• 20 hours
  • Medium

Free online content available in this course.

course.header.alt.is_certifying

Got it!

Last updated on 7/5/24

Communiquez avec le VPC depuis un réseau non AWS distant

Vous êtes amenés à collaborer avec d’autres équipes de The Green Earth Post qui travaillent depuis un réseau non AWS distant, par exemple un datacenter on-premises. Ils souhaitent accéder à votre table RDS pour l’enrichir. Cette partie a pour but de montrer comment il est possible d’établir une communication sécurisée et privée avec votre VPC depuis un réseau externe.

Communiquez via une connexion VPN

Pour des raisons de sécurité, il est nécessaire de sécuriser la communication entre notre compte AWS et le data center de notre partenaire. Une solution très courante pour notre besoin – et simple à mettre en place – est d’établir une connexion VPN via Internet. Les communications seront sur un réseau public mais sécurisé !

Un sous-réseau privé est connecté avec le datacenter on-premises via une connexion VPN
Cas d’utilisation d’une connexion VPN

Le service AWS Site-to-Site VPN vous permet d’établir une connexion VPN entre votre compte AWS et un datacenter (voir images ci-dessous). Pour cela, Site-to-Site VPN nécessite que deux composants soient installés de part et d'autre :

  • une passerelle réseau privé virtuel (virtual private gateway) : le concentrateur VPN du côté Amazon de la connexion Site-to-Site VPN — elle est créée et attachée au VPC à partir duquel vous souhaitez créer la connexion VPN ;

  • une passerelle client (customer gateway) : un périphérique physique ou une application logicielle côté client (datacenter) de la connexion VPN — AWS met à disposition différentes configurations en fonction de votre infrastructure on-premises.

    • Si la passerelle client est installée dans un réseau privé, il faudra installer un routeur NAT en amont.

Après avoir attaché la passerelle réseau privé virtuel au VPC, il faut activer la propagation de routage ou d’acheminement (route propagation) sur la table de routage du sous-réseau. Les routes représentant la connexion Site-to-Site VPN apparaissent automatiquement en tant que routes propagées dans la table de routage du sous-réseau. 

Mème schèma que la précédente, mais avec on voit une table de routage (B) à coté de la base de données (A), ainsi qu'une passerelle réseau privé vitrtuel et passerelle client
Cas d’utilisation du service Site-to-Site VPN

A - Configurer le groupe de sécurité de la base de données pour accepter le trafic entrant depuis la passerelle réseau privé virtuel.
B - Activer la propagation de routage.

Schéma identique à la précédente mais avec NAT, connecté avec la passerelle client (C)
Cas d’utilisation du service Site-to-Site VPN avec une passerelle client privée

A - Configurer le groupe de sécurité de la base de données pour accepter le trafic entrant depuis la passerelle réseau privé virtuel.
B - Activer la propagation de routage.
C - Se trouve dans un réseau privé, et donc non accessible directement sur Internet.

Si vous avez plusieurs connexions AWS Site-to-Site VPN, vous pouvez assurer une communication sécurisée entre les sites/datacenters à l'aide de AWS VPN CloudHub. Cela permet aux sites distants de communiquer entre eux et pas uniquement avec le VPC. Le VPN CloudHub fonctionne sur un simple modèle en étoile (hub and spoke) que vous pouvez utiliser avec ou sans VPC. Ce modèle convient à des clients ayant plusieurs succursales et qui aimeraient les faire communiquer à bas coût.

Un VPC comporte deux zones de disponibilité avec les sous-réseaux publics et les instances. Son passerelle réseau privé virtuel est lié par trois flèches (A) avec les passerelles client de trois datacenters on-premises
Cas d’utilisation du service AWS VPN CloudHub

A - AWS VPN CloudHub crée un réseau en étoile qui permet aux datacenters de communiquer entre eux via une connexion VPN.

Communiquez via des connexions réseau privées

AWS Site-to-Site VPN établit une connexion sécurisée sur le réseau Internet et donc un réseau public. Parfois, un réseau hybride est nécessaire, avec un débit plus grand et une latence plus réduite, c’est-à-dire une connexion sécurisée sur un réseau dédié et privé entre un compte AWS et un datacenter. C’est là qu’intervient le service AWS Direct Connect (DX). DX est un réseau de points d’accès (locations) répartis dans le monde. Chaque point d’accès est relié en fibre optique à une région AWS. Une connexion physique privée doit être faite entre un point d’accès et le datacenter on-premises. Des partenaires prestataires de AWS Direct Connect sont habilités à le faire. Toutefois, cela prend plusieurs semaines à installer ! (utiliser Site-to-Site VPN si l’installation de la connexion sécurisée doit être courte).

