Architecture 3 : AWS Transit Gateway

AWS Transit Gateway est un service de routage géré qui connecte les VPC et les réseaux sur site. Transit Gateway peut vous aider à simplifier la topologie de votre réseau et à éviter les relations d'appairage complexes entre un grand nombre de VPC.

Transit Gateway fait office de routeur cloud. Chaque nouvelle connexion n'est établie qu'une seule fois entre un VPC et la passerelle de transit. En utilisant la passerelle de transit comme hub prenant en charge le routage transitif, vous n'avez pas besoin d'ajouter des relations entre pairs entre chaque VPC d'une topologie de maillage. Pour plus d'informations sur Transit Gateway et ses quotas, veuillez consulter Quotas pour vos passerelles de transit.

L'utilisation de Transit Gateway pour intégrer un service tiers présente les avantages suivants :

• Prise en charge du trafic bidirectionnel entre vos VPC et le réseau tiers

• Prise en charge de tous les types de trafic IP (TCP et UDP)

• Déploiement d'un point d'inspection du trafic centralisé entre vos VPC et le réseau tiers

• Mise à l'échelle aisée conformément à l'évolution du nombre de VPC impliqués dans l'intégration

Les inconvénients liés à l'utilisation d'une solution Transit Gateway sont les suivants :

• Cette option est généralement plus coûteuse que les options d'appairage direct.

• Les blocs CIDR qui se chevauchent ne sont pas pris en charge.

• De nombreux fournisseurs tiers ne prennent pas en charge cette solution, car ils souhaitent conserver un contrôle total et minimiser le partage de composants avec leurs clients.

Le schéma d'architecture suivant montre une représentation simplifiée de l'utilisation de Transit Gateway pour connecter vos VPC à ceux d'un fournisseur tiers. Chaque VPC se connecte à la passerelle de transit, qui prend en charge le routage transitif entre tous les VPC connectés.

Cependant, la configuration réelle est plus nuancée et cette architecture est divisée en différentes considérations et options de déploiement.

Centralisation de l'inspection du réseau

Si vous utilisez Transit Gateway, vous pouvez déployer un point d'inspection du trafic réseau centralisé, un VPC d'inspection dédié. En utilisant des routes statiques dans la table de routage associée à l'attachement d'appairage entre régions, vous pouvez diriger le trafic provenant du réseau tiers vers le VPC d'inspection. Pour inspecter le trafic, vous pouvez utiliser AWS Network Firewall ou un AWS Gateway Load Balancer appairé à des appareils de sécurité virtuels déployés sur des instances Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, veuillez consulter Centralized deployment model dans Deployment models for AWS Network Firewall (billet de blog AWS).

La passerelle de transit doit être en mode appareil pour que l'attachement VPC d'inspection achemine le trafic bidirectionnel de manière symétrique. Comme le montre le schéma d'architecture suivant, la passerelle de transit dirige le trafic des VPC connectés vers une interface réseau élastique dans le VPC d'inspection.

Sélection d'une option de déploiement

La première chose à prendre en compte est de savoir si vous allez utiliser une passerelle de transit existante dans votre réseau ou créer une passerelle de transit dédiée. Nous vous recommandons de déployer une nouvelle passerelle de transit dédiée, car elle permet un meilleur contrôle et une meilleure séparation par rapport au réseau tiers. Les exemples d'architectures présentés dans ce guide créent une passerelle de transit, et vous pouvez créer des connexions d'appairage entre la passerelle existante et la nouvelle passerelle.

La deuxième chose à prendre en compte est de savoir quelle architecture convient le mieux à votre cas d'utilisation :

1. Architecture 3.1 : Transit Gateway avec AWS RAM : dans cette option de déploiement, vous partagez une passerelle de transit unique avec le compte tiers. Vous utilisez AWS Resource Access Manager (AWS RAM) pour configurer la relation de partage.

2. Architecture 3.2 : appairage de Transit Gateway : dans cette option de déploiement, vous créez une connexion d'appairage entre deux passerelles de transit, l'une dans votre compte et l'autre dans le compte tiers.

Lorsque vous choisissez l'une de ces options, tenez compte des avantages et des inconvénients suivants de chacune d'entre elles.

	Architecture 3.1 : Transit Gateway avec AWS RAM	Architecture 3.2 : appairage de Transit Gateway
Avantages	Aucune passerelle de transit n'est requise dans le compte tiers, ce qui permet une architecture plus rationalisée.	Un tiers pourrait trouver cette solution plus acceptable, car elle lui permet de mieux contrôler la configuration réseau.
	Vous bénéficiez d'un contrôle et d'une visibilité améliorés en tant que propriétaire de la passerelle de transit partagée.	Vous avez réduit les efforts opérationnels, car le tiers gère ses propres attachements VPC.
Inconvénients	Le tiers peut être réticent, car cela diminue son contrôle sur la configuration réseau.	L'architecture réseau est plus complexe.
	Vous êtes responsable de la configuration des attachements de la passerelle de transit aux VPC du compte tiers.	Cette architecture crée un saut supplémentaire dans le chemin du trafic.

Considérations de coût

Tenez également compte des considérations de coût suivantes lorsque vous choisissez parmi ces options :

• Le tarif horaire pour l'attachement de la passerelle de transit est facturé au propriétaire du compte de l'attachement (ou VPC). Certains coûts seront à votre charge, tandis que d'autres seront à la charge du tiers.

• Le traitement des données est facturé au propriétaire du VPC qui envoie le trafic via la passerelle de transit. La réception de données depuis la passerelle de transit est gratuite.

• Il n'y a aucuns frais de traitement des données pour les données envoyées entre deux passerelles de transit appairées.

Pour plus d'informations, veuillez consulter Tarification Transit Gateway.