AWS Direct Connect  - Création d'une infrastructure VPC AWS multiréseau évolutive et sécurisée
Sécurité MacSec sur les connexions Direct ConnectAWS Direct Connect recommandations en matière de résilienceAWS Direct Connect SiteLink

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Direct Connect 

Bien que le VPN sur Internet soit une excellente option pour démarrer, la connectivité Internet peut ne pas être fiable pour le trafic de production. En raison de ce manque de fiabilité, de nombreux clients choisissent AWS Direct Connect. AWS Direct Connect est un service réseau qui fournit une alternative à l'utilisation d'Internet pour se connecter à AWS. En utilisant AWS Direct Connect, les données qui auraient été auparavant transportées sur Internet sont transmises via une connexion réseau privée entre vos installations et AWS. Dans de nombreuses circonstances, les connexions réseau privées peuvent réduire les coûts, augmenter la bande passante et fournir une expérience réseau plus cohérente que les connexions basées sur Internet. Vous pouvez utiliser plusieurs méthodes pour vous AWS Direct Connect connecter aux VPC :

Schéma illustrant les méthodes de connexion de vos centres de données sur site à l'aide de AWS Direct Connect

Comment connecter vos centres de données sur site à l'aide de AWS Direct Connect

  • Option 1 : créer une interface virtuelle privée (VIF) pour un VGW connecté à un VPC — Vous pouvez créer 50 VIF par connexion Direct Connect, ce qui vous permet de vous connecter à un maximum de 50 VPC (un VIF fournit la connectivité à un VPC). Il existe un peering BGP par VPC. Dans cette configuration, la connectivité est limitée à la région AWS dans laquelle le site Direct Connect est hébergé. Le one-to-one mappage entre VIF et VPC (et l'absence d'accès global) en font la méthode la moins préférée pour accéder aux VPC dans la zone d'atterrissage.

  • Option 2 : créer un VIF privé vers une passerelle Direct Connect associée à plusieurs VGW (chaque VGW est attachée à un VPC) — Une passerelle Direct Connect est une ressource disponible dans le monde entier. Vous pouvez créer la passerelle Direct Connect dans n'importe quelle région et y accéder depuis toutes les autres régions, y compris GovCloud (à l'exception de la Chine). Une passerelle Direct Connect peut se connecter à un maximum de 20 VPC (via des VGW) dans le monde entier via n'importe quel compte AWS via un seul VIF privé. C'est une excellente option si une zone d'atterrissage est composée d'un petit nombre de VPC (dix VPC ou moins) et/ou si vous avez besoin d'un accès global. Il existe une session d'appairage BGP par passerelle Direct Connect et par connexion Direct Connect. La passerelle Direct Connect est uniquement destinée au flux de trafic nord/sud et n'autorise pas la connectivité VPC à VPC. Reportez-vous à la section Associations de passerelles privées virtuelles dans la AWS Direct Connect documentation pour plus de détails. Avec cette option, la connectivité n'est pas limitée à la région AWS dans laquelle le site Direct Connect est hébergé. AWS Direct Connect la passerelle est uniquement destinée au flux de trafic nord/sud et n'autorise pas la connectivité VPC à VPC. Il existe une exception à cette règle lorsqu'un superréseau est annoncé sur deux ou plusieurs VPC dont les VGW connectés sont associés à la même AWS Direct Connect passerelle et à la même interface virtuelle. Dans ce cas, les VPC peuvent communiquer entre eux via le AWS Direct Connect point de terminaison. Reportez-vous à la documentation AWS Direct Connect des passerelles pour plus de détails.

  • Option 3 : créer un VIF de transit vers une passerelle Direct Connect associée à Transit Gateway — Vous pouvez associer une instance de Transit Gateway à une passerelle Direct Connect à l'aide d'un VIF de transit. AWS Direct Connect prend désormais en charge les connexions à Transit Gateway pour toutes les vitesses de port, offrant ainsi un choix plus rentable aux utilisateurs de Transit Gateway lorsque des connexions haut débit (supérieures à 1 Gbit/s) ne sont pas requises. Cela vous permet d'utiliser Direct Connect à des vitesses de 50, 100, 200, 300, 400 et 500 Mbits/s en vous connectant à Transit Gateway. Transit VIF vous permet de connecter votre centre de données sur site à un maximum de six instances de Transit AWS Direct Connect Gateway par passerelle (qui peuvent se connecter à des milliers de VPC) dans différentes régions AWS et comptes AWS via un VIF de transit unique et un peering BGP. Il s'agit de la configuration la plus simple parmi les options permettant de connecter plusieurs VPC à grande échelle, mais vous devez tenir compte des quotas de Transit Gateway. L'une des principales limites à noter est que vous ne pouvez publier que 200 préfixes d'un Transit Gateway vers un routeur local via le VIF de transit. Avec les options précédentes, vous payez la tarification Direct Connect. Pour cette option, vous payez également les frais de connexion et de traitement des données de Transit Gateway. Pour plus d'informations, reportez-vous à la documentation de Transit Gateway Associations on Direct Connect.

