Exemple : VPC avec des serveurs dans des sous-réseaux privés et NAT

Cet exemple montre comment créer un VPC que vous pouvez utiliser pour les serveurs d'un environnement de production. Pour améliorer la résilience, vous déployez les serveurs dans deux zones de disponibilité, à l'aide d'un groupe Auto Scaling et d'un Application Load Balancer. Pour plus de sécurité, vous déployez les serveurs dans des sous-réseaux privés. Les serveurs reçoivent des demandes via l'équilibreur de charge. Les serveurs peuvent se connecter à Internet via une passerelle NAT. Pour améliorer la résilience, vous déployez la passerelle NAT dans les deux zones de disponibilité.

Présentation

Le schéma suivant fournit un aperçu des ressources incluses dans l'exemple. Le VPC contient des sous-réseaux privés et des sous-réseaux publics dans deux zones de disponibilité. Chaque sous-réseau public contient une passerelle NAT et un nœud d'équilibreur de charge. Les serveurs s'exécutent dans les sous-réseaux privés, sont lancés et arrêtés à l'aide d'un groupe Auto Scaling et reçoivent du trafic depuis l'équilibreur de charge. Les serveurs peuvent se connecter à Internet via la passerelle NAT. Les serveurs peuvent se connecter à Amazon S3 via un point de terminaison d'un VPC de passerelle.

Routage

Lorsque vous créez ce VPC à l'aide de la console Amazon VPC, nous créons une table de routage pour les sous-réseaux publics avec des routes locales et des routes vers la passerelle Internet. Nous créons également une table de routage pour les sous-réseaux privés avec des routes locales et des routes vers la passerelle NAT, la passerelle Internet de sortie uniquement et le point de terminaison de VPC de la passerelle.

Voici un exemple de table de routage pour les sous-réseaux publics, avec des routes pour IPv4 et IPv6. Si vous créez des sous-réseaux IPv4 uniquement au lieu de sous-réseaux double pile, votre table de routage inclut uniquement les routes IPv4.

Destination	Cible
10.0.0.0/16	locale
2001:db8:1234:1a00::/56	locale
0.0.0.0/0	igw-id
::/0	igw-id

Voici un exemple de table de routage pour l'un des sous-réseaux privés, avec des routes pour IPv4 et IPv6. Si vous avez créé des sous-réseaux IPv4 uniquement, la table de routage inclut uniquement les routes IPv4. La dernière route envoie le trafic destiné à Amazon S3 vers le point de terminaison d'un VPC de la passerelle.

Destination	Cible
10.0.0.0/16	locale
2001:db8:1234:1a00::/56	locale
0.0.0.0/0	nat-gateway-id
::/0	eigw-id
s3-prefix-list-id	s3-gateway-id

Sécurité

Voici un exemple des règles que vous pouvez créer pour le groupe de sécurité que vous associez à vos serveurs. Le groupe de sécurité doit autoriser le trafic en provenance de l'équilibreur de charge via le port et le protocole de l'écouteur. Il doit également autoriser le trafic de surveillance de l'état.

Entrant
Source	Protocole	Plage de ports	Commentaires
ID du groupe de sécurité de l'équilibreur de charge	protocole de l'écouteur	port de l'écouteur	Autorise tout le trafic entrant depuis l'équilibreur de charge sur le port d'écoute
ID du groupe de sécurité de l'équilibreur de charge	protocole de surveillance de l'état	port de surveillance de l'état	Autorise le trafic de surveillance de l'état entrant depuis l'équilibreur de charge

Créer le VPC

Utilisez la procédure suivante pour créer un VPC avec un sous-réseau public et un sous-réseau privé dans deux zones de disponibilité et une passerelle NAT dans chaque zone de disponibilité.

Pour créer le VPC

1. Ouvrez la console Amazon VPC sur https://console.aws.amazon.com/vpc/.

2. Sur le tableau de bord, choisissez Créer un VPC.

3. Sous Ressources à créer, choisissez VPC et plus encore.

4. Configurer le VPC

   1. Pour Name tag auto-generation (Génération automatique de balises de nom), saisissez un nom pour le VPC.

   2. Pour Bloc d'adresse CIDR IPv4, vous pouvez conserver la suggestion par défaut ou saisir le bloc d'adresse CIDR requis par votre application ou votre réseau.

