Passerelles de transit - Amazon VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passerelles de transit

Une passerelle de transit vous permet d'attacher des VPC et des connexions VPN, et d'acheminer le trafic entre eux. Une passerelle de transit fonctionne de part Comptes AWS en part et vous pouvez l'utiliser AWS RAM pour partager votre passerelle de transit avec d'autres comptes. Une fois que vous avez partagé une passerelle de transit avec une autre Compte AWS, le propriétaire du compte peut associer ses VPC à votre passerelle de transit. Un utilisateur de l'un des comptes peut supprimer l'attachement à tout moment.

Vous pouvez activer la multicast sur une passerelle de transit, puis créer un domaine multicast de passerelle de transit qui autorise l'envoi du trafic multicast à partir de votre source multicast vers des membres de groupe multicast sur des attachements de VPC que vous associez au domaine.

Chaque VPC ou attachement VPN est associé à une seule table de routage. Cette table de routage commande le prochain saut pour le trafic venant de cet attachement de ressource. Une table de routage à l'intérieur de la passerelle de transit autorise les CIDR et les cibles IPv4 ou IPv6. Les cibles sont les VPC et les connexions VPN. Lorsque vous attachez un VPC ou créez une connexion VPN sur la passerelle de transit, l'attachement est associé à la table de routage par défaut de la passerelle de transit.

Vous pouvez créer d'autres tables de routage à l'intérieur de la passerelle de transit et modifier l'association de VPC ou de VPN avec ces tables de routage. Vous pouvez ainsi segmenter votre réseau. Par exemple, vous pouvez associer des VPC en développement avec une table de routage et des VPC de production avec une autre. Cela vous permettra de créer des réseaux isolés au sein d'une passerelle de transit similaires au routage et au transfert virtuels (VRF) des réseaux traditionnels.

Les passerelles de transit prennent en charge le routage dynamique et statique entre les VPC et les connexions VPN joints. Vous pouvez activer ou désactiver la propagation du routage pour chaque attachement. Les attachements d'appairage de passerelle de transit prennent uniquement en charge le routage statique.

Vous pouvez éventuellement associer un ou plusieurs blocs d'adresse CIDR IPv4 ou IPv6 à votre passerelle de transit. Spécifiez une adresse IP à partir du bloc d'adresse CIDR lorsque vous établissez un pair Transit Gateway Connect pour un attachement Transit Gateway Connect. Vous pouvez associer n'importe quelle plage d'adresses IP publiques ou privées, sauf les adresses de la plage d'adresses 169.254.0.0/16, et des plages qui se chevauchent avec des adresses de vos attachements VPC et des réseaux sur site. Pour plus d'informations sur les blocs d'adresse CIDR IPv4 et IPv6, consultez VPC et des sous-réseaux dans le Guide de l'utilisateur Amazon VPC.

Créer une passerelle de transit

Lorsque vous créez une passerelle de transit, nous créons une table de routage de la passerelle de transit par défaut et nous l'utilisons comme table de routage d'association et table de routage de propagation par défaut. Si vous choisissez de ne pas créer la table de routage de la passerelle de transit par défaut, vous pouvez en créer une ultérieurement. Pour plus d'informations sur les routes et les tables de routage, consultez Routage.

Pour créer une passerelle de transit à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Passerelles de transit.

  3. Choisissez Create transit gateway (Créer une passerelle de transit).

  4. Pour la Name tag (Balise nom), saisissez éventuellement un nom pour la passerelle de transit. Un nom permet d'identifier plus facilement une passerelle au sein d'une liste de passerelles. Lorsque vous ajouter une Balise Nom, une balise est créée avec une clé de Nom et avec une valeur égale à la valeur saisie.

  5. Pour Description, saisissez éventuellement une description pour la passerelle de transit .

  6. Pour Amazon side Autonomous System Number (ASN), laissez la valeur par défaut pour utiliser l'ASN par défaut ou saisissez l'ASN privé de votre passerelle de transit. Il doit s'agir de l'ASN correspondant au AWS côté d'une session BGP (Border Gateway Protocol).

    La plage va de 64512 à 65534 pour les ASN de 16 bits.

    La plage va de 4200000000 à 4294967294 pour les ASN de 32 bits.

    Si vous avez un déploiement multi-régions, nous vous recommandons d'utiliser un seul ASN pour chacune de vos passerelles de transit.