  • Option 4 : créer une connexion VPN à Transit Gateway via le VIF public Direct Connect — Un VIF public vous permet d'accéder à tous les services publics et points de terminaison AWS à l'aide des adresses IP publiques. Lorsque vous créez une pièce jointe VPN sur un Transit Gateway, vous obtenez deux adresses IP publiques pour les points de terminaison VPN du côté AWS. Ces adresses IP publiques sont accessibles via le VIF public. Vous pouvez créer autant de connexions VPN vers autant d'instances de Transit Gateway que vous le souhaitez via Public VIF. Lorsque vous créez un peering BGP sur le VIF public, AWS annonce la totalité de la plage d'adresses IP publiques AWS à votre routeur. Pour garantir que vous n'autorisez qu'une partie du trafic (par exemple, autoriser le trafic uniquement vers les points de terminaison du VPN), il est conseillé d'utiliser un pare-feu sur site. Cette option peut être utilisée pour chiffrer votre Direct Connect au niveau de la couche réseau.

  • Option 5 : créer une connexion VPN à Transit Gateway à AWS Direct Connect l'aide d'un VPN IP privé — Le VPN IP privé est une fonctionnalité qui permet aux clients de déployer des connexions VPN de site à site AWS via Direct Connect à l'aide d'adresses IP privées. Grâce à cette fonctionnalité, vous pouvez chiffrer le trafic entre vos réseaux sur site et AWS via des connexions Direct Connect sans avoir besoin d'adresses IP publiques, ce qui améliore à la fois la sécurité et la confidentialité du réseau. Le VPN IP privé est déployé au-dessus de Transit VIF. Il vous permet donc d'utiliser Transit Gateway pour une gestion centralisée des VPC des clients et des connexions aux réseaux sur site de manière plus sécurisée, privée et évolutive.

  • Option 6 : créer des tunnels GRE vers Transit Gateway via un VIF de transit — Le type de pièce jointe Transit Gateway Connect prend en charge le GRE. Avec Transit Gateway Connect, l'infrastructure SD-WAN peut être connectée nativement à AWS sans avoir à configurer de VPN IPsec entre les appliances virtuelles du réseau SD-WAN et Transit Gateway. Les tunnels GRE peuvent être établis via un VIF de transit, avec Transit Gateway Connect comme type de pièce jointe, ce qui permet d'obtenir des performances de bande passante supérieures à celles d'une connexion VPN. Pour plus d'informations, consultez le billet de blog Simplifier la connectivité SD-WAN AWS Transit Gateway avec Connect.

L'option « transiter le VIF vers la passerelle Direct Connect » peut sembler être la meilleure option car elle vous permet de consolider toute votre connectivité sur site pour un point donné Région AWS (Transit Gateway) en utilisant une seule session BGP par connexion Direct Connect ; toutefois, certaines des limites et considérations liées à cette option peuvent vous amener à utiliser des VIF privés et de transit en conjonction avec les exigences de connectivité de votre zone d'atterrissage.

La figure suivante illustre un exemple de configuration dans lequel Transit VIF est utilisé comme méthode par défaut pour la connexion aux VPC et un VIF privé est utilisé dans un cas d'utilisation périphérique où des quantités exceptionnellement importantes de données doivent être transférées d'un centre de données sur site vers le VPC multimédia. Le VIF privé est utilisé pour éviter les frais de traitement des données de Transit Gateway. La meilleure pratique consiste à disposer d'au moins deux connexions à deux emplacements Direct Connect différents pour une redondance maximale, soit un total de quatre connexions. Vous créez un VIF par connexion pour un total de quatre VIF privés et quatre VIF de transit. Vous pouvez également créer un VPN comme connectivité de sauvegarde pour AWS Direct Connect les connexions.

Avec l'option « Create GRE tunnels to Transit Gateway over a transit VIF », vous pouvez connecter nativement votre infrastructure SD-WAN à AWS. Il élimine le besoin de configurer des VPN IPsec entre les appliances virtuelles du réseau SD-WAN et Transit Gateway.

Schéma illustrant un exemple d'architecture de référence pour la connectivité hybride

Exemple d'architecture de référence pour la connectivité hybride

Utilisez le compte Network Services pour créer des ressources Direct Connect permettant de délimiter les limites administratives du réseau. Les connexions Direct Connect, les passerelles Direct Connect et les passerelles de transit peuvent toutes résider dans un compte Network Services. Pour partager la AWS Direct Connect connectivité avec votre Landing Zone, il vous suffit de partager le Transit Gateway AWS RAM avec d'autres comptes.

