Passerelles Internet - Amazon Virtual Private Cloud

Passerelles Internet

Une passerelle Internet est un composant de VPC dimensionné horizontalement, redondant et hautement disponible qui permet la communication entre votre VPC et Internet.

Une passerelle Internet a deux finalités : elle fournit une cible dans vos tables de routage VPC pour le trafic routable sur Internet et elle effectue la conversion d'adresse réseau (NAT) pour les instances auxquelles ont été affectées des adresses IPv4 publiques.

Une passerelle Internet prend en charge le trafic IPv4 et IPv6. Elle ne génère pas de risques de disponibilité ou de contraintes de bande passante sur votre trafic réseau.

Activation de l'accès Internet

Pour activer l'accès vers ou depuis Internet aux instances d'un sous-réseau dans un VPC, vous devez procéder comme suit :

  • Attachez une passerelle Internet à votre VPC.

  • Ajoutez une route à la table de routage de votre sous-réseau qui dirige le trafic lié à Internet vers la passerelle Internet. Si un sous-réseau est associé à une table de routage comportant une route vers une passerelle Internet, il est reconnu comme un sous-réseau public. Si un sous-réseau est associé à une table de routage ne comportant pas de route vers une passerelle Internet, il est reconnu comme un sous-réseau privé.

  • Assurez-vous que les instances dans votre sous-réseau ont une adresse IP globalement unique (adresse IPv4 publique, adresse IP Elastic ou adresse IPv6).

  • Assurez-vous que les listes de contrôle d'accès et les règles des groupes de sécurité de votre réseau autorisent l'acheminement du trafic pertinent vers et en provenance de votre instance.

Dans votre table de routage de sous-réseau, vous pouvez spécifier une route pour la passerelle Internet vers toutes les destinations qui ne sont pas explicitement connues de la table de routage (0.0.0.0/0 pour IPv4 ou ::/0 pour IPv6). Vous pouvez également définir la route vers une plage d'adresses IP plus restreinte, par exemple, les adresses IPv4 publiques des points de terminaison publics de votre entreprise en dehors de AWS, ou les adresses IP Elastic d'autres instances Amazon EC2 situées en dehors de votre VPC.

Pour permettre la communication via Internet pour IPv4, votre instance doit comporter une adresse IPv4 publique ou une adresse IP Elastic qui est associée à une adresse IPv4 privée sur votre instance. Votre instance ne connaît que l'espace d'adresse IP privée (interne) défini au sein du VPC et du sous-réseau. La passerelle Internet fournit logiquement la relation NAT un-à-un sur le compte de votre instance, de sorte que lorsque le trafic quitte le sous-réseau de votre VPC et va sur Internet, le champ d'adresse de réponse est défini sur l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance, et non sur son adresse IP privée. Inversement, l'adresse de destination du trafic qui est destiné pour l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance est convertie en adresse IPv4 privée de l'instance avant que le trafic ne soit distribué au VPC.

Pour permettre la communication via Internet pour IPv6, votre VPC et un sous-réseau doivent avoir un bloc d'adresse CIDR IPv6 associé et une adresse IPv6 doit être attribuée à votre instance à partir de la plage du sous-réseau. Les adresses IPv6 sont globalement uniques et par conséquent publiques par défaut.

Dans le diagramme suivant, le sous-réseau 1 du VPC est un sous-réseau public. Il est associé à une table de routage personnalisée qui dirige l'ensemble du trafic IPv4 Internet entrant vers une passerelle Internet. L'instance a une adresse IP Elastic, ce qui permet la communication avec Internet.


                Utilisation d'une passerelle Internet

Pour fournir un accès Internet à vos instances sans leur attribuer d'adresses IP publiques, vous pouvez utiliser un périphérique NAT à la place. Pour plus d'informations, consultez NAT.

Accès Internet pour les VPC par défaut et personnalisés

Le tableau suivant fournit une vue d'ensemble qui indique si votre VPC est automatiquement associé aux composants requis pour l'accès Internet via IPv4 ou IPv6.

