Comment fonctionnent les passerelles Amazon VPC Transit - Amazon VPC
Exemple de schéma d'architectureAttachements de ressourcesRoutage multivoies à coût égal Zones de disponibilitéRoutageExemples de scénarios de passerelle de transit

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionnent les passerelles Amazon VPC Transit

Dans AWS Transit Gateway, une passerelle de transit agit comme un routeur virtuel régional pour le trafic circulant entre vos clouds privés virtuels (VPCs) et les réseaux sur site. Une passerelle de transit dispose d’une scalabilité élastique en fonction du volume de trafic réseau. L’acheminement via une passerelle de transit fonctionne comme une couche 3, où les paquets sont envoyés vers un attachement next hop précis, en fonction de leurs adresses IP de destination.

Exemple de schéma d'architecture

Le schéma suivant montre une passerelle de transit avec trois VPC pièces jointes. La table de routage pour chacune d'entre elles VPCs inclut l'itinéraire local et les itinéraires qui envoient le trafic destiné VPCs aux deux autres vers la passerelle de transit.

VPCoptions de connectivité

Voici un exemple de table de routage de passerelle de transit par défaut pour les attachements présentés dans le diagramme précédent. Les CIDR blocs de chaque bloc VPC se propagent vers la table de routage. Par conséquent, chaque attachement peut acheminer des paquets vers les deux autres attachements.

Destination Target Type de routage
VPC A CIDR Attachment for VPC A propagée
VPC B CIDR Attachment for VPC B propagée
VPC C CIDR Attachment for VPC C propagée

Attachements de ressources

Un attachement de passerelle de transit est à la fois une source et une destination pour les paquets. Vous pouvez associer les ressources suivantes à votre passerelle de transit :

  • Un ou plusieursVPCs. AWS Transit Gateway déploie une interface réseau élastique au sein des VPC sous-réseaux, qui est ensuite utilisée par la passerelle de transit pour acheminer le trafic vers et depuis les sous-réseaux choisis. Vous devez disposer d'au moins un sous-réseau pour chaque zone de disponibilité, ce qui permet au trafic d'atteindre les ressources de chaque sous-réseau de cette zone. Lors de la création du'ne pièce jointe, les ressources d'une zone de disponibilité particulière peuvent atteindre une passerelle de transit uniquement si un sous-réseau est activé dans la même zone. Si une table de routage comprend une route vers la passerelle de transit, le trafic n'est transféré vers la passerelle de transit que lorsqu'elle possède un attachement dans un sous-réseau de la même zone de disponibilité.

  • Une ou plusieurs VPN connexions

  • Une ou plusieurs AWS Direct Connect passerelles

  • Une ou plusieurs attachements Connect de passerelle de transit

  • Une ou plusieurs connexions d'appairage pour les passerelle de transit

Routage multivoies à coût égal

AWS Transit Gateway prend en charge le routage Equal Cost Multipath (ECMP) pour la plupart des pièces jointes. Pour une VPN pièce jointe, vous pouvez activer ou désactiver le ECMP support à l'aide de la console lors de la création ou de la modification d'une passerelle de transit. Pour tous les autres types de pièces jointes, les ECMP restrictions suivantes s'appliquent :

  • VPC- VPC ne prend pas en charge ECMP car les CIDR blocs ne peuvent pas se chevaucher. Par exemple, vous ne pouvez pas associer un VPC avec un CIDR 10.1.0.0/16 avec un second VPC utilisant le même CIDR à une passerelle de transit, puis configurer le routage pour équilibrer la charge du trafic entre les deux.

  • VPN- Lorsque l'option de VPNECMPsupport est désactivée, une passerelle de transit utilise des métriques internes pour déterminer le chemin préféré en cas de préfixes identiques sur plusieurs chemins. Pour plus d'informations sur l'activation ou la désactivation ECMP d'une VPN pièce jointe, consultezPasserelles de transit dans Amazon VPC Transit Gateways.

  • AWS Transit Gateway Connect - Les pièces jointes AWS Transit Gateway Connect sont automatiquement prises en chargeECMP.

  • AWS Direct Connect Passerelle : les pièces jointes de AWS Direct Connect passerelle sont automatiquement prises en charge par ECMP plusieurs pièces jointes de la passerelle Direct Connect lorsque le préfixe réseau, la longueur du préfixe et AS_ PATH sont exactement les mêmes.

  • Peering de passerelle de transit - L'appairage de passerelle de transit n'est pas pris en charge ECMP car il ne prend pas en charge le routage dynamique et ne permet pas de configurer le même itinéraire statique contre deux cibles différentes.

Note

  • BGPLe multipath AS-Path Relax n'est pas pris en charge, vous ne pouvez donc pas utiliser ECMP plusieurs numéros de système autonomes ()ASNs.

  • ECMPn'est pas pris en charge entre les différents types de pièces jointes. Par exemple, vous ne pouvez pas activer l'option ECMP entre une VPN et une VPC pièce jointe. Au lieu de cela, les routes de passerelle de transit sont évaluées et le trafic est acheminé en fonction de la route évaluée. Pour de plus amples informations, veuillez consulter Ordre d'évaluation des routes.

