Principes de base de l'appairage de VPC - Amazon Virtual Private Cloud
Cycle de vie d'une connexion d'appairage de VPCConnexions d'appairage de plusieurs VPCLimitations des appairages de VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principes de base de l'appairage de VPC

Pour établir une connexion d'appairage de VPC, vous effectuez les opérations suivantes :

  1. Le propriétaire du VPC demandeur envoie une demande au propriétaire du VPC accepteur pour créer une connexion d'appairage de VPC. Le VPC accepteur peut appartenir à vous-même ou à un autre compte AWS, et il ne peut pas avoir de bloc d'adresse CIDR qui chevauche celui du VPC demandeur.

  2. Le propriétaire du VPC accepteur accepte la demande de connexion d'appairage de VPC pour activer cette connexion.

  3. Pour activer le flux du trafic entre les VPC à l'aide d'adresses IP privées, le propriétaire de chaque VPC de la connexion d'appairage de VPC doit manuellement ajouter un itinéraire vers une ou plusieurs des tables de routage de son VPC qui pointe vers la plage d'adresses IP de l'autre VPC (le VPC pair).

  4. Si nécessaire, mettez à jour les règles de groupes de sécurité qui sont associées à votre instance pour garantir que le trafic à destination et en provenance du VPC pair n'est pas limité. Si les deux VPC se trouvent dans la même région, vous pouvez faire référence à un groupe de sécurité à partir du VPC pair comme source ou destination des règles d'entrée et de sortie dans les règles de votre groupe de sécurité.

  5. Avec les options de connexion d'appairage de VPC par défaut, si les instances EC2 de part et d'autre d'une adresse de connexion d'appairage de VPC s'adressent l'une à l'autre en utilisant un nom d'hôte DNS public, le nom d'hôte est résolu en adresse IP publique de l'instance. Pour modifier ce comportement, activez la résolution de nom d'hôte DNS pour votre connexion VPC. Après l'activation de la résolution de nom d'hôte DNS, si des instances de l'un des deux côtés de la connexion d'appairage de VPC s'adressent l'une à l'autre à l'aide d'un nom d'hôte DNS public, le nom d'hôte est résolu en adresse IP privée de l'instance.

Pour plus d’informations, consultez Utilisation de connexions d'appairage de VPC.

Cycle de vie d'une connexion d'appairage de VPC

Une connexion d'appairage de VPC passe par plusieurs étapes à partir du moment où la demande a été initiée. Vous pouvez être amené à effectuer des actions lors de chaque étape. A la fin de son cycle de vie, la connexion d'appairage de VPC reste visible dans la console Amazon VPC; et dans l'API ou la sortie de la ligne de commande pendant une période de temps déterminée.

Cycle de vie d'une connexion d'appairage de VPC

  • Initiating-request : une demande de connexion d'appairage de VPC a été initiée. À ce stade, la connexion d'appairage peut échouer ou passer à l'état pending-acceptance.

  • Failed : la demande de connexion d'appairage de VPC a échoué. À ce stade, elle ne peut pas être acceptée, refusée ou supprimée. La connexion d'appairage de VPC ayant échoué reste visible pour le demandeur pendant 2 heures.

  • Pending-acceptance : La demande de connexion d'appairage de VPC attend d'être acceptée par le propriétaire du VPC accepteur. À ce stade, le propriétaire du VPC demandeur peut supprimer la demande, et le propriétaire du VPC accepteur peut accepter ou refuser la demande. Si aucune mesure n'est prise concernant la demande, elle expire au bout de 7 jours.

  • Expired : la demande de connexion d'appairage de VPC est arrivée à expiration et elle ne peut faire l'objet d'aucune action de la part des deux propriétaires des VPC. La connexion d'appairage de VPC arrivée à expiration reste visible pour les deux propriétaires de VPC pendant 2 jours.

  • Rejected : le propriétaire du VPC accepteur a rejeté une demande de connexion d'appairage de VPC pending-acceptance. À ce stade, la demande ne peut pas être acceptée. La connexion d'appairage de VPC refusée reste visible pendant 2 jours pour le propriétaire du VPC demandeur et pendant 2 heures pour le propriétaire du VPC accepteur. Si la demande a été créée dans le même compte AWS, la demande refusée reste visible pendant 2 heures.

