Accès à un système d'inspection à l'aide d'un point de terminaison d'équilibreur de charge de passerelle

Vous pouvez créer un point de terminaison d'équilibreur de charge de passerelle pour vous connecter aux services de points de terminaison développés par AWS PrivateLink.

Pour chaque sous-réseau que vous spécifiez à partir de votre VPC, nous créons une interface réseau de point de terminaison dans le sous-réseau et lui attribuons une adresse IP privée à partir de la plage d'adresses de sous-réseau. Une interface réseau de point de terminaison est une interface réseau gérée par le demandeur ; vous pouvez la visualiser dans votre Compte AWS, mais vous ne pouvez pas la gérer vous-même.

Des frais s'appliquent à l'utilisation horaire et au traitement de données. Pour plus d'informations, veuillez consulter Tarification des points de terminaison de équilibreur de charge de passerelle.

Considérations

• Vous ne pouvez choisir qu'une seule zone de disponibilité dans le VPC du consommateur du service. Vous ne pourrez plus changer ce sous-réseau par la suite. Pour utiliser un point de terminaison d'équilibreur de charge de passerelle dans un sous-réseau différent, vous devez créer un point de terminaison d'équilibreur de charge de passerelle.

• Vous pouvez créer un seul point de terminaison d'équilibreur de charge de passerelle par zone de disponibilité et par service, et vous devez sélectionner la zone de disponibilité que l'équilibreur de charge de passerelle prend en charge. Lorsque le fournisseur du service et le consommateur du service se trouvent dans des comptes différents, un nom de zone de disponibilité, tel que us-east-1a, peut être mappé à une zone de disponibilité physique différente dans chaque Compte AWS. Vous pouvez utiliser les identifiants AZ pour identifier de manière cohérente les zones de disponibilité de votre service. Pour plus d'informations, consultez la section AZ IDs dans le guide de l'utilisateur Amazon EC2.

• Pour pouvoir utiliser le service de point de terminaison, le fournisseur du service doit accepter les demandes de connexion. Le service ne peut pas lancer de requêtes vers les ressources de votre VPC via le point de terminaison de VPC. Le point de terminaison ne renvoie que les réponses au trafic initié par les ressources de votre VPC.

• Chaque point de terminaison de l’équilibreur de charge Passerelle peut prendre en charge une bande passante allant jusqu'à 10 Gbit/s par zone de disponibilité et augmente automatiquement jusqu'à 100 Gbit/s.

• Si un service de point de terminaison est associé à plusieurs équilibreurs de charge de passerelle, un point de terminaison d'équilibreur de charge de passerelle établit une connexion avec un seul équilibreur de charge par zone de disponibilité.

• Pour que le trafic reste dans la même zone de disponibilité, nous vous recommandons de créer un point de terminaison d'équilibreur de charge de passerelle dans chaque zone de disponibilité vers laquelle vous enverrez du trafic.

• La préservation de l'adresse IP du client Network Load Balancer n'est pas prise en charge lorsque le trafic est acheminé via un point de terminaison d'équilibreur de charge de passerelle, même si la cible se trouve dans le même VPC que le Network Load Balancer.

• Vos AWS PrivateLink ressources sont soumises à des quotas. Pour plus d’informations, consultez AWS PrivateLink quotas.

Prérequis

• Créez un VPC de consommateur du service avec au moins deux sous-réseaux dans la zone de disponibilité à partir de laquelle vous accéderez au service. Un sous-réseau est destiné aux serveurs d'applications et l'autre au point de terminaison d'équilibreur de charge de passerelle.

• Pour vérifier les zones de disponibilité prises en charge par le service de point de terminaison, décrivez le service de point de terminaison à l'aide de la console ou de la commande describe-vpc-endpoint-services.

• Si vos ressources se trouvent dans un sous-réseau doté d'une liste de contrôle d'accès (ACL, Access Control List) réseau, vérifiez que cette dernière autorise le trafic entre les interfaces réseau du point de terminaison et les ressources du VPC.

Créer le point de terminaison

Utilisez la procédure suivante pour créer un point de terminaison d'équilibreur de charge de passerelle qui se connecte au service de point de terminaison pour le système d'inspection.

Pour créer un point de terminaison d'équilibreur de charge de passerelle à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le panneau de navigation, choisissez Points de terminaison.

3. Choisissez Créer un point de terminaison.

4. Pour Service category (Catégorie de service), choisissez Other endpoint services (Autres services de point de terminaison).

5. Pour Service Name (Nom du service), saisissez le nom du service et choisissez Verify service (Vérifier le service).

6. Pour VPC, sélectionnez le VPC dans lequel créer le point de terminaison.

7. Pour Subnets (Sous-réseau), sélectionnez le sous-réseau dans lequel créer le point de terminaison.

8. Pour IP address type (Type d'adresse IP), choisissez l'une des options suivantes :

   • IPv4 – Attribuez des adresses IPv4 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4.