  • Une passerelle Direct Connect unique prend en charge ECMP plusieurs interfaces virtuelles de transit. Par conséquent, nous vous recommandons de configurer et d'utiliser une seule passerelle Direct Connect et de ne pas configurer ni utiliser plusieurs passerelles pour en tirer parti. ECMP Pour plus d'informations sur les passerelles Direct Connect et les interfaces virtuelles publiques, voir Comment configurer une connexion AWS Direct Connect active/active ou active/passive depuis une interface virtuelle publique ? .

Zones de disponibilité

Lorsque vous attachez un VPC à une passerelle de transit, vous devez activer une ou plusieurs zones de disponibilité à utiliser par la passerelle de transit pour acheminer le trafic vers les ressources des VPC sous-réseaux. Pour activer chaque zone de disponibilité, vous devez spécifier exactement un sous-réseau. La passerelle de transit place une interface réseau dans ce sous-réseau à l’aide d’une adresse IP du sous-réseau. Une fois que vous avez activé une zone de disponibilité, le trafic peut être acheminé vers tous les sous-réseaux de la zone de disponibilitéVPC, et pas uniquement vers le sous-réseau ou la zone de disponibilité spécifiés. Toutefois, seules les ressources qui résident dans les zones de disponibilité où il existe un attachement de passerelle de transit peuvent atteindre la passerelle de transit.

Si le trafic provient d'une zone de disponibilité dans laquelle la pièce jointe de destination n'est pas présente, AWS Transit Gateway achemine ce trafic en interne vers une zone de disponibilité aléatoire où la pièce jointe est présente. Il n'y a aucun frais de passerelle de transit supplémentaire pour ce type de trafic entre zones de disponibilité.

Nous vous recommandons d'activer plusieurs zones de disponibilité pour assurer une disponibilité.

Utilisation du support du mode appliance

Si vous envisagez de configurer une appliance réseau dynamique dans votre appareilVPC, vous pouvez activer la prise en charge du mode appliance pour la VPC pièce jointe dans laquelle se trouve l'appliance. Cela garantit que la passerelle de transit utilise la même zone de disponibilité pour cette VPC pièce jointe pendant toute la durée de vie d'un flux de trafic entre la source et la destination. Cela permet également à la passerelle de transit d'envoyer du trafic vers n'importe quelle zone de disponibilité duVPC, à condition qu'il existe une association de sous-réseau dans cette zone. Pour de plus amples informations, veuillez consulter Exemple : appliance dans un service partagé VPC.

Routage

Votre passerelle de transit achemine IPv4 et les IPv6 paquets entre les pièces jointes à l'aide des tables de routage de la passerelle de transit. Vous pouvez configurer ces tables de routage pour propager les itinéraires à partir des tables de routage pour les passerelles connectéesVPCs, VPN les connexions et les passerelles Direct Connect. Vous pouvez également ajouter des routes statiques aux tables de routage de passerelle de transit. Lorsqu’un paquet vient d’un attachement, il est acheminé vers un autre attachement en utilisant le routage correspondant à l’adresse IP de destination.

Pour les attachements d'appairage de passerelle de transit, seules les routes statiques sont prises en charge.

Tables de routage

Votre passerelle de transit est automatiquement fournie avec une table de routage par défaut. Par défaut, cette table de routage est la table de routage d’association par défaut et la table de routage de propagation par défaut. Sinon, si vous désactivez la propagation du routage et l’association de la table de routage, AWS ne crée pas de table de routage par défaut pour la passerelle de transit.

Vous pouvez créer des tables de routage supplémentaires pour votre passerelle de transit. Cela vous permet d’isoler des sous-ensembles d’attachements. Chaque attachement peut être associé à une table de routage. Un attachement peut propager ses routes à une ou plusieurs autres tables de routage.

Vous pouvez créer une route blackhole dans votre table de routage de passerelle de transit, qui supprime le trafic correspondant à la route.

Lorsque vous attachez un VPC à une passerelle de transit, vous devez ajouter une route à la table de routage de votre sous-réseau afin que le trafic passe par la passerelle de transit. Pour plus d'informations, consultez Routing for a Transit Gateway dans le guide de VPC l'utilisateur Amazon.

Association de table de routage

Vous pouvez associer un attachement de une passerelle de transit à une seule table de routage. Chaque table de routage peut être associée ou non, avec plusieurs attachements et peut transférer des paquets vers d’autres attachements.

Propagation du routage

Chaque attachement est fourni avec des routes pouvant être installées dans une ou plusieurs tables de routage de passerelle de transit. Lorsqu’un attachement est propagé vers une table de routage de passerelle de transit, ces routes sont installées dans la table de routage. Vous ne pouvez pas filtrer les itinéraires annoncés.

Dans le cas d'une VPC pièce jointe, les CIDR blocs du VPC sont propagés vers la table de routage de la passerelle de transit.

Lorsque le routage dynamique est utilisé avec une VPN pièce jointe ou une pièce jointe à une passerelle Direct Connect, vous pouvez propager les itinéraires appris par le routeur local BGP vers l'une des tables de routage de la passerelle de transit.

