Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
NATcas d'utilisation de la passerelle
Voici des exemples de cas d'utilisation pour les NAT passerelles publiques et privées.
Scénarios
Accéder à Internet à partir d'un sous-réseau privé
Vous pouvez utiliser une NAT passerelle publique pour permettre aux instances d'un sous-réseau privé d'envoyer du trafic sortant vers Internet, tout en empêchant Internet d'établir des connexions avec les instances.
Table des matières
Présentation
Le diagramme suivant illustre ce cas d'utilisation. Il existe deux zones de disponibilité, avec deux sous-réseaux dans chaque zone de disponibilité. La table de routage de chaque sous-réseau détermine la manière dont le trafic est acheminé. Dans la zone de disponibilité A, les instances du sous-réseau public peuvent accéder à Internet via un acheminement vers la passerelle Internet, tandis que les instances du sous-réseau privé n'ont aucun acheminement vers Internet. Dans la zone de disponibilité B, le sous-réseau public contient une NAT passerelle, et les instances du sous-réseau privé peuvent accéder à Internet via une route menant à la NAT passerelle du sous-réseau public. Les NAT passerelles privées et publiques mappent l'IPv4adresse privée source des instances à l'IPv4adresse privée de la NAT passerelle privée, mais dans le cas d'une NAT passerelle publique, la passerelle Internet mappe ensuite l'IPv4adresse privée de la NAT passerelle publique à l'adresse IP élastique associée à la NAT passerelle. Lorsque vous envoyez du trafic de réponse aux instances, qu'il s'agisse d'une NAT passerelle publique ou privée, la NAT passerelle traduit l'adresse en adresse IP source d'origine.
Notez que si les instances du sous-réseau privé de la zone de disponibilité A doivent également accéder à Internet, vous pouvez créer une route entre ce sous-réseau et la NAT passerelle de la zone de disponibilité B. Vous pouvez également améliorer la résilience en créant une NAT passerelle dans chaque zone de disponibilité contenant des ressources nécessitant un accès Internet. Pour obtenir un exemple de diagramme, consultez Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT.
Routage
Voici la table de routage associée au sous-réseau public dans la zone de disponibilité A. La première entrée est la route locale ; elle permet aux instances du sous-réseau de communiquer avec d'autres instances en VPC utilisant des adresses IP privées. La deuxième entrée envoie tout le reste du trafic de sous-réseau à la passerelle Internet, ce qui permet aux instances du sous-réseau d'accéder à Internet.
Destination | Target |
---|---|
VPC CIDR |
locale |
0.0.0.0/0 | internet-gateway-id |
Voici la table de routage associée au sous-réseau privé dans la zone de disponibilité A. L'entrée est la route locale, qui permet aux instances du sous-réseau de communiquer avec d'autres instances VPC utilisant des adresses IP privées. Les instances de ce sous-réseau n'ont pas accès à Internet.
Destination | Target |
---|---|
VPC CIDR |
local |
Voici la table de routage associée au sous-réseau public dans la zone de disponibilité B. La première entrée est la route locale, qui permet aux instances du sous-réseau de communiquer avec d'autres instances en VPC utilisant des adresses IP privées. La deuxième entrée envoie tout le reste du trafic du sous-réseau à la passerelle Internet, ce qui permet à la NAT passerelle du sous-réseau d'accéder à Internet.
Destination | Target |
---|---|
VPC CIDR |
locale |
0.0.0.0/0 | internet-gateway-id |
Voici la table de routage associée au sous-réseau privé dans la zone de disponibilité B. La première entrée est la route locale ; elle permet aux instances du sous-réseau de communiquer avec d'autres instances en VPC utilisant des adresses IP privées. La deuxième entrée envoie tout le reste du trafic de sous-réseau à la NAT passerelle.
Destination | Target |
---|---|
VPC CIDR |
locale |
0.0.0.0/0 | nat-gateway-id |
Pour de plus amples informations, veuillez consulter Modifier une table de routage de sous-réseau.
