Amazon Virtual Private Cloud
Guide de l'utilisateur

Passerelles Internet

Une passerelle Internet est un composant de VPC dimensionnés horizontalement, redondant et hautement disponible qui permet la communication entre des instances dans votre VPC et Internet. Elle n'impose par conséquent aucun risque de disponibilité ni de contraintes de bande passante sur votre trafic réseau.

Une passerelle Internet a deux finalités : elle fournit une cible dans vos tables de routage VPC pour le trafic routable sur Internet et elle effectue la conversion d'adresse réseau (NAT) pour les instances auxquelles ont été affectées des adresses IPv4 publiques.

Une passerelle Internet prend en charge le trafic IPv4 et IPv6.

Activation de l'accès Internet

Pour activer l'accès vers ou depuis Internet aux instances d'un sous-réseau VPC, vous devez procéder comme suit :

  • Attachez une passerelle Internet à votre VPC.

  • Assurez-vous que la table de routage de votre sous-réseau pointe sur la passerelle Internet.

  • Assurez-vous que les instances dans votre sous-réseau ont une adresse IP globalement unique (adresse IPv4 publique, adresse IP Elastic ou adresse IPv6).

  • Assurez-vous que le contrôle d'accès et les règles des groupes de sécurité de votre réseau autorisent l'acheminement d'un trafic pertinent vers et en provenance de votre instance.

Pour utiliser une passerelle Internet, la table de routage de vos sous-réseaux doit contenir une route qui achemine le trafic Internet entrant vers la passerelle Internet. Vous pouvez définir la route vers toutes les destinations non explicitement connues dans la table de routage (0.0.0.0/0 pour IPv4 ou ::/0 pour IPv6), ou définir la route vers une plage d'adresses IP plus restreinte, par exemple, les adresses IPv4 publiques des points de terminaison publics de votre entreprise en dehors d'AWS, ou les adresses IP Elastic d'autres instances Amazon EC2 situées en dehors de votre VPC. Si votre sous-réseau est associé à une table de routage comportant une route vers une passerelle Internet, il est reconnu comme un sous-réseau public.

Pour permettre la communication via Internet pour IPv4, votre instance doit comporter une adresse IPv4 publique ou une adresse IP Elastic qui est associée à une adresse IPv4 privée sur votre instance. Votre instance ne connaît que l'espace d'adresse IP privée (interne) défini au sein du VPC et du sous-réseau. La passerelle Internet fournit logiquement la relation NAT un-à-un sur le compte de votre instance, de sorte que lorsque le trafic quitte le sous-réseau de votre VPC et va sur Internet, le champ d'adresse de réponse est défini sur l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance, et non sur son adresse IP privée. Inversement, l'adresse de destination du trafic qui est destiné pour l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance est convertie en adresse IPv4 privée de l'instance avant que le trafic ne soit distribué au VPC.

Pour permettre la communication via Internet pour IPv6, votre VPC et un sous-réseau doivent avoir un bloc d'adresse CIDR IPv6 associé et une adresse IPv6 doit être attribuée à votre instance à partir de la plage du sous-réseau. Les adresses IPv6 sont globalement uniques et par conséquent publiques par défaut.

Dans le diagramme suivant, Sous-réseau 1 dans le VPC est associé à une table de routage personnalisée qui dirige tout le trafic Internet entrant IPv4 vers une passerelle Internet. L'instance a une adresse IP Elastic, ce qui permet la communication avec Internet.


                Utilisation d'une passerelle Internet

Accès Internet pour les VPC par défaut et personnalisés

Le tableau suivant fournit une vue d'ensemble qui indique si votre VPC est automatiquement associé aux composants requis pour l'accès Internet via IPv4 ou IPv6.

Composant VPC par défaut VPC personnalisé
Passerelle Internet Oui Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC. Sinon, vous devez créer et attacher manuellement la passerelle Internet.
Table de routage avec route vers une passerelle Internet pour le trafic IPv4 (0.0.0.0/0) Oui Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC. Sinon, vous devez créer la table de routage manuellement et ajouter le routage.
Table de routage avec route vers une passerelle Internet pour le trafic IPv6 (::/0) Non Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC, et si vous avez spécifié l'option pour associer un bloc d'adresse CIDR IPv6 avec le VPC. Sinon, vous devez créer la table de routage manuellement et ajouter le routage.
Adresse IPv4 publique attribuée automatiquement à l'instance lancée dans le sous-réseau Oui (sous-réseau par défaut) Non (sous-réseau personnalisé)
Adresse IPv6 attribuée automatiquement à l'instance lancée dans le sous-réseau Non (sous-réseau par défaut) Non (sous-réseau personnalisé)

Pour plus d'informations sur les VPC par défaut, consultez VPC par défaut et sous-réseaux par défaut. Pour plus d'informations sur l'utilisation de l'assistant VPC pour créer un VPC avec une passerelle Internet, consultez Scénario 1 : VPC avec un seul sous-réseau public ou Scénario 2 : VPC avec des sous-réseaux publics et privés (NAT).

