Fonctionnement des passerelles de transit - Amazon VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fonctionnement des passerelles de transit

Une passerelle de transit agit en tant que routeur virtuel régional pour le trafic circulant entre vos Virtual Private Clouds (VPC) et connexions sur site. Une passerelle de transit dispose d’une scalabilité élastique en fonction du volume de trafic réseau. L’acheminement via une passerelle de transit fonctionne comme une couche 3, où les paquets sont envoyés vers un attachement next hop précis, en fonction de leurs adresses IP de destination.

Diagramme d'architecture

Le diagramme suivant montre une passerelle de transit avec des trois attachements VPC. La table de routage de chacun de ces VPC inclut l'acheminement local et ceux qui envoient le trafic destiné aux deux autres VPC vers la passerelle de transit.


                Option de connectivité VPN

Voici un exemple de table de routage de passerelle de transit par défaut pour les attachements présentés dans le diagramme précédent. Les blocs d'adresse CIDR de chaque VPC sont propagés vers la table de routage. Par conséquent, chaque attachement peut acheminer des paquets vers les deux autres attachements.

Destination Target Type de routage
CIDR VPC A Attachement pour le VPC A propagée
CIDR VPC B Attachement pour le VPC B propagée
CIDR VPC C Attachement pour le VPC C propagée

Attachements de ressources

Un attachement de passerelle de transit est à la fois une source et une destination pour les paquets. Vous pouvez associer les ressources suivantes à votre passerelle de transit :

  • Un ou plusieurs VPC. AWS Transit Gateway déploie une interface réseau élastique au sein des sous-réseaux VPC, qui est ensuite utilisée par la passerelle de transit pour acheminer le trafic vers et depuis les sous-réseaux choisis. Vous devez disposer d'au moins un sous-réseau pour chaque zone de disponibilité, ce qui permet au trafic d'atteindre les ressources de chaque sous-réseau de cette zone. Lors de la création du'ne pièce jointe, les ressources d'une zone de disponibilité particulière peuvent atteindre une passerelle de transit uniquement si un sous-réseau est activé dans la même zone. Si une table de routage comprend une route vers la passerelle de transit, le trafic n'est transféré vers la passerelle de transit que lorsqu'elle possède un attachement dans un sous-réseau de la même zone de disponibilité.

  • Une ou plusieurs connexions VPN

  • Une ou plusieurs AWS Direct Connect passerelles

  • Une ou plusieurs attachements Connect de passerelle de transit

  • Une ou plusieurs connexions d'appairage pour les passerelle de transit

  • Un attachement de la passerelle de transit peut être à la fois une source et une destination pour les paquets

Routage multivoies à coût égal

AWS Transit Gateway prend en charge le routage ECMP (Equal Cost Multipath) pour la plupart des pièces jointes. Pour un attachement de VPN, vous pouvez activer ou désactiver le support ECMP à l'aide de la console lors de la création ou de la modification d'une passerelle de transit. Pour tous les autres types d'attachement, les restrictions ECMP suivantes s'appliquent :

  • VPC : le VPC ne prend pas en charge ECMP car les blocs CIDR ne peuvent pas se chevaucher. Par exemple, vous ne pouvez pas associer un VPC avec un CIDR 10.1.0.0/16 à un second VPC utilisant le même CIDR à une passerelle de transit, puis configurer le routage pour équilibrer la charge du trafic entre eux.

  • VPN : lorsque l'option de support ECMP du VPN est désactivée, une passerelle de transit utilise des indicateurs internes pour déterminer le chemin préféré en cas de présence de préfixes identiques sur plusieurs chemins. Pour plus d'informations sur l'activation ou la désactivation de l'ECMP pour un attachement VPN, consultez Passerelles de transit.

  • AWS Transit Gateway Connect - Les pièces jointes AWS Transit Gateway Connect prennent automatiquement en charge l'ECMP.

  • AWS Direct Connect Passerelle : les pièces jointes de AWS Direct Connect passerelle prennent automatiquement en charge le protocole ECMP sur plusieurs pièces jointes de passerelle Direct Connect lorsque le préfixe réseau, la longueur du préfixe et le code AS_PATH sont exactement identiques.

  • Appairage de passerelle de transit : l'appairage de passerelle de transit ne prend pas en charge ECMP car il ne prend pas en charge le routage dynamique et ne permet pas de configurer la même route statique pour deux cibles différentes.

Note
  • BGP Multipath AS-Path Relax n'étant pas pris en charge, vous ne pouvez pas utiliser ECMP sur différents numéros de système autonome (ASN).

  • ECMP n'est pas pris en charge entre les différents types d'attachement. Par exemple, vous ne pouvez pas activer ECMP entre un VPN et un attachement de VPC. Au lieu de cela, les routes de passerelle de transit sont évaluées et le trafic est acheminé en fonction de la route évaluée. Pour de plus amples informations, veuillez consulter Ordre d'évaluation des routes.

