Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fonctionnement d'Amazon VPC
Avec Amazon Virtual Private Cloud (Amazon VPC), vous pouvez lancer AWS des ressources dans un réseau virtuel isolé de manière logique que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.
Vous trouverez ci-dessous une représentation visuelle d'un VPC et de ses ressources à partir du volet Aperçu affiché lorsque vous créez un VPC à l'aide de la AWS Management Console. Pour un VPC existant, vous pouvez accéder à cette visualisation dans l'onglet Mappage des ressources. Cet exemple montre les ressources initialement sélectionnées sur la page Créer un VPC lorsque vous choisissez de créer le VPC et d'autres ressources de mise en réseau. Ce VPC est configuré avec un IPv4 CIDR et un CIDR fourni par Amazon IPv6, des sous-réseaux dans deux zones de disponibilité, trois tables de routage, une passerelle Internet et un point de terminaison de passerelle. Comme nous avons sélectionné la passerelle Internet, la visualisation indique que le trafic provenant des sous-réseaux publics est acheminé vers Internet, car la table de routage correspondante envoie le trafic vers la passerelle Internet.
Concepts
VPCs et sous-réseaux
Un cloud privé virtuel (VPC) est un réseau virtuel dédié à votre compte AWS . Il est logiquement isolé des autres réseaux virtuels du AWS Cloud. Vous pouvez spécifier une plage d'adresses IP pour le VPC, ajouter des sous-réseaux, ajouter des passerelles et associer des groupes de sécurité.
Un sous-réseau est une plage d'adresses IP dans votre VPC. Vous lancez AWS des ressources, telles que EC2 des instances Amazon, dans vos sous-réseaux. Vous pouvez connecter un sous-réseau à Internet, à d'autres VPCs centres de données et à vos propres centres de données, et acheminer le trafic vers et depuis vos sous-réseaux à l'aide de tables de routage.
En savoir plus
Par défaut et non par défaut VPCs
Si votre compte a été créé après le 4 décembre 2013, il dispose d'un VPC par défaut dans chaque région. Un VPC par défaut est configuré et prêt à être utilisé. Par exemple, il possède un sous-réseau par défaut dans chaque zone de disponibilité de la région, une passerelle Internet attachée, un routage dans la table de routage principale qui envoie tout le trafic à la passerelle Internet et des paramètres DNS qui attribuent automatiquement des noms d'hôte DNS publics aux instances avec Adresses IP et activent la résolution DNS via le serveur DNS fourni par Amazon (consultez Attributs DNS pour votre VPC). Par conséquent, une EC2 instance lancée dans un sous-réseau par défaut a automatiquement accès à Internet. Si vous avez un VPC par défaut dans une région et que vous ne spécifiez pas de sous-réseau lorsque vous lancez une EC2 instance dans cette région, nous choisissons l'un des sous-réseaux par défaut et lançons l'instance dans ce sous-réseau.
Vous pouvez également créer votre propre VPC et le configurer selon vos besoins. Ce système est appelé VPC personnalisé. Les sous-réseaux que vous créez dans votre VPC personnalisé et les sous-réseaux supplémentaires que vous créez dans votre VPC par défaut sont appelés sous-réseaux personnalisés.
En savoir plus
Tables de routage
Une table de routage contient un ensemble de règles, appelées routes, qui permettent de déterminer où diriger le trafic réseau à partir de votre VPC. Vous pouvez associer explicitement un sous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routage principale.
Chaque itinéraire d'une table de routage spécifie la plage d'adresses IP dans laquelle vous souhaitez acheminer le trafic (la destination) et la passerelle, l'interface réseau ou la connexion via laquelle envoyer le trafic (la cible).
En savoir plus
Accéder à Internet
Vous contrôlez comment les instances que vous lancez dans un VPC accèdent à vos ressources à l'extérieur du VPC.
Un VPC par défaut inclut une passerelle Internet et chaque sous-réseau par défaut est un sous-réseau public. Chaque instance que vous lancez dans un sous-réseau par défaut possède une IPv4 adresse privée et une IPv4 adresse publique. Ces instances peuvent communiquer avec Internet via la passerelle Internet. Une passerelle Internet permet à vos instances de se connecter à Internet via la périphérie du EC2 réseau Amazon.
