Accédez aux appliances virtuelles via AWS PrivateLink - Amazon Virtual Private Cloud
PrésentationTypes d'adresses IPRoutage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez aux appliances virtuelles via AWS PrivateLink

Vous pouvez utiliser un équilibreur de charge de passerelle pour distribuer le trafic à un parc d’appliances virtuelles réseau. Les appliances peuvent être utilisées pour l’inspection de sécurité, la conformité, les contrôles de stratégie et d’autres services de mise en réseau. Vous spécifiez l'équilibreur de charge de passerelle lorsque vous créez un service de point de terminaison d’un VPC. D'autres principaux AWS accèdent au service de point de terminaison en créant un point de terminaison d'équilibreur de charge de passerelle.

Tarification

Vous êtes facturé pour chaque heure pendant laquelle votre point de terminaison Gateway Load Balancer est approvisionné dans chaque zone de disponibilité. Vous êtes également facturé par Go de données traitées. Pour plus d’informations, consultez Tarification d’AWS PrivateLink.

Table des matières

Pour plus d'informations, consultez Gateway Load Balancers.

Présentation

Le schéma suivant montre comment les serveurs d'applications accèdent aux dispositifs de sécurité via AWS PrivateLink. Les serveurs d'applications s'exécutent dans un sous-réseau du VPC du consommateur du service. Vous créez un point de terminaison d'équilibreur de charge de passerelle dans un autre sous-réseau du même VPC. Tout le trafic entrant dans le VPC du consommateur du service par la passerelle Internet est d'abord acheminé vers le point de terminaison d'équilibreur de charge de passerelle pour inspection, puis acheminé vers le sous-réseau de destination. De même, tout le trafic quittant les serveurs d'applications est acheminé vers le point de terminaison d'équilibreur de charge de passerelle pour être inspecté avant d'être réacheminé par la passerelle Internet.

Utilisation d'un point de terminaison d'équilibreur de charge de passerelle pour accéder aux dispositifs de sécurité.
Trafic depuis Internet vers les serveurs d'applications (flèches bleues) :

  1. Le trafic entre dans le VPC du consommateur du service via la passerelle Internet.

  2. Le trafic est envoyé au point de terminaison d'équilibreur de charge de passerelle, en fonction de la configuration de la table de routage.

  3. Le trafic est envoyé à l'équilibreur de charge de passerelle pour être inspecté par le dispositif de sécurité.

  4. Le trafic est renvoyé au point de terminaison d'équilibreur de charge de passerelle après inspection.

  5. Le trafic est envoyé aux serveurs d'applications, en fonction de la configuration de la table de routage.

Trafic des serveurs d'application vers Internet (flèches oranges) :

  1. Le trafic est envoyé au point de terminaison d'équilibreur de charge de passerelle, en fonction de la configuration de la table de routage.

  2. Le trafic est envoyé à l'équilibreur de charge de passerelle pour être inspecté par le dispositif de sécurité.

  3. Le trafic est renvoyé au point de terminaison d'équilibreur de charge de passerelle après inspection.

  4. Le trafic est envoyé à la passerelle Internet en fonction de la configuration de la table de routage.

  5. Le trafic est redirigé vers Internet.

Types d'adresses IP

Les fournisseurs du service peuvent mettre leurs points de terminaison à la disposition des consommateurs du service sur IPv4, IPv6 ou IPv4 et IPv6, même si leurs appareils de sécurité ne prennent en charge qu'IPv4. Si vous activez le support dualstack, les consommateurs existants peuvent continuer à utiliser le protocole IPv4 pour accéder à votre service et les nouveaux consommateurs peuvent choisir d'utiliser le protocole IPv6 pour accéder à votre service.

Si le point de terminaison équilibreur de charge de Passerelle prend en charge le protocole IPv4, les interfaces réseau du point de terminaison possèdent des adresses IPv4. Si le point de terminaison équilibreur de charge de Passerelle prend en charge le protocole IPv6, les interfaces réseau du point de terminaison possèdent des adresses IPv6. L'adresse IPv6 d'une interface réseau de point de terminaison est inaccessible depuis Internet. Si vous décrivez une interface réseau de point de terminaison avec une adresse IPv6, remarquez que denyAllIgwTraffic est activé.

Exigences pour activer IPv6 pour un service de point de terminaison

  • Le VPC et les sous-réseaux du service de point de terminaison doivent être associés à des blocs CIDR IPv6.

  • L’équilibreur de charge de la Passerelle du service du point de terminaison doit utiliser le type d'adresse IP dualstack. Les dispositifs de sécurité n'ont pas besoin de prendre en charge le trafic IPv6.

Exigences pour activer IPv6 pour un point de terminaison Gateway Load Balancer

  • Le service de point de terminaison doit avoir un type d'adresse IP prenant en charge le protocole IPv6.

  • Le type d'adresse IP d'un point de terminaison d'interface équilibreur de charge de la Passerelle doit être compatible avec le sous-réseau du point de terminaison équilibreur de charge de la Passerelle, comme décrit ici :

    • IPv4 – Attribuez des adresses IPv4 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4.

    • IPv6 – Attribuez des adresses IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 uniquement.

    • Dualstack – Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6.

  • Les tables de routage des sous-réseaux du VPC consommateur de services doivent acheminer le trafic IPv6 et les ACL réseau de ces sous-réseaux doivent autoriser le trafic IPv6.

Routage

Pour acheminer le trafic vers le service de point de terminaison, spécifiez le point de terminaison d'équilibreur de charge de passerelle comme cible dans vos tables de routage, à l'aide de son ID. Pour le schéma ci-dessus, ajoutez des itinéraires aux tables de routage comme suit. Notez que les routages IPv6 sont inclus pour une configuration dualstack.

Table de routage pour la passerelle Internet

Cette table de routage doit comporter un itinéraire qui envoie le trafic destiné aux serveurs d'applications vers le point de terminaison d'équilibreur de charge de passerelle.

Destination Cible
CIDR IPv4 VPC Local
CIDR IPv6 VPC Local
Sous-réseau d'application CIDR IPv4 vpc-endpoint-id
Sous-réseau d'application CIDR IPv6 vpc-endpoint-id
Table de routage pour le sous-réseau avec les serveurs d'applications

Cette table de routage doit comporter un itinéraire qui envoie le trafic destiné aux serveurs d'applications vers le point de terminaison d'équilibreur de charge de passerelle.

Destination Cible
CIDR IPv4 VPC Local
CIDR IPv6 VPC Locale
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
Table de routage pour le sous-réseau avec le point de terminaison d' équilibreur de charge de passerelle

Cette table de routage doit envoyer le trafic renvoyé par l'inspection vers sa destination finale. Pour le trafic provenant d'Internet, l'itinéraire local envoie le trafic vers les serveurs d'applications. Pour le trafic provenant des serveurs d'applications, ajoutez un itinéraire qui envoie tout le trafic à la passerelle Internet.

Destination Cible
CIDR IPv4 VPC Local
CIDR IPv6 VPC Locale
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id