passerelles Internet et des connexions VPN utilisant IPSec. De plus, vous pouvez utiliser un simple assistant pour créer un VPC.

Q : Combien de VPC, de sous-réseaux, d'adresses IP élastiques, de passerelles Internet, de passerelles client, de passerelles réseau privé virtuel et de connexions VPN puis-je créer ?

Vous pouvez disposer de :

  • Cinq VPC Amazon par compte AWS par région
  • 200 sous-réseaux par Amazon VPC
  • Cinq adresses Elastic IP Amazon VPC par compte AWS par région
  • Une passerelle Internet par VPC
  • Cinq passerelles réseau privé virtuel par compte AWS et par région
  • Cinquante passerelles client par compte AWS et par région
  • Dix connexions VPN IPsec par passerelle réseau privé virtuel

Consultez le Guide de l'utilisateur d'Amazon VPC pour en savoir plus sur les restrictions des VPC.

Q : La connexion VPN d'Amazon VPC est-elle associée à un accord de niveau de service (SLA) ?

Pas à l'heure actuelle. 

Q : Puis-je obtenir AWS Support avec Amazon VPC ?

Oui. Cliquez ici pour plus d'informations sur AWS Support.

Q : Puis-je utiliser ElasticFox avec Amazon VPC ?

ElasticFox n'est plus officiellement pris en charge pour la gestion de votre Amazon VPC. La prise en charge d'Amazon VPC est disponible via les API AWS, les outils de ligne de commande et AWS Management Console, tout comme une variété de services tiers.

 

En savoir plus sur Amazon VPC

Rendez-vous sur la page détaillée du produit.
Prêt à vous lancer ?
Inscrivez-vous
D'autres questions ?
Contactez-nous