Par défaut, chaque instance que vous lancez dans un sous-réseau autre que celui par défaut possède une IPv4 adresse privée, mais aucune IPv4 adresse publique, sauf si vous en attribuez une spécifiquement au lancement ou si vous modifiez l'attribut d'adresse IP publique du sous-réseau. Ces instances peuvent communiquer ensemble, mais ne peuvent pas accéder à Internet.
Vous pouvez activer l'accès à Internet pour une instance lancée dans un sous-réseau personnalisé en attachant une passerelle Internet à son VPC (si son VPC n'est pas un VPC par défaut) et en associant une adresse IP Elastic à l'instance.
Pour permettre à une instance dans votre VPC d'initier des connexions sortantes sur Internet mais arrêter des connexions entrantes non sollicitées provenant d'Internet, vous pouvez également utiliser un périphérique NAT (Network Address Translation, traduction d'adresses réseau). Le NAT mappe plusieurs IPv4 adresses privées en une seule IPv4 adresse publique. Vous pouvez configurer un périphérique NAT avec une adresse IP Elastic et le connecter à Internet via une passerelle Internet. Cela permet à une instance dans un sous-réseau privé de se connecter à Internet via le périphérique NAT qui achemine le trafic de l'instance vers la passerelle Internet, et achemine les réponses vers l'instance.
Si vous associez un bloc IPv6 CIDR à votre VPC et IPv6 attribuez des adresses à vos instances, celles-ci peuvent se connecter à Internet IPv6 via une passerelle Internet. Les instances peuvent également établir des connexions sortantes vers Internet IPv6 via une passerelle Internet de sortie uniquement. IPv6 le trafic est distinct du IPv4 trafic ; vos tables de routage doivent inclure des itinéraires distincts pour IPv6 le trafic.
En savoir plus
Accéder à un réseau d'entreprise ou domestique
Vous pouvez éventuellement connecter votre VPC à votre propre centre de données d'entreprise à l'aide d'une IPsec AWS Site-to-Site VPN connexion, faisant du AWS cloud une extension de votre centre de données.
Une connexion Site-to-Site VPN consiste en deux tunnels VPN entre une passerelle privée virtuelle ou une passerelle de transit sur le AWS côté et un dispositif de passerelle client situé dans votre centre de données. Un dispositif de passerelle client est un appareil physique ou un dispositif logiciel que vous configurez de votre côté de la connexion Site-to-Site VPN.
Connect VPCs et réseaux
Vous pouvez créer une connexion d'appairage VPC entre deux entités VPCs qui vous permet d'acheminer le trafic entre elles de manière privée. Les instances des deux VPC peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau.
Vous pouvez également créer une passerelle de transit et l'utiliser pour interconnecter votre réseau VPCs et votre réseau local. La passerelle de transit agit comme un routeur virtuel régional pour le trafic circulant entre ses pièces jointes, qui peuvent inclure des connexions VPN VPCs, des AWS Direct Connect passerelles et des connexions d'appairage de passerelle de transit.
En savoir plus
AWS réseau mondial privé
AWS fournit un réseau mondial privé à hautes performances et à faible latence qui fournit un environnement de cloud computing sécurisé pour répondre à vos besoins en matière de réseau. AWS Les régions sont connectées à plusieurs fournisseurs de services Internet (ISPs) ainsi qu'à une dorsale réseau mondiale privée, ce qui améliore les performances du réseau pour le trafic interrégional envoyé par les clients.
Les considérations suivantes s'appliquent :
-
Le trafic se trouvant dans une zone de disponibilité, ou entre les zones de disponibilité de toutes les régions, est acheminé via le réseau mondial AWS privé.
-
Le trafic entre les régions est toujours acheminé via le réseau mondial AWS privé, à l'exception des régions de Chine.
Une perte de paquets réseau peut être causée par un certain nombre de facteurs, y compris les collisions de flux réseau, les erreurs de niveau inférieur (couche 2) et les autres défaillances du réseau. Nous développons et faisons fonctionner nos réseaux en vue de minimiser les pertes de paquets. Nous mesurons le taux de perte de paquets (PLR) sur l'ensemble du réseau mondial qui relie les régions. AWS Nous faisons fonctionner notre réseau backbone en vue d'obtenir un p99 pour le PLR horaire de moins de 0,0001 %.