Testez la NAT passerelle publique
Après avoir créé votre NAT passerelle et mis à jour vos tables de routage, vous pouvez envoyer un ping à des adresses distantes sur Internet à partir d'une instance de votre sous-réseau privé pour vérifier si elle peut se connecter à Internet. Pour obtenir un exemple montrant la façon de procéder, consultez Tester la connexion Internet.
Si vous pouvez vous connecter à Internet, vous pouvez également vérifier si le trafic Internet est acheminé via la NAT passerelle :
-
Tracez la route du trafic à partir d'une instance dans votre sous-réseau privé. Pour ce faire, exécutez la commande
traceroute
depuis une instance Linux dans votre sous-réseau privé. Dans la sortie, vous devriez voir l'adresse IP privée de la NAT passerelle dans l'un des sauts (généralement le premier saut). -
Utilisez un site Web ou un outil tiers qui affiche l'adresse IP source quand vous vous y connectez depuis une instance dans votre sous-réseau privé. L'adresse IP source doit être l'adresse IP élastique de la NAT passerelle.
Si ces tests échouent, veuillez consulter Résoudre les problèmes des passerelles NAT.
Tester la connexion Internet
L'exemple suivant montre comment tester si une instance dans un sous-réseau privé peut se connecter à Internet.
-
Lancez une instance dans votre sous-réseau public (utilisez-la comme hôte bastion). Dans l'assistant de lancement, assurez-vous de sélectionner un Amazon Linux AMI et d'attribuer une adresse IP publique à votre instance. Assurez-vous que les règles de votre groupe de sécurité autorisent le SSH trafic entrant depuis la plage d'adresses IP de votre réseau local et le SSH trafic sortant vers la plage d'adresses IP de votre sous-réseau privé (vous pouvez également les utiliser
0.0.0.0/0
pour le SSH trafic entrant et sortant pour ce test). -
Lancez une instance dans votre sous-réseau privé. Dans l'assistant de lancement, assurez-vous de sélectionner un Amazon LinuxAMI. N'assignez pas d'adresse IP publique à votre instance. Assurez-vous que les règles de votre groupe de sécurité autorisent le SSH trafic entrant provenant de l'adresse IP privée de l'instance que vous avez lancée dans le sous-réseau public, ainsi que tout le trafic sortantICMP. Vous devez choisir la même paire de clés que vous avez utilisée pour lancer votre instance dans un sous-réseau public.
-
Configurez le transfert d'SSHagent sur votre ordinateur local et connectez-vous à votre hôte Bastion dans le sous-réseau public. Pour plus d'informations, consultez Pour configurer le transfert d'SSHagent pour Linux ou macOS ou Pour configurer le transfert d'SSHagent pour Windows.
-
Depuis votre hôte bastion, connectez-vous à votre instance du sous-réseau privé, puis testez la connexion Internet depuis votre instance du sous-réseau privé. Pour de plus amples informations, veuillez consulter Pour tester la connexion Internet.
Pour configurer le transfert d'SSHagent pour Linux ou macOS
Depuis votre machine locale, ajoutez votre clé privée à l'agent d'authentification.
Pour Linux, utilisez la commande suivante.
ssh-add -c mykeypair.pem
Pour macOS, utilisez la commande suivante.
ssh-add -K mykeypair.pem
Connectez-vous à votre instance dans le sous-réseau public à l'aide de l'
-A
option permettant d'activer le transfert d'SSHagent et utilisez l'adresse publique de l'instance, comme indiqué dans l'exemple suivant.ssh -A ec2-user@
54.0.0.123
Pour configurer le transfert d'SSHagent pour Windows
Vous pouvez utiliser le SSH client Open disponible sous Windows ou installer votre SSH client préféré (par exemple, PuTTY).
Pour tester la connexion Internet
Depuis votre instance dans le sous-réseau public, connectez-vous à votre instance dans votre sous-réseau privé en utilisant son adresse IP privée, comme illustré dans l'exemple suivant.
ssh ec2-user@
10.0.1.123
Depuis votre instance privée, vérifiez que vous pouvez vous connecter à Internet en exécutant la
ping
commande correspondant à un site Web ICMP activé.ping ietf.org
PING ietf.org (4.31.198.44) 56(84) bytes of data. 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms 64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms ...
