Attachements Transit Gateway Connect et pairs Transit Gateway Connect - Amazon VPC
Connecter les pairsExigences et considérationsCréation d'un attachement ConnectCréer un pair Connect (tunnel GRE)Affichage de vos attachements Connect et de vos pairs ConnectModifier votre attachement Connect et vos balises de pair ConnectSupprimer un pair ConnectSuppression d'un attachement Connect

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attachements Transit Gateway Connect et pairs Transit Gateway Connect

Vous pouvez créer un attachement Transit Gateway Connect pour établir une connexion entre une passerelle de transit et des appliances virtuelles tierces (telles que les appliances SD-WAN) exécutées dans un VPC. Une attachement Connect prend en charge le protocole de tunnel GRE (Generic Routing Encapsulation) pour des performances élevées, et le protocole BGP (Border Gateway Protocol) pour le routage dynamique. Après avoir créé un attachement Connect, vous pouvez créer un ou plusieurs tunnels GRE (également appelés pairs Transit Gateway Connect) sur l'attachement Connect pour connecter la passerelle de transit et l'appliance tierce. Établissez deux sessions BGP sur le tunnel GRE pour échanger des informations de routage.

Important

Un pair de passerelle de transit Connect se compose de deux sessions d'appairage BGP résiliées sur une infrastructure gérée par AWS. Les deux sessions d'appairage BGP fournissent une redondance du plan de routage, garantissant ainsi que la perte d'une session d'appairage BGP n'affecte pas votre opération de routage. Les informations de routage reçues par les deux sessions BGP sont cumulées pour le pair Connect donné. Les deux sessions d'appairage BGP protègent également contre toute opérations d'infrastructure AWS telle que la maintenance de routine, l'application de correctifs, les mises à niveau matérielles et les remplacements. Si votre pair Connect fonctionne sans la session d'appairage BGP double recommandée configurée pour la redondance, il peut subir une perte de connectivité momentanée pendant les opérations d'infrastructure AWS. Nous vous recommandons fortement de configurer les deux sessions d'appairage BGP sur votre pair Connect. Si vous avez configuré plusieurs pairs Connect pour prendre en charge la haute disponibilité côté appliance, nous vous recommandons de configurer les deux sessions d'appairage BGP sur chacun de vos pairs Connect.

Un attachement Connect utilise un VPC ou un attachement Direct Connect existant comme mécanisme de transport sous-jacent. C'est ce qu'on appelle un attachement de transport. La passerelle de transit identifie les paquets GRE correspondants provenant de l'appliance tierce en tant que trafic provenant de l'attachement Connect. Elle traite tous les autres paquets, y compris les paquets GRE avec des informations de source ou de destination incorrectes, comme du trafic provenant de l'attachement de transport.

Note

Pour utiliser un attachement Direct Connect comme mécanisme de transport, vous devez d'abord intégrer Direct Connect à AWS Transit Gateway. Pour connaître les étapes à suivre pour créer cette intégration, consultez Intégrer des appareils SD-WAN à AWS Transit Gateway et AWS Direct Connect.

Connecter les pairs

Un pair Connect (tunnel GRE) comprend les composants suivants.

Blocs d'adresse CIDR à l'intérieur (adresses BGP)

Les adresses IP internes utilisées pour l'appairage BGP. Vous devez spécifier un bloc d'adresse CIDR /29 à partir de la plage 169.254.0.0/16 pour IPv4. Vous pouvez éventuellement spécifier un bloc d'adresse CIDR /125 à partir de la plage fd00::/8 pour IPv6. Les blocs d'adresse CIDR suivants sont réservés et ne peuvent pas être utilisés :

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

Vous devez configurer la première adresse de la plage IPv4 de l'appliance en tant qu'adresse IP BGP. Lorsque vous utilisez IPv6, si votre bloc d'adresse CIDR intérieur est fd00::/125, vous devez configurer la première adresse de cette plage (fd00::1) sur l'interface tunnel de l'appliance.

Les adresses BGP doivent être uniques dans tous les tunnels d'une passerelle de transit.

Adresses IP d'appairage

Adresse IP d’appairage (adresse IP externe GRE) du côté appliance du pair Connect. Il peut s'agir de n'importe quelle adresse IP. L'adresse IP peut être une adresse IPv4 ou IPv6, mais elle doit être de la même famille d'adresses IP que l'adresse de passerelle de transit.