   3. Si votre application communique à l'aide d'adresses IPv6, choisissez Bloc d'adresse CIDR IPv6, Bloc d'adresse CIDR IPv6 fourni par Amazon.

5. Configurer les sous-réseaux

   1. Pour Nombre de zones de disponibilité, choisissez 2 afin de pouvoir lancer des instances dans plusieurs zones de disponibilité et améliorer ainsi la résilience.

   2. Pour Number of public subnets (Nombre de sous-réseaux publics), choisissez 2.

   3. Pour Number of private subnets (Nombre de sous-réseaux privés), choisissez 2.

   4. Vous pouvez conserver le bloc d'adresse CIDR par défaut pour le sous-réseau public ou développer Personnaliser les blocs d'adresse CIDR du sous-réseau et saisir un bloc d'adresse CIDR. Pour de plus amples informations, veuillez consulter Blocs d'adresse CIDR de sous-réseau.

6. Pour Passerelles NAT, choisissez 1 par zone de disponibilité afin d'améliorer la résilience.

7. Si votre application communique à l'aide d'adresses IPv6, pour Passerelle Internet de sortie uniquement, choisissez Oui.

8. Pour Points de terminaison des VPC, si vos instances doivent accéder à un compartiment S3, conservez l'option par défaut, Passerelle S3. Sinon, les instances de votre sous-réseau privé ne peuvent pas accéder à Amazon S3. Cette option est gratuite. Vous pouvez donc conserver la valeur par défaut si vous souhaitez utiliser un compartiment S3 à l'avenir. Si vous choisissez Aucun, vous pouvez toujours ajouter un point de terminaison de VPC de passerelle ultérieurement.

9. Pour Options DNS, désactivez Activer les noms d'hôte DNS.

10. Sélectionnez Create VPC (Créer un VPC).

Déploiement de votre application

Idéalement, vous avez terminé de tester vos serveurs dans un environnement de développement ou de test et créé les scripts ou les images que vous utiliserez pour déployer votre application en production.

Vous pouvez utiliser Amazon EC2 Auto Scaling pour déployer des serveurs dans plusieurs zones de disponibilité et maintenir la capacité de serveur minimale requise par votre application.

Pour lancer des instances à l'aide d'un groupe Auto Scaling

1. Créez un modèle de lancement pour spécifier les informations de configuration nécessaires au lancement de vos instances EC2 à l'aide d'Amazon EC2 Auto Scaling. Pour plus d'informations, consultez Créer un modèle de lancement pour votre groupe Auto Scaling (langue française non garantie) dans le Guide de l'utilisateur Amazon EC2 Auto Scaling.

2. Créez un groupe Auto Scaling, soit un ensemble d'instances EC2 avec une taille minimale, maximale et souhaitée. Pour plus d'informations, consultez Créer un groupe Auto Scaling à l'aide d'un modèle de lancement (langue française non garantie) dans le Guide de l'utilisateur Amazon EC2 Auto Scaling.

3. Créez un équilibreur de charge qui répartit le trafic de manière uniforme sur les instances de votre groupe Auto Scaling, puis attachez l'équilibreur de charge à votre groupe Auto Scaling. Pour plus d'informations, consultez le Guide de l'utilisateur Elastic Load Balancing et la section Utiliser Elastic Load Balancing (langue française non garantie) du Guide de l'utilisateur Amazon EC2 Auto Scaling.

Tester votre configuration

Après avoir terminé le déploiement de votre application, vous pouvez la tester. Si votre application ne parvient pas à envoyer ou à recevoir le trafic que vous attendez, vous pouvez utiliser Reachability Analyzer pour résoudre les problèmes. Par exemple, Reachability Analyzer peut identifier les problèmes de configuration liés à vos tables de routage ou à vos groupes de sécurité. Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.

Nettoyage

Lorsque vous avez terminé avec cette configuration, vous pouvez le supprimer. Avant de supprimer le VPC, vous devez supprimer le groupe Auto Scaling, résilier vos instances, supprimer les passerelles NAT et supprimer l'équilibreur de charge. Pour de plus amples informations, veuillez consulter Supprimer votre VPC.