Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemple : Appliance dans un VPC de services partagés
Vous pouvez configurer une appliance, telle qu'une appliance de sécurité, dans un VPC de services partagés. Tout le trafic qui est acheminé entre les réseaux de transit par passerelle est d'abord inspecté par l'appliance dans le VPC de services partagés. Lorsque le mode appliance est activé, une passerelle de transit sélectionne une seule interface réseau dans le VPC de l'appliance, à l'aide d'un algorithme de hachage de flux, vers laquelle envoyer du trafic pendant toute la durée de vie du flux. La passerelle de transit utilise la même interface réseau pour le trafic de retour. Cela garantit que le trafic est acheminé symétriquement dans les deux sens. Il est routé par le biais de la même zone de disponibilité dans l'attachement du VPC pendant toute la durée de vie du flux. Si vous avez plusieurs passerelles de transit dans votre architecture, chacune d'elles conserve sa propre affinité de session, et chaque passerelle de transit peut sélectionner une interface réseau différente.
Vous devez connecter exactement une passerelle Transit Gateway au VPC de l'appliance pour garantir la permanence du flux. La connexion de plusieurs passerelles de transit à un seul VPC d'appliance ne garantit pas la permanence du flux, car les passerelles de transit ne partagent pas les informations sur l'état du flux entre elles.
Important
-
Le trafic en mode appliance est acheminé correctement tant que le trafic source et de destination arrive vers un VPC centralisé (VPC d'inspection) à partir de la même pièce jointe de passerelle de transit. Le trafic peut chuter si la source et la destination se trouvent sur deux pièces jointes de passerelle de transit différentes. Le trafic peut chuter si le VPC centralisé reçoit le trafic d'une autre passerelle, par exemple une passerelle Internet, puis envoie ce trafic à la pièce jointe de la passerelle de transit après inspection.
-
L'activation du mode appliance sur une pièce jointe existante peut affecter l'itinéraire actuel de cette pièce jointe, car la pièce jointe peut traverser n'importe quelle zone de disponibilité. Lorsque le mode appliance n'est pas activé, le trafic est maintenu dans la zone de disponibilité d'origine.
Table des matières
Présentation
Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. La passerelle de transit comporte trois attachements de VPC. Le VPC C est un VPC de services partagés. Le trafic entre le VPC A et le VPC B est d’abord acheminé vers la passerelle de transit, puis ensuite vers une appliance de sécurité dans le VPC C pour inspection avant d'être dirigé vers sa destination finale. La solution matérielle-logicielle est une appliance avec état, par conséquent, le trafic de demande et de réponse sont inspectés tous les deux. Pour une haute disponibilité, il existe une appliance dans chaque zone de disponibilité du VPC C.
Pour ce scénario; vous créez les ressources suivantes :
-
Trois VPC. Pour de plus amples informations sur la création d'un VPC, veuillez consulter Création d'un VPC dans le Guide de l'utilisateur Amazon Virtual Private Cloud.
-
Une passerelle de transit Pour plus d'informations, consultez Créer une passerelle de transit.
-
Trois attachements de VPC : un pour chacun des VPC. Pour plus d'informations, consultez Créer un attachement de passerelle de transit vers un VPC.
Pour chaque attachement de VPC, spécifiez un sous-réseau dans chaque zone de disponibilité. Pour le VPC de services partagés, il s'agit des sous-réseaux où le trafic est acheminé vers le VPC à partir de la passerelle de transit. Dans l'exemple précédent, il s'agit des sous-réseaux A et C.
Pour l’attachement du VPC C, activez le support du mode de l’appliance afin que le trafic de réponse soit acheminé vers la même zone de disponibilité dans le VPC C que le trafic source.
La console Amazon VPC prend en charge le mode appliance. Vous pouvez également utiliser l'API Amazon VPC, un AWS SDK, le AWS CLI pour activer le mode appliance, ou. AWS CloudFormation Par exemple, ajoutez
--options ApplianceModeSupport=enableà la commande create-transit-gateway-vpc-attachment ou modify-transit-gateway-vpc-attachment.
Note
La stabilité du flux en mode appliance est garantie uniquement pour le trafic source et de destination qui provient du VPC d'inspection.
Appliances avec état et mode appliance
Si vos attachements de VPC s’étendent sur plusieurs zones de disponibilité et que vous devez acheminer le trafic entre les hôtes de source et de destination par le biais de la même appliance pour une inspection avec état, activez le support du mode de l’appliance pour l’attachement du VPC dans lequel se trouve l'appliance.
Pour plus d'informations, consultez la section Architecture d'inspection centralisée
Comportement lorsque le mode appliance n'est pas activé
Lorsque le mode appliance n'est pas activé, une passerelle de transit tente de maintenir le trafic acheminé entre les attachements du VPC dans la zone de disponibilité d'origine jusqu'à ce qu'il atteigne sa destination. Le trafic traverse les zones de disponibilité entre les attachements uniquement en cas de défaillance de la zone de disponibilité ou si aucun sous-réseau n'est associé à un attachement de VPC dans cette zone de disponibilité.
Le diagramme suivant montre un flux de trafic lorsque le support du mode de l’appliance n’est pas activé. Le trafic de réponse provenant de la zone de disponibilité 2 du VPC B est acheminé par la passerelle de transit vers la même zone de disponibilité du VPC C. Le trafic est donc abandonné, car l'appliance dans la zone de disponibilité 2 n’a pas connaissance de la demande d'origine provenant de la source du VPC A.
Routage
Chaque VPC dispose d’une ou de plusieurs tables de routage et la passerelle de transit comporte deux tables de routage.
Tables de routage de VPC
VPC A et VPC B
Les VPC A et B dispose de tables de routage avec 2 entrées. La première entrée décrit l'entrée par défaut du routage IPv4 local du VPC. Cette entrée par défaut permet aux ressources du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic du sous-réseau IPv4 vers la passerelle de transit. Voici la table de routage pour le VPC A :
| Destination | Cible |
|---|---|
|
10.0.0.0/16 |
locale |
|
0.0.0.0/0 |
tgw-id |
VPC C
Le VPC de services partagés (VPC C) dispose de tables de routage différentes pour chaque sous-réseau. Le sous-réseau A est utilisé par la passerelle de transit (vous spécifiez ce sous-réseau lorsque vous créez l’attachement de VPC). La table de routage du sous-réseau A achemine tout le trafic vers l'appliance du sous-réseau B.
| Destination | Target |
|---|---|
|
192.168.0.0/16 |
Locale |
|
0.0.0.0/0 |
appliance-eni-id |
La table de routage du sous-réseau B, qui contient l'appliance, renvoie le trafic vers la passerelle de transit.
| Destination | Target |
|---|---|
|
192.168.0.0/16 |
Locale |
|
0.0.0.0/0 |
tgw-id |
Tables de routage de passerelle de transit
Cette passerelle de transit utilise une table de routage pour le VPC A et le VPC B et une table de routage pour le VPC de services partagés (VPC C).
Les attachements des VPC A et B sont associées à la table de routage suivante. La table de routage achemine tout le trafic vers le VPC C.
| Destination | Target | Type de routage |
|---|---|---|
|
0.0.0.0/0 |
|
statique |
L’attachement du VPC C est associé à la table de routage suivante. Il achemine le trafic vers les VPC A et B.
| Destination | Target | Type de routage |
|---|---|---|
|
10.0.0.0/16 |
|
propagée |
|
10.1.0.0/16 |
|
propagée |