Adresse de passerelle de transit

Adresse IP d’appairage (adresse IP externe GRE) du côté passerelle de transit du pair Connect. L'adresse IP doit être spécifiée à partir du bloc d'adresse CIDR de la passerelle de transit et doit être unique sur les attachements Connect de la passerelle de transit. Si vous ne spécifiez pas d'adresse IP, nous utilisons la première adresse disponible dans le bloc d'adresse CIDR de la passerelle de transit.

Vous pouvez ajouter un bloc d'adresse CIDR de passerelle de transit lorsque vous créez ou modifiez une passerelle de transit.

L'adresse IP peut être une adresse IPv4 ou IPv6, mais elle doit être de la même famille d'adresses IP que l'adresse IP d'appairage.

L'adresse IP d'appairage et l'adresse de passerelle de transit sont utilisées pour identifier de manière unique le tunnel GRE. Vous pouvez réutiliser l'une ou l'autre adresse sur plusieurs tunnels, mais pas les deux dans le même tunnel.

Transit Gateway Connect pour l'appairage BGP prend uniquement en charge le BGP multiprotocole (MP-BGP), où l'adressage IPv4 Unicast est également requis pour établir une session BGP pour IPv6 Unicast. Vous pouvez utiliser des adresses IPv4 et IPv6 pour les adresses IP GRE externes.

L'exemple suivant affiche un attachement Connect entre une passerelle de transit et une appliance dans un VPC.

Attachement Connect de passerelle de transit et pair Connect
Composant de schéma Description
Montre comment les attachements VPC sont représentés dans l'exemple de diagramme.
Attachement VPC
Montre comment les attachements Connect sont représentés dans l'exemple de diagramme.
Connexion d'attachement
Montre comment les tunnels GRE sont représentés dans l'exemple de diagramme.
Tunnel GRE (pair Connect)
Montre comment les sessions d'appairage BGP sont représentées dans l'exemple de diagramme.
Session d'appairage BGP

Dans l'exemple précédent, un attachement Connect est créé sur un attachement VPC existant (l'attachement de transport). Un pair Connect est créé sur l’attachement Connect pour établir une connexion à une appliance dans le VPC. L'adresse de la passerelle de transit est 192.0.2.1, et la plage d'adresses BGP est 169.254.6.0/29. La première adresse IP de la plage (169.254.6.1) est configurée sur l'appliance en tant qu'adresse IP BGP appairée.

La table de routage de sous-réseau pour le VPC C a une route qui dirige le trafic destiné au bloc d'adresse CIDR de la passerelle de transit vers la passerelle de transit.

Destination Cible
172.31.0.0/16 Locale
192.0.2.0/24 tgw-id

Exigences et considérations

Voici les exigences et considérations relatives à l'attachement Connect :

  • Pour plus d'informations sur les régions qui prennent en charge les attachements Connect, consultez les FAQ sur AWS Transit Gateways.

  • L'appliance tierce doit être configurée pour envoyer et recevoir du trafic via un tunnel GRE vers et en provenance de la passerelle de transit à l'aide de l'attachement Connect.

  • L'appliance tierce doit être configurée pour utiliser BGP pour les mises à jour de routage dynamiques et les vérifications de l'état.

  • Les types de BGP suivants sont pris en charge :

    • BGP extérieur (eBGP) : Utilisé pour la connexion à des routeurs se trouvant dans un système autonome différent de la passerelle de transit. Si vous utilisez eBGP, vous devez configurer ebgp-multihop avec une valeur TTL (time-to-live) de 2.

    • BGP intérieur (iBGP) : Utilisé pour la connexion à des routeurs se trouvant dans le même système autonome que la passerelle de transit. La passerelle de transit n'installera pas de routes provenant d'un pair iBGP (appliance tierce), sauf si les routes proviennent d'un pair eBGP et doivent avoir un next hop auto-configuré. Les routes annoncées par une appliance tierce via l'appairage iBGP doivent avoir un ASN.

    • MP-BGP (extensions multiprotocoles pour BGP) : Utilisé pour prendre en charge plusieurs types de protocole, tels que les familles d'adresses IPv4 et IPv6.

  • Le délai d'attente des connexions actives BGP par défaut est de 10 secondes et le délai d'attente par défaut est de 30 secondes.