  • Une passerelle Direct Connect unique prend en charge ECMP sur plusieurs interfaces virtuelles de transit. Par conséquent, nous vous recommandons de configurer et d'utiliser une seule passerelle Direct Connect et de ne pas configurer et d'utiliser plusieurs passerelles pour tirer parti d'ECMP. Pour plus d'informations sur les passerelles Direct Connect et les interfaces virtuelles publiques, voir Comment configurer une connexion AWS Direct Connect active/active ou active/passive depuis une interface virtuelle publique ? .

Zones de disponibilité

Lorsque vous attachez un VPC à une passerelle de transit, vous devez permettre l’utilisation d’une ou plusieurs zones de disponibilité par cette passerelle de transit afin d’acheminer le trafic vers les ressources au sein des sous-réseaux du VPC. Pour activer chaque zone de disponibilité, vous devez spécifier exactement un sous-réseau. La passerelle de transit place une interface réseau dans ce sous-réseau à l’aide d’une adresse IP du sous-réseau. Après avoir activé une zone de disponibilité, le trafic peut être acheminé vers tous ses sous-réseaux dans le VPC, pas uniquement le sous-réseau ou la zone de disponibilité spécifiés. Toutefois, seules les ressources qui résident dans les zones de disponibilité où il existe un attachement de passerelle de transit peuvent atteindre la passerelle de transit.

Si le trafic provient d'une zone de disponibilité dans laquelle la pièce jointe de destination n'est pas présente, AWS Transit Gateway achemine ce trafic en interne vers une zone de disponibilité aléatoire où la pièce jointe est présente. Il n'y a aucun frais de passerelle de transit supplémentaire pour ce type de trafic entre zones de disponibilité.

Nous vous recommandons d'activer plusieurs zones de disponibilité pour assurer une disponibilité.

Utilisation du support du mode appliance

Si vous prévoyez de configurer une appliance réseau avec état dans votre VPC, vous pouvez activer le support du mode appliance pour cet attachement de VPC. Cela garantit que la passerelle de transit utilise la même zone de disponibilité pour cet attachement de VPC pendant la durée de vie d'un flux de trafic entre la source et la destination. Cela permet également à la passerelle de transit d'envoyer du trafic vers n'importe quelle zone de disponibilité du VPC, à condition qu'il existe une association de sous-réseau au sein de cette zone. Pour de plus amples informations, veuillez consulter Exemple : Appliance dans un VPC de services partagés.

Routage

Votre passerelle de transit achemine les paquets IPv4 et IPv6 entre les attachements à l'aide des tables de routage de passerelle de transit. Vous pouvez configurer ces tables de routage pour propager des routes depuis les tables de routage pour les VPC attachés, les connexions VPN et les passerelles Direct Connect. Vous pouvez également ajouter des routes statiques aux tables de routage de passerelle de transit. Lorsqu’un paquet vient d’un attachement, il est acheminé vers un autre attachement en utilisant le routage correspondant à l’adresse IP de destination.

Pour les attachements d'appairage de passerelle de transit, seules les routes statiques sont prises en charge.

Tables de routage

Votre passerelle de transit est automatiquement fournie avec une table de routage par défaut. Par défaut, cette table de routage est la table de routage d’association par défaut et la table de routage de propagation par défaut. Sinon, si vous désactivez la propagation du routage et l’association de la table de routage, AWS ne crée pas de table de routage par défaut pour la passerelle de transit.

Vous pouvez créer des tables de routage supplémentaires pour votre passerelle de transit. Cela vous permet d’isoler des sous-ensembles d’attachements. Chaque attachement peut être associé à une table de routage. Un attachement peut propager ses routes à une ou plusieurs autres tables de routage.

Vous pouvez créer une route blackhole dans votre table de routage de passerelle de transit, qui supprime le trafic correspondant à la route.

Lorsque vous attachez un VPC à une passerelle de transit, vous devez ajouter un itinéraire à votre table de routage de sous-réseau afin que le trafic passe par la passerelle de transit. Pour de plus amples informations, veuillez consulter Routage pour une passerelle de transit dans le Guide de l’utilisateur Amazon VPC.

Association de table de routage

Vous pouvez associer un attachement de une passerelle de transit à une seule table de routage. Chaque table de routage peut être associée ou non, avec plusieurs attachements et peut transférer des paquets vers d’autres attachements.

Propagation du routage

Chaque attachement est fourni avec des routes pouvant être installées dans une ou plusieurs tables de routage de passerelle de transit. Lorsqu’un attachement est propagé vers une table de routage de passerelle de transit, ces routes sont installées dans la table de routage. Vous ne pouvez pas filtrer les itinéraires annoncés.

