Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Automatisez la configuration du peering interrégional avec Transit Gateway AWS
Créée par Ram Kandaswamy () AWS
Récapitulatif
AWSTransit Gateway connecte des clouds privés virtuels (VPCs) et des réseaux sur site via un hub central. Le trafic de Transit Gateway reste toujours sur le backbone mondial d'Amazon Web Services (AWS) et ne traverse pas l'Internet public, ce qui réduit les vecteurs de menaces, tels que les exploits courants et les attaques par déni de service distribué (DDoS).
Si vous devez communiquer entre deux AWS régions ou plus, vous pouvez utiliser le peering inter-régional Transit Gateway pour établir des connexions de peering entre les passerelles de transit de différentes régions. Cependant, la configuration manuelle du peering interrégional avec Transit Gateway peut être un processus fastidieux qui comporte plusieurs étapes. Ce modèle fournit un processus automatisé pour supprimer ces étapes manuelles en utilisant du code pour effectuer le peering. Vous pouvez utiliser cette approche si vous devez configurer plusieurs régions et AWS comptes à plusieurs reprises lors de la configuration d'une organisation multirégionale.
Ce modèle utilise une AWS CloudFormation pile qui inclut le flux de travail AWS Step Functions, les fonctions AWS Lambda, les rôles AWS Identity and Access Management (IAM) et les groupes de logs dans Amazon CloudWatch Logs. Vous pouvez ensuite lancer une exécution de Step Functions et créer la connexion de peering inter-régions pour vos passerelles de transport en commun. Pour configurer manuellement le peering interrégional, voir Peer VPCs dans différentes AWS régions à l'aide de AWS Transit Gateway.
Conditions préalables et limitations
Prérequis
Un compte AWS actif.
Un bucket Amazon Simple Storage Service (Amazon S3) existant.
Passerelles de transit, créées et configurées dans la région demandeuse et dans les régions acceptrices. La région demandeuse est celle d'où provient une demande de peering et les régions acceptrices acceptent la demande de peering. Pour plus d'informations à ce sujet, consultez la section Création et acceptation d'une connexion VPC de peering dans la VPC documentation Amazon.
VPCs, installé et configuré dans les régions de l'accepteur et du demandeur. Pour savoir comment créer unVPC, consultez Create the VPC from Get Started with Amazon VPC dans la VPC documentation Amazon.
Ils VPCs doivent utiliser la
addToTransitGatewaybalise ettruela valeur.Groupes de sécurité et listes de contrôle d'accès réseau (ACLs) pour vousVPCs, configurés selon vos besoins. Pour plus d'informations à ce sujet, consultez la section Groupes de sécurité pour votre réseau VPC et pour votre réseau ACLs dans la VPC documentation Amazon.
AWSRégions et limites
Seules certaines AWS régions soutiennent le peering interrégional. Pour une liste complète des régions qui prennent en charge le peering interrégional, consultez le AWSTransit
Gateway. FAQs Dans l'exemple de code ci-joint, la région du demandeur est supposée être
us-east-2, et la région de l'accepteur est supposée être.us-west-2Si vous souhaitez configurer différentes régions, vous devez modifier ces valeurs dans tous les fichiers Python. Pour implémenter une configuration plus complexe impliquant plus de deux régions, vous pouvez modifier la fonction Step pour transmettre les régions en tant que paramètre à la fonction Lambda et exécuter la fonction pour chaque combinaison.
Architecture
Le diagramme montre un flux de travail comportant les étapes suivantes :
L'utilisateur crée une AWS CloudFormation pile.
AWS CloudFormation crée une machine d'état Step Functions qui utilise une fonction Lambda. Pour plus d'informations à ce sujet, consultez la section Création d'une machine d'état Step Functions utilisant Lambda dans la documentation AWS Step Functions.
Step Functions appelle une fonction Lambda pour le peering.
La fonction Lambda crée une connexion d'appairage entre les passerelles de transit.
Step Functions appelle une fonction Lambda pour modifier la table de routage.
La fonction Lambda modifie les tables de routage en ajoutant le bloc Classless Inter-Domain Routing () CIDR du. VPCs
Flux de travail Step Functions
Le diagramme montre le flux de travail Step Functions suivant :
Le flux de travail Step Functions appelle la fonction Lambda pour le peering de la passerelle de transit.
Il y a un appel du chronomètre pour attendre une minute.
L'état du peering est récupéré et envoyé au bloc de conditions. Le bloc est responsable de la boucle.
Si la condition de réussite n'est pas remplie, le flux de travail est codé pour passer à l'étape du chronomètre.
Si la condition de réussite est remplie, une fonction Lambda est appelée pour modifier les tables de routage. Après cet appel, le flux de travail Step Functions prend fin.
Outils
AWS CloudFormation— AWS CloudFormation est un service qui vous aide à modéliser et à configurer vos AWS ressources.
Amazon CloudWatch Logs — CloudWatch Logs vous permet de centraliser les journaux de tous les systèmes, applications et AWS services que vous utilisez.
AWSIdentity and Access Management (IAM) IAM est un service Web permettant de contrôler en toute sécurité l'accès aux AWS services.
AWSLambda — Lambda exécute votre code sur une infrastructure de calcul à haute disponibilité et exécute toute l'administration des ressources de calcul.
AWSStep Functions — Step Functions facilite la coordination des composants des applications distribuées sous la forme d'une série d'étapes dans un flux de travail visuel.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Téléchargez les fichiers joints dans votre compartiment S3. | Connectez-vous à la console AWS de gestion, ouvrez la console Amazon S3, puis téléchargez les | Général AWS |
Créez la AWS CloudFormation pile. | Exécutez la commande suivante pour créer une AWS CloudFormation pile à l'aide du
La AWS CloudFormation pile crée le flux de travail Step Functions, les fonctions Lambda, les IAM rôles et les groupes de CloudWatch journaux. Assurez-vous que le AWS CloudFormation modèle fait référence au compartiment S3 qui contient les fichiers que vous avez téléchargés précédemment. NoteVous pouvez également créer une pile à l'aide de la AWS CloudFormation console. Pour plus d'informations à ce sujet, consultez la section Création d'une pile sur la AWS CloudFormation console dans la AWS CloudFormation documentation. | DevOps ingénieur |
Lancez une nouvelle exécution dans Step Functions. | Ouvrez la console Step Functions et lancez une nouvelle exécution. Step Functions appelle la fonction Lambda et crée la connexion d'appairage pour les passerelles de transit. Vous n'avez pas besoin de JSON fichier d'entrée. Vérifiez qu'une pièce jointe est disponible et que le type de connexion est Peering. Pour plus d'informations à ce sujet, consultez la section Démarrer une nouvelle exécution dans Getting started with AWS Step Functions dans la documentation de AWS Steps Functions. | DevOps ingénieur, général AWS |
Vérifiez les itinéraires dans les tables de routage. | Le peering interrégional est établi entre les passerelles de transit. Les tables de routage sont mises à jour avec la plage VPC de IPv4 CIDR blocs de la région homologue. Ouvrez la VPC console Amazon et choisissez l'onglet Associations dans la table de routage qui correspond à la pièce jointe de la passerelle de transit. Vérifiez la plage de VPC CIDR blocs des régions homologues. Pour obtenir des instructions et des étapes détaillées, consultez la section Associer une table de routage de passerelle de transit dans la VPC documentation Amazon. | Administrateur réseau |
Ressources connexes
Pièces jointes
