Devenez un architecte de solutions AWS

20 heures
Moyenne

Licence

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 09/03/2023

Optimisez le réseau de votre site

Bannière chapitre

L’objectif de ce chapitre est double.

Dans un premier temps, nous allons résumer l’ensemble des notions réseaux qui ont été vues pour construire le diagramme réseau de notre site The Green Earth Post.
Dans un second temps, nous allons évoquer les coûts et les bonnes pratiques des trafics réseaux dans le cloud AWS afin d’apporter des optimisations au site de The Green Earth Post

Résumé du diagramme réseau

Voici de nouveau le diagramme réseau que nous avons étudié durant cette partie et qui ne devrait plus avoir de secrets pour vous.

Diagramme réseau au complet avec les services étudies dans la partie 3

Pour rappel, voici les notions rencontrées dans ce diagramme et que vous devrez connaître :

CIDR : plage d'adresses IP.
VPC : un réseau virtuel défini par des blocs d’adresses CIDR IPv4 et IPv6.
Sous-réseau : une plage d'adresses IP dans votre VPC, liée à une AZ.
Passerelle internet : passerelle qui fournit un accès internet au niveau du VPC.
Table de routage : table qui contient les routes pour diriger le trafic des ressources de sous-réseaux entre elles ou vers d’autres services AWS (passerelle internet, appairage de VPC…).
Périphérique NAT : donne accès à Internet aux instances EC2 dans des sous-réseaux privés :
- instance NAT : ancienne génération ;
- passerelle NAT : nouvelle génération.
Passerelle internet de sortie uniquement : agit comme une passerelle NAT, mais uniquement pour des adresses IPv6.
Groupe de sécurité : agit comme un pare-feu (avec état) au niveau d’une instance EC2.
Liste de contrôle d'accès réseau/NACL : agit comme un pare-feu (sans état) au niveau d’un sous-réseau.
Appairage de VPC : connecte deux VPC, dont les blocs CIDR ne se chevauchent pas, via le réseau privé AWS. Il est non transitif !
Point de terminaison VPC : fournit un accès privé aux services AWS (S3, DynamoDB, SNS…) au sein d'un VPC.
PrivateLink : permet d’accéder en privé à une application, une ressource dans un autre VPC, sans exposer d’un point de vue réseau les autres ressources de ce VPC.
Site-to-site VPN : établit une connexion VPN entre un VPC et un datacenter. Une passerelle réseau privé virtuel et une passerelle client doivent être installées.
AWS VPN CloudHub : établit un réseau en étoile entre plusieurs sites et votre VPC via des connexions VPN se basant sur Site-to-site VPN.
Direct Connect : permet de créer un réseau privé et dédié entre votre VPC et un datacenter. Une passerelle réseau privé virtuel, un point d’accès Direct Connect et un routeur client doivent être installés/configurés.
Passerelle Direct Connect : permet de configurer une connexion Direct Connect à plusieurs VPC.
Passerelle de transit : permet, dans un réseau en étoile, de connecter des appairages de VPC, des sites connectés via VPN ou Direct Connect. Le trafic est contrôlé par des tables de routage. Une passerelle de transit est transitive !
Journaux de flux de VPC : capturent le trafic IP et le stockent sur S3 ou CloudWatch Logs, ce qui permet d’analyser le trafic pour identifier les attaques ou des anomalies réseaux.
Autres outils de surveillance :
- hôte bastion : instance EC2 publique à laquelle on se connecte en SSH et qui nous permet de se connecter ensuite à une instance EC2 privée ;
- analyseur d'accessibilité : effectue des tests de connectivité réseau entre ressources AWS ;
- mise en miroir du trafic : copie le trafic réseau à partir des ENI pour une analyse plus approfondie des paquets.

Les coûts du trafic réseau dans le cloud AWS

Pour pouvoir optimiser le réseau du site web The Green Earth Post (ou de tout autre projet), il est important de connaître la tarification du trafic réseau dans le cloud AWS. En effet, selon les cas, le coût est différent.

