Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Automatisez la configuration du peering interrégional avec AWS Transit Gateway
Créée par Ram Kandaswamy (AWS)
Environnement : Production | Technologies : mise en réseau ; cloud hybride | Services AWS : AWS Transit Gateway ; AWS Step Functions ; AWS Lambda |
Récapitulatif
AWS Transit Gateway connecte les clouds privés virtuels (VPC) aux réseaux sur site via un hub central. Le trafic de Transit Gateway reste toujours sur le backbone mondial d'Amazon Web Services (AWS) et ne traverse pas l'Internet public, ce qui réduit les vecteurs de menaces, tels que les exploits courants et les attaques par déni de service distribué (DDoS).
Si vous devez communiquer entre deux ou plusieurs régions AWS, vous pouvez utiliser le peering interrégional pour établir des connexions de peering entre les passerelles de transit de différentes régions. Cependant, la configuration manuelle du peering interrégional avec Transit Gateway peut être un processus fastidieux qui comporte plusieurs étapes. Ce modèle fournit un processus automatisé pour supprimer ces étapes manuelles en utilisant du code pour effectuer le peering. Vous pouvez utiliser cette approche si vous devez configurer plusieurs régions et comptes AWS à plusieurs reprises lors de la configuration d'une organisation multirégionale.
Ce modèle utilise une CloudFormation pile AWS qui inclut le flux de travail AWS Step Functions, les fonctions AWS Lambda, les rôles AWS Identity and Access Management (IAM) et les groupes de journaux dans Amazon Logs. CloudWatch Vous pouvez ensuite lancer une exécution de Step Functions et créer la connexion de peering inter-régions pour vos passerelles de transport en commun.
Conditions préalables et limitations
Prérequis
Un compte AWS actif.
Un bucket Amazon Simple Storage Service (Amazon S3) existant.
Passerelles de transit, créées et configurées dans la région demandeuse et dans les régions acceptrices. La région demandeuse est celle d'où provient une demande de peering et les régions acceptrices acceptent la demande de peering. Pour plus d'informations à ce sujet, consultez la section Création et acceptation d'une connexion d'appairage VPC dans la documentation Amazon VPC.
VPC, installés et configurés dans les régions de l'accepteur et du demandeur. Pour connaître les étapes de création d'un VPC, consultez la section Créer le VPC depuis Get Started with Amazon VPC dans la documentation Amazon VPC.
Les VPC doivent utiliser le
addToTransitGatewaytag et latruevaleur.Groupes de sécurité et listes de contrôle d'accès réseau (ACL) pour vos VPC, configurés en fonction de vos besoins. Pour plus d'informations à ce sujet, consultez la section Groupes de sécurité pour votre VPC et les ACL réseau dans la documentation Amazon VPC.
Régions et limites AWS
Seules certaines régions AWS prennent en charge le peering interrégional. Pour obtenir la liste complète des régions qui prennent en charge le peering interrégional, consultez les FAQ sur AWS Transit Gateway
. Dans l'exemple de code ci-joint, la région du demandeur est supposée être
us-east-2, et la région de l'accepteur est supposée être.us-west-2Si vous souhaitez configurer différentes régions, vous devez modifier ces valeurs dans tous les fichiers Python. Pour implémenter une configuration plus complexe impliquant plus de deux régions, vous pouvez modifier la fonction Step pour transmettre les régions en tant que paramètre à la fonction Lambda et exécuter la fonction pour chaque combinaison.
Architecture
Le diagramme montre un flux de travail comportant les étapes suivantes :
L'utilisateur crée une CloudFormation pile AWS.
AWS CloudFormation crée une machine d'état Step Functions qui utilise une fonction Lambda. Pour plus d'informations à ce sujet, consultez la section Création d'une machine d'état Step Functions utilisant Lambda dans la documentation AWS Step Functions.
Step Functions appelle une fonction Lambda pour le peering.
La fonction Lambda crée une connexion d'appairage entre les passerelles de transit.
Step Functions appelle une fonction Lambda pour modifier la table de routage.
La fonction Lambda modifie les tables de routage en ajoutant le bloc CIDR (Classless Inter-Domain Routing) des VPC.
Flux de travail Step Functions
Le diagramme montre le flux de travail Step Functions suivant :
Le flux de travail Step Functions appelle la fonction Lambda pour le peering de la passerelle de transit.
Il y a un appel du chronomètre pour attendre une minute.
L'état du peering est récupéré et envoyé au bloc de conditions. Le bloc est responsable de la boucle.
Si la condition de réussite n'est pas remplie, le flux de travail est codé pour passer à l'étape du chronomètre.
Si la condition de réussite est remplie, une fonction Lambda est appelée pour modifier les tables de routage. Après cet appel, le flux de travail Step Functions prend fin.
Outils
AWS CloudFormation — AWS CloudFormation est un service qui vous aide à modéliser et à configurer vos ressources AWS.
Amazon CloudWatch Logs — CloudWatch Logs vous permet de centraliser les journaux de tous vos systèmes, applications et services AWS que vous utilisez.
AWS Identity and Access Management (IAM) — IAM est un service Web permettant de contrôler en toute sécurité l'accès aux services AWS.
AWS Lambda — Lambda exécute votre code sur une infrastructure de calcul à haute disponibilité et exécute l'ensemble de l'administration des ressources de calcul.
AWS Step Functions — Step Functions facilite la coordination des composants des applications distribuées sous la forme d'une série d'étapes dans un flux de travail visuel.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
| Téléchargez les fichiers joints dans votre compartiment S3. | Connectez-vous à l'AWS Management Console, ouvrez la console Amazon S3, puis téléchargez les | AWS général |
| Créez la CloudFormation pile AWS. | Exécutez la commande suivante pour créer une CloudFormation pile AWS à l'aide du
La CloudFormation pile AWS crée le flux de travail Step Functions, les fonctions Lambda, les rôles IAM et CloudWatch les groupes de logs. Assurez-vous que le CloudFormation modèle AWS fait référence au compartiment S3 qui contient les fichiers que vous avez chargés précédemment. Remarque : vous pouvez également créer une pile à l'aide de la CloudFormation console AWS. Pour plus d'informations à ce sujet, consultez la section Création d'une pile sur la CloudFormation console AWS dans la CloudFormation documentation AWS. | DevOps ingénieur |
| Lancez une nouvelle exécution dans Step Functions. | Ouvrez la console Step Functions et lancez une nouvelle exécution. Step Functions appelle la fonction Lambda et crée la connexion d'appairage pour les passerelles de transit. Vous n'avez pas besoin d'un fichier JSON d'entrée. Vérifiez qu'une pièce jointe est disponible et que le type de connexion est Peering. Pour plus d'informations à ce sujet, consultez Démarrer une nouvelle exécution dans Getting started with AWS Step Functions dans la documentation AWS Steps Functions. | DevOps ingénieur, AWS général |
| Vérifiez les itinéraires dans les tables de routage. | Le peering interrégional est établi entre les passerelles de transit. Les tables de routage sont mises à jour avec la plage de blocs d'adresse CIDR IPv4 du VPC de la région homologue. Ouvrez la console Amazon VPC et choisissez l'onglet Associations dans la table de routage qui correspond à la pièce jointe de la passerelle de transit. Vérifiez la plage de blocs d'adresse CIDR VPC des régions homologues. Pour obtenir des instructions et des étapes détaillées, consultez la section Associer une table de routage de passerelle de transit dans la documentation Amazon VPC. | Administrateur réseau |
Ressources connexes
Pièces jointes
