Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Centralisez la connectivité réseau à l'aide d'AWS Transit Gateway
Créée par Mydhili Palagummi (AWS) et Nikhil Marrapu (AWS)
Environnement : Production | Technologies : mise en réseau | Services AWS : AWS Transit Gateway ; Amazon VPC |
Récapitulatif
Ce modèle décrit la configuration la plus simple dans laquelle AWS Transit Gateway peut être utilisé pour connecter un réseau sur site à des clouds privés virtuels (VPC) sur plusieurs comptes AWS au sein d'une région AWS. À l'aide de cette configuration, vous pouvez établir un réseau hybride qui connecte plusieurs réseaux VPC dans une région et un réseau sur site. Cela se fait en utilisant une passerelle de transit et une connexion de réseau privé virtuel (VPN) au réseau local.
Conditions préalables et limitations
Prérequis
Un compte pour héberger des services réseau, géré en tant que compte membre d'une organisation dans AWS Organizations
VPC dans plusieurs comptes AWS, sans chevauchement de blocs de routage interdomaines sans classe (CIDR)
Limites
Ce modèle ne permet pas d'isoler le trafic entre certains VPC ou le réseau local. Tous les réseaux rattachés à la passerelle de transit pourront se joindre les uns aux autres. Pour isoler le trafic, vous devez utiliser des tables de routage personnalisées sur la passerelle de transit. Ce modèle connecte uniquement les VPC et le réseau local à l'aide d'une seule table de routage de passerelle de transit par défaut, ce qui constitue la configuration la plus simple.
Architecture
Pile technologique cible
AWS Transit Gateway
AWS Site-to-Site VPN
VPC
AWS Resource Access Manager (AWS RAM)
Architecture cible
Outils
Services AWS
AWS Resource Access Manager (AWS RAM) vous permet de partager en toute sécurité vos ressources entre vos comptes AWS, vos unités organisationnelles ou l'ensemble de votre organisation depuis AWS Organizations.
AWS Transit Gateway est un hub central qui connecte les clouds privés virtuels (VPC) aux réseaux sur site.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Créez une passerelle de transit. | Dans le compte AWS sur lequel vous souhaitez héberger les services réseau, créez une passerelle de transit dans la région AWS cible. Pour obtenir des instructions, voir Création d'une passerelle de transit. Notez ce qui suit :
| Administrateur réseau |
| Tâche | Description | Compétences requises |
|---|---|---|
Configurez une passerelle client pour la connexion VPN. | Le dispositif de passerelle client est connecté du côté local de la connexion VPN Site-to-Site entre la passerelle de transit et votre réseau local. Pour plus d'informations, consultez la section Votre dispositif de passerelle client dans la documentation du VPN AWS Site-to-Site. Identifiez ou lancez un appareil client sur site pris en charge et notez son adresse IP publique. La configuration du VPN sera terminée plus tard dans cette épopée. | Administrateur réseau |
Dans le compte de services réseau, créez une connexion VPN à la passerelle de transit. | Pour configurer une connexion, créez une pièce jointe VPN pour la passerelle de transit. Pour obtenir des instructions, consultez la section Pièces jointes du VPN Transit Gateway. | Administrateur réseau |
Configurez le VPN sur le dispositif de passerelle client de votre réseau local. | Téléchargez le fichier de configuration de la connexion VPN Site-to-Site associée à la passerelle de transit et configurez les paramètres VPN sur le périphérique de passerelle client. Pour obtenir des instructions, voir Télécharger le fichier de configuration. | Administrateur réseau |
| Tâche | Description | Compétences requises |
|---|---|---|
Dans le compte de gestion AWS Organizations, activez le partage. | Pour partager la passerelle de transit avec votre organisation ou avec certaines unités organisationnelles, activez le partage dans AWS Organizations. Sinon, vous devrez partager la passerelle de transit pour chaque compte individuellement. Pour obtenir des instructions, consultez Activer le partage de ressources au sein d'AWS Organizations. | Administrateur système AWS |
Créez le partage de ressources de la passerelle de transit dans le compte de services réseau. | Pour autoriser les VPC d'autres comptes AWS de votre organisation à se connecter à la passerelle de transit, dans le compte de services réseau, utilisez la console AWS RAM pour partager les ressources de la passerelle de transit. Pour obtenir des instructions, voir Création d'un partage de ressources. | Administrateur système AWS |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez des pièces jointes VPC dans des comptes individuels. | Dans les comptes avec lesquels la passerelle de transit a été partagée, créez des pièces jointes VPC de passerelle de transit. Pour obtenir des instructions, voir Créer une passerelle de transit attachée à un VPC. | Administrateur réseau |
Acceptez les demandes de pièces jointes VPC. | Dans le compte de services réseau, acceptez les demandes de rattachement VPC de la passerelle de transit. Pour obtenir des instructions, voir Accepter une pièce jointe partagée. | Administrateur réseau |
| Tâche | Description | Compétences requises |
|---|---|---|
Configurez les itinéraires dans les VPC de comptes individuels. | Dans chaque compte VPC individuel, ajoutez des itinéraires vers le réseau local et vers d'autres réseaux VPC, en utilisant la passerelle de transit comme cible. Pour obtenir des instructions, voir Ajouter et supprimer des itinéraires dans une table de routage. | Administrateur réseau |
Configurez les itinéraires dans la table des itinéraires de la passerelle de transit. | Les itinéraires provenant des VPC et de la connexion VPN doivent être propagés et doivent apparaître dans la table de routage par défaut de la passerelle de transit. Si nécessaire, créez des itinéraires statiques (par exemple, des itinéraires statiques pour la connexion VPN statique) dans la table de routage par défaut de la passerelle de transit. Pour obtenir des instructions, voir Création d'un itinéraire statique. | Administrateur réseau |
Ajoutez des règles de groupe de sécurité et de liste de contrôle d'accès réseau (ACL). | Pour les instances EC2 et les autres ressources du VPC, assurez-vous que les règles du groupe de sécurité et les règles ACL du réseau autorisent le trafic entre les VPC et le réseau sur site. Pour obtenir des instructions, voir Contrôler le trafic vers les ressources à l'aide de groupes de sécurité et Ajouter et supprimer des règles dans une ACL. | Administrateur réseau |
| Tâche | Description | Compétences requises |
|---|---|---|
Testez la connectivité entre les VPC. | Assurez-vous que les ACL du réseau et les groupes de sécurité autorisent le trafic ICMP (Internet Control Message Protocol), puis envoyez un ping depuis les instances d'un VPC vers un autre VPC également connecté à la passerelle de transit. | Administrateur réseau |
Testez la connectivité entre les VPC et le réseau sur site. | Assurez-vous que les règles ACL du réseau, les règles des groupes de sécurité et les éventuels pare-feux autorisent le trafic ICMP, puis envoyez une commande ping entre le réseau local et les instances EC2 des VPC. La communication réseau doit d'abord être initiée à partir du réseau local pour que la connexion VPN soit rétablie | Administrateur réseau |
Ressources connexes
Création d'une infrastructure réseau AWS multi-VPC évolutive et sécurisée (livre blanc
AWS) Utilisation de ressources partagées (documentation AWS RAM)
Utilisation des passerelles de transit (documentation AWS Transit Gateway)
