Fonctionnement d'Amazon VPC - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement d'Amazon VPC

Avec Amazon Virtual Private Cloud (Amazon VPC), vous pouvez lancer AWS des ressources dans un réseau virtuel isolé de manière logique que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.

Vous trouverez ci-dessous une représentation visuelle d'un VPC et de ses ressources à partir du volet Aperçu affiché lorsque vous créez un VPC à l'aide de la AWS Management Console. Pour un VPC existant, vous pouvez accéder à cette visualisation dans l'onglet Mappage des ressources. Cet exemple montre les ressources initialement sélectionnées sur la page Créer un VPC lorsque vous choisissez de créer le VPC et d'autres ressources de mise en réseau. Ce VPC est configuré avec un CIDR IPv4 et un CIDR IPv6 fourni par Amazon, des sous-réseaux dans deux zones de disponibilité, trois tables de routage, une passerelle Internet et un point de terminaison de passerelle. Comme nous avons sélectionné la passerelle Internet, la visualisation indique que le trafic provenant des sous-réseaux publics est acheminé vers Internet, car la table de routage correspondante envoie le trafic vers la passerelle Internet.


			Carte des ressources montrant un VPC avec des sous-réseaux dans deux zones de disponibilité, trois tables de routage, une passerelle Internet et un point de terminaison de passerelle.

VPC et sous-réseaux

Un cloud privé virtuel (VPC) est un réseau virtuel dédié à votre compte AWS . Il est logiquement isolé des autres réseaux virtuels du AWS Cloud. Vous pouvez spécifier une plage d'adresses IP pour le VPC, ajouter des sous-réseaux, ajouter des passerelles et associer des groupes de sécurité.

Un sous-réseau est une plage d'adresses IP dans votre VPC. Vous lancez des ressources AWS , telles que des instances Amazon EC2, dans vos sous-réseaux. Vous pouvez connecter un sous-réseau à l'Internet, à d'autres VPC et à vos propres centres de données, et acheminer le trafic vers et depuis vos sous-réseaux à l'aide de tables de routage.

VPC par défaut et personnalisés

Si votre compte a été créé après le 4 décembre 2013, il dispose d'un VPC par défaut dans chaque région. Un VPC par défaut est configuré et prêt à être utilisé. Par exemple, il possède un sous-réseau par défaut dans chaque zone de disponibilité de la région, une passerelle Internet attachée, un routage dans la table de routage principale qui envoie tout le trafic à la passerelle Internet et des paramètres DNS qui attribuent automatiquement des noms d'hôte DNS publics aux instances avec Adresses IP et activent la résolution DNS via le serveur DNS fourni par Amazon (consultez Attributs DNS dans votre VPC). Par conséquent, une instance EC2 lancée dans un sous-réseau par défaut a automatiquement accès à Internet. Si vous disposez d'un VPC par défaut dans une région, mais que vous n'indiquez pas de sous-réseau lors du lancement d'une instance EC2 dans cette région, nous choisissons l'un des sous-réseaux par défaut et lançons l'instance dans ce celui-ci.

Vous pouvez également créer votre propre VPC et le configurer selon vos besoins. Ce système est appelé VPC personnalisé. Les sous-réseaux que vous créez dans votre VPC personnalisé et les sous-réseaux supplémentaires que vous créez dans votre VPC par défaut sont appelés sous-réseaux personnalisés.

Tables de routage

Une table de routage contient un ensemble de règles, appelées routes, qui permettent de déterminer où diriger le trafic réseau à partir de votre VPC. Vous pouvez associer explicitement un sous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routage principale.

Chaque itinéraire d'une table de routage spécifie la plage d'adresses IP dans laquelle vous souhaitez acheminer le trafic (la destination) et la passerelle, l'interface réseau ou la connexion via laquelle envoyer le trafic (la cible).

Accéder à Internet

Vous contrôlez comment les instances que vous lancez dans un VPC accèdent à vos ressources à l'extérieur du VPC.

Un VPC par défaut inclut une passerelle Internet et chaque sous-réseau par défaut est un sous-réseau public. Chaque instance que vous lancez dans un sous-réseau par défaut possède une adresse IPv4 privée et une adresse IPv4 publique. Ces instances peuvent communiquer avec Internet via la passerelle Internet. Une passerelle Internet permet à vos instances de se connecter à Internet via la périphérie de réseau Amazon EC2.