   • IPv6 – Attribuez des adresses IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 uniquement.

   • Dualstack – Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6.

9. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

10. Choisissez Créer un point de terminaison. L’état initial est pending acceptance.

Pour créer un point de terminaison d'équilibreur de charge de passerelle à l'aide de la ligne de commande

• create-vpc-endpoint (AWS CLI)

• New-EC2VpcEndpoint(Outils pour Windows PowerShell)

Configurer le routage

Utilisez la procédure suivante pour configurer les tables de routage pour le VPC du consommateur du service. Cela permet aux dispositifs de sécurité d'effectuer une inspection de sécurité du trafic entrant destiné aux serveurs d'applications. Pour plus d’informations, consultez Routage.

Pour configurer le routage à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Tables de routage.

3. Sélectionnez la table de routage pour la passerelle Internet et procédez comme suit :

   1. Choisissez Actions, Modifier les routes.

   2. Si vous êtes compatible avec IPv4, choisissez Add route (Ajouter un itinéraire). Pour Destination, entrez le bloc CIDR IPv4 du sous-réseau pour les serveurs d'applications. Pour Target (Cible), sélectionnez le point de terminaison d’un VPC.

   3. Si vous prenez en charge IPv6, choisissez Add route (Ajouter un itinéraire). Pour Destination, entrez le bloc CIDR IPv6 du sous-réseau pour les serveurs d'applications. Pour Target (Cible), sélectionnez le point de terminaison d’un VPC.

   4. Sélectionnez Enregistrer les modifications.

4. Sélectionnez la table de routage pour le sous-réseau avec les serveurs d'applications et procédez comme suit :

   1. Choisissez Actions, Modifier les routes.

   2. Si vous prenez en charge IPv4, choisissez Add route (Ajouter un itinéraire). En regard de Destination, entrez 0.0.0.0/0. Pour Target (Cible), sélectionnez le point de terminaison d’un VPC.

   3. Si vous prenez en charge IPv6, choisissez Add route (Ajouter un itinéraire). En regard de Destination, entrez ::/0. Pour Target (Cible), sélectionnez le point de terminaison de VPC.

   4. Sélectionnez Enregistrer les modifications.

5. Sélectionnez la table de routage pour le sous-réseau avec le point de terminaison d'équilibreur de charge de passerelle, puis procédez comme suit :

   1. Choisissez Actions, Modifier les routes.

   2. Si vous prenez en charge IPv4, choisissez Add route (Ajouter un itinéraire). En regard de Destination, entrez 0.0.0.0/0. Pour Target (Cible), sélectionnez la passerelle Internet.

   3. Si vous prenez en charge IPv6, choisissez Add route (Ajouter un itinéraire). En regard de Destination, entrez ::/0. Pour Target (Cible), sélectionnez la passerelle Internet.

   4. Sélectionnez Enregistrer les modifications.

Pour configurer le routage à l'aide de la ligne de commande

• create-route (AWS CLI)

• New-EC2Route(Outils pour Windows PowerShell)

Gérer les balises

Vous pouvez baliser votre point de terminaison d'équilibreur de charge de passerelle pour vous aider à l'identifier ou à le catégoriser en fonction des besoins de votre organisation.

Pour gérer les balises à l'aide de la console

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

2. Dans le panneau de navigation, choisissez Points de terminaison.

3. Sélectionnez le point de terminaison d'interface.

4. Choisissez Actions, Manage tags (Gérer les balises).

5. Pour chaque balise à ajouter, choisissez Add new tag (Ajouter une nouvelle balise) et saisissez la clé et la valeur de la balise.

6. Pour supprimer une balise, choisissez Remove (Supprimer) à droite de la clé et de la valeur de la balise.

7. Choisissez Enregistrer.

Pour gérer les balises à l'aide de la ligne de commande

• create-tags et delete-tags (AWS CLI)

• New-EC2Taget Remove-EC2Tag(Outils pour Windows PowerShell)

Suppression d'un point de terminaison d'équilibreur de charge de passerelle

Lorsque vous avez terminé avec un point de terminaison, vous pouvez le supprimer. La suppression d'un point de terminaison d'équilibreur de charge de passerelle supprime également les interfaces réseau du point de terminaison. Vous ne pouvez pas supprimer un point de terminaison d'un équilibreur de charge de passerelle s'il existe des itinéraires dans vos tables de routage qui pointent vers ce point de terminaison.

Pour supprimer un point de terminaison d'équilibreur de charge de passerelle

1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Points de terminaison, puis sélectionnez votre point de terminaison.

3. Choisissez Actions, Supprimer le point de terminaison.

4. Dans le message de confirmation, sélectionnez Oui, supprimer.

Pour supprimer un point de terminaison d'équilibreur de charge de passerelle

• delete-vpc-endpoints (AWS CLI)

• Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell)