AWS Outposts connectivité aux AWS régions - AWS Outposts
Connectivité via un lien de serviceConnectivité privée Service Link utilisant VPCConnexions Internet redondantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Outposts connectivité aux AWS régions

AWS Outposts prend en charge la connectivité au réseau étendu (WAN) via la connexion Service Link.

Table des matières

Le lien de service est une connexion nécessaire entre vos Outposts et la AWS région (ou région d'origine). Il permet la gestion des Outposts et l'échange de trafic à destination et en provenance de la AWS région. Le lien de service utilise un ensemble crypté de VPN connexions pour communiquer avec la région d'origine.

Une fois la connexion par liaison de service établie, votre avant-poste devient opérationnel et est géré par AWS. Le lien de service facilite le trafic suivant :

  • VPCTrafic client entre l'Outpost et tout ce qui y est associéVPCs.

  • Outposts le trafic de gestion, tel que la gestion des ressources, la surveillance des ressources et les mises à jour des micrologiciels et des logiciels.

Les étapes suivantes expliquent le processus de configuration des liaisons de service et les options de connexion.

  1. Une fois que vous avez commandé vos racks Outposts, vous AWS contacte pour collecter VLANBGP, IP et sous-réseau d'infrastructure. IPs Pour de plus amples informations, veuillez consulter Connectivité réseau locale.

  2. Lors de l'installation, AWS configure le lien de service sur l'Outpost en fonction des informations que vous avez fournies.

  3. Vous configurez vos périphériques réseau locaux, tels que les routeurs, pour qu'ils se connectent à chaque périphérique réseau Outpost via BGP la connectivité. Pour plus d'informations sur le lien de serviceVLAN, l'adresse IP et BGP la connectivité, consultezRéseaux.

  4. Vous configurez vos périphériques réseau, tels que les pare-feux, pour permettre à vos Outposts d'accéder à AWS la région ou à la région d'origine. AWS Outposts utilise le sous-réseau de l'infrastructure des liaisons de service IPs pour établir des VPN connexions et échanger le contrôle et le trafic de données avec la région. L’établissement d’une liaison de service est toujours initié depuis Outpost. Vous pouvez établir des VPN liaisons de service entre vos Outposts et la AWS région en utilisant l'une des options suivantes :

Note

  • Si vous prévoyez d'inscrire uniquement AWS la région publique IPs (au lieu de 0.0.0.0/0) sur vos pare-feux, vous devez vous assurer que les règles de votre pare-feu correspondent up-to-date aux plages d'adresses IP actuelles. Pour plus d'informations, consultez les plages d'adresses AWS IP dans le guide de VPC l'utilisateur Amazon.

  • Vous ne pourrez pas modifier la configuration du lien de service fournie pendant le processus de commande.

Exigences relatives à l'unité de transmission maximale (MTU) de la liaison de service

L'unité de transmission maximale (MTU) d'une connexion réseau est la taille, en octets, du plus grand paquet autorisé pouvant être transmis sur la connexion. Le réseau doit prendre en charge 1 500 octets MTU entre l'avant-poste et les points de terminaison du lien de service dans la région parent. AWS Pour plus d'informations sur le lien de transmission requis MTU entre une instance de l'Outpost et une instance de la AWS région via le lien de service, consultez la section Unité de transmission maximale du réseau (MTU) pour votre EC2 instance Amazon dans le guide de l'EC2utilisateur Amazon.

Recommandations concernant la bande passante de la liaison de service

Pour une expérience et une résilience optimales, AWS vous devez utiliser une connectivité redondante d'au moins 500 Mbits/s pour chaque rack de calcul et une latence aller-retour maximale de 175 ms pour la connexion par liaison de service à la AWS région. Vous pouvez utiliser AWS Direct Connect ou une connexion Internet pour la liaison de service. Les exigences minimales de 500 Mbits/s et de temps d'aller-retour maximales pour la connexion par liaison de service vous permettent de lancer des EC2 instances Amazon, d'associer des EBS volumes Amazon et d'accéder à AWS des services tels qu'Amazon EKSEMR, Amazon et à CloudWatch des métriques avec des performances optimales.

Les besoins en bande passante de la liaison de service Outposts varient en fonction des caractéristiques suivantes :

  • Nombre de AWS Outposts racks et configurations de capacité

  • Caractéristiques de la charge de travail, telles que AMI la taille, l'élasticité des applications, les besoins en vitesse de rafale et le VPC trafic Amazon vers la région

Pour recevoir une recommandation personnalisée concernant la bande passante de liaison de service requise pour vos besoins, contactez votre représentant AWS commercial ou votre APN partenaire.

Pare-feu et liaison de service

Cette section traite des configurations de pare-feu et de la connexion de la liaison de service.

Dans le schéma suivant, la configuration étend l'Amazon VPC de la AWS région à l'avant-poste. Une interface virtuelle AWS Direct Connect publique est la connexion du lien de service. Le trafic suivant transite par la liaison de service et la connexion AWS Direct Connect  :

  • Trafic de gestion à destination de l’Outpost via la liaison de service

  • Trafic entre l'avant-poste et tout ce qui y est associé VPCs

AWS Direct Connect connexion à AWS

Si vous utilisez un pare-feu dynamique avec votre connexion Internet pour limiter la connectivité entre l'Internet public et le lien de serviceVLAN, vous pouvez bloquer toutes les connexions entrantes initiées depuis Internet. Cela est dû au fait que le lien VPN de service part uniquement de l'avant-poste vers la région, et non de la région vers l'avant-poste.