Pour plus d'informations sur l'adressage IP dans votre VPC et le contrôle de la façon dont les adresses IPv4 ou IPv6 publiques sont affectées aux instances, consultez Adressage IP dans votre VPC.

Lorsque vous ajoutez un nouveau sous-réseau à votre VPC, vous devez définir le routage et la sécurité souhaités pour ce sous-réseau.

Création d'un VPC avec une passerelle Internet

Les ci-après décrivent comment créer manuellement un sous-réseau public pour la prise en charge d'un accès Internet.

Création d'un sous-réseau (subnet)

Pour ajouter un sous-réseau à votre VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets, puis choisissez Create Subnet.

  3. Dans la boîte de dialogue Créer le sous-réseau (subnet), sélectionnez le VPC, la zone de disponibilité et spécifiez le bloc d'adresse CIDR IPv4 pour le sous-réseau.

  4. (Facultatif, IPv6 uniquement) Pour IPv6 CIDR block, choisissez Specify a custom IPv6 CIDR.

  5. Choisissez Yes, Create.

Pour plus d'informations sur les sous-réseaux, consultez la section VPC et sous-réseaux.

Création et attachement d'une passerelle Internet

Pour créer une passerelle Internet et l'attacher à votre VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Internet Gateways (Passerelles Internet), puis Create internet gateway (Créer une passerelle Internet).

  3. Attribuez éventuellement un nom à votre passerelle Internet, puis choisissez Create (Créer).

  4. Sélectionnez la passerelle Internet que vous venez de créer, puis choisissez Actions, Attach to VPC (Actions, Attacher au VPC).

  5. Sélectionnez le VPC dans la liste, puis choisissez Attach (Attacher).

Création d'une table de routage personnalisée

Lorsque vous créez un sous-réseau, nous l'associons automatiquement à la table de routage principale de votre VPC. Par défaut, la table de routage principale ne contient pas de route vers une passerelle Internet. La procédure ci-après permet de créer une table de routage personnalisée avec une route qui envoie le trafic destiné à l'extérieur du VPC vers la passerelle Internet, puis l'associe à votre sous-réseau.

Pour créer une table de routage personnalisée

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Route Tables, puis Create Route Table.

  3. Dans la boîte de dialogue Create Route Table, nommez si vous le souhaitez votre table de routage, puis sélectionnez votre VPC, puis choisissez Yes, Create.

  4. Sélectionnez la table de routage personnalisée que vous venez de créer. Le volet des détails affiche des onglets pour utiliser ses routes, ses associations et la propagation du routage.

  5. Sur l'onglet Routes, choisissez Edit, Ajouter une autre route et ajoutez les routes suivantes si nécessaire. Choisissez Save lorsque vous avez terminé.

    • Pour le trafic IPv4, spécifiez 0.0.0.0/0 dans la zone Destination, puis sélectionnez l'ID de passerelle Internet dans la liste Target (Cible).

    • Pour le trafic IPv6, spécifiez ::/0 dans la zone Destination, puis sélectionnez l'ID de passerelle Internet dans la liste Target (Cible).

  6. Sous l'onglet Subnet Associations, choisissez Edit, sélectionnez la case à cocher Associate pour le sous-réseau, puis choisissez Save.

Pour plus d'informations, consultez Tables de routage.

Mise à jour des règles des groupes de sécurité

Votre VPC est associé à un groupe de sécurité par défaut. Chaque instance que vous lancez dans un VPC est automatiquement associée à son groupe de sécurité par défaut. Les paramètres par défaut d'un groupe de sécurité n'autorisent aucun trafic entrant en provenance d'Internet et ils autorisent tout le trafic sortant vers Internet. Par conséquent, pour permettre à vos instances de communiquer avec Internet, créez un nouveau groupe de sécurité qui autorise les instances publiques à accéder à Internet.