Appuyez sur Ctrl+C sur votre clavier pour annuler la commande
ping
. Si la commandeping
échoue, consultez Les instances ne peuvent pas accéder à Internet.(Facultatif) Si vous n'avez plus besoin de vos instances, mettez-les hors service. Pour plus d'informations, consultez la section Résiliation de votre instance dans le guide de EC2 l'utilisateur Amazon.
Accédez à votre réseau à l'aide d'adresses IP autorisées
Vous pouvez utiliser une NAT passerelle privée pour permettre la communication entre votre réseau local et votre réseau local VPCs à l'aide d'un pool d'adresses autorisées. Au lieu d'attribuer à chaque instance une adresse IP distincte de la plage d'adresses IP autorisée, vous pouvez acheminer le trafic depuis le sous-réseau destiné au réseau local via une NAT passerelle privée avec une adresse IP issue de la plage d'adresses IP répertoriée comme autorisée.
Table des matières
Présentation
Le schéma suivant montre comment les instances peuvent accéder aux ressources locales via AWS VPN. Le trafic provenant des instances est acheminé vers une passerelle privée virtuelle, via la VPN connexion, vers la passerelle client, puis vers la destination dans le réseau local. Cependant, supposons que la destination n'autorise le trafic qu'à partir d'une plage d'adresses IP spécifique, telle que 100.64.1.0/28. Cela empêcherait le trafic de ces instances d'atteindre le réseau sur site.
Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. VPCpossède sa plage d'adresses IP d'origine plus la plage d'adresses IP autorisée. VPCPossède un sous-réseau à partir de la plage d'adresses IP autorisée avec une NAT passerelle privée. Le trafic provenant des instances destiné au réseau local est envoyé à la NAT passerelle avant d'être acheminé vers la VPN connexion. Le réseau local reçoit le trafic des instances dont l'adresse IP source de la NAT passerelle est comprise dans la plage d'adresses IP autorisée.
Ressources
Créez ou mettez à jour des ressources comme suit :
-
Associez la plage d'adresses IP autorisée àVPC.
-
Créez un sous-réseau à VPC partir de la plage d'adresses IP autorisée.
-
Créez une NAT passerelle privée dans le nouveau sous-réseau.
-
Mettez à jour la table de routage du sous-réseau avec les instances pour envoyer le trafic destiné au réseau local vers la NAT passerelle. Ajoutez un itinéraire à la table de routage pour le sous-réseau avec la NAT passerelle privée qui envoie le trafic destiné au réseau local vers la passerelle privée virtuelle.
Routage
Voici la table de routage associée au premier sous-réseau. Il existe un itinéraire local pour chacun d'entre eux VPCCIDR. Les routes locales permettent aux ressources du sous-réseau de communiquer avec d'autres ressources en VPC utilisant des adresses IP privées. La troisième entrée envoie le trafic destiné au réseau local vers la NAT passerelle privée.
Destination | Target |
---|---|
10.0.0.0/16 |
local |
100.64.1.0/24 |
local |
192.168.0.0/16 |
nat-gateway-id |
Voici la table de routage associée au deuxième sous-réseau. Il existe un itinéraire local pour chacun d'entre eux VPCCIDR. Les routes locales permettent aux ressources du sous-réseau de communiquer avec d'autres ressources en VPC utilisant des adresses IP privées. La troisième entrée envoie le trafic destiné au réseau sur site à la passerelle réseau privé virtuel.
Destination | Target |
---|---|
10.0.0.0/16 |
local |
100.64.1.0/24 |
local |
192.168.0.0/16 |
vgw-id |
Activer la communication entre des réseaux qui se chevauchent
Vous pouvez utiliser une NAT passerelle privée pour permettre la communication entre les réseaux, même si leurs CIDR plages se chevauchent. Supposons, par exemple, que les instances de VPC A aient besoin d'accéder aux services fournis par les instances de VPC B.
