Vous êtes amenés à collaborer avec d’autres équipes de The Green Earth Post qui travaillent depuis un réseau non AWS distant, par exemple un datacenter on-premises. Ils souhaitent accéder à votre table RDS pour l’enrichir. Cette partie a pour but de montrer comment il est possible d’établir une communication sécurisée et privée avec votre VPC depuis un réseau externe.
Communiquez via une connexion VPN
Pour des raisons de sécurité, il est nécessaire de sécuriser la communication entre notre compte AWS et le data center de notre partenaire. Une solution très courante pour notre besoin – et simple à mettre en place – est d’établir une connexion VPN via Internet. Les communications seront sur un réseau public mais sécurisé !
Le service AWS Site-to-Site VPN vous permet d’établir une connexion VPN entre votre compte AWS et un datacenter (voir images ci-dessous). Pour cela, Site-to-Site VPN nécessite que deux composants soient installés de part et d'autre :
une passerelle réseau privé virtuel (virtual private gateway) : le concentrateur VPN du côté Amazon de la connexion Site-to-Site VPN — elle est créée et attachée au VPC à partir duquel vous souhaitez créer la connexion VPN ;
une passerelle client (customer gateway) : un périphérique physique ou une application logicielle côté client (datacenter) de la connexion VPN — AWS met à disposition différentes configurations en fonction de votre infrastructure on-premises.
Si la passerelle client est installée dans un réseau privé, il faudra installer un routeur NAT en amont.
Après avoir attaché la passerelle réseau privé virtuel au VPC, il faut activer la propagation de routage ou d’acheminement (route propagation) sur la table de routage du sous-réseau. Les routes représentant la connexion Site-to-Site VPN apparaissent automatiquement en tant que routes propagées dans la table de routage du sous-réseau.
A - Configurer le groupe de sécurité de la base de données pour accepter le trafic entrant depuis la passerelle réseau privé virtuel.
B - Activer la propagation de routage.
A - Configurer le groupe de sécurité de la base de données pour accepter le trafic entrant depuis la passerelle réseau privé virtuel.
B - Activer la propagation de routage.
C - Se trouve dans un réseau privé, et donc non accessible directement sur Internet.
Si vous avez plusieurs connexions AWS Site-to-Site VPN, vous pouvez assurer une communication sécurisée entre les sites/datacenters à l'aide de AWS VPN CloudHub. Cela permet aux sites distants de communiquer entre eux et pas uniquement avec le VPC. Le VPN CloudHub fonctionne sur un simple modèle en étoile (hub and spoke) que vous pouvez utiliser avec ou sans VPC. Ce modèle convient à des clients ayant plusieurs succursales et qui aimeraient les faire communiquer à bas coût.
A - AWS VPN CloudHub crée un réseau en étoile qui permet aux datacenters de communiquer entre eux via une connexion VPN.
Communiquez via des connexions réseau privées
AWS Site-to-Site VPN établit une connexion sécurisée sur le réseau Internet et donc un réseau public. Parfois, un réseau hybride est nécessaire, avec un débit plus grand et une latence plus réduite, c’est-à-dire une connexion sécurisée sur un réseau dédié et privé entre un compte AWS et un datacenter. C’est là qu’intervient le service AWS Direct Connect (DX). DX est un réseau de points d’accès (locations) répartis dans le monde. Chaque point d’accès est relié en fibre optique à une région AWS. Une connexion physique privée doit être faite entre un point d’accès et le datacenter on-premises. Des partenaires prestataires de AWS Direct Connect sont habilités à le faire. Toutefois, cela prend plusieurs semaines à installer ! (utiliser Site-to-Site VPN si l’installation de la connexion sécurisée doit être courte).
Ci-dessous le fonctionnement en image :
A - Une passerelle réseau privé virtuel doit être installée dans le VPC que vous voulez connecter en privé avec le datacenter On-Premise.
B - Le point d’accès est divisé en 2 cages (= racks). Une cage gérée par AWS, et une par le partenaire qui doit installer un routeur et faire l’interconnexion entre le point de terminaison et le routeur client.
C - Les adresses IPv4 et IPv6 sont prises en charge.
D - Comme pour Site-to-Site VPN, un routeur/une passerelle client doit être installé.
Lors de la création d'une connexion, vous pouvez choisir :
une connexion hébergée (hosted connection) : une connexion Ethernet physique (avec un débit de 50 Mbit/s à 10 Gbit/s) qu'un partenaire AWS Direct Connect fournit pour le compte d'un client ;
ou une connexion dédiée (dedicated connection) : une connexion Ethernet physique associée à un seul client (avec un débit de 1 Gbit/s, 10 Gbit/s ou 100 Gbit/s) — la demande est d'abord faite à AWS, puis complétée par un partenaire prestataire AWS Direct Connect.
Via ce réseau dédié, vous pouvez accéder aux ressources publiques, comme S3, et privées sur la même connexion, grâce à des VLAN et des interfaces virtuelles publiques et privées.
Par contre, que se passe-t-il si nous voulons connecter le datacenter on-premises à plusieurs VPC de différentes régions ?
Une passerelle Direct Connect (Direct Connect Gateway) est la solution.
Pour la certification, vous devez connaître les deux types de résilience :
Haute résilience (high resiliency) : Pour les charges de travail de production critiques qui nécessitent une résilience élevée, il faut une connexion à plusieurs points d’accès.
Haute résilience maximale (maximum high resiliency) : Pour les charges de travail de production critiques qui nécessitent une résilience maximale, il faut des connexions séparées dans chaque point d’accès.
En résumé
Site-to-Site VPN permet d’établir une connexion sécurisée sur Internet entre un VPC et un datacenter on-premises.
Direct Connect vous permet de créer un réseau privé et dédié entre un VPC et un datacenter.
Une passerelle Direct Connect aide à connecter un site distant ou un datacenter on-premises avec plusieurs VPC.
Dans le prochain chapitre, on verra le service AWS Transit Gateway qui permet de mettre en place un hub de transit.
