Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT - Amazon Virtual Private Cloud
Présentation1. Créez le VPC2. Déploiement de votre application3. Tester votre configuration4. Nettoyage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT

Cet exemple montre comment créer un fichier VPC que vous pouvez utiliser pour les serveurs d'un environnement de production. Pour améliorer la résilience, vous déployez les serveurs dans deux zones de disponibilité, à l'aide d'un groupe Auto Scaling et d'un Application Load Balancer. Pour plus de sécurité, vous déployez les serveurs dans des sous-réseaux privés. Les serveurs reçoivent des demandes via l'équilibreur de charge. Les serveurs peuvent se connecter à Internet à l'aide d'une NAT passerelle. Pour améliorer la résilience, vous déployez la NAT passerelle dans les deux zones de disponibilité.

Présentation

Le schéma suivant fournit un aperçu des ressources incluses dans l'exemple. VPCIl possède des sous-réseaux publics et des sous-réseaux privés dans deux zones de disponibilité. Chaque sous-réseau public contient une NAT passerelle et un nœud d'équilibrage de charge. Les serveurs s'exécutent dans les sous-réseaux privés, sont lancés et arrêtés à l'aide d'un groupe Auto Scaling et reçoivent du trafic depuis l'équilibreur de charge. Les serveurs peuvent se connecter à Internet à l'aide de la NAT passerelle. Les serveurs peuvent se connecter à Amazon S3 à l'aide d'un point de VPC terminaison de passerelle.

A VPC avec des sous-réseaux répartis dans deux zones de disponibilité.

Routage

Lorsque vous le créez à VPC l'aide de la VPC console Amazon, nous créons une table de routage pour les sous-réseaux publics avec des itinéraires locaux et des itinéraires vers la passerelle Internet. Nous créons également une table de routage pour les sous-réseaux privés avec des itinéraires locaux, ainsi que des itinéraires vers la passerelle, la NAT passerelle Internet de sortie uniquement et le point de terminaison de la passerelle. VPC

Voici un exemple de table de routage pour les sous-réseaux publics, avec des itinéraires pour les deux IPv4 etIPv6. Si vous créez des sous-réseaux IPv4 uniquement au lieu de sous-réseaux à double pile, votre table de routage inclut uniquement les itinéraires. IPv4

Destination Target
10.0.0.0/16 local
2001:db8:1234:1a00::/56 locale
0.0.0.0/0 igw-id
::/0 igw-id

Voici un exemple de table de routage pour l'un des sous-réseaux privés, avec des itinéraires pour les deux sous-réseaux IPv4 etIPv6. Si vous avez créé des sous-réseaux IPv4 réservés, la table de routage inclut uniquement les IPv4 itinéraires. Le dernier itinéraire envoie le trafic destiné à Amazon S3 vers le point de VPC terminaison de la passerelle.

Destination Target
10.0.0.0/16 local
2001:db8:1234:1a00::/56 locale
0.0.0.0/0 nat-gateway-id
::/0 eigw-id
s3-prefix-list-id s3-gateway-id

Sécurité

Voici un exemple des règles que vous pouvez créer pour le groupe de sécurité que vous associez à vos serveurs. Le groupe de sécurité doit autoriser le trafic en provenance de l'équilibreur de charge via le port et le protocole de l'écouteur. Il doit également autoriser le trafic de surveillance de l'état.

Source Protocole Plage de ports Commentaires
ID of the load balancer security group listener protocol listener port Autorise tout le trafic entrant depuis l'équilibreur de charge sur le port d'écoute
ID of the load balancer security group health check protocol health check port Autorise le trafic de surveillance de l'état entrant depuis l'équilibreur de charge

1. Créez le VPC

Utilisez la procédure suivante pour créer un VPC avec un sous-réseau public et un sous-réseau privé dans deux zones de disponibilité, et une NAT passerelle dans chaque zone de disponibilité.

Pour créer le VPC

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Sur le tableau de bord, choisissez Create VPC.

  3. Pour que Resources crée, choisissez VPCet plus encore.

  4. Configurez le VPC

    1. Pour la génération automatique du tag Name, entrez un nom pour leVPC.

    2. Pour le IPv4CIDRblocage, vous pouvez conserver la suggestion par défaut ou saisir le CIDR bloc requis par votre application ou votre réseau.