  7. Pour DNS support (Support DNS), sélectionnez cette option si vous désirez que le VPC résolve les noms d'hôte de DNS IPv4 publiques vers des adresse IPv4 privées en cas d'interrogation de la part d'instances d'un autre VPC attaché à la passerelle de transit.

  8. Pour VPN ECMP support (Prise en charge du protocole de VPN ECMP), sélectionnez cette option si vous avez besoin d'une prise en charge du routage ECMP (Equal Cost Multipath) entre des tunnels VPN. Si des connexions annoncent les mêmes CIDR, le trafic est distribué de façon égale.

    Lorsque vous sélectionnez cette option, la version du moteur de cache annoncée, les attributs BGP tels que le AS-path et les communautés de préférence doivent être identiques.

    Note

    Pour utiliser l'ECMP, vous devez créer une connexion VPN qui utilise le routage dynamique. Les connexions VPN qui utilisent le routage statique ne prennent pas en charge l'ECMP.

  9. Pour Default route table association (Association de table de routage par défaut), sélectionnez cette option pour associer automatiquement les réseaux de transit par passerelle avec la table de routage par défaut pour la passerelle de transit.

  10. Pour Default route table propagation (Propagation de table de routage par défaut), sélectionnez cette option pour propager automatiquement les réseaux de transit par passerelle vers la table de routage par défaut pour la passerelle de transit.

  11. (Facultatif) Pour utiliser la passerelle de transit comme routeur pour du trafic de multicast, sélectionnez Multicast support (Support multicast).

  12. Pour Auto accept shared attachments (Accepter automatiquement les attachements partagés), sélectionnez cette option pour accepter automatiquement les attachements entre comptes.

  13. (Facultatif) Pour Transit gateway CIDR blocks (Blocs d'adresses CIDR de passerelle de transit), spécifiez un ou plusieurs blocs d'adresse CIDR IPv4 ou IPv6 pour votre passerelle de transit.

    Vous pouvez spécifier un bloc d'adresse CIDR de taille /24 ou plus grand (par exemple, /23 ou /22) pour IPv4, ou un bloc d'adresse CIDR de taille /64 ou plus (par exemple, /63 ou /62) pour IPv6. Vous pouvez associer n'importe quelle plage d'adresses IP publiques ou privées, sauf les adresses de la plage 169.254.0.0/16, et des plages qui se chevauchent avec les adresses de vos attachements VPC et des réseaux sur site.

  14. Choisissez Create transit gateway (Créer une passerelle de transit).

Pour créer une passerelle de transit à l'aide du AWS CLI

Utilisez la commande create-transit-gateway.

Afficher vos passerelles de transit

Pour afficher vos passerelles de transit à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Passerelles de transit. Les informations de la passerelle de transit sont affichés sous la liste des passerelles sur la page.

Pour consulter vos passerelles de transport en commun à l'aide du AWS CLI

Utilisez la commande describe-transit-gateways.

Ajouter ou modifier les balises d'une passerelle de transit

Ajoutez des balises à vos ressources pour les organiser et les identifier, par exemple selon leur but, leur propriétaire ou leur environnement. Vous pouvez ajouter plusieurs balises à chaque passerelle de transit. Les clés de balise doivent être uniques pour chaque passerelle de transit. Si vous ajoutez une balise avec une clé qui est déjà associée à la passerelle de transit, la valeur de cette balise sera mise à jour. Pour de plus amples informations, veuillez consulter Balisage de vos ressources Amazon EC2.

Ajouter des balises à une passerelle de transit à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Passerelles de transit.

  3. Sélectionnez la passerelle de transit pour laquelle vous souhaitez ajouter ou modifier des balises.

  4. Choisissez l'onglet Tags (Balises) dans la partie inférieure de la page.

  5. Choisissez Gérer les balises.

  6. Choisissez Add new tag (Ajouter une nouvelle balise).

  7. Saisissez une clé et une valeur pour la balise.

  8. Choisissez Enregistrer.

Modifier une passerelle de transit

Vous pouvez modifier les options de configuration de votre passerelle de transit. Lorsque vous modifiez une passerelle de transit, les options modifiées sont appliquées uniquement aux nouveaux attachements de passerelle de transit. Vos attachements de la passerelle de transit existants ne sont pas modifiés et ne voient pas d'interruption de service.