Lorsque le routage dynamique est utilisé avec une VPN pièce jointe, les itinéraires de la table de routage associée à la VPN pièce jointe sont annoncés à la passerelle client viaBGP.

Dans le cas d'une pièce jointe Connect, les itinéraires de la table de routage associée à la pièce jointe Connect sont annoncés aux dispositifs virtuels tiers, tels que les WAN appareils SD, exécutés VPC par un intermédiaireBGP.

Pour une connexion à une passerelle Direct Connect, les interactions avec les préfixes autorisés contrôlent les itinéraires à partir desquels le réseau du client est annoncé. AWS

Lorsqu'une route statique et un route propagée ont la même destination, la route statique a la priorité la plus élevée. La route propagée n'est donc pas incluse dans la table de routage. Si vous supprimez la route statique, la route propagée superposée est incluse dans la table de routage.

Routes pour les attachements d'appairage

Vous pouvez appairer deux passerelles de transit, et acheminer le trafic entre elles. Pour ce faire, vous créez un attachement d'appairage sur votre passerelle de transit et spécifiez la passerelle de transit pair avec laquelle créer la connexion d'appairage. Vous créez ensuite une toute statique dans votre table de routage de passerelle de transit pour acheminer le trafic vers l’attachement d'appairage de passerelle de transit. Le trafic acheminé vers la passerelle de transit homologue peut ensuite être acheminé vers la passerelle de transit homologue VPC et les VPN pièces jointes associées à celle-ci.

Pour de plus amples informations, veuillez consulter Exemple : passerelles de transit appairées.

Ordre d'évaluation des routes

Les routes de passerelle de transit sont évaluées dans l'ordre suivant :

  • Route la plus spécifique pour l'adresse de destination.

  • Pour les itinéraires avec le même type d'attachementCIDR, mais avec des types d'attachement différents, la priorité de l'itinéraire est la suivante :

    • Routes statiques (par exemple, routes Site-to-Site VPN statiques)

    • Acheminements référencés dans la liste des préfixes

    • VPC-itinéraires propagés

    • Routes propagées par la passerelle Direct Connect

    • Routes propagées par Transit Gateway Connect

    • Site-to-Site VPNsur des routes privées propagées par Direct Connect

    • Site-to-Site VPN-itinéraires propagés

    • Routes propagées par le peering de Transit Gateway (Cloud) WAN

Certaines pièces jointes prennent en charge la diffusion de la publicité sur les itinérairesBGP. Pour les itinéraires ayant le même CIDR type d'attachement et provenant du même type, la priorité de l'itinéraire est contrôlée par BGP des attributs :

  • Longueur de chemin AS plus courte

  • MEDValeur inférieure

  • Les BGP itinéraires e BGP over i sont préférés, si la pièce jointe le permet

    Important

    AWS ne peut garantir un ordre de priorité des itinéraires cohérent pour BGP les itinéraires ayant le même CIDR type de pièce jointe et les mêmes BGP attributs que ceux énumérés ci-dessus.

AWS Transit Gateway affiche uniquement un itinéraire préféré. Un itinéraire de sauvegarde n'apparaîtra dans le tableau des itinéraires de Transit Gateway que s'il n'est plus annoncé, par exemple, si vous annoncez les mêmes itinéraires via la passerelle Direct Connect et au-delà Site-to-SiteVPN. AWS Transit Gateway n'affichera que les itinéraires reçus de la passerelle Direct Connect, qui est l'itinéraire préféré. Le Site-to-SiteVPN, qui est la route de sauvegarde, ne s'affiche que lorsque la passerelle Direct Connect n'est plus annoncée.

VPCdifférences entre les tables de routage et les passerelles de transit

L'évaluation de la table de routage diffère selon que vous utilisiez une table de VPC routage ou une table de routage de passerelle de transit.

L'exemple suivant montre une table de VPC routage. L'itinéraire VPC local a la plus haute priorité, suivi des itinéraires les plus spécifiques. Lorsqu'une route statique et une route propagée ont une même destination, la route statique à la priorité.

Destination Target Priority
10.0.0.0/16

Locale

 1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345 (statique) ou

tgw-12345 (statique)

 2
172.31.0.0/16 vgw-12345 (propagée) 3
0.0.0.0/0 igw-12345 4

L'exemple suivant montre une table de routage de passerelle de transit. Si vous préférez la pièce jointe à la AWS Direct Connect passerelle à la VPN pièce jointe, utilisez une BGP VPN connexion et propagez les itinéraires dans la table de routage de la passerelle de transit.

Destination Attachement (Cible) Type de ressource Type de routage Priority
10.0.0.0/16 tgw-attach-123 | vpc-1234 VPC Statique ou propagée 1
192.168.0.0/16 tgw-attach-789 | vpn-5678 VPN Statique 2
172.31.0.0/16 tgw-attach-456 | dxgw_id AWS Direct Connect passerelle Propagée 3
172.31.0.0/16 tgw-attach-789 | -123 tgw-connect-peer Connexion Propagé 4
172.31.0.0/16 tgw-attach-789 | vpn-5678 VPN Propagé 5

Exemples de scénarios de passerelle de transit

Voici des cas d'utilisation courants pour les passerelles de transit. Vos passerelles de transit ne sont pas limitées à ces cas d’utilisation.

