Bonnes pratiques pour la conception de passerelles de transit - Amazon VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques pour la conception de passerelles de transit

Voici les meilleures pratiques pour la conception de votre passerelle de transit :

  • Utilisez un sous-réseau distinct pour chaque attachement de VPC de passerelle de transit. Pour chaque sous-réseau, utilisez un petit CIDR, par exemple /28, afin d'avoir plus d'adresses pour les ressources EC2. Lorsque vous utilisez un sous-réseau distinct, vous pouvez configurer les éléments suivants :

    • Gardez ouvertes les ACL réseau entrante et sortante associées aux sous-réseaux de la passerelle de transit.

    • En fonction de votre flux de trafic, vous pouvez appliquer des ACL réseau à vos sous-réseaux de charge de travail.

  • Créez une ACL réseau et combinez-la à tous les sous-réseaux associés à la passerelle de transit. Gardez la liste ACL réseau ouverte dans les directions entrantes et sortantes.

  • Associez la même table de routage de VPC à tous les sous-réseaux attachés à la passerelle de transit, sauf si la conception de votre réseau nécessite plusieurs tables de routage de VPC (par exemple, un VPC middle-box qui achemine le trafic par le biais de plusieurs passerelles NAT).

  • Utilisez les connexions Site-to-Site VPN BGP (Border Gateway Protocol). Si votre passerelle client ou votre pare-feu pour la connexion prend en charge plusieurs chemins, activez la fonction.

  • Activez la propagation des routes pour les attachements de passerelle AWS Direct Connect et les réseaux Site-to-Site VPN BGP.

  • Lors de la migration depuis l'appairage de VPC pour utiliser une passerelle de transit, tenez compte des éléments suivants :

    • Une passerelle de transit ne prend pas en charge le référencement de groupes de sécurité.

    • Un décalage de taille MTU entre l'appairage de VPC et la passerelle de transit peut entraîner la chute de certains paquets pour le trafic asymétrique. Mettez à jour les deux VPC en même temps pour éviter la chute des paquets jumbo en raison d'un décalage de taille.

  • Vous n'avez pas besoin d'autres passerelles de transit pour une haute disponibilité, car elle le sont déjà grâce à leur conception.

  • Limitez le nombre de tables de routage de passerelle de transit, sauf si votre conception nécessite plusieurs tables de routage de passerelle de transit.

  • Pour la redondance, utilisez une passerelle de transit unique dans chaque région pour la reprise après sinistre.

  • Pour les déploiements avec plusieurs passerelles de transit, nous vous recommandons d'utiliser un numéro ASN (Autonomous System Number) unique pour chacune de vos passerelles de transit. Vous pouvez également utiliser l'appairage inter-région. Pour plus d'informations, lisez l'article de blog Building a global network using AWS Transit Gateway Inter-Region peering.