Pour un attachement VPC, les blocs d'adresse CIDR du VPC sont propagés à la table de routage de la passerelle de transit.

Lorsque le routage dynamique est utilisé avec un attachement VPN ou un attachement de passerelle Direct Connect, vous pouvez propager les routes acquises auprès du routeur sur site via BGP vers n'importe quelle table de routage de passerelle de transit.

Lorsque le routage dynamique est utilisé avec un attachement VPN, les routes de la table de routage associée à l'attachement VPN sont publiés sur la passerelle client via BGP.

Pour une pièce jointe Connect, les routes de la table de routage associée à la pièce jointe Connect sont annoncés aux appliances virtuelles tierces, telles que les appliances SD-WAN, exécutées dans un VPC via BGP.

Pour une connexion à une passerelle Direct Connect, les interactions avec les préfixes autorisés contrôlent les itinéraires à partir desquels les itinéraires sont annoncés au réseau du client. AWS

Lorsqu'une route statique et un route propagée ont la même destination, la route statique a la priorité la plus élevée. La route propagée n'est donc pas incluse dans la table de routage. Si vous supprimez la route statique, la route propagée superposée est incluse dans la table de routage.

Routes pour les attachements d'appairage

Vous pouvez appairer deux passerelles de transit, et acheminer le trafic entre elles. Pour ce faire, vous créez un attachement d'appairage sur votre passerelle de transit et spécifiez la passerelle de transit pair avec laquelle créer la connexion d'appairage. Vous créez ensuite une toute statique dans votre table de routage de passerelle de transit pour acheminer le trafic vers l’attachement d'appairage de passerelle de transit. Le trafic acheminé vers la passerelle de transit pair peut ensuite être acheminé vers les attachements de VPC et réseaux VPN pour la passerelle de transit pair.

Pour plus d'informations, consultez Exemple : passerelles de transit appairées.

Ordre d'évaluation des routes

Les routes de passerelle de transit sont évaluées dans l'ordre suivant :

  • Route la plus spécifique pour l'adresse de destination.

  • Si les acheminements ont les mêmes adresses IP de destination, mais des cibles différentes, la priorité des acheminements est la suivante :

    • Routes statiques (par exemple, routes statiques Site-to-Site VPN)

    • Acheminements référencés dans la liste des préfixes

    • Routes propagées VPC

    • Routes propagées de passerelle Direct Connect

    • Routes propagées de transit Gateway Connect

    • Routes propagées Site-to-Site VPN

    • Routes propagées d'appairage de Passerelle de transit (Cloud WAN)

Transit Gateway n'affiche qu'un acheminement préféré. Un acheminement de sauvegarde dans la table de routage de Transit Gateway que si cet itinéraire n'est plus annoncé. Par exemple, si vous annoncez les mêmes itinéraires via la passerelle Direct Connect et via le VPN Site-to-Site. AWS Transit Gateway n'affichera que les itinéraires reçus de la passerelle Direct Connect, qui est l'itinéraire préféré. Le Site-to-Site VPN, qui est la route de sauvegarde, s'affiche uniquement lorsque la passerelle Direct Connect n'est plus annoncée.

Différences entre les tables de routage du VPC et de la passerelle de transit

L'évaluation de la table de routage diffère selon que vous utilisiez une table de routage VPC ou une table de routage de passerelle de transit.

L'exemple suivant montre une table de routage VPC. La route locale de VPC dispose de la priorité la plus élevée, devant les routes les plus spécifiques. Lorsqu'une route statique et une route propagée ont une même destination, la route statique à la priorité.

Destination Target Priority
10.0.0.0/16

Locale

1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345 (statique) ou

tgw-12345 (statique)

2
172.31.0.0/16 vgw-12345 (propagée) 3
0.0.0.0/0 igw-12345 4

L'exemple suivant montre une table de routage de passerelle de transit. Si vous préférez utiliser l’attachement de passerelle AWS Direct Connect plutôt que le réseau VPN, vous pouvez utiliser une connexion VPN BGP et propager les routes dans la table de routage de passerelle de transit.

Destination Attachement (Cible) Type de ressource Type de routage Priority
10.0.0.0/16 tgw-attach-123 | vpc-1234 VPC Statique ou propagée 1
192.168.0.0/16 tgw-attach-789 | vpn-5678 VPN Statique 2
172.31.0.0/16 tgw-attach-456 | dxgw_id AWS Direct Connect passerelle Propagée 3
172.31.0.0/16 tgw-attach-789 | -123 tgw-connect-peer Connexion Propagé 4
172.31.0.0/16 tgw-attach-789 | vpn-5678 VPN Propagée 5