  • Provisioning : la demande de connexion d'appairage de VPC a été acceptée et sera bientôt associée à l'état active.

  • Active : la connexion d'appairage de VPC est active et le trafic peut circuler entre les VPC (sous réserve que vos groupes de sécurité et tables de routage permettent le flux du trafic). À ce stade, les deux propriétaires de VPC peuvent supprimer la connexion d'appairage de VPC, mais ils ne peuvent pas la refuser.

    Note

    Si un événement d'une région dans laquelle un VPC réside empêche le flux du trafic, le statut de la connexion d'appairage de VPC demeure Active.

  • Deleting (Suppression) : s'applique à une connexion d'appairage de VPC inter-région qui se trouve en cours de suppression. Le propriétaire de l'un des VPC a envoyé une demande pour supprimer une connexion d'appairage de VPC active ou le propriétaire du VPC demandeur a envoyé une demande pour supprimer une demande de connexion d'appairage de VPC pending-acceptance.

  • Deleted : une connexion d'appairage de VPC active a été supprimée par l'un des propriétaires de VPC, ou une connexion d'appairage de VPC pending-acceptance a été supprimée par le propriétaire du VPC demandeur. À ce stade, la connexion d'appairage de VPC ne peut pas être acceptée ni refusée. La connexion d'appairage de VPC reste visible pendant 2 heures pour la personne qui l'a supprimée et pendant 2 jours pour l'autre. Si la connexion d'appairage de VPC a été créée dans le même compte AWS, la demande supprimée reste visible pendant 2 heures.

Connexions d'appairage de plusieurs VPC

Une connexion d'appairage de VPC est une relation un-à-un entre deux VPC. Vous pouvez créer plusieurs connexions d'appairage de VPC pour chaque VPC que vous détenez, mais les relations d'appairage transitives ne sont pas prises en charge. Vous n'avez aucune relation d'appairage avec les VPC avec lesquels votre VPC n'est pas directement appairé.

Le schéma suivant illustre un VPC appairé à deux VPC distincts. Dans cet exemple, il y a deux connexions d'appairage de VPC : VPC A est appairé à VPC B et VPC C. VPC B et VPC C ne sont pas appairés, et vous ne pouvez pas utiliser VPC A comme point de transit pour l'appairage entre VPC B et VPC C. Si vous souhaitez activer le routage du trafic entre VPC B et VPC C, vous devez créer une connexion d'appairage de VPC unique entre eux.

Un VPC appairé à deux VPC

Limitations des appairages de VPC

Tenez compte des limites suivantes pour les connexions d'appairage de VPC. Dans certains cas, vous pouvez utiliser un attachement de la passerelle de transit au lieu de la connexion d'appairage de VPC. Pour de plus amples informations, veuillez consulter Exemples dans Passerelles de transit Amazon VPC.

Connexions

  • Il existe un quota pour le nombre de connexions d'appairage de VPC actives et en attente par VPC. Pour plus d’informations, consultez Quotas d'une connexion d'appairage de VPC.

  • Vous ne pouvez pas avoir simultanément plusieurs connexions d'appairage de VPC entre deux VPC.

  • Les balises que vous créez pour la connexion d'appairage de votre VPC ne s'appliquent qu'au compte ou à la région dans lequel ou laquelle vous les créez.

  • Vous ne pouvez pas vous connecter au serveur Amazon DNS ou l'interroger dans un appairage de VPC.

  • Si le bloc d'adresse CIDR IPv4 d'un VPC dans une connexion d'appairage de VPC se trouve en dehors des plages d'adresses IPv4 privées spécifiées par RFC 1918, les noms d'hôtes DNS privés pour ce VPC ne peuvent pas être résolus en adresses IP privées. Pour résoudre des noms d'hôtes DNS privés en adresses IP privées, vous pouvez activer la prise en charge de la résolution DNS pour la connexion d'appairage de VPC. Pour plus d’informations, consultez Activation de la résolution DNS pour une connexion d'appairage de VPC.

