Multicast sur les passerelles de transit

Le multicast est un protocole de communication utilisé pour fournir un flux unique de données à plusieurs ordinateurs de réception simultanément. La passerelle de transit prend en charge le routage du trafic multicast entre les sous-réseaux des VPC attachés et sert de routeur multicast aux instances qui envoient le trafic destiné à plusieurs instances de réception.

Concepts du multicast

Les principaux concepts de la multicast sont les suivants :

• Domaine multicast : permet la segmentation d'un réseau multicast en différents domaines et permet à la Passerelle de transit de se comporter comme plusieurs routeurs multicast. Vous définissez l'appartenance à un domaine de multicast au niveau du sous-réseau.

• Groupe de multicast : identifie un ensemble d'hôtes qui enverront et recevront le même trafic de multicast. Un groupe de multicast est identifié par une adresse IP de groupe. L'appartenance à un groupe de multicast est définie par des interfaces réseau Elastic individuelles attachées à des instances EC2.

• Protocole de gestion de groupes Internet (IGMP) : protocole Internet qui permet aux hôtes et aux routeurs de gérer de façon dynamique l'appartenance à un groupe de multicast. Un domaine de multidiffusion IGMP contient des hôtes qui utilisent le protocole IGMP pour joindre, quitter et envoyer des messages. AWS prend en charge le protocole IGMPv2 et les domaines de multidiffusion IGMP et statiques (basés sur des API) à des groupes.

• Source multicast : une interface réseau Elastic associée à une instance EC2 prise en charge statiquement configurée pour envoyer du trafic multicast. Une source multicast s'applique uniquement aux configurations de source statique.

  Un domaine multicast à source statique contient des hôtes qui n'utilisent pas le protocole IGMP pour rejoindre, quitter et envoyer des messages. Vous pouvez utiliser le AWS CLI pour ajouter une source et des membres du groupe. La source ajoutée statiquement envoie du trafic multicast et les membres reçoivent du trafic multicast.

• Membre du groupe multicast : Il s'agit d'une interface réseau Elastic associée à une instance EC2 compatible qui reçoit du trafic multicast. Un groupe multicast comporte plusieurs membres de groupe. Dans une configuration d'appartenance à un groupe à source statique, les membres du groupe multicast peuvent uniquement recevoir du trafic. Dans une configuration de groupe IGMP, les membres peuvent à la fois envoyer et recevoir du trafic.

Considérations

• Pour plus d'informations sur les régions prises en charge, consultez FAQ sur AWS Transit Gateway.

• Vous devez créer une nouvelle passerelle de transit pour prendre en charge le multicast.

• L'appartenance à un groupe de multidiffusion est gérée à l'aide du Amazon Virtual Private Cloud Console ou du AWS CLI IGMP.

• Un sous-réseau ne peut se trouver que dans un seul domaine multicast.

• Si vous utilisez une instance autre qu'une instance Nitro, vous devez désactiver la vérification de la Source/Dest (Source/Destination). Pour plus d'informations sur la désactivation de la vérification, consultez la section Modification de la source ou de la destination dans le guide de l'utilisateur Amazon EC2.

• Une instance autre qu'une instance Nitro ne peut pas être un expéditeur multicast.

• Le routage multicast n'est pas pris en charge sur le VPN de site à site AWS Direct Connect, les pièces jointes de peering ou les pièces jointes Connect de la passerelle de transit.

• Une Passerelle de transit n'est pas compatible avec la fragmentation des paquets multicast. Les paquets multicast fragmentés sont abandonnés. Pour plus d’informations, consultez Unité de transmission maximale (MTU).

• Au démarrage, un hôte IGMP envoie plusieurs messages IGMP JOIN pour rejoindre un groupe multicast (généralement 2 à 3 tentatives). Dans le cas peu probable où tous les messages IGMP JOIN se perdent, l’hôte ne fera pas partie du groupe multicast de la Passerelle de transit. Dans un tel scénario, vous devrez re-déclencher le message IGMP JOIN de l’hôte en utilisant des méthodes spécifiques à l’application.

