Fourniture d'une communication sécurisée entre les sites à l'aide du VPN CloudHub - AWS Site-to-Site VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fourniture d'une communication sécurisée entre les sites à l'aide du VPN CloudHub

Si vous avez plusieurs connexions AWS Site-to-Site VPN, vous pouvez assurer une communication sécurisée entre les sites à l'aide d’AWS VPN CloudHub. Cela permet à vos sites de communiquer entre eux et pas uniquement avec les ressources dans votre VPC. Le VPN CloudHub fonctionne sur un simple modèle en étoile (hub and spoke) que vous pouvez utiliser avec ou sans VPC. Ce modèle convient aux clients ayant plusieurs succursales et des connexions Internet existantes qui aimeraient implémenter un modèle en étoile (hub-and-spoke) pratique et potentiellement à bas coût pour une connexion primaire ou de sauvegarde entre ces sites.

Présentation

Le schéma suivant illustre l'architecture VPN CloudHub. Les lignes pointillées indiquent le trafic réseau entre des sites distants acheminé via les connexions VPN. Les sites ne doivent pas avoir de plages d'adresses IP qui se chevauchent.


                Schéma de l'architecture CloudHub

Pour ce scénario, procédez comme suit :

  1. Créez une passerelle réseau privé virtuel unique.

  2. Créez plusieurs passerelles client, chacune avec l'adresse IP publique de la passerelle. Vous devez utiliser un numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) unique pour chaque passerelle client.

  3. Ensuite, créez une connexion Site-to-Site VPN acheminée de manière dynamique pour chaque passerelle client vers une passerelle réseau privé virtuel commune.

  4. Configurez chaque passerelle client pour publier un préfixe propre à un site (tel que 10.0.0.0/24, 10.0.1.0/24) sur la passerelle réseau privé virtuel. Ces annonces de routage sont reçues et ré-publiées pour chaque BGP pair, pour permettre à chaque site d'envoyer des données vers les autres sites et d'en recevoir. Ce point est réalisable en utilisant les relevés du réseau dans les fichiers de configuration VPN pour la connexion Site-to-Site VPN. Les relevés du réseau sont légèrement différents en fonction du type de routeur que vous utilisez.

  5. Configurez les routes dans vos tables de routage de sous-réseau pour permettre aux instances de votre VPC de communiquer avec vos sites. Pour de plus amples informations, veuillez consulter (Passerelle réseau privé virtuel) Activer la propagation de route dans votre table de routage. Vous pouvez configurer une route agrégée dans votre table de routage (par exemple, 10.0.0.0/16). Utilisez des préfixes plus spécifiques entre les passerelles client et la passerelle réseau privé virtuel.

Les sites qui utilisent des connexions AWS Direct Connect vers la passerelle réseau privé virtuel peuvent également faire partie de AWS VPN CloudHub. Par exemple, votre siège social à New York peut avoir une connexion AWS Direct Connect vers le VPC et vos succursales peuvent utiliser des connexions Site-to-Site VPN vers le VPC. Les succursales de Los Angeles et Miami peuvent envoyer et recevoir des données entre elles et avec votre siège social, tout cela grâce à AWS VPN CloudHub.

Tarification

Pour utiliser AWS VPN CloudHub, vous payez les tarifs de connexion Amazon VPC Site-to-Site VPN standard. Le tarif de la connexion vous est facturé pour chaque heure de connexion de chaque VPN à la passerelle réseau privé virtuel. Quand vous envoyez des données depuis un site vers un autre à l'aide de AWS VPN CloudHub, l'envoi de données depuis votre site vers la passerelle réseau privé virtuel est gratuit. Vous payez uniquement les tarifs de transfert de données AWS standard pour les données qui sont transmises de la passerelle réseau privé virtuel vers votre point de terminaison.

Par exemple, si vous avez un site à Los Angeles et un deuxième site à New York et que les deux sites ont une connexion Site-to-Site VPN à la passerelle réseau privé virtuel, vous payez le tarif horaire pour chaque connexion Site-to-Site VPN (donc si le tarif est de 0,05 USD l'heure, le total sera de 0,10 USD l'heure). Vous payez également les taux de transfert de données AWS standard pour toutes les données que vous envoyez de Los Angeles à New York (et vice versa) qui traversent chaque connexion Site-to-Site VPN. Le trafic réseau envoyé via la connexion Site-to-Site VPN à la passerelle réseau privé virtuel est gratuit, mais le trafic réseau envoyé via la connexion Site-to-Site VPN depuis la passerelle réseau privé virtuel vers le point de terminaison est facturé au taux de transfert de données AWS standard.

Pour plus d'informations, consultez Tarification des connexions Site-to-Site VPN.