Sécurité MacSec sur les connexions Direct Connect

Les clients peuvent utiliser le chiffrement MAC Security Standard (MACsec) (IEEE 802.1AE) avec leurs connexions Direct Connect pour des connexions dédiées à 10 Gbit/s et à 100 Gbit/s sur certains sites. Grâce à cette fonctionnalité, les clients peuvent sécuriser leurs données au niveau de la couche 2, et Direct Connect assure point-to-point le chiffrement. Pour activer la fonctionnalité Direct Connect MacSec, assurez-vous que les prérequis MACsec sont remplis. Comme MacSec protège les liens sur une hop-by-hop base, votre appareil doit disposer d'une contiguïté directe de couche 2 avec notre appareil Direct Connect. Votre fournisseur du dernier kilomètre peut vous aider à vérifier que votre connexion fonctionnera avec MacSec. Pour plus d'informations, reportez-vous à la section Ajout de la sécurité MacSec aux connexions AWS Direct Connect.

AWS Direct Connect recommandations en matière de résilience

Les clients peuvent ainsi bénéficier d'une connectivité hautement résiliente avec AWS Direct Connect leurs Amazon VPC et leurs ressources AWS à partir de leurs réseaux sur site. Il est recommandé que les clients se connectent à partir de plusieurs centres de données afin d'éliminer toute défaillance d'un point de localisation physique unique. Il est également recommandé que, selon le type de charge de travail, les clients utilisent plusieurs connexions Direct Connect à des fins de redondance.

AWS propose également le AWS Direct Connect Resiliency Toolkit, qui fournit aux clients un assistant de connexion doté de plusieurs modèles de redondance, afin de les aider à déterminer le modèle le mieux adapté aux exigences de leur contrat de niveau de service (SLA) et à concevoir leur connectivité hybride à l'aide de connexions Direct Connect en conséquence. Pour plus d'informations, reportez-vous aux recommandations en AWS Direct Connect matière de résilience.

Auparavant, la configuration site-to-site des liens pour vos réseaux locaux n'était possible qu'en utilisant la construction directe de circuits via la fibre noire ou d'autres technologies, les VPN IPSEC, ou en faisant appel à des fournisseurs de circuits tiers utilisant des technologies telles que le MPLS ou les anciens circuits T1. MetroEthernet Avec l'avènement de SiteLink, les clients peuvent désormais activer la site-to-site connectivité directe pour leur site sur site qui se termine à un AWS Direct Connect emplacement. Utilisez votre circuit Direct Connect pour fournir une site-to-site connectivité sans avoir à acheminer le trafic via vos VPC, en contournant complètement la région AWS.

Vous pouvez désormais créer des pay-as-you-go connexions globales et fiables entre les bureaux et les centres de données de votre réseau mondial en envoyant des données sur le chemin le plus rapide entre les AWS Direct Connect sites.

Un schéma AWS Direct Connect SiteLink

Exemple d'architecture de référence pour AWS Direct Connect SiteLink

Lors de l'utilisation SiteLink, vous connectez d'abord vos réseaux sur site à AWS sur l'un des plus de 100 AWS Direct Connect sites dans le monde entier. Ensuite, vous créez des interfaces virtuelles (VIF) sur ces connexions et vous les activez SiteLink. Une fois que tous les VIF sont connectés à la même AWS Direct Connect passerelle (DXGW), vous pouvez commencer à envoyer des données entre eux. Vos données suivent le chemin le plus court entre les AWS Direct Connect sites et leur destination, en utilisant le réseau mondial AWS rapide, sécurisé et fiable. Vous n'avez pas besoin de ressources Région AWS pour les utiliser SiteLink.

Avec SiteLink, le DXGW apprend les préfixes IPv4/IPv6 de vos routeurs sur les VIF SiteLink activés, exécute l'algorithme du meilleur chemin BGP, met à jour des attributs tels que as_Path, NextHop et réannonce ces préfixes BGP aux autres VIF activés associés à ce DXGW. SiteLink Si vous SiteLink le désactivez sur un VIF, le DXGW n'annoncera pas les préfixes locaux appris sur ce VIF aux autres VIF activés. SiteLink Les préfixes locaux d'un VIF SiteLink désactivé ne sont communiqués qu'aux associations DXGW Gateway, telles que les instances AWS Virtual Private Gateway (vGW) ou Transit Gateway (TGW) associées au DXGW.

Schéma illustrant des exemples de flux de trafic Sitelink

Exemple de flux de trafic via Sitelink

SiteLink permet aux clients d'utiliser le réseau mondial AWS pour fonctionner comme connexion principale ou secondaire/de secours entre leurs sites distants, avec une bande passante élevée et une faible latence, avec un routage dynamique pour contrôler les sites autorisés à communiquer entre eux et avec vos ressources régionales AWS.

Pour plus d'informations, reportez-vous à la section Présentation AWS Direct Connect SiteLink.