  • L'appairage BGP IPv6 n'est pas pris en charge ; seul l'appairage BGP basé sur IPv4 est pris en charge. Les préfixes IPv6 sont échangés via l'appairage BGP IPv4 en utilisant MP-BGP.

  • Le protocole BFD (Bidirectional Forwarding Detection) n'est pas pris en charge.

  • Le redémarrage en douceur de BGP n'est pas pris en charge.

  • Lorsque vous créez un pair de passerelle de transit, si vous ne spécifiez pas de numéro de pair ASN, nous choisissons le numéro ASN de la passerelle de transit. Cela signifie que votre appliance et votre passerelle de transit seront dans le même système autonome utilisant iBGP.

  • Un pair Connect utilisant l'attribut BGP AS-PATH est la route préférée lorsque vous avez deux pairs Connect.

    Pour utiliser le routage ECMP (equal-cost multi-path) entre plusieurs appliances, vous devez configurer l'appliance pour qu'elle annonce les mêmes préfixes sur la passerelle de transit avec le même attribut BGP AS-PATH. Pour que la passerelle de transit choisisse tous les chemins ECMP disponibles, les numéros AS-PATH et ASN (Autonomous System Number) doivent correspondre. La passerelle de transit peut utiliser ECMP entre les pairs Connect pour le même attachement Connect ou entre des attachements Connect sur la même passerelle de transit. La passerelle de transit ne peut pas utiliser ECMP entre les appairages BGP redondants qu'un seul pair lui a établi.

  • Avec un attachement Connect, les routes sont propagées à une table de routage de passerelle de transit par défaut.

  • Les routes statiques ne sont pas prises en charge.

  • Assurez-vous que l’unité de transmission maximale (MTU) de l’interface externe de votre appareil tiers (source tunnel)

    • corresponde à la MTU de l'interface du tunnel GRE, ou

    • soit supérieure à celle de l’interface du tunnel GRE.

Création d'un attachement Connect

Pour créer un attachement Connect, vous devez spécifier un attachement existant en tant qu'attachement de transport. Vous pouvez spécifier un attachement VPC ou Direct Connect comme attachement de transport.

Pour créer un attachement Connect à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Attachements de la passerelle de transit.

  3. Choisissez Create transit gateway attachment (Créer un attachement de la passerelle de attachement de la passerelle de transit).

  4. (Facultatif) Pour Name tag (Balise de nom), spécifiez une balise de nom pour l'attachement.

  5. Pour Transit gateway ID (ID de la passerelle de transit), choisissez la passerelle de transit pour l'attachement.

  6. Pour Attachment type (Type d'attachement), choisissez Connect.

  7. Pour Transport attachment ID (ID d'attachement de transport), choisissez l'ID d'un attachement existant (l'attachement de transport).

  8. Choisissez Create transit gateway attachment (Créer un réseau de transit par passerelle).

Pour créer un attachement Connect à l'aide de la AWS CLI

Utilisez la commande create-transit-gateway-connect.

Créer un pair Connect (tunnel GRE)

Vous pouvez créer un pair Connect (tunnel GRE) pour un attachement Connect existant. Avant de commencer, vérifiez que vous avez configuré un bloc d'adresse CIDR de passerelle de transit. Vous pouvez configurer un bloc d'adresse CIDR de passerelle de transit lorsque vous créez ou modifiez une passerelle de transit.

Lorsque vous créez le pair Connect, vous devez spécifier l’adresse IP externe GRE côté appliance du pair Connect.

Pour créer un pair Connect à l’aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Attachements de la passerelle de transit.

  3. Sélectionnez l'attachement Connect, puis choisissez Actions, Create connect peer (Créer un pair Connect).

  4. (Facultatif) Pour Balise de nom, spécifiez une balise de nom pour le pair Connect.

  5. (Facultatif) Pour Transit gateway GRE Address (Adresse GRE de passerelle de transit), spécifiez l'adresse IP externe GRE pour la passerelle de transit. Par défaut, la première adresse disponible dans le bloc d'adresse CIDR de la passerelle de transit sera utilisée.

  6. Pour Adresse de pair GRE, spécifiez l'adresse IP externe GRE côté appliance du pair Connect.

  7. Pour BGP Inside CIDR blocks IPv4 (blocs d'adresse CIDR IPv4 internes BGP), spécifiez la plage d'adresses IPv4 internes utilisées pour l'appairage BGP. Spécifiez un bloc d'adresse CIDR /29 dans la plage 169.254.0.0/16.