Ci-dessous le fonctionnement en image :

Le chemin mène d'une passerelle réséau privé virtuel (A) d'un VPC vers de point d'accès direct connect (B): le point de terminaison AWS Direct connect puis le Routeur du partenaire, et finit (C) sur le routeur client/pare-feu d'un DataCenter On-Premi
Cas d’utilisation du service AWS Direct Connect

A - Une passerelle réseau privé virtuel doit être installée dans le VPC que vous voulez connecter en privé avec le datacenter On-Premise.
B - Le point d’accès est divisé en 2 cages (= racks). Une cage gérée par AWS, et une par le partenaire qui doit installer un routeur et faire l’interconnexion entre le point de terminaison et le routeur client.
C - Les adresses IPv4 et IPv6 sont prises en charge.
D - Comme pour Site-to-Site VPN, un routeur/une passerelle client doit être installé.

Schéma identique à la précedente, mais sur la dernière flèche apparait l'étape
Utilisation du service AWS Direct Connect avec une connexion VPN 

Lors de la création d'une connexion, vous pouvez choisir :

  • une connexion hébergée (hosted connection) : une connexion Ethernet physique (avec un débit de 50 Mbit/s à 10 Gbit/s) qu'un partenaire AWS Direct Connect fournit pour le compte d'un client ;

  • ou une connexion dédiée (dedicated connection) : une connexion Ethernet physique associée à un seul client (avec un débit de 1 Gbit/s, 10 Gbit/s ou 100 Gbit/s) — la demande est d'abord faite à AWS, puis complétée par un partenaire prestataire AWS Direct Connect.

Via ce réseau dédié, vous pouvez accéder aux ressources publiques, comme S3, et privées sur la même connexion, grâce à des VLAN et des interfaces virtuelles publiques et privées.

Schèma similaire à la précedente, mais sur chaque étape du chemin il y a deux flèches: VLAN1 et VLAN1. Sur le premier étape du chemin, le point de terminaison AWS Direct Connect est lié avec la passerelle réseau privé virtuel vide la flèche 'int
Cas d’utilisation des VLAN et des interfaces virtuelles privées avec AWS Direct Connect

Par contre, que se passe-t-il si nous voulons connecter le datacenter on-premises à plusieurs VPC de différentes régions ?

Une passerelle Direct Connect (Direct Connect Gateway) est la solution. 

Une flèche à double sens connecte la passerelle réseau privé virtuel du région Irlande avec la passerelle Direct Connect, cette-dernière avec la passerelle réseau privé virtuel du région Dubai et Direct connect, qui est connecté avec DataCenter
Cas d’utilisation d’une passerelle Direct Connect

Pour la certification, vous devez connaître les deux types de résilience :

  • Haute résilience (high resiliency) : Pour les charges de travail de production critiques qui nécessitent une résilience élevée, il faut une connexion à plusieurs points d’accès.

Deux chemins mènent de la passerelle réseau privé virtuel vers deux points d'accès Direct Connect, puis deux Datacenters on-premises
La haute résilience avec AWS Direct Connect
  • Haute résilience maximale (maximum high resiliency) : Pour les charges de travail de production critiques qui nécessitent une résilience maximale, il faut des connexions séparées dans chaque point d’accès.

Schèma identique à la précédenté mais les chemins sont en double
La haute résilience maximale avec AWS Direct Connect

En résumé

  • Site-to-Site VPN permet d’établir une connexion sécurisée sur Internet entre un VPC et un datacenter on-premises.

  • Direct Connect vous permet de créer un réseau privé et dédié entre un VPC et un datacenter.

  • Une passerelle Direct Connect aide à connecter un site distant ou un datacenter on-premises avec plusieurs VPC.

Dans le prochain chapitre, on verra le service AWS Transit Gateway qui permet de mettre en place un hub de transit.

Example of certificate of achievement
Example of certificate of achievement