Je vais prendre en exemple la région Virginie du Nord pour illustrer les règles de tarification au sein de votre infrastructure. Pour les autres régions, cela est sensiblement la même tarification. L’image ci-dessous montre les coûts dans le cas de transfert de données depuis et vers des ressources installées dans plusieurs régions AWS :

Coûts réseaux dans le cas de transfert de données depuis et vers des ressources installées dans plusieurs régions AWS, detaillé dans le texte au-dessour — Diagramme des coûts réseaux dans le cloud AWS

Tout transfert de données entrant depuis l’extérieur vers un VPC est gratuit.
Tout transfert de données entre instances EC2 de même AZ, en utilisant les adresses IP privées, est gratuit.
Tout transfert de données entre deux instances EC2 de différentes AZ dans la même région coûte 0,01$/Go en entrée et en sortie.
Tout transfert de données vers internet coûte 0,09$/Go.
Utiliser une passerelle NAT pour les trafic de données depuis une instance privée vers Internet et réciproquement ajoute des frais supplémentaires :
- 0.045$/Go de transfert de données + 0.045$/heure d’utilisation.
Utiliser un point de terminaison de VPC coûte 0.01$/Go de transfert de données + 0.01$/heure d’utilisation.

Les compartiments S3 ont également une tarification particulière comme le montre l’image suivante :

Tarification pour les compartiments S3, comme indiqué dans le texte au-dessous — Diagramme des coûts réseaux avec les services Amazon CloudFront et Amazon S3

Tout chargement de données depuis Internet vers un compartiment s3 est gratuit.
Le transfert de données lors d’une réplication d’un compartiment s3 coûte 0,02$/Go.
Tout transfert de données vers Internet coûte 0,09$/Go.
Aucun frais supplémentaire n’est appliqué pour avoir une passerelle internet.
Utiliser un emplacement périphérique accélère le transfert de données, mais ajoute un coût supplémentaire de 0,04$/Go.
Tout transfert de données vers Internet en passant par CloudFront (que nous verrons dans la partie quatre) est moins cher et coûte 0,085$/Go.

Bonnes pratiques

Grâce à la précédente section, nous pouvons en déduire quelques bonnes pratiques à appliquer pour économiser les coûts réseaux :

Le transfert de données dans une même AZ est gratuit. Ainsi, si la haute disponibilité n’est pas importante, il est judicieux d’installer toutes les instances EC2 dans cette AZ.
Les instances EC2 doivent utiliser les adresses IP privées pour communiquer entre elles au lieu de passer par Internet.
Les instances EC2 dans des sous-réseaux privés doivent utiliser les points de terminaison de VPC pour accéder aux ressources AWS. En effet, passer par Internet via les passerelles NAT est beaucoup plus coûteux.
Utiliser le service CloudFront permet de télécharger des objets s3 à moindre coût.
Si un partenaire souhaite télécharger de gros volumes de données depuis AWS pour ensuite y appliquer un traitement, le transfert de données se révélera assez coûteux. Appliquez plutôt le traitement dans le cloud AWS et transférez les données agrégées.

En haut: transfert de gros volumes de données dépuis la région vers le datacenter on-premises resulte en cout important. En bas: dans le cas du transfer de petites volumes de données, le cout est faible. Dans le premier cas le traitement pour agreger — Cas d’utilisation pour minimiser les coûts de transfert réseau

Répliquez vos données quand cela est nécessaire.

En résumé

Gardez en tête le diagramme de réseau.
Les transferts de données depuis Internet vers AWS sont gratuits.
Les transferts de données vers/via Internet sont plus coûteux que si cela reste dans le réseau privé AWS.
La réplication et la haute disponibilité entraînent des coûts de transfert. Activez-les seulement si cela est nécessaire.

Le site de The Green Earth Post est déjà prêt et fonctionnel, mais il nous reste une dernière chose : assurer sa sécurité. Dans la prochaine partie, nous verrons comment le faire ! Mais avant ça, on se voit dans le quiz pour la partie 3.