Vous ne pouvez pas modifier une passerelle de transit qui a été partagée avec vous.

Vous ne pouvez pas supprimer un bloc d’adresse CIDR pour la passerelle de transit si l’une des adresses IP est actuellement utilisée pour un pair Connect.

Modification d'une passerelle de transit
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Passerelles de transit.

  3. Choisissez la passerelle de transit à modifier.

  4. Choisissez Actions,Modify transit gateway (Modifier la passerelle de transit).

  5. Modifiez les options selon vos besoins, puis choisissez Modify transit gateway (Modifier la passerelle de transit).

Pour modifier votre passerelle de transit à l'aide du AWS CLI

Utilisez la commande modify-transit-gateway.

Partager une passerelle de transit

Vous pouvez l'utiliser AWS RAM pour partager une passerelle de transit entre différents comptes ou au sein de votre organisation dans AWS Organizations. Suivez la procédure suivante pour partager une passerelle de transit que vous possédez.

Vous devez activer le partage de ressources à partir du compte de gestion de votre organisation. Pour plus d'informations sur l'activation du partage des ressources, consultez la section Activer le partage avec AWS les organisations dans le guide de AWS RAM l'utilisateur.

Partage d'une passerelle de transit
  1. Ouvrez la AWS RAM console à l'adresse https://console.aws.amazon.com/ram/.

  2. Sélectionnez Create a resource share (Créer un partage de ressources).

  3. Sous Name (Nom), saisissez un nom descriptif pour le partage de ressources.

  4. Pour Sélectionner le type de ressource, choisissez Passerelles de transit. Sélectionnez la passerelle de transit.

  5. (Facultatif) Pour Mandataires, ajoutez les mandataires du partage de ressources. Pour chaque Compte AWS unité d'organisation ou organisation, spécifiez son ID et choisissez Ajouter.

    Pour Autoriser les comptes externes, indiquez si vous souhaitez autoriser le partage de cette ressource avec Comptes AWS des comptes externes à votre organisation.

  6. (Facultatif) Sous Tags (Balises), saisissez une clé et une paire de valeur de balise pour chaque balise. Ces balises sont appliquées au partage de ressource mais pas à la passerelle de transit.

  7. Choisissez Créer une ressource.

Accepter un partage de ressources

Si vous avez été ajouté à un partage de ressource, vous recevez une invitation à rejoindre le partage de ressource. Vous devez accepter le partage de ressource avant de pouvoir accéder aux ressources partagées.

Pour accepter un partage de ressources
  1. Ouvrez la AWS RAM console à l'adresse https://console.aws.amazon.com/ram/.

  2. Dans le panneau de navigation, choisissez Shared with me (Partagé avec moi), Resource shares (Partages de ressources).

  3. Sélectionnez le partage de ressources.

  4. Sélectionnez Accepter un partage de ressource.

  5. Pour afficher la passerelle de transit partagée, ouvrez la page Transit Gateways (Passerelles de transit) dans la console Amazon VPC.

Accepter un attachement partagé

Si vous n'avez pas activé la fonctionnalité Auto accept shared attachments (Accepter automatiquement les attachements partagés) lorsque vous avez créé votre passerelle de transit, vous devez accepter manuellement les attachements comptes multiples (partagés).

Pour accepter manuellement un attachement partagé
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Attachements de passerelle de transit.

  3. Sélectionnez l'attachement de la passerelle de transit en attente d'acceptation.

  4. Choisissez Actions, Accept transit gateway attachment (Accepter le réseau de transit par passerelle).

Pour accepter une pièce jointe partagée à l'aide du AWS CLI

Utilisez la commande accept-transit-gateway-vpc-attachment.

Supprimer une passerelle de transit

Vous ne pouvez pas supprimer une passerelle de transit avec des attachements existants. Vous devez d'abord supprimer tous les attachements avant de supprimer une passerelle de transit.

Pour supprimer une passerelle de transit à l'aide de la console
  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Choisissez la passerelle de transit à supprimer.

  3. Choisissez Actions, Delete transit gateway (Supprimer la passerelle de transit). Saisissez delete et choisissez Delete (Supprimer) pour confirmer la suppression.

Pour supprimer une passerelle de transit à l'aide du AWS CLI

Utilisez la commande delete-transit-gateway.