Exemples

    Vous pouvez configurer votre passerelle de transit en tant que routeur centralisé qui connecte toutes vos VPCs Site-to-Site VPN connexions. AWS Direct Connect Dans ce scénario, tous les attachements sont associés à la table de routage par défaut de la passerelle de transit et propagés vers la table de routage par défaut de la passerelle de transit. Par conséquent, tous les attachements peuvent s’échanger des paquets, la passerelle de transit servant de simple routeur d’IP de couche 3.

    Présentation

    Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. Dans ce scénario, il existe trois VPC pièces jointes et une Site-to-Site VPN pièce jointe à la passerelle de transit. Les paquets provenant des sous-réseaux de VPC A, VPC B et VPC C destinés à un sous-réseau d'un autre VPC ou à la première VPN connexion passent par la passerelle de transit.

    Une passerelle de transit avec trois VPC pièces jointes et une VPN pièce jointe.

    Ressources

    Pour ce scénario, créez les ressources suivantes :

    Routage

    Chacun VPC possède une table de routage et il existe une table de routage pour la passerelle de transit.

    VPCtables de routage

    Chacun VPC possède une table de routage avec 2 entrées. La première entrée est l'entrée par défaut pour le IPv4 routage local dans le VPC ; cette entrée permet aux instances de ce VPC dernier de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit. Le tableau suivant montre les VPC itinéraires A.

    Destination Cible

    10.1.0.0/16

    Locale

    0.0.0.0/0

    tgw-id
    Table de routage de passerelle de transit

    Voici un exemple de table de routage par défaut pour les attachements présentés dans le diagramme précédent, la propagation du routage étant activée.

    Destination Target Type de routage

    10.1.0.0/16

    Attachment for VPC A

    propagée

    10.2.0.0/16

    Attachment for VPC B

    propagée

    10.3.0.0/16

    Attachment for VPC C

    propagée

    10.99.99.0/24

    		 Attachment for VPN connection

    propagée
    BGPTableau de passerelle client

    Le BGP tableau de passerelle client contient les éléments suivants VPCCIDRs.

    • 10.1.0.0/16

    • 10.2.0.0/16

    • 10.3.0.0/16

    Vous pouvez configurer votre passerelle de transit en tant que plusieurs routeurs isolés. Cela revient à utiliser plusieurs passerelles de transit, tout en offrant une plus grande flexibilité dans les cas où les routes et les attachements peuvent changer. Dans un tel scénario, chaque routeur isolé possède une seule table de routage. Tous les attachements associés à un routeur isolé se propagent et s'associent avec sa table de routage. Les attachements associés à un routeur isolé peuvent s’acheminer des paquets, mais ils ne peuvent pas acheminer ou recevoir des paquets venant d’attachements d’un autre routeur isolé.

    Présentation

    Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. Les paquets en provenance de VPC A, VPC B et VPC C sont acheminés vers la passerelle de transit. Les paquets provenant des sous-réseaux de VPC A, VPC B et VPC C dont la destination est Internet sont d'abord acheminés par la passerelle de transit, puis vers la Site-to-Site VPN connexion (si la destination se trouve dans ce réseau). Les paquets provenant de l'un et VPC dont la destination est un sous-réseau dans un autreVPC, par exemple de 10.1.0.0 à 10.2.0.0, passent par la passerelle de transit, où ils sont bloqués car il n'existe aucun itinéraire pour eux dans la table de routage de la passerelle de transit.

    Une passerelle de transit avec trois VPC pièces jointes et une VPN pièce jointe.

    Ressources

    Pour ce scénario, créez les ressources suivantes :

    Lorsque la VPN connexion est établie, la BGP session est établie et VPN CIDR se propage vers la table de routage de la passerelle de transit et est ajoutée à la VPC CIDRs BGP table de la passerelle client.

    Routage

    Chacune VPC possède une table de routage et la passerelle de transit possède deux tables de routage, l'une pour la connexion VPCs et l'autre pour la VPN connexion.

    VPCTables de routage VPC A, B et VPC C

    Chacun VPC possède une table de routage avec 2 entrées. La première entrée est l'entrée par défaut pour le IPv4 routage local dans leVPC. Cette entrée permet aux instances qu'elle VPC contient de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit. Le tableau suivant montre les VPC itinéraires A.

    Destination Cible

    10.1.0.0/16

    Locale
    0.0.0.0/0

    tgw-id
    Tables de routage de passerelle de transit

    Ce scénario utilise une table de routage pour la connexion VPCs et une table de routage pour la VPN connexion.

    Les VPC pièces jointes sont associées à la table de routage suivante, qui comporte un itinéraire propagé pour la VPN pièce jointe.