    3. Si votre application communique à l'aide d'IPv6adresses, choisissez IPv6CIDRBloquer, bloc fourni par Amazon IPv6 CIDR.

  5. Configurer les sous-réseaux

    1. Pour Nombre de zones de disponibilité, choisissez 2 afin de pouvoir lancer des instances dans plusieurs zones de disponibilité et améliorer ainsi la résilience.

    2. Pour Number of public subnets (Nombre de sous-réseaux publics), choisissez 2.

    3. Pour Number of private subnets (Nombre de sous-réseaux privés), choisissez 2.

    4. Vous pouvez conserver le CIDR bloc par défaut pour le sous-réseau public, ou bien vous pouvez développer Personnaliser les CIDR blocs de sous-réseau et entrer un CIDR bloc. Pour de plus amples informations, veuillez consulter Blocs de sous-réseau CIDR.

  6. Pour les NATpasserelles, choisissez-en une par AZ pour améliorer la résilience.

  7. Si votre application communique à l'aide d'IPv6adresses, pour la passerelle Internet de sortie uniquement, sélectionnez Oui.

  8. Pour les VPCpoints de terminaison, si vos instances doivent accéder à un compartiment S3, conservez la valeur par défaut de S3 Gateway. Sinon, les instances de votre sous-réseau privé ne peuvent pas accéder à Amazon S3. Cette option est gratuite. Vous pouvez donc conserver la valeur par défaut si vous souhaitez utiliser un compartiment S3 à l'avenir. Si vous choisissez Aucun, vous pourrez toujours ajouter un point de VPC terminaison de passerelle ultérieurement.

  9. Pour les DNSoptions, désactivez Activer les DNS noms d'hôte.

  10. Choisissez Create VPC.

2. Déploiement de votre application

Idéalement, vous avez terminé de tester vos serveurs dans un environnement de développement ou de test et créé les scripts ou les images que vous utiliserez pour déployer votre application en production.

Vous pouvez utiliser Amazon EC2 Auto Scaling pour déployer des serveurs dans plusieurs zones de disponibilité et maintenir la capacité de serveur minimale requise par votre application.

Pour lancer des instances à l'aide d'un groupe Auto Scaling

  1. Créez un modèle de lancement pour spécifier les informations de configuration nécessaires au lancement de vos EC2 instances à l'aide d'Amazon EC2 Auto Scaling. Pour obtenir des step-by-step instructions, consultez la section Créer un modèle de lancement pour votre groupe Auto Scaling dans le guide de l'utilisateur d'Amazon EC2 Auto Scaling.

  2. Créez un groupe Auto Scaling, qui est un ensemble d'EC2instances avec une taille minimale, maximale et souhaitée. Pour obtenir des step-by-step instructions, consultez Create an Auto Scaling group using a launch template dans le manuel Amazon EC2 Auto Scaling User Guide.

  3. Créez un équilibreur de charge qui répartit le trafic de manière uniforme sur les instances de votre groupe Auto Scaling, puis attachez l'équilibreur de charge à votre groupe Auto Scaling. Pour plus d'informations, consultez le guide de l'utilisateur d'Elastic Load Balancing et utilisez Elastic Load Balancing dans le guide de l'utilisateur d'Amazon EC2 Auto Scaling.

3. Tester votre configuration

Après avoir terminé le déploiement de votre application, vous pouvez la tester. Si votre application ne parvient pas à envoyer ou à recevoir le trafic que vous attendez, vous pouvez utiliser Reachability Analyzer pour résoudre les problèmes. Par exemple, Reachability Analyzer peut identifier les problèmes de configuration liés à vos tables de routage ou à vos groupes de sécurité. Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.

4. Nettoyage

Lorsque vous avez terminé avec cette configuration, vous pouvez le supprimer. Avant de pouvoir supprimer leVPC, vous devez supprimer le groupe Auto Scaling, mettre fin à vos instances, supprimer les NAT passerelles et supprimer l'équilibreur de charge. Pour de plus amples informations, veuillez consulter Supprimez votre VPC.