Composant VPC par défaut VPC personnalisé
Passerelle Internet Oui Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC. Sinon, vous devez créer et attacher manuellement la passerelle Internet.
Table de routage avec route vers une passerelle Internet pour le trafic IPv4 (0.0.0.0/0) Oui Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC. Sinon, vous devez créer la table de routage manuellement et ajouter le routage.
Table de routage avec route vers une passerelle Internet pour le trafic IPv6 (::/0) Non Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC, et si vous avez spécifié l'option pour associer un bloc d'adresse CIDR IPv6 avec le VPC. Sinon, vous devez créer la table de routage manuellement et ajouter le routage.
Adresse IPv4 publique attribuée automatiquement à l'instance lancée dans le sous-réseau Oui (sous-réseau par défaut) Non (sous-réseau personnalisé)
Adresse IPv6 attribuée automatiquement à l'instance lancée dans le sous-réseau Non (sous-réseau par défaut) Non (sous-réseau personnalisé)

Pour plus d'informations sur les VPC par défaut, consultez VPC par défaut et sous-réseaux par défaut. Pour plus d'informations sur l'utilisation de l'assistant VPC pour créer un VPC avec une passerelle Internet, consultez VPC avec un sous-réseau public unique ou VPC avec des sous-réseaux publics et privés (NAT).

Pour plus d'informations sur l'adressage IP dans votre VPC et le contrôle de la façon dont les adresses IPv4 ou IPv6 publiques sont affectées aux instances, consultez Adressage IP dans votre VPC.

Lorsque vous ajoutez un nouveau sous-réseau à votre VPC, vous devez définir le routage et la sécurité souhaités pour ce sous-réseau.

Ajout d’une passerelle Internet à votre VPC

Les informations suivantes décrivent comment créer manuellement un sous-réseau public et attacher une passerelle Internet à votre VPC pour la prise en charge de l'accès Internet.

Création d'un sous-réseau

Pour ajouter un sous-réseau à votre VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets, puis choisissez Create Subnet.

  3. Dans la boîte de dialogue Créer le sous-réseau (subnet), sélectionnez le VPC, la zone de disponibilité et spécifiez le bloc d'adresse CIDR IPv4 pour le sous-réseau.

  4. (Facultatif, IPv6 uniquement) Pour IPv6 CIDR block, choisissez Specify a custom IPv6 CIDR.

  5. Choisissez Yes, Create.

Pour plus d'informations sur les sous-réseaux, consultez la section VPC et sous-réseaux.

Création et attachement d'une passerelle Internet

Après avoir créé une passerelle Internet, attachez-la à votre VPC

Pour créer une passerelle Internet et l'attacher à votre VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Internet Gateways (Passerelles Internet), puis Create internet gateway (Créer une passerelle Internet).

  3. Attribuez éventuellement un nom à votre passerelle Internet, puis choisissez Create (Créer).

  4. Sélectionnez la passerelle Internet que vous venez de créer, puis choisissez Actions, Attach to VPC (Actions, Attacher au VPC).

  5. Sélectionnez le VPC dans la liste, puis choisissez Attach (Attacher).

Création d'une table de routage personnalisée

Lorsque vous créez un sous-réseau, nous l'associons automatiquement à la table de routage principale de votre VPC. Par défaut, la table de routage principale ne contient pas de route vers une passerelle Internet. La procédure ci-après permet de créer une table de routage personnalisée avec une route qui envoie le trafic destiné à l'extérieur du VPC vers la passerelle Internet, puis l'associe à votre sous-réseau.

Pour créer une table de routage personnalisée

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Route Tables, puis Create Route Table.

  3. Dans la boîte de dialogue Create Route Table, nommez si vous le souhaitez votre table de routage, puis sélectionnez votre VPC, puis choisissez Yes, Create.

  4. Sélectionnez la table de routage personnalisée que vous venez de créer. Le volet des détails affiche des onglets pour utiliser ses routes, ses associations et la propagation du routage.

  5. Sur l'onglet Routes, choisissez Edit, Ajouter une autre route et ajoutez les routes suivantes si nécessaire. Choisissez Save lorsque vous avez terminé.

    • Pour le trafic IPv4, spécifiez 0.0.0.0/0 dans la zone Destination, puis sélectionnez l'ID de passerelle Internet dans la liste Target (Cible).

    • Pour le trafic IPv6, spécifiez ::/0 dans la zone Destination, puis sélectionnez l'ID de passerelle Internet dans la liste Target (Cible).

  6. Sous l'onglet Subnet Associations, choisissez Edit, sélectionnez la case à cocher Associate pour le sous-réseau, puis choisissez Save.

Pour plus d'informations, consultez Tables de routage.

Création d'un groupe de sécurité pour l'accès Internet

Par défaut, un groupe de sécurité VPC autorise tout le trafic sortant. Vous pouvez créer un nouveau groupe de sécurité et ajouter des règles qui autorisent le trafic entrant à partir d'Internet. Vous pouvez ensuite associer le groupe de sécurité aux instances du sous-réseau public.