    Destination Target Type de routage
    10.99.99.0/24 Attachment for VPN connection

    propagée

    La VPN pièce jointe est associée à la table de routage suivante, qui contient des itinéraires propagés pour chacune des VPC pièces jointes.

    Destination Target Type de routage

    10.1.0.0/16

    Attachment for VPC A

    propagée

    10.2.0.0/16

    Attachment for VPC B

    propagée

    10.3.0.0/16

    Attachment for VPC C

    propagée

    Pour de plus amples informations sur la propagation de routes dans une table de routage de passerelle de transit, veuillez consulter Activez la propagation d'itinéraires vers une table de routage de passerelle de transit à l'aide d'Amazon VPC Transit Gateways.

    BGPTableau de passerelle client

    Le BGP tableau de passerelle client contient les éléments suivants VPCCIDRs.

    • 10.1.0.0/16

    • 10.2.0.0/16

    • 10.3.0.0/16

    Vous pouvez configurer votre passerelle de transit sous la forme de plusieurs routeurs isolés utilisant un service partagé. Cela revient à utiliser plusieurs passerelles de transit, tout en offrant une plus grande flexibilité dans les cas où les routes et les attachements peuvent changer. Dans un tel scénario, chaque routeur isolé possède une seule table de routage. Tous les attachements associés à un routeur isolé se propagent et s'associent avec sa table de routage. Les attachements associés à un routeur isolé peuvent s'acheminer des paquets, mais ils ne peuvent pas acheminer ou recevoir des paquets venant d'attachements d'un autre routeur isolé. Les attachements peuvent acheminer des paquets vers les services partagés, mais aussi recevoir des paquets provenant des services partagés. Vous pouvez utiliser ce scénario lorsque vous disposez de groupes nécessitant d'être isolés mais utilisant un service partagé, tel qu'un système de production.

    Présentation

    Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. Les paquets provenant des sous-réseaux de VPC VPC A, B et VPC C dont la destination est Internet passent d'abord par la passerelle de transit, puis vers la passerelle client pour Site-to-Site VPN. Les paquets provenant de sous-réseaux VPC situés en A, VPC B ou VPC C dont la destination est un sous-réseau en VPC A, VPC B ou VPC C passent par la passerelle de transit, où ils sont bloqués car il n'existe aucun itinéraire pour eux dans la table de routage de la passerelle de transit. Paquets en provenance de VPC A, VPC B et VPC C dont VPC D est la route de destination via la passerelle de transit, puis vers VPC D.

    Une passerelle de transit avec quatre VPC pièces jointes et une VPN pièce jointe.

    Ressources

    Pour ce scénario, créez les ressources suivantes :

    Lorsque la VPN connexion est établie, la BGP session est établie et VPN CIDR se propage vers la table de routage de la passerelle de transit et est ajoutée à la VPC CIDRs BGP table de la passerelle client.

    • Chaque élément isolé VPC est associé à la table de routage isolée et propagé à la table de routage partagée.

    • Chaque service partagé VPC est associé à la table de routage partagée et propagé aux deux tables de routage.

    Routage

    Chacune VPC possède une table de routage, et la passerelle de transit possède deux tables de routage, l'une pour la VPN connexion VPCs et les services partagés. VPC

    VPCTables de routage VPC A, VPC B, C et VPC D

    Chacun VPC possède une table de routage avec deux entrées. La première entrée est l'entrée par défaut pour le routage local dans le VPC ; cette entrée permet aux instances de ce VPC dernier de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit.

    Destination Cible
    10.1.0.0/16 Locale
    0.0.0.0/0 transit gateway ID
    Tables de routage de passerelle de transit

    Ce scénario utilise une table de routage pour la connexion VPCs et une table de routage pour la VPN connexion.

    Les pièces jointes VPC A, B et C sont associées à la table de routage suivante, qui comporte une route propagée pour la VPN pièce jointe et une route propagée pour la pièce jointe pour D. VPC

    Destination Target Type de routage
    10.99.99.0/24 Attachment for VPN connection propagée
    10.4.0.0/16 Attachment for VPC D propagée

    Les pièces VPN jointes et les pièces jointes des services partagés VPC (VPCD) sont associées à la table de routage suivante, dont les entrées pointent vers chacune des VPC pièces jointes. Cela permet la communication VPCs entre la VPN connexion et les services partagésVPC.

    Destination Target Type de routage
    10.1.0.0/16 Attachment for VPC A propagée
    10.2.0.0/16 Attachment for VPC B propagée
    10.3.0.0/16 Attachment for VPC C propagée

    Pour de plus amples informations, veuillez consulter Activez la propagation d'itinéraires vers une table de routage de passerelle de transit à l'aide d'Amazon VPC Transit Gateways.

    BGPTableau de passerelle client

    Le BGP tableau de passerelle client contient CIDRs les quatreVPCs.

    Vous pouvez créer une connexion d'appairage de passerelle de transit entre des passerelles de transit. Vous pouvez ensuite acheminer le trafic entre les attachements de chacune des passerelles de transit. Dans ce scénario, VPC les VPN pièces jointes sont associées aux tables de routage par défaut de la passerelle de transit et elles se propagent aux tables de routage par défaut de la passerelle de transit. Chaque table de routage de la passerelle de transit dispose d'un itinéraire statique pointant vers l'attachement de l'appairage de la passerelle de transit.