Table des matières
Présentation
Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. Tout d'abord, votre équipe de gestion des adresses IP détermine quelles plages d'adresses peuvent se chevaucher (plages d'adresses non routables) et lesquelles ne le peuvent pas (plages d'adresses routables). L'équipe de gestion des adresses IP alloue des plages d'adresses du groupe de plages d'adresses routables aux projets à la demande.
Chacune VPC possède sa plage d'adresses IP d'origine, qui n'est pas routable, ainsi que la plage d'adresses IP routables qui lui a été attribuée par l'équipe de gestion IP. VPCA possède un sous-réseau de sa plage routable avec une passerelle privéeNAT. La NAT passerelle privée obtient son adresse IP à partir de son sous-réseau. VPCB possède un sous-réseau dans sa plage routable avec un Application Load Balancer. L'Application Load Balancer obtient ses adresses IP à partir de ses sous-réseaux.
Le trafic provenant d'une instance du sous-réseau non routable de VPC A qui est destiné aux instances du sous-réseau non routable de VPC B est envoyé via la NAT passerelle privée puis routé vers la passerelle de transit. La passerelle de transit envoie le trafic à l'Application Load Balancer, qui achemine le trafic vers l'une des instances cibles du sous-réseau non routable de VPC B. Le trafic de la passerelle de transit vers l'Application Load Balancer possède l'adresse IP source de la passerelle privée. NAT Par conséquent, le trafic de réponse provenant de l'équilibreur de charge utilise l'adresse de la NAT passerelle privée comme destination. Le trafic de réponse est envoyé à la passerelle de transit puis routé vers la NAT passerelle privée, qui traduit la destination vers l'instance dans le sous-réseau non routable de A. VPC
Ressources
Créez ou mettez à jour des ressources comme suit :
-
Associez les plages d'adresses IP routables attribuées à leurs plages respectives. VPCs
-
Créez un sous-réseau dans VPC A à partir de sa plage d'adresses IP routables et créez une NAT passerelle privée dans ce nouveau sous-réseau.
-
Créez un sous-réseau dans VPC B à partir de sa plage d'adresses IP routables, puis créez un Application Load Balancer dans ce nouveau sous-réseau. Enregistrez les instances dans le sous-réseau non routable avec le groupe cible pour l'équilibreur de charge.
-
Créez une passerelle de transit pour connecter leVPCs. Assurez-vous de désactiver la propagation de l'acheminement. Lorsque vous les attachez VPC à la passerelle de transit, utilisez la plage d'adresses routables duVPC.
-
Mettez à jour la table de routage du sous-réseau non routable dans VPC A pour envoyer tout le trafic destiné à la plage d'adresses routables de VPC B vers la passerelle privée. NAT Mettez à jour la table de routage du sous-réseau routable dans VPC A pour envoyer tout le trafic destiné à la plage d'adresses routables de VPC B vers la passerelle de transit.
-
Mettez à jour la table de routage du sous-réseau routable en VPC B pour envoyer tout le trafic destiné à la plage d'adresses routables de VPC A vers la passerelle de transit.
Routage
Voici la table de routage pour le sous-réseau non routable dans A. VPC
Destination | Target |
---|---|
10.0.0.0/16 |
local |
100.64.1.0/24 |
local |
100.64.2.0/24 |
nat-gateway-id |
Voici la table de routage pour le sous-réseau routable dans A. VPC
Destination | Target |
---|---|
10.0.0.0/16 |
local |
100.64.1.0/24 |
local |
100.64.2.0/24 |
transit-gateway-id |
Voici la table de routage pour le sous-réseau non routable dans B. VPC
Destination | Target |
---|---|
10.0.0.0/16 |
local |
100.64.2.0/24 |
local |
Voici la table de routage pour le sous-réseau routable dans B. VPC
Destination | Target |
---|---|
10.0.0.0/16 |
local |
100.64.2.0/24 |
local |
100.64.1.0/24 |
transit-gateway-id |
Voici la table de routage de passerelle de transit.
CIDR | Réseau de transit par passerelle | Type de routage |
---|---|---|
100.64.1.0/24 |
Attachment for VPC A |
Statique |
100.64.2.0/24 |
Attachment for VPC B |
Statique |