Par défaut, chaque instance que vous lancez dans un sous-réseau personnalisé possède une adresse IPv4 privée mais pas d'adresse IPv4 publique, sauf si vous en assignez une de manière spécifique lors du lancement ou si vous modifiez l'attribut de l'adresse IP publique du sous-réseau. Ces instances peuvent communiquer ensemble, mais ne peuvent pas accéder à Internet.

Vous pouvez activer l'accès à Internet pour une instance lancée dans un sous-réseau personnalisé en attachant une passerelle Internet à son VPC (si son VPC n'est pas un VPC par défaut) et en associant une adresse IP Elastic à l'instance.

Pour permettre à une instance dans votre VPC d'initier des connexions sortantes sur Internet mais arrêter des connexions entrantes non sollicitées provenant d'Internet, vous pouvez également utiliser un périphérique NAT (Network Address Translation, traduction d'adresses réseau). NAT mappe plusieurs adresses IPv4 privées en une seule adresse IPv4 publique. Vous pouvez configurer un périphérique NAT avec une adresse IP Elastic et le connecter à Internet via une passerelle Internet. Cela permet à une instance dans un sous-réseau privé de se connecter à Internet via le périphérique NAT qui achemine le trafic de l'instance vers la passerelle Internet, et achemine les réponses vers l'instance.

Si vous associez un bloc CIDR IPv6 à votre VPC et que vous affectez des adresses IPv6 à vos instances, les instances peuvent se connecter à Internet via IPv6 via une passerelle Internet. Sinon, les instances peuvent initier des connexions sortantes à Internet via IPv6 à l'aide d'une passerelle Internet de sortie uniquement. Le trafic IPv6 est séparé du trafic IPv4 ; vos tables de routage doivent inclure les routes distinctes pour le trafic IPv6.

Accéder à un réseau d'entreprise ou domestique

Vous pouvez éventuellement connecter votre VPC à votre propre centre de données d'entreprise à l'aide d'une AWS Site-to-Site VPN connexion IPSec, faisant du AWS cloud une extension de votre centre de données.

Une connexion VPN de site à site consiste en deux tunnels VPN entre une passerelle privée virtuelle ou une passerelle de transit sur le AWS côté et un dispositif de passerelle client situé dans votre centre de données. Un appareil de passerelle client est un appareil physique ou une appliance logicielle que vous configurez de votre propre côté de la connexion Site-to-Site VPN.

Connecter des VPC et des réseaux

Vous pouvez créer une connexion d'appairage de VPC entre deux VPC qui permet de router le trafic entre ces derniers de manière privée. Les instances des deux VPC peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau.

Vous pouvez également créer une passerelle de transit et l'utiliser pour interconnecter vos VPC et réseaux locaux. La passerelle de transit agit comme un routeur virtuel régional pour le trafic circulant entre ses pièces jointes, qui peuvent inclure des VPC, des connexions VPN, des AWS Direct Connect passerelles et des connexions d'appairage de passerelle de transit.

AWS réseau mondial privé

AWS fournit un réseau mondial privé à hautes performances et à faible latence qui fournit un environnement de cloud computing sécurisé pour répondre à vos besoins en matière de réseau. AWS Les régions sont connectées à plusieurs fournisseurs d'accès Internet (FAI), ainsi qu'à un backbone de réseau privé mondial, ce qui améliore les performances réseau pour le trafic inter-régions envoyé par les clients.

Les considérations suivantes s'appliquent :

  • Le trafic se trouvant dans une zone de disponibilité, ou entre les zones de disponibilité de toutes les régions, est acheminé via le réseau mondial AWS privé.

  • Le trafic entre les régions est toujours acheminé via le réseau mondial AWS privé, à l'exception des régions chinoises.

Une perte de paquets réseau peut être causée par un certain nombre de facteurs, y compris les collisions de flux réseau, les erreurs de niveau inférieur (couche 2) et les autres défaillances du réseau. Nous développons et faisons fonctionner nos réseaux en vue de minimiser les pertes de paquets. Nous mesurons le taux de perte de paquets (PLR) sur l'ensemble du réseau mondial qui relie les régions. AWS Nous faisons fonctionner notre réseau backbone en vue d'obtenir un p99 pour le PLR horaire de moins de 0,0001 %.