Connexion par passerelle Internet à AWS

Si vous utilisez un pare-feu pour limiter la connectivité depuis le lien de serviceVLAN, vous pouvez bloquer toutes les connexions entrantes. Vous devez autoriser les connexions sortantes vers l'avant-poste depuis la AWS région, conformément au tableau suivant. S’il s’agit d’un pare-feu avec état, les connexions sortantes autorisées en provenance de l’Outpost, c’est-à-dire initiées depuis l’Outpost, doivent être autorisées à revenir en entrée.

Protocole Port source Adresse source Port de destination Adresse de destination

UDP

443

AWS Outposts liaison de service /26

443

AWS Outposts Public de la région IPs

TCP

1025-65535

AWS Outposts liaison de service /26

443

AWS Outposts Public de la région IPs
Note

Les instances d'un Outpost ne peuvent pas utiliser le lien de service pour communiquer avec les instances d'un autre Outpost. Pour permettre la communication entre les Outposts, optez pour un routage via la passerelle locale ou l’interface de réseau local.

AWS Outposts les racks sont également conçus avec des équipements d'alimentation et de réseau redondants, y compris des composants de passerelle locaux. Pour plus d'informations, consultez Resilience in AWS Outposts.

Connectivité privée Service Link utilisant VPC

Vous pouvez sélectionner l’option de connectivité privée dans la console au moment de créer votre Outpost. Dans ce cas, une VPN connexion de liaison de service est établie après l'installation de l'Outpost à l'aide d'un sous-réseau VPC et que vous spécifiez. Cela permet une connectivité privée par le biais de l'Internet public VPC et minimise l'exposition publique à Internet.

Prérequis

Vous devez remplir les prérequis suivants avant de pouvoir configurer la connectivité privée pour votre Outpost :

  • Vous devez configurer les autorisations pour une IAM entité (utilisateur ou rôle) afin de permettre à l'utilisateur ou au rôle de créer le rôle lié au service pour une connectivité privée. L'IAMentité a besoin d'une autorisation pour accéder aux actions suivantes :

    • iam:CreateServiceLinkedRole sur arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • iam:PutRolePolicy sur arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    Pour plus d’informations, consultez Gestion des identités et des accès (IAM) pour AWS Outposts et Rôles liés à un service pour AWS Outposts.

  • Dans le même AWS compte et dans la même zone de disponibilité que votre Outpost, créez une VPC connectivité privée dans le seul but d'Outpost avec un sous-réseau /25 ou supérieur qui n'entre pas en conflit avec la version 10.1.0.0/16. Par exemple, vous pouvez utiliser 10.2.0.0/16.

  • Créez une AWS Direct Connect connexion, une interface virtuelle privée et une passerelle privée virtuelle pour permettre à votre Outpost local d'accéder au. VPC Si la AWS Direct Connect connexion est établie sur un AWS compte différent du vôtreVPC, consultez la section Associer une passerelle privée virtuelle à plusieurs comptes dans le guide de AWS Direct Connect l'utilisateur.

  • Annoncez le sous-réseau CIDR sur votre réseau local. Vous pouvez l'utiliser AWS Direct Connect pour le faire. Pour plus d’informations, consultez Interfaces virtuelles AWS Direct Connect et Utilisation de passerelles AWS Direct Connect dans le Guide de l’utilisateur AWS Direct Connect .

Vous pouvez sélectionner l’option de connectivité privée au moment de créer votre Outpost dans la console AWS Outposts . Pour obtenir des instructions, consultez Créez une commande pour un rack Outposts.

Note

Pour sélectionner l'option de connectivité privée lorsque votre avant-poste est en PENDINGstatut, choisissez Outposts dans la console, puis sélectionnez votre avant-poste. Choisissez Actions, Ajouter une connectivité privée, puis suivez les étapes.

Une fois que vous avez sélectionné l'option de connectivité privée pour votre Outpost, il crée AWS Outposts automatiquement un rôle lié à un service dans votre compte qui lui permet d'effectuer les tâches suivantes en votre nom :

  • Crée les interfaces réseau VPC que vous spécifiez dans le sous-réseau, et crée un groupe de sécurité pour les interfaces réseau.

  • Autorise le AWS Outposts service à associer les interfaces réseau à une instance de point de terminaison Service Link dans le compte.

  • Attacher les interfaces réseau aux instances de point de terminaison de la liaison de service à partir du compte.

Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Rôles liés à un service pour AWS Outposts.

Important

Une fois votre Outpost installé, confirmez la connectivité au réseau privé IPs de votre sous-réseau depuis votre Outpost.

Connexions Internet redondantes

Lorsque vous établissez une connectivité entre votre avant-poste et la AWS région, nous vous recommandons de créer plusieurs connexions pour une disponibilité et une résilience accrues. Pour plus d'informations, consultez Recommandations relatives à la résilience AWS Direct Connect.

Si vous avez besoin d’une connectivité vers l’Internet public, vous pouvez utiliser des connexions Internet redondantes et plusieurs fournisseurs Internet, comme vous le feriez pour vos charges de travail sur site existantes.