A l'aide deAWS DataSyncdans un Virtual Private Cloud - AWS DataSync

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

A l'aide deAWS DataSyncdans un Virtual Private Cloud

Vous pouvez déployerAWS DataSyncdans votre Virtual Private Cloud (VPC) basé sur le service Amazon VPC à l'aide des points de terminaison d'un VPC. Avec cette fonctionnalité, la connexion entre un agent et le service DataSync ne passe pas par l'Internet public et ne nécessite pas d'adresses IP publiques. Ces restrictions de connexion renforcent la sécurité de vos données en conservant le trafic réseau dans votre VPC.

Les points de terminaison VPC pour DataSync sont optimisés par les services de point de terminaison VPC (AWS PrivateLink).AWS PrivateLinkest un produit à haute disponibilité et à haute disponibilitéAWSqui vous permet de connecter en privé votre VPC à un service pris en chargeAWSServices . Pour de plus amples informations, veuillez consulterServices de points de terminaison de VPC (AWS PrivateLink)dans leAmazon VPC User Guide.

Pour utiliser les points de terminaison d'un VPC, vous pouvez transférer des fichiers à l'aide d'AWS Direct Connect ou d'un réseau privé virtuel (VPN). Avec ce type de transfert, vous utilisez des adresses IP privées qui sont accessibles uniquement depuis votre VPC.

Fonctionnement de DataSync avec les points de terminaison d'un VPC

L'agent DataSync transfère les données entre le stockage autogéré etAWS. Vous déployez l'agent en tant que machine virtuelle dans le même réseau local que votre stockage source. Cette approche minimise la surcharge réseau associée au transfert de données à l'aide de protocoles réseau tels que NFS (Network File System) et SMB (Server Message Block), ou lors de l'accès à votre stockage d'objets auto-géré à l'aide de l'API Amazon S3.

Lorsque vous utilisez DataSync avec un point de terminaison de VPC privé, l'agent DataSync peut communiquer directement avecAWSsans avoir besoin de traverser l'Internet public.

Configuration de DataSync pour utiliser des adresses IP privées pour le transfert de données

La procédure suivante contient les étapes de configuration d'un agent DataSync et d'une tâche qui communiquent avecAWSà l'aide de points de terminaison de VPC.

Le diagramme suivant illustre le processus de configuration.

Pour configurer un agent et une tâche DataSync pour communiquer avecAWSà l'aide de points de terminaison de VPC

  1. Choisissez le VPC et le sous-réseau dans lesquels vous souhaitez configurer les adresses IP privées DataSync.

    Le VPC doit s'étendre à votre environnement local, où se trouve votre stockage d'objets SMB, NFS ou auto-géré, en utilisant des règles de routage surAWS Direct Connectou VPN. Cette configuration garantit que toutes les communications entre l'agent DataSync et le service DataSync restent dans le VPC.

  2. Déployez un agent DataSync à proximité de votre stockage local. L'agent doit avoir accès à votre emplacement de stockage source à l'aide de NFS, SMB ou l'API Amazon S3. Vous pouvez télécharger le fichier .ova de l'agent DataSync à partir de la console DataSync. L'agent n'a pas besoin d'une adresse IP publique. Pour plus d'informations sur le téléchargement et le déploiement d'une image .ova, consultez Création d'un agent.

    Note

    Vous pouvez utiliser un seul agent pour un seul type de point de terminaison : privé, public ou Federal Information Processing Standards (FIPS). Si un agent est déjà configuré pour transférer des données sur l'Internet public, déployez un nouvel agent pour transférer des données vers des points de terminaison DataSync privés. Pour obtenir des instructions complètes, veuillez consulter Déployer votre DataSync agent.

  3. Dans le VPC que vous avez choisi à l'étape 1, créez un groupe de sécurité pour garantir l'accès aux adresses IP privées utilisées par DataSync. Ces adresses incluent un point de terminaison de VPC pour le contrôle du trafic et quatre adressesinterfaces réseau élastiques (ENI)à utiliser pour le transfert de données. Ce groupe de sécurité permet de gérer l'accès à ces adresses IP privées et de vous assurer que l'agent peut communiquer avec elles.

    L'agent doit être en mesure d'établir des connexions à ces adresses IP. Dans le groupe de sécurité attaché aux points de terminaison, configurez les règles entrantes pour permettre à l'adresse IP privée de l'agent de se connecter à ces points de terminaison.

  4. Créez un point de terminaison de VPC pour le service DataSync.

    Pour cela, ouvrez la console Amazon VPC à l'adressehttps://console.aws.amazon.com/vpc/, et choisissezPoints de terminaisonà partir du volet de navigation à gauche. Choisissez Create Endpoint (Créer un point de terminaison).

