Connectivité AWS Outposts avec les régions AWS - AWS Outposts
Connectivité via les liaisons de serviceConnectivité privée de la liaison de service avec VPCConnexions Internet redondantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectivité AWS Outposts avec les régions AWS

AWS Outposts prend en charge la connectivité de réseau étendu (WAN) via la connexion de la liaison de service.

La liaison de service est une connexion nécessaire entre vos Outposts et la région AWS de votre choix (ou région d'origine) et permet la gestion des Outposts et l'échange de trafic vers et en provenance de la région AWS. La liaison de service utilise un jeu chiffré de connexions VPN pour communiquer avec la région d'origine.

Pour configurer la connectivité de la liaison de service, vous ou AWS devez configurer la liaison de service physique, le réseau local virtuel (VLAN) et la connectivité de la couche réseau avec les appareils de votre réseau local pendant le provisionnement de l'Outpost. Pour plus d'informations, consultez Connectivité de réseau local pour les racks et Exigences relatives au site pour un rack Outposts.

Pour la connectivité du réseau étendu (WAN) avec la région AWS, AWS Outposts peut établir des connexions VPN de liaison de service via la connectivité publique de la région AWS. Pour cela, les Outposts doivent avoir accès aux plages d'adresses IP publiques de la région, que ce soit en empruntant l'Internet public ou des interfaces virtuelles publiques AWS Direct Connect. Pour connaître les plages d'adresses IP actuelles, consultez Plages d'adresses IP AWS dans le Guide de l'utilisateur Amazon VPC. Cette connectivité peut être activée en configurant des routes spécifiques ou par défaut (0.0.0.0/0) dans le chemin de la couche réseau de la liaison de service. Pour plus d'informations, consultez Connectivité BGP pour la liaison de service et Annonce et plage d'adresses IP de sous-réseau d'infrastructure de liaison de service.

Vous pouvez également sélectionner l'option de connectivité privé pour votre Outpost. Pour plus d'informations, consultez Connectivité privée de liaison de service utilisant un VPC.

Une fois la connexion de la liaison de service établie, votre Outpost devient opérationnel et est géré par AWS. La liaison de service est utilisée pour le trafic suivant :

  • Trafic de VPC client entre l'Outpost et les VPC associés.

  • Trafic de gestion des Outposts, tel que la gestion des ressources, la surveillance des ressources et les mises à jour de microprogramme et de logiciel.

Exigences relatives à l'unité de transmission maximale (MTU) pour les liaisons de service

L’unité de transmission maximale (MTU) d’une connexion réseau correspond à la taille, en octets, du paquet le plus volumineux susceptible d’être transmis via la connexion. Le réseau doit prendre en charge une MTU de 1 500 octets entre l'Outpost et les points de terminaison des liaisons de service dans la région parent. AWS Pour plus d'informations sur le MTU requis entre une instance de l'Outpost et une instance de la AWS région via le lien de service, consultez la section Unité de transmission maximale (MTU) réseau pour votre instance Amazon EC2 dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

Recommandations concernant la bande passante de la liaison de service

Pour une expérience et une résilience optimales, AWS vous recommande d'utiliser une connectivité redondante d'au moins 500 Mbits/s (1 Gbit/s est préférable) pour la connexion de la liaison de service avec la région AWS. Vous pouvez utiliser AWS Direct Connect ou une connexion Internet pour la liaison de service. La connexion par liaison de service minimale de 500 Mbits/s vous permet de lancer des instances Amazon EC2, d'attacher des volumes Amazon EBS et d'accéder à AWS des services tels qu'Amazon EKS, Amazon EMR et aux métriques. CloudWatch

Les besoins en bande passante de la liaison de service Outposts varient en fonction des caractéristiques suivantes :

  • Nombre de racks AWS Outposts et configurations de capacité

  • Caractéristiques de la charge de travail (taille d'AMI, élasticité de l'application, besoins en vitesse en rafale, trafic Amazon VPC vers la région, etc.)

Pour recevoir une recommandation personnalisée qui tienne compte de vos besoins en bande passante de la liaison de service, contactez votre représentant commercial AWS ou votre partenaire APN.

Pare-feu et liaison de service

Cette section traite des configurations de pare-feu et de la connexion de la liaison de service.

Dans la configuration présentée dans le diagramme suivant, le VPC Amazon s'étend de la région AWS à l'Outpost. La connexion de la liaison de service utilise une interface virtuelle publique AWS Direct Connect. Le trafic suivant transite par la liaison de service et la connexion AWS Direct Connect :

  • Trafic de gestion à destination de l'Outpost via la liaison de service

  • Trafic entre l'Outpost et les VPC associés

Connexion AWS Direct Connect vers AWS

Si vous utilisez un pare-feu avec état avec votre connexion Internet afin de limiter la connectivité de l'Internet public vers le VLAN de la liaison de service, vous pouvez bloquer toutes les connexions entrantes initiées depuis Internet. En effet, le VPN de la liaison de service s'initie uniquement de l'Outpost vers la région, et non de la région vers l'Outpost.