• L'adhésion à un groupe commence à la réception du message IGMPv2 JOIN par la passerelle de transit et se termine à la réception du message IGMPv2 LEAVE. La passerelle de transit assure le suivi des hôtes qui ont réussi à rejoindre le groupe. En tant que routeur multicast dans le cloud, la Passerelle de transit émet un message IGMPv2 QUERY à tous les membres toutes les deux minutes. Chaque membre envoie un message IGMPv2 JOIN en réponse, c'est ainsi que les membres renouvellent leur adhésion. Si un membre ne répond pas à trois requêtes consécutives, la passerelle de transit supprime cette adhésion de tous les groupes joints. Cependant, il continue à envoyer des requêtes à ce membre pendant 12 heures avant de le supprimer définitivement de sa to-be-queried liste. Un message IGMPv2 LEAVE explicite supprime immédiatement et définitivement l'hôte de tout traitement multicast ultérieur.

• La passerelle de transit assure le suivi des hôtes qui ont réussi à rejoindre le groupe. En cas de panne de la passerelle de transit, celle-ci continue à envoyer des données multicast à l'hôte pendant sept minutes (420 secondes) après le dernier message IGMP JOIN réussi. La passerelle de transit continue d’envoyer des demandes d’adhésion à l’hôte pendant une période pouvant aller jusqu’à 12 heures ou jusqu’à ce qu’elle reçoive un message IGMP LEAVE de l’hôte.

• La Passerelle de transit envoie des paquets de demande d'adhésion à tous les membres IGMP afin de pouvoir suivre l'appartenance à un groupe multicast. L'adresse IP source de ces paquets de demande IGMP est 0.0.0.0/32, et l'adresse IP de destination est 224.0.0.1/32 et le protocole est 2. Votre configuration de groupe de sécurité sur les hôtes IGMP (instances) et toute configuration ACL sur les sous-réseaux hôtes doivent autoriser ces messages de protocole IGMP.

• Lorsque la source et la destination multicast sont dans le même VPC, vous ne pouvez pas utiliser le référencement de groupe de sécurité pour définir le groupe de sécurité de destination afin d'accepter le trafic provenant du groupe de sécurité de la source.

• Pour les groupes et les sources multicast statiques, les Passerelles de transit Amazon VPC suppriment automatiquement les groupes et les sources statiques pour les ENI qui n'existent plus. Pour cela, le rôle lié au service de Passerelle de transit est régulièrement assumé afin de décrire les ENI du compte.

• Seule la multidiffusion statique prend en charge le protocole IPv6. La multidiffusion dynamique ne fonctionne pas.

Multicast avec Windows Server

Vous devrez effectuer des actions supplémentaires lors de la configuration du multicast pour qu'il fonctionne avec des passerelles de transit sous Windows Server 2019 ou 2022. À l'aide de PowerShell, exécutez les commandes suivantes :

1. Effectuez les modifications nécessaires pour que Windows Server utilise IGMPv2 au lieu d'IGMPv3 pour la pile TCP/IP :

   PS C:\> New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name IGMPVersion -PropertyType DWord -Value 3

   Note

   New-ItemPropertyest un index de propriété qui indique la version de l'IGMP. Comme IGMP v2 est la version prise en charge pour la multidiffusion, la propriété Value doit être. 3 Au lieu de modifier le registre Windows, vous pouvez exécuter la commande suivante pour définir la version IGMP sur 2. :

   Set-NetIPv4Protocol -IGMPVersion Version2

2. Le pare-feu Windows supprime la plupart du trafic UDP par défaut. Vous devez d'abord vérifier quel profil de connexion est utilisé pour le multicast :

   PS C:\> Get-NetConnectionProfile | Select-Object NetworkCategory
   
   NetworkCategory
   ---------------
            Public

3. Mettez à jour le profil de connexion de l'étape précédente pour autoriser l'accès au(x) port(s) UDP requis :

   PS C:\> Set-NetFirewallProfile -Profile Public -Enabled False

4. Redémarrez l'instance EC2.

5. Testez votre application multicast pour vous assurer que le trafic circule normalement.