  • Vous pouvez permettre aux ressources de chaque côté d'une connexion d'appairage de VPC de communiquer sur IPv6. Vous devez associer un bloc d'adresse CIDR IPv6 à chaque VPC, activer les instances dans les VPC pour les communications IPv6 et acheminer le trafic IPv6 destiné au VPC pair vers la connexion d'appairage de VPC.

  • La recherche par chemin inverse Unicast dans les connexions d'appairage de VPC n'est pas prise en charge. Pour plus d’informations, consultez Routage pour le trafic de la réponse.

Blocs d'adresse CIDR se chevauchant

  • Vous ne pouvez pas créer de connexion d'appairage de VPC entre des VPC dont les blocs d'adresse CIDR IPv4 ou IPv6 sont identiques ou se chevauchent.

  • Si vous avez plusieurs blocs d'adresse CIDR IPv4, vous ne pouvez pas créer de connexion d'appairage de VPC si certains blocs d'adresse CIDR se chevauchent, même si vous avez l'intention d'utiliser uniquement les blocs CIDR qui ne se chevauchent pas ou uniquement des blocs d'adresse CIDR IPv6.

Appairage transitif

  • L'appairage de VPC ne prend pas en charge les relations d'appairage transitives. Par exemple, s'il existe des connexions d'appairage de VPC entre le VPC A et le VPC B, et entre le VPC A et le VPC C, vous ne pouvez pas acheminer le trafic du VPC B vers le VPC C via le VPC A. Pour acheminer le trafic entre le VPC B et le VPC C, vous devez créer une connexion d'appairage de VPC entre eux. Pour plus d’informations, consultez Appairage de trois VPC.

Routage d'un bout à l'autre via une passerelle ou une connexion privée

  • Si le VPC A possède une passerelle Internet, les ressources du VPC B ne peuvent pas utiliser la passerelle Internet du VPC A pour accéder à Internet.

  • Si le VPC A possède un périphérique NAT qui offre un accès Internet aux sous-réseaux privés du VPC A, les ressources du VPC B ne peuvent pas utiliser le périphérique NAT dans le VPC A pour accéder à Internet.

  • Si le VPC A dispose d'une connexion VPN à un réseau d'entreprise, les ressources du VPC B ne peuvent pas utiliser la connexion VPN pour communiquer avec le réseau d'entreprise.

  • Si le VPC A possède une connexion AWS Direct Connect à un réseau d'entreprise, les ressources du VPC B ne peuvent pas utiliser la connexion AWS Direct Connect pour communiquer avec le réseau de l'entreprise.

  • Si le VPC A possède un point de terminaison de passerelle qui fournit une connectivité à Amazon S3 aux sous-réseaux privés du VPC A, les ressources du VPC B ne peuvent pas utiliser le point de terminaison de passerelle pour accéder à Amazon S3.

Connexions d'appairage de VPC entre régions

  • La valeur Unité de transmission maximale (MTU) dans une connexion d'appairage de VPC est de 1 500 octets entre régions. Les trames jumbo (MTU jusqu'à 9 001 octets) ne sont pas prises en charge pour les connexions d'appairage de VPC entre régions. Elles sont toutefois prises en charge pour les connexions d'appairage de VPC dans la même région. Pour en savoir plus sur les trames jumbo, consultez Trames jumbo (MTU de 9001) dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

  • Vous devez activer le support de résolution DNS pour la connexion d'appairage de VPC pour résoudre les noms d'hôtes DNS privés du VPC appairé en adresses IP privées, même si le bloc CIDR IPv4 du VPC se trouve dans les plages d'adresses IPv4 privées spécifiées par RFC 1918.

VPC et sous-réseaux partagés

  • Seuls les propriétaires de VPC peuvent utiliser (décrire, créer, accepter, rejeter, modifier ou supprimer) les connexions d'appairage. Les participants ne peuvent pas utiliser les connexions d'appairage. Pour de plus amples informations, veuillez consulter Partager votre VPC avec d'autres comptes dans le Guide de l'utilisateur Amazon VPC.