Pour créer un nouveau groupe de sécurité et l'associer à vos instances

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Security Groups, puis Create Security Group.

  3. Dans la boîte de dialogue Create Security Group, indiquez un nom pour le groupe de sécurité ainsi qu'une description. Sélectionnez l'ID de votre VPC dans la liste VPC, puis choisissez Yes, Create.

  4. Sélectionnez le groupe de sécurité. Le volet des détails affiche les détails du groupe de sécurité, ainsi que des onglets pour utiliser ses règles entrantes et sortantes.

  5. Sous l'onglet Inbound Rules, choisissez Edit. Choisissez Add Rule, puis entrez les informations requises. Par exemple, sélectionnez HTTP ou HTTPS dans la liste Type et entrez la Source comme 0.0.0.0/0 pour le trafic IPv4 ou ::/0 pour le trafic IPv6. Choisissez Save lorsque vous avez terminé.

  6. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  7. Dans le volet de navigation, choisissez Instances.

  8. Sélectionnez l'instance, choisissez Actions, puis Networking, et sélectionnez Change Security Groups.

  9. Dans la boîte de dialogue Change Security Groups, désélectionnez la case à cocher en regard du groupe de sécurité actuellement sélectionné, puis sélectionnez-en un nouveau. Choisissez Assign Security Groups.

Pour plus d'informations, consultez Groupes de sécurité pour votre VPC.

Ajout d'adresses IP Elastic

Après avoir lancé une instance dans le sous-réseau, vous devez lui affecter une adresse IP Elastic si vous voulez qu'elle soit accessible depuis Internet via IPv4.

Note

Si vous avez affecté une adresse IPv4 publique à votre instance lors du lancement, votre instance est accessible depuis Internet, et vous n'avez pas besoin de lui affecter une adresse IP Elastic. Pour plus d'informations sur l'adressage IP pour votre instance, consultez la section Adressage IP dans votre VPC.

Pour allouer une adresse IP Elastic et l'affecter à une instance à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Elastic IPs.

  3. Choisissez Allouer une nouvelle adresse.

  4. Choisissez Allocate.

    Note

    Si votre compte prend en charge EC2-Classic, commencez par choisir VPC.

  5. Sélectionnez l'adresse IP Elastic dans la liste et choisissez Actions, puis Associate address.

  6. Choisissez Instance ou Network interface, puis sélectionnez l'ID d'instance ou d'interface réseau. Sélectionnez l'adresse IP privée à laquelle associer l'adresse IP Elastic, puis choisissez Associate.

Pour plus d'informations, consultez Adresses IP Elastic.

Détachement d'une passerelle Internet de votre VPC

Si vous n'avez plus besoin d'un accès Internet pour les instances que vous lancez dans un VPC personnalisé, vous pouvez détacher une passerelle Internet d'un VPC. Vous ne pouvez pas détacher une passerelle Internet si le VPC comporte des ressources avec des adresses IP publiques ou des adresses IP Elastic associées.

Pour détacher une passerelle Internet

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Elastic IPs, puis l'adresse IP Elastic.

  3. Choisissez Actions, Disassociate address. Choisissez Dissocier l'adresse.

  4. Dans le volet de navigation, choisissez Internet Gateways.

  5. Sélectionnez la passerelle Internet, puis choisissez Actions, Detach from VPC (Actions, Détacher du VPC).

  6. Dans la boîte de dialogue Detach from VPC (Détacher du VPC), choisissez Detach (Détacher).

Suppression d'une passerelle Internet

Si vous n'avez plus besoin d'une passerelle Internet, vous pouvez la supprimer. Vous ne pouvez pas supprimer une passerelle Internet si elle est encore attachée à un VPC.

Pour supprimer une passerelle Internet

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Internet Gateways.

  3. Sélectionnez la passerelle Internet, puis choisissez Actions, Delete internet gateway (Supprimer la passerelle Internet).

  4. Dans la boîte de dialogue Delete internet Gateway (Supprimer la passerelle Internet), choisissez Delete (Supprimer).

Présentation des API et des commandes

Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'une API. Pour plus d'informations sur les interfaces de ligne de commande et la liste des actions liées aux API disponibles, consultez Accès à Amazon VPC.

Création d'une passerelle Internet

Attachement d'une passerelle Internet à un VPC

Description d'une passerelle Internet

Détachement d'une passerelle Internet d'un VPC

Suppression d'une passerelle Internet