Pour créer un nouveau groupe de sécurité et l'associer à vos instances

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Security Groups, puis Create Security Group.

  3. Dans la boîte de dialogue Create Security Group, indiquez un nom pour le groupe de sécurité ainsi qu'une description. Sélectionnez l'ID de votre VPC dans la liste VPC, puis choisissez Yes, Create.

  4. Sélectionnez le groupe de sécurité. Le volet des détails affiche les détails du groupe de sécurité, ainsi que des onglets pour utiliser ses règles entrantes et sortantes.

  5. Sous l'onglet Inbound Rules, choisissez Edit. Choisissez Add Rule, puis entrez les informations requises. Par exemple, sélectionnez HTTP ou HTTPS dans la liste Type et entrez la Source comme 0.0.0.0/0 pour le trafic IPv4 ou ::/0 pour le trafic IPv6. Choisissez Save lorsque vous avez terminé.

  6. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  7. Dans le panneau de navigation, choisissez Instances.

  8. Sélectionnez l'instance, choisissez Actions, puis Networking, et sélectionnez Change Security Groups.

  9. Dans la boîte de dialogue Change Security Groups, désélectionnez la case à cocher en regard du groupe de sécurité actuellement sélectionné, puis sélectionnez-en un nouveau. Choisissez Assign Security Groups.

Pour plus d'informations, consultez Groupes de sécurité pour votre VPC.

Ajout d'adresses IP Elastic

Après avoir lancé une instance dans le sous-réseau, vous devez lui affecter une adresse IP Elastic si vous voulez qu'elle soit accessible depuis Internet via IPv4.

Note

Si vous avez affecté une adresse IPv4 publique à votre instance lors du lancement, votre instance est accessible depuis Internet, et vous n'avez pas besoin de lui affecter une adresse IP Elastic. Pour plus d'informations sur l'adressage IP pour votre instance, consultez la section Adressage IP dans votre VPC.

Pour allouer une adresse IP Elastic et l'affecter à une instance à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Elastic IPs.

  3. Choisissez Allouer une nouvelle adresse.

  4. Choisissez Allocate.

    Note

    Si votre compte prend en charge EC2-Classic, commencez par choisir VPC.

  5. Sélectionnez l'adresse IP Elastic dans la liste et choisissez Actions, puis Associate address.

  6. Choisissez Instance ou Network interface, puis sélectionnez l'ID d'instance ou d'interface réseau. Sélectionnez l'adresse IP privée à laquelle associer l'adresse IP Elastic, puis choisissez Associate.

Pour plus d'informations, consultez Adresses IP Elastic.

Détachement d'une passerelle Internet de votre VPC

Si vous n'avez plus besoin d'un accès Internet pour les instances que vous lancez dans un VPC personnalisé, vous pouvez détacher une passerelle Internet d'un VPC. Vous ne pouvez pas détacher une passerelle Internet si le VPC comporte des ressources avec des adresses IP publiques ou des adresses IP Elastic associées.

Pour détacher une passerelle Internet

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Elastic IPs, puis l'adresse IP Elastic.

  3. Choisissez Actions, Disassociate address. Choisissez Dissocier l'adresse.

  4. Dans le panneau de navigation, choisissez Passerelles Internet.

  5. Sélectionnez la passerelle Internet, puis choisissez Actions, Detach from VPC (Actions, Détacher du VPC).

  6. Dans la boîte de dialogue Detach from VPC (Détacher du VPC), choisissez Detach (Détacher).

Suppression d'une passerelle Internet

Si vous n'avez plus besoin d'une passerelle Internet, vous pouvez la supprimer. Vous ne pouvez pas supprimer une passerelle Internet si elle est encore attachée à un VPC.

Pour supprimer une passerelle Internet

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Internet Gateways.

  3. Sélectionnez la passerelle Internet, puis choisissez Actions, Delete internet gateway (Supprimer la passerelle Internet).

  4. Dans la boîte de dialogue Delete internet Gateway (Supprimer la passerelle Internet), choisissez Delete (Supprimer).

Présentation des API et des commandes

Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'une API. Pour plus d'informations sur les interfaces de ligne de commande et la liste des actions liées aux API disponibles, consultez Accès à Amazon VPC.

Création d'une passerelle Internet

Attachement d'une passerelle Internet à un VPC

Description d'une passerelle Internet

Détachement d'une passerelle Internet d'un VPC

Suppression d'une passerelle Internet