    Présentation

    Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. La passerelle de transit 1 possède deux VPC pièces jointes et la passerelle de transit 2 en possède une Site-to-SiteVPN. Les paquets provenant des sous-réseaux de VPC A et VPC B dont la destination est Internet passent d'abord par la passerelle de transit 1, puis par la passerelle de transit 2, puis vers la VPN connexion.

    Deux passerelles de transport en commun homologues, l'une avec deux VPC accessoires et l'autre avec un VPN accessoire.

    Ressources

    Pour ce scénario, créez les ressources suivantes :

    Lorsque vous créez les VPC pièces jointes, CIDRs les pièces jointes sont VPC propagées vers la table de routage de la passerelle de transit 1. Lorsque la VPN connexion est établie, les actions suivantes se produisent :

    • La BGP session est établie

    • Le Site-to-Site VPN CIDR se propage vers la table de routage de la passerelle de transit 2

    • Ils VPC CIDRs sont ajoutés au BGP tableau de la passerelle client

    Routage

    Chacune VPC possède une table de routage et chaque passerelle de transit possède une table de routage.

    VPCTables de routage VPC A et B

    Chacun VPC possède une table de routage avec 2 entrées. La première entrée est l'entrée par défaut pour le IPv4 routage local dans leVPC. Cette entrée par défaut permet aux ressources VPC qu'il contient de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit. Le tableau suivant montre les VPC itinéraires A.

    Destination Cible

    10.0.0.0/16

    locale

    0.0.0.0/0

    tgw-1-id
    Tables de routage de passerelle de transit

    Voici un exemple de table de routage par défaut pour la passerelle de transit 1, avec la propagation de routage activée.

    Destination Target Type de routage

    10.0.0.0/16

    Attachment ID for VPC A

    propagée

    10.2.0.0/16

    Attachment ID for VPC B

    propagée

    0.0.0.0/0

    		 Attachment ID for peering connection

    statique

    Voici un exemple de table de routage par défaut de la passerelle de transit 2, avec la propagation de routage activée.

    Destination Target Type de routage

    172.31.0.0/24

    		 Attachment ID for VPN connection

    propagée

    10.0.0.0/16

    Attachment ID for peering connection

    statique

    10.2.0.0/16

    		 Attachment ID for peering connection statique
    BGPTableau de passerelle client

    Le BGP tableau de passerelle client contient les éléments suivants VPCCIDRs.

    • 10.0.0.0/16

    • 10.2.0.0/16

    Vous pouvez configurer une passerelle de transit pour acheminer le trafic Internet sortant d'une passerelle VPC sans passerelle Internet vers une passerelle VPC contenant une NAT passerelle et une passerelle Internet.

    Présentation

    Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. Vous avez des applications en VPC A et VPC B qui nécessitent un accès Internet sortant uniquement. Vous configurez VPC C avec une NAT passerelle publique et une passerelle Internet, ainsi qu'un sous-réseau privé pour la VPC pièce jointe. Connectez le tout VPCs à une passerelle de transport en commun. Configurez le routage de manière à ce que le trafic Internet sortant de VPC A et VPC B traverse la passerelle de transit vers VPC C. La NAT passerelle en VPC C achemine le trafic vers la passerelle Internet.

    Une passerelle de transit avec trois VPC pièces jointes.

    Ressources

    Pour ce scénario, créez les ressources suivantes :

    • Trois VPCs avec des plages d'adresses IP qui ne se chevauchent pas. Pour plus d'informations, consultez Create a VPC dans le guide de VPC l'utilisateur Amazon.

    • VPCA et VPC B ont chacun des sous-réseaux privés avec des EC2 instances.

    • VPCC possède les caractéristiques suivantes :

      • Une passerelle Internet connectée auVPC. Pour plus d'informations, consultez la section Création et connexion d'une passerelle Internet dans le guide de VPC l'utilisateur Amazon.

      • Un sous-réseau public doté d'une NAT passerelle. Pour plus d'informations, consultez la section Créer une NAT passerelle dans le guide de VPC l'utilisateur Amazon.

      • Un sous-réseau privé pour l'attachement de la passerelle de transit. Le sous-réseau privé doit se trouver dans la même zone de disponibilité que le sous-réseau public.

    • Une passerelle de transit. Pour de plus amples informations, veuillez consulter Création d'une passerelle de transit à l'aide d'Amazon VPC Transit Gateways.

    • Trois VPC pièces jointes sur la passerelle de transit. Les CIDR blocs de chaque bloc VPC se propagent vers la table de routage de la passerelle de transit. Pour de plus amples informations, veuillez consulter Création d'une VPC pièce jointe à l'aide d'Amazon VPC Transit Gateways. Pour VPC C, vous devez créer la pièce jointe à l'aide du sous-réseau privé. Si vous créez l'attachement à l'aide du sous-réseau public, le trafic de l'instance est acheminé vers la passerelle Internet, mais la passerelle Internet interrompt le trafic car les instances ne possèdent pas d'adresse IP publique. En plaçant la pièce jointe dans le sous-réseau privé, le trafic est acheminé vers la NAT passerelle, qui envoie le NAT trafic vers la passerelle Internet en utilisant son adresse IP élastique comme adresse IP source.

