Configuration pour l'accès à Internet

Pour permettre à vos instances de recevoir ou d'envoyer du trafic depuis Internet, procédez comme suit :

Pour fournir un accès Internet à vos instances sans leur attribuer d'adresses IP publiques, utilisez un périphérique NAT à la place. Un périphérique NAT permet aux instances d'un sous-réseau privé de se connecter à Internet, mais empêche les hôtes sur Internet d'initier des connexions avec les instances. Pour de plus amples informations, veuillez consulter Périphériques NAT.

Sous-réseaux publics et privés

Si un sous-réseau est associé à une table de routage comportant une route vers une passerelle Internet, il est reconnu comme un sous-réseau public. Si un sous-réseau est associé à une table de routage ne comportant pas de route vers une passerelle Internet, il est reconnu comme un sous-réseau privé.

Dans la table de routage de votre sous-réseau public, vous pouvez spécifier un itinéraire pour la passerelle Internet vers toutes les destinations que la table de routage ne connaît pas explicitement (0.0.0.0/0pour IPv4 ou ::/0 pour IPv6). Vous pouvez également définir l'itinéraire vers une gamme plus restreinte d'adresses IP ; par exemple, les adresses publiques des points de terminaison publics IPv4 de votre entreprise situés à l'extérieur de AWS votre VPC ou les adresses IP élastiques d'autres EC2 instances Amazon situées en dehors de votre VPC.

Adresses IP et NAT

Pour permettre la communication sur Internet pour IPv4, votre instance doit avoir une IPv4 adresse publique. Vous pouvez soit configurer votre VPC pour attribuer automatiquement des IPv4 adresses publiques à vos instances, soit attribuer des adresses IP élastiques à vos instances. Votre instance ne connaît que l'espace d'adresse IP privée (interne) défini au sein du VPC et du sous-réseau. La passerelle Internet fournit logiquement le one-to-one NAT au nom de votre instance, de sorte que lorsque le trafic quitte votre sous-réseau VPC pour se rendre sur Internet, le champ d'adresse de réponse est défini sur l'adresse IPv4 publique ou l'adresse IP élastique de votre instance, et non sur son adresse IP privée. À l'inverse, le trafic destiné à l' IPv4 adresse publique ou à l'adresse IP élastique de votre instance voit son adresse de destination traduite en IPv4 adresse privée de l'instance avant que le trafic ne soit transmis au VPC.

Pour permettre la communication via Internet pour IPv6, votre VPC et votre sous-réseau doivent être associés à un bloc IPv6 CIDR, et une IPv6 adresse provenant de la plage du sous-réseau doit être attribuée à votre instance. IPv6 les adresses sont uniques au monde et sont donc publiques par défaut.

Dans le diagramme suivant, le sous-réseau de la zone de disponibilité A est un sous-réseau public. La table de routage de ce sous-réseau possède une route qui envoie tout le IPv4 trafic Internet à la passerelle Internet. Les instances du sous-réseau public doivent avoir des adresses IP publiques ou des adresses IP Elastic pour permettre la communication avec Internet via la passerelle Internet. À titre de comparaison, le sous-réseau de la zone de disponibilité B est un sous-réseau privé, car sa table de routage n'a pas d'acheminement vers la passerelle Internet. Étant donné qu’il n’y a pas de route vers la passerelle Internet, les instances du sous-réseau privé ne peuvent pas communiquer avec Internet, même si elles ont des adresses IP publiques.

Accès à Internet par défaut et par défaut VPCs

Le tableau suivant indique si votre VPC est automatiquement fourni avec les composants requis pour l'accès à Internet via ou. IPv4 IPv6

Pour plus d'informations sur les valeurs par défaut VPCs, consultezPar défaut VPCs. Pour plus d'informations sur la création d'un VPC, consultez Création d'un VPC.