Composants de l'architecture et exigences en matière de réplication restreinte - AWS Conseils prescriptifs
Sous-réseau intermédiaireSous-réseau sourceSous-réseau cible

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Composants de l'architecture et exigences en matière de réplication restreinte

Cette section fournit une description détaillée du scénario le plus restrictif, dans lequel toutes les communications se font uniquement via le canal privé, et inclut une explication détaillée des exigences et des composants correspondants à créer pour chaque zone.

Sous-réseau intermédiaire

Le sous-réseau intermédiaire est la partie la plus importante de l'infrastructure de réplication. C'est là que tous les serveurs de réplication du service de migration d'applications seront lancés, et il contient les adresses IP vers lesquelles le trafic de réplication sera dirigé. Pour la réplication des données privées entrantes, configurez les paramètres du serveur de réplication pour le service de migration d'applications avec l'option Utiliser une adresse IP privée.

Pour les exigences relatives au trafic sortant, vous pouvez utiliser l'option Create public IP pour choisir si les serveurs de réplication communiqueront avec les AWS services requis (Amazon S3, Application Migration Service, Amazon EC2) via une adresse IP privée ou publique. Les options standard pour fournir une connectivité Internet sortante sont répertoriées dans la documentation du service de migration d'applications : soit une adresse IP publique avec une passerelle Internet, soit une adresse IP privée avec une passerelle NAT. Les deux options vous permettent de mettre en œuvre un scénario hybride simplifié dans lequel le trafic de réplication des données passe par une connexion privée (AWS VPN ou AWS Direct Connect) tandis que les serveurs de réplication communiquent avec les AWS services via le réseau public. 

Cependant, la connectivité sortante publique est généralement interdite dans les environnements d'entreprise fermés, et il s'agit du scénario le plus restrictif décrit dans la section suivante. Dans ce cas, vous utilisez AWS PrivateLink et configurez les points de terminaison VPC suivants dans les sous-réseaux intermédiaires pour les serveurs de réplication :

  • Point de terminaison de passerelle VPC pour communiquer avec Amazon S3

  • Points de terminaison d'interface VPC pour communiquer avec Application Migration Service et Amazon EC2

Pour en savoir plus sur les points de terminaison VPC, consultez la documentation. AWS PrivateLink

Sous-réseau source

Le sous-réseau source est tout sous-réseau à partir duquel vous effectuez une réplication. C'est là que se trouvent vos serveurs sources et que vous allez installer l'agent de AWS réplication sur ces serveurs. Les exigences réseau pour un agent sont les suivantes :

  • Communication via le port HTTPS/TCP 443 avec Amazon S3 et le service de migration d'applications, par Services AWS exemple

  • Communication avec l'adresse IP du serveur de réplication (privée ou publique, en fonction de ses paramètres) 

L'agent prend également en charge les scénarios hybrides dans lesquels la communication Services AWS peut se faire via le réseau public (en utilisant le trafic HTTPS standard) tandis que les données de réplication sont envoyées via des réseaux privés à l'adresse IP privée du serveur de réplication.

Ce guide se concentre sur un scénario plus restrictif dans lequel même le trafic HTTPS à Services AWS destination des systèmes source n'est pas autorisé. Les points de terminaison suivants sont donc configurés dans le sous-réseau intermédiaire :

  • Points de terminaison d'interface VPC pour Application Migration Service et Amazon S3 (point de terminaison d'interface régional, pas le point de terminaison de passerelle requis pour les serveurs de réplication)

  • Un point de terminaison de résolution DNS entrant, pour permettre aux sources locales et aux serveurs DNS de résoudre les adresses IP privées pour les points de terminaison VPC, situés dans le sous-réseau intermédiaire

Sous-réseau cible

Le sous-réseau cible est tout sous-réseau dans lequel vous prévoyez de lancer vos serveurs, y compris les instances de test et de transition. Ces sous-réseaux n'ont aucune exigence de connectivité réseau et peuvent être situés dans n'importe quel autre VPC de la Compte AWS même région. En effet, Application Migration Service utilise Amazon EC2 APIs pour créer de nouvelles instances de test ou de transition (c'est pourquoi les serveurs de réplication du sous-réseau intermédiaire nécessitent une connectivité HTTPS sortante vers Amazon EC2) et accède aux instantanés S3 régionaux créés à partir de volumes EBS répliqués. Aucune de ces opérations ne nécessite un accès direct au réseau depuis ou vers le sous-réseau cible. Il peut donc s'agir d'un sous-réseau privé complètement isolé.

Cependant, Application Migration Service installe également automatiquement plusieurs outils tels que EC2 Config ou AWS Systems Manager Agents (agents SSM) sur les instances cibles, et ces activités nécessitent une connectivité HTTPS/TCP 443 sortante depuis les instances cibles et les sous-réseaux.