    Routage

    Il existe des tables de routage pour chacune VPC et une table de routage pour la passerelle de transit.

    Table de routage pour VPC A

    Voici un exemple de table de routage. La première entrée permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit.

    Destination Target

    VPC A CIDR

    locale

    0.0.0.0/0

    transit-gateway-id
    Table de routage pour VPC B

    Voici un exemple de table de routage. La première entrée permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit.

    Destination Target

    VPC B CIDR

    locale

    0.0.0.0/0

    transit-gateway-id
    Tables de routage pour VPC C

    Configurez le sous-réseau avec la NAT passerelle en tant que sous-réseau public en ajoutant une route vers la passerelle Internet. Laissez l'autre sous-réseau en tant que sous-réseau privé.

    Voici un exemple de table de routage pour le sous-réseau public. La première entrée permet aux instances du VPC de communiquer entre elles. Les deuxième et troisième entrées acheminent le trafic pour VPC A et VPC B vers la passerelle de transit. L'entrée restante achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle Internet.

    Destination Target
    VPC C CIDR locale
    VPC A CIDR transit-gateway-id
    VPC B CIDR transit-gateway-id
    0.0.0.0/0 internet-gateway-id

    Voici un exemple de table de routage pour le sous-réseau privé. La première entrée permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la NAT passerelle.

    Destination Target
    VPC C CIDR locale
    0.0.0.0/0 nat-gateway-id
    Table de routage de passerelle de transit

    Voici un exemple de table de routage de passerelle de transit. Les CIDR blocs de chaque bloc VPC se propagent vers la table de routage de la passerelle de transit. La route statique envoie le trafic Internet sortant vers VPC C. Vous pouvez éventuellement empêcher l'VPCintercommunication en ajoutant une route en trou noir pour chacune d'elles. VPC CIDR

    CIDR Réseau de transit par passerelle Type de routage

    VPC A CIDR

    Attachment for VPC A

    propagée

    VPC B CIDR

    Attachment for VPC B

    propagée

    VPC C CIDR

    Attachment for VPC C

    propagée
    0.0.0.0/0

    Attachment for VPC C

    		 statique

    Vous pouvez configurer une appliance (telle qu'une appliance de sécurité) dans un service partagéVPC. Tout le trafic acheminé entre les pièces jointes de la passerelle de transit est d'abord inspecté par l'appliance dans les services VPC partagés. Lorsque le mode appliance est activé, une passerelle de transit sélectionne une interface réseau unique dans l'applianceVPC, à l'aide d'un algorithme de hachage de flux, à laquelle envoyer le trafic pendant toute la durée de vie du flux. La passerelle de transit utilise la même interface réseau pour le trafic de retour. Cela garantit que le trafic bidirectionnel est acheminé de manière symétrique : il est acheminé via la même zone de disponibilité que celle de la pièce jointe pendant toute la durée de vie du VPC flux. Si vous avez plusieurs passerelles de transit dans votre architecture, chacune d'elles conserve sa propre affinité de session, et chaque passerelle de transit peut sélectionner une interface réseau différente.

    Vous devez connecter une seule passerelle de transit à l'appliance VPC pour garantir la régularité du flux. La connexion de plusieurs passerelles de transit à une seule appliance VPC ne garantit pas la régularité du flux, car les passerelles de transport ne partagent pas les informations sur l'état du flux entre elles.

    Important

    • Le trafic en mode appliance est correctement acheminé tant que le trafic source et le trafic de destination sont acheminés vers un système centralisé VPC (inspectionVPC) à partir de la même pièce jointe de passerelle de transit. Le trafic peut chuter si la source et la destination se trouvent sur deux pièces jointes de passerelle de transit différentes. Le trafic peut chuter si le système centralisé VPC reçoit le trafic d'une autre passerelle, par exemple une passerelle Internet, puis envoie ce trafic à la pièce jointe de la passerelle de transit après inspection.

    • L'activation du mode appliance sur une pièce jointe existante peut affecter l'itinéraire actuel de cette pièce jointe, car la pièce jointe peut traverser n'importe quelle zone de disponibilité. Lorsque le mode appliance n'est pas activé, le trafic est maintenu dans la zone de disponibilité d'origine.

    Présentation

    Le schéma suivant illustre les principaux composants pour la configuration de ce scénario. La passerelle de transit comporte trois VPC pièces jointes. VPCC est un service partagéVPC. Le trafic entre VPC A et VPC B est acheminé vers la passerelle de transit, puis acheminé vers un dispositif de sécurité en VPC C pour inspection avant d'être acheminé vers la destination finale. La solution matérielle-logicielle est une appliance avec état, par conséquent, le trafic de demande et de réponse sont inspectés tous les deux. Pour une haute disponibilité, il existe une appliance dans chaque zone de disponibilité en VPC C.