Connexion à AWS avec une passerelle Internet

Si vous utilisez un pare-feu pour limiter la connectivité à partir du VLAN de la liaison de service, vous pouvez bloquer toutes les connexions entrantes. Vous devez autoriser les connexions sortantes retournant vers l'Outpost depuis la région AWS selon les indications du tableau ci-dessous. S'il s'agit d'un pare-feu avec état, les connexions sortantes autorisées en provenance de l'Outpost, c'est-à-dire initiées depuis l'Outpost, doivent être autorisées à revenir en entrée.

Protocole Port source Adresse source Port de destination Adresse de destination

UDP

443

Liaison de service AWS Outposts /26

443

Routes publiques de la région AWS Outposts

TCP

1025-65535

Liaison de service AWS Outposts /26

443

Routes publiques de la région AWS Outposts
Note

Les instances contenues dans un Outpost ne peuvent pas utiliser la liaison de service pour communiquer avec les instances d'un autre Outpost. Pour permettre la communication entre les Outposts, optez pour un routage via la passerelle locale ou l'interface de réseau local.

Les racks AWS Outposts ont également été conçus avec des équipements d'alimentation et de réseau redondants, notamment des composants de passerelle locale. Pour plus d'informations, consultez Résilience dans AWS Outposts.

Connectivité privée de la liaison de service avec VPC

Vous pouvez sélectionner l'option de connectivité privée dans la console au moment de créer votre Outpost. Dans ce cas, une connexion VPN de liaison de service est établie après l'installation de l'Outpost en utilisant un VPC et le sous-réseau que vous spécifiez. Ainsi, vous bénéficiez d'une connectivité privée grâce au VPC et d'une exposition à l'Internet public réduite au minimum.

Prérequis

Vous devez remplir les prérequis suivants avant de pouvoir configurer la connectivité privée pour votre Outpost :

  • Vous devez configurer les autorisations d'une entité IAM (utilisateur ou rôle) pour permettre à l'utilisateur ou au rôle de créer le rôle lié à un service pour la connectivité privée. L'entité IAM a besoin d'une autorisation pour accéder aux actions suivantes :

    • iam:CreateServiceLinkedRole sur arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • iam:PutRolePolicy sur arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    Pour plus d’informations, consultez Gestion des identités et des accès (IAM) pour AWS Outposts et Utilisation des rôles liés aux services pour AWS Outposts.

  • Dans le même compte AWS et dans la même zone de disponibilité que votre Outpost, créez un VPC à la seule fin de la connectivité privée de l'Outpost avec un sous-réseau /25 ou plus grand qui ne soit pas en conflit avec 10.1.0.0/16. Par exemple, vous pouvez utiliser 10.2.0.0/16.

  • Créez une connexion AWS Direct Connect, une interface virtuelle privée et une passerelle privée virtuelle pour permettre à votre Outpost sur site d'accéder au VPC. Si la connexion AWS Direct Connect se trouve dans un compte AWS différent de celui de votre VPC, consultez Association d'une passerelle privée virtuelle entre comptes dans le Guide de l'utilisateur AWS Direct Connect.

  • Annoncez le CIDR du sous-réseau à votre réseau sur site. Pour ce faire, vous pouvez utiliser AWS Direct Connect. Pour plus d'informations, consultez Interfaces virtuelles AWS Direct Connect et Utilisation de passerelles AWS Direct Connect dans le Guide de l'utilisateur AWS Direct Connect.

Vous pouvez sélectionner l'option de connectivité privée au moment de créer votre Outpost dans la console AWS Outposts. Pour obtenir des instructions, veuillez consulter Création d’un Outpost et commande de capacité Outpost.

Note

Pour sélectionner l'option de connectivité privée lorsque votre Outpost a le statut EN ATTENTE, choisissez Outposts dans la console, puis sélectionnez votre Outpost. Choisissez Actions, Ajouter une connectivité privée, puis suivez les étapes.

Une fois que vous avez sélectionné l'option de connectivité privée pour votre Outpost, AWS Outposts crée automatiquement un rôle lié à un service dans votre compte qui permet à celui-ci d'effectuer les tâches suivantes en votre nom :

  • Créer des interfaces réseau dans le sous-réseau et le VPC que vous spécifiez, et créer un groupe de sécurité pour les interfaces réseau.

  • Accorder au service AWS Outposts l'autorisation d'attacher les interfaces réseau à une instance de point de terminaison de la liaison de service dans le compte.

  • Attacher les interfaces réseau aux instances de point de terminaison de la liaison de service à partir du compte.

Pour de plus amples informations sur le rôle lié à un service, veuillez consulter Utilisation des rôles liés aux services pour AWS Outposts.

Important

Une fois votre Outpost installé, vérifiez la connectivité entre l'Outpost et les adresses IP privées de votre sous-réseau.

Connexions Internet redondantes

Lorsque vous établissez une connectivité entre votre Outpost et la région AWS, nous vous recommandons de créer plusieurs connexions afin d'accroître la disponibilité et la résilience. Pour plus d'informations, consultez Recommandations relatives à la résilience AWS Direct Connect.

Si vous avez besoin d'une connectivité vers l'Internet public, vous pouvez utiliser des connexions Internet redondantes et plusieurs fournisseurs Internet, comme vous le feriez pour vos charges de travail sur site existantes.