  8. (Facultatif) Pour BGP Inside CIDR blocks IPv6 (blocs d'adresse CIDR IPv6 internes BGP, spécifiez la plage d'adresses IPv6 internes utilisées pour l'appairage BGP. Spécifiez un bloc d'adresse CIDR /125 dans la plage fd00::/8.

  9. (Facultatif) Pour Peer ASN (Pair ASN), spécifiez le numéro d'ASN (Autonomous System Number) BGP (border Gateway Protocol) de l'appliance. Vous pouvez utiliser un ASN existant assigné à votre réseau. Si vous n'en n'avez pas, vous pouvez utiliser un ASN privé dans l'intervalle de 64512–65534 (ASN 16 bits) ou 4200000000–4294967294 (ASN 32 bits).

    La valeur par défaut est le même ASN que la passerelle de transit. Si vous configurez le pair ASN pour être différent de l'ASN de passerelle de transit (eBGP), vous devez configurer ebgp-multihop avec une valeur time-to-live (TTL) de 2.

  10. Choisissez Create connect peer (Créer un pair Connect).

Pour créer un pair Connect à l'aide de la AWS CLI

Utilisez la commande create-transit-gateway-connect-peer .

Affichage de vos attachements Connect et de vos pairs Connect

Vous pouvez afficher vos attachements Connect et vos pairs Connect.

Pour afficher vos attachements Connect et vos pairs Connect à l’aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Attachements de la passerelle de transit.

  3. Sélectionnez l'attachement Connect.

  4. Pour afficher les pairs Connect pour l’attachement, choisissez l’onglet Connect Peers (Connecter les homologues) .

Pour afficher vos attachements Connect et vos pairs Connect à l'aide de la AWS CLI

Utilisez les commandes describe-transit-gateway-connects et describe-transit-gateway-connect-peers.

Modifier votre attachement Connect et vos balises de pair Connect

Vous pouvez modifier les balises de votre attachement Connect.

Pour afficher vos balises d'attachement Connect à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Transit Gateway Attachments (Réseaux de transit par passerelle).

  3. Sélectionnez l'attachement Connect, puis choisissez Actions, Manage tags (Gérer les balises).

  4. Pour ajouter une balise, choisissez Add new tag (Ajouter une nouvelle balise) et spécifiez le nom et la valeur de la clé.

  5. Pour supprimer une identification, choisissez Supprimer.

  6. Choisissez Save (Enregistrer).

Vous pouvez modifier les balises de votre pair Connect.

Pour modifier vos balises de pairs Connect à l’aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Transit Gateway Attachments (Réseaux de transit par passerelle).

  3. Sélectionnez l'attachement Connect, puis choisissez Connect peers (Pairs Connect).

  4. Sélectionnez le pair Connect, puis choisissez Actions, Gérer les balises.

  5. Pour ajouter une balise, choisissez Add new tag (Ajouter une nouvelle balise) et spécifiez le nom et la valeur de la clé.

  6. Pour supprimer une identification, choisissez Supprimer.

  7. Choisissez Save (Enregistrer).

Pour modifier votre attachement Connect et vos balises de pairs Connect à l'aide de la AWS CLI

Utilisez les commandes create-tags et delete-tags.

Supprimer un pair Connect

Si vous n’avez plus besoin d’un pair Connect, vous pouvez la supprimer.

Pour supprimer un pair Connect à l’aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Attachements de la passerelle de transit.

  3. Sélectionnez l'attachement Connect.

  4. Dans l'onglet Pairs Connect, sélectionnez le pair Connect et choisissez Actions, Supprimer le pair Connect.

Pour supprimer un pair Connect à l'aide de la AWS CLI

Utilisez la commande delete-transit-gateway-connect-peer.

Suppression d'un attachement Connect

Si vous n'avez plus besoin d'un attachement Connect, vous pouvez le supprimer. Vous devez d’abord supprimer tous les pairs Connect pour l’attachement.

Pour supprimer un attachement Connect à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Attachements de la passerelle de transit.

  3. Sélectionnez l'attachement Connect, puis choisissez Actions, Delete transit gateway attachment (Supprimer le réseau de transit par passerelle).

  4. Saisissez delete, puis choisissez Delete (Supprimer).

Pour supprimer un attachement Connect à l'aide de la AWS CLI

Utilisez la commande delete-transit-gateway-connect.