    PourCatégorie de services, choisissezAWSservice. PourService Name, choisissezDataSyncdans vos revenusAWSRégion (par exemple,com.amazonaws.us-east-1.datasync). Choisissez ensuite le VPC et le groupe de sécurité que vous avez choisi aux étapes 1 et 3. Assurez-vous que vous désactivez la case à cocher Enable Private DNS Name (Activer le nom DNS privé).

    Important

    Si vous utilisez un agent DataSync Amazon EC2, choisissez la zone de disponibilité où réside votre agent afin d'éviter les frais de trafic réseau entre les zones de disponibilité.

    Pour en savoir plus sur les prix de transfert de données pour tousAWSRégions, voirTarification à la demande Amazon EC2.

    Pour plus d'informations sur la création de points de terminaison de VPC, consultezCréation d'un point de terminaison d'interfacedansAmazon VPC User Guide.

  5. Lorsque votre nouveau point de terminaison de VPC devient disponible, assurez-vous que la configuration réseau de votre environnement autogéré permet l'activation de l'agent.

    Activationest une opération ponctuelle qui associe en toute sécurité l'agent à votreCompte AWS. Pour activer l'agent, utilisez un ordinateur qui peut joindre l'agent à l'aide du port 80. Après activation, cet accès pourra être révoqué. L'agent doit pouvoir joindre l'adresse IP privée du point de terminaison de VPC que vous avez créé à l'étape 4.

    Pour rechercher cette adresse IP, ouvrez la console Amazon VPC à l'adressehttps://console.aws.amazon.com/vpc/, et choisissezPoints de terminaisonà partir du volet de navigation à gauche. Choisissez le point de terminaison DataSync, puis cochez la caseSous-réseauxListe de l'adresse IP privée du sous-réseau que vous avez choisi. Il s'agit de l'adresse IP de votre point de terminaison de VPC.

    Note

    Assurez-vous d'autoriser le trafic sortant de l'agent vers le point de terminaison d'un VPC à l'aide des ports 443, 1024 à 1064 et 22. Le port 22 est facultatif et sert àAWScanal de support.

  6. Activez l'agent. Si vous disposez d'un ordinateur qui peut effectuer le routage vers l'agent à l'aide du port 80 et qui peut accéder à la console DataSync, ouvrez la console, puis choisissezCréer un agent. Dans la section du point de terminaison de service, choisissezPoints de terminaison de VPC utilisantAWS PrivateLink.

    Choisissez le point de terminaison de VPC de l'étape 4, le sous-réseau de l'étape 1 et le groupe de sécurité de l'étape 3. Entrez l'adresse IP de l'agent.

    Si vous ne parvenez pas à accéder à l'agent et à la console DataSync à l'aide du même ordinateur, activez l'agent à l'aide de la ligne de commande d'un ordinateur qui peut joindre le port 80 de l'agent. Pour plus d'informations, consultez Création d'un agent.

  7. Choisissez Get Key (Obtenir la clé), entrez au besoin un nom d'agent et des balises, puis choisissez Create agent (Créer un agent). Votre nouvel agent apparaît désormais dans leAgentsde la console DataSync. La bannière verte VPC Endpoint (Point de terminaison de VPC) indique que toutes les tâches exécutées avec cet agent utilisent des points de terminaison privés, sans passer par l'Internet public.

  8. Créez votre tâche en configurant une source et une destination pour le transfert de données. Pour plus d'informations sur le choix des points de terminaison, consultezChoix d'un point de terminaison de service pourAWS DataSync.

    Pour faciliter le transfert à l'aide d'adresses IP privées, votre tâche crée quatre ENI dans le VPC et le sous-réseau que vous avez choisis.

  9. Assurez-vous que l'agent peut joindre les quatre adresses IP associées créées par votre tâche.

    Pour rechercher ces adresses IP, ouvrez la console Amazon EC2 à l'adressehttps://console.aws.amazon.com/ec2/, et choisissezInterfaces réseausur le tableau de bord. Entrez l'ID de tâche dans le filtre de recherche pour voir les quatre ENI de la tâche. Il s'agit des ENI utilisés par votre point de terminaison de VPC. Assurez-vous d'autoriser le trafic sortant de l'agent vers ces interfaces à l'aide du port 443.

Vous pouvez maintenant commencer votre tâche. Pour chaque tâche supplémentaire qui utilise cet agent, répétez l'étape 9 pour autoriser le trafic de la tâche via le port 443.