Découvrez le service AWS Transit Gateway
Que faire dans le cas d’une infrastructure réseau, comme ci-dessous, avec de multiples VPC, de connexions Site-to-Site VPN et Direct Connect ?
Il est évident que c'est compliqué de devoir gérer une telle infrastructure réseau. AWS résout ce problème grâce au service AWS Transit Gateway qui permet de créer une passerelle de transit (transit gateway) (voir ci-dessous), c’est-à-dire un réseau en étoile (hub-and-spoke) que vous pouvez utiliser pour relier vos VPC et vos datacenter on-premises.
Une passerelle de transit est une ressource régionale AWS et peut être appairée avec d’autres passerelles de transit de différentes régions. De plus, elle est transitive, ce qui fait que tous les VPC de différentes régions et datacenters reliés à elle peuvent communiquer. La passerelle de transit permet de créer des tables de routage pour créer des routes entre ressources attachées et de déterminer précisément quelle ressource peut communiquer avec quelle autre ressource.
De plus, une passerelle de transit s’intègre bien avec le service AWS Resource Access Manager (voir partie 1) pour partager des ressources entre comptes AWS. Par exemple, une connexion Direct Connect comme indiquée ci-dessous.
A - Avec le service AWS Resource Access Manager (voir partie 1), vous pouvez partager la passerelle de transit entre comptes et donc la connexion Direct Connect.
A - Avec une passerelle de transit (ECMP activé), plusieurs tunnels VPN peuvent être établis pour le datacenter, ce qui augmente la bande passante pour communiquer en même temps avec tous les VPC.
Évolution du diagramme réseau
Voici le diagramme réseau enrichi des services Site-to-Site VPN, Direct Connect et Transit Gateway.
Questions types de l'examen
Voici quelques questions sur les sujets vus dans ce chapitre que vous pourriez avoir à l'examen. Essayez d'y réfléchir vous-même avant de vérifier les réponses.
Question 1
Une entreprise doit tester ses applications dans 3 VPC distincts. La topologie d'appairage est la suivante : Le VPC-A est appairé avec le VPC-B et le VPC-B est appairé avec le VPC-C. L'équipe de développement souhaite modifier le processus pour publier le code directement du VPC-A vers le VPC-C.
Comment cela peut-il être accompli ?
Mettre à jour la table de routage du VPC-B avec des cibles d'appairage pour du VPC-A et du VPC-C et activer la propagation de route.
Créer une nouvelle connexion d'appairage de VPC entre VPC-A et VPC-C.
Vous n'avez rien à faire, car le VPC-B est déjà connecté au VPC-C, et le VPC-A pourra se connecter à celui-ci.
Mettre à jour la table de routage du VPC-A avec une entrée utilisant l'appairage VPC comme cible.
Question 2
Trois VPC sont utilisés par une entreprise dans la même région. L'entreprise dispose de deux connexions AWS Direct Connect à deux bureaux distincts et souhaite les partager avec les trois VPC. Un architecte de solutions a créé une passerelle AWS Direct Connect.
Comment configurer la connectivité requise ?
Associer la passerelle Direct Connect à une passerelle réseau privé virtuel dans chaque VPC.
Associer la passerelle Direct Connect à une passerelle de transit.
Créer une connexion d'appairage de VPC entre les VPC et les entrées de route pour la passerelle Direct Connect.
Créer une interface virtuelle de transit entre la passerelle Direct Connect et chaque VPC.
En résumé
Transit Gateway permet de créer un réseau en étoile pour relier plusieurs VPC et datacenters on-premises. La connexion peut alors se faire avec Site-to-Site VPN ou Direct Connect.
Il est possible d’utiliser plusieurs tunnels VPN utilisés avec une passerelle de transit en activant le routage ECMP.
Nous allons voir dans le prochain chapitre comment surveiller et déboguer des réseaux dans AWS !