    Une appliance dans un service partagé VPC

    Pour ce scénario; vous créez les ressources suivantes :

    • TroisVPCs. Pour plus d'informations sur la création d'unVPC, consultez Creating a VPC dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

    • Une passerelle de transit. Pour de plus amples informations, veuillez consulter Création d'une passerelle de transit à l'aide d'Amazon VPC Transit Gateways.

    • Trois VPC pièces jointes, une pour chacune desVPCs. Pour de plus amples informations, veuillez consulter Création d'une VPC pièce jointe à l'aide d'Amazon VPC Transit Gateways.

      Pour chaque VPC pièce jointe, spécifiez un sous-réseau dans chaque zone de disponibilité. Pour les services partagésVPC, il s'agit des sous-réseaux vers lesquels le trafic est acheminé VPC depuis la passerelle de transit. Dans l'exemple précédent, il s'agit des sous-réseaux A et C.

      Pour la VPC pièce jointe pour VPC C, activez la prise en charge du mode appliance afin que le trafic de réponse soit acheminé vers la même zone de disponibilité en VPC C que le trafic source.

      La VPC console Amazon prend en charge le mode appliance. Vous pouvez également utiliser Amazon VPCAPI, un AWS SDK, le AWS CLI pour activer le mode appliance, ou AWS CloudFormation. Par exemple, ajoutez --options ApplianceModeSupport=enable à la commande create-transit-gateway-vpc-attachment ou modify-transit-gateway-vpc-attachment.

    Note

    La régularité du flux en mode appliance est garantie uniquement pour le trafic source et de destination en provenance de l'inspection. VPC

    Appliances avec état et mode appliance

    Si vos VPC pièces jointes s'étendent sur plusieurs zones de disponibilité et que vous avez besoin que le trafic entre les hôtes source et de destination soit acheminé via le même dispositif pour une inspection dynamique, activez la prise en charge du mode appliance pour la VPC pièce jointe dans laquelle se trouve l'appliance.

    Pour plus d'informations, consultez la section Architecture d'inspection centralisée dans le AWS blog.

    Comportement lorsque le mode appliance n'est pas activé

    Lorsque le mode appliance n'est pas activé, une passerelle de transit tente de faire en sorte que le trafic soit acheminé entre les VPC pièces jointes dans la zone de disponibilité d'origine jusqu'à ce qu'il atteigne sa destination. Le trafic traverse les zones de disponibilité entre les pièces jointes uniquement en cas de défaillance de la zone de disponibilité ou si aucun sous-réseau n'est associé à une VPC pièce jointe dans cette zone de disponibilité.

    Le diagramme suivant montre un flux de trafic lorsque le support du mode de l’appliance n’est pas activé. Le trafic de réponse provenant de la zone de disponibilité 2 en VPC B est acheminé par la passerelle de transit vers la même zone de disponibilité en VPC C. Le trafic est donc abandonné, car l'appliance de la zone de disponibilité 2 n'est pas au courant de la demande initiale provenant de la source en A. VPC

    Abandon du trafic de réponse vers une appliance

    Routage

    Chacune VPC possède une ou plusieurs tables de routage et la passerelle de transit possède deux tables de routage.

    VPCtables de routage

    VPCA et VPC B

    VPCsA et B ont des tables de routage avec 2 entrées. La première entrée est l'entrée par défaut pour le IPv4 routage local dans leVPC. Cette entrée par défaut permet aux ressources VPC qu'il contient de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic de IPv4 sous-réseau vers la passerelle de transit. Voici la table de routage pour VPC A.

    Destination Cible

    10.0.0.0/16

    locale

    0.0.0.0/0

    tgw-id

    VPCC

    Les services partagés VPC (VPCC) disposent de tables de routage différentes pour chaque sous-réseau. Le sous-réseau A est utilisé par la passerelle de transit (vous spécifiez ce sous-réseau lorsque vous créez la VPC pièce jointe). La table de routage du sous-réseau A achemine tout le trafic vers l'appliance du sous-réseau B.

    Destination Target

    192.168.0.0/16

    Locale

    0.0.0.0/0

    appliance-eni-id

    La table de routage du sous-réseau B, qui contient l'appliance, renvoie le trafic vers la passerelle de transit.

    Destination Target

    192.168.0.0/16

    Locale

    0.0.0.0/0

    tgw-id
    Tables de routage de passerelle de transit

    Cette passerelle de transit utilise une table de routage pour VPC A et VPC B, et une table de routage pour les services partagés VPC (VPCC).

    Les pièces jointes VPC A et VPC B sont associées à la table de routage suivante. La table de routage achemine tout le trafic vers VPC C.

    Destination Target Type de routage

    0.0.0.0/0

    Attachment ID for VPC C

    statique

    L'attachement VPC C est associé à la table de routage suivante. Il achemine le trafic vers VPC A et VPC B.

    Destination Target Type de routage

    10.0.0.0/16

    Attachment ID for VPC A

    propagée

    10.1.0.0/16

    Attachment ID for VPC B

    		 propagée