Connecter à Internet à l'aide d'une passerelle Internet - Amazon Virtual Private Cloud

Connecter à Internet à l'aide d'une passerelle Internet

Une passerelle Internet est un composant de VPC dimensionné horizontalement, redondant et hautement disponible qui permet la communication entre votre VPC et Internet. Une passerelle Internet active des ressources (telles que les instances EC2) de vos sous-réseaux publics pour se connecter à Internet si elles comportent une adresse IPv4 publique ou une adresse IPv6. De même, les ressources sur Internet peuvent établir une connexion à des ressources de votre sous-réseau à l'aide de l'adresse IPv4 publique ou de l'adresse IPv6. Par exemple, une passerelle Internet vous permet de vous connecter à une instance EC2 dansAWSà l'aide de votre ordinateur local.

Une passerelle Internet a deux finalités : elle fournit une cible dans vos tables de routage VPC pour le trafic routable sur Internet et elle effectue la conversion d'adresse réseau (NAT) pour les instances auxquelles ont été affectées des adresses IPv4 publiques. Pour plus d'informations, consultez Activer l'accès Internet.

Une passerelle Internet prend en charge le trafic IPv4 et IPv6. Elle ne génère pas de risques de disponibilité ou de contraintes de bande passante sur votre trafic réseau. Aucuns frais supplémentaires ne s'applique si vous avez une passerelle Internet dans votre compte.

Activer l'accès Internet

Pour activer l’accès vers ou depuis Internet aux instances d’un sous-réseau dans un VPC, vous devez procéder comme suit.

  • Créez une passerelle Internet et attachez-la à votre VPC.

  • Ajoutez une route à la table de routage de votre sous-réseau qui dirige le trafic lié à Internet vers la passerelle Internet.

  • Assurez-vous que les instances dans votre sous-réseau ont une adresse IP globalement unique (adresse IPv4 publique, adresse IP Elastic ou adresse IPv6).

  • Assurez-vous que les listes de contrôle d'accès et les règles des groupes de sécurité de votre réseau autorisent l'acheminement du trafic pertinent vers et en provenance de votre instance.

Sous-réseaux publics et privés

Si un sous-réseau est associé à une table de routage comportant une route vers une passerelle Internet, il est reconnu comme un sous-réseau public. Si un sous-réseau est associé à une table de routage ne comportant pas de route vers une passerelle Internet, il est reconnu comme un sous-réseau privé.

Dans votre table de routage de sous-réseau public, vous pouvez spécifier une route pour la passerelle Internet vers toutes les destinations qui ne sont pas explicitement connues de la table de routage (0.0.0.0/0 pour IPv4 ou ::/0 pour IPv6). Vous pouvez également définir la route vers une plage d'adresses IP plus restreinte, par exemple, les adresses IPv4 publiques des points de terminaison publics de votre entreprise en dehors de AWS, ou les adresses IP Elastic d'autres instances Amazon EC2 situées en dehors de votre VPC.

Adresses IP et NAT

Pour permettre la communication via Internet pour IPv4, votre instance doit comporter une adresse IPv4 publique ou une adresse IP Elastic qui est associée à une adresse IPv4 privée sur votre instance. Votre instance ne connaît que l'espace d'adresse IP privée (interne) défini au sein du VPC et du sous-réseau. La passerelle Internet fournit logiquement la relation NAT un-à-un sur le compte de votre instance, de sorte que lorsque le trafic quitte le sous-réseau de votre VPC et va sur Internet, le champ d'adresse de réponse est défini sur l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance, et non sur son adresse IP privée. Inversement, l'adresse de destination du trafic qui est destiné pour l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance est convertie en adresse IPv4 privée de l'instance avant que le trafic ne soit distribué au VPC.

Pour permettre la communication via Internet pour IPv6, votre VPC et un sous-réseau doivent avoir un bloc d'adresse CIDR IPv6 associé et une adresse IPv6 doit être attribuée à votre instance à partir de la plage du sous-réseau. Les adresses IPv6 sont globalement uniques et par conséquent publiques par défaut.

Dans le diagramme suivant, le sous-réseau de la zone de disponibilité A est un sous-réseau public. La table de routage de ce sous-réseau a un acheminement qui envoie tout le trafic IPv4 lié à Internet à la passerelle Internet. Les instances du sous-réseau public doivent avoir des adresses IP publiques ou des adresses IP Elastic pour permettre la communication avec Internet via la passerelle Internet. À titre de comparaison, le sous-réseau de la zone de disponibilité B est un sous-réseau privé, car sa table de routage n'a pas d'acheminement vers la passerelle Internet. Les instances du sous-réseau privé ne peuvent pas communiquer avec Internet via la passerelle Internet, même si elles ont des adresses IP publiques.


                Utilisation d'une passerelle Internet

Pour fournir un accès Internet à vos instances sans leur attribuer d'adresses IP publiques, vous pouvez utiliser un périphérique NAT à la place. Un périphérique NAT permet aux instances d’un sous-réseau privé de se connecter à Internet, mais empêche les hôtes sur Internet d’initier des connexions avec les instances. Pour plus d'informations, consultez Connectez-vous à Internet ou à d'autres réseaux à l'aide de périphériques NAT.

Accès Internet pour les VPC par défaut et personnalisés

Le tableau suivant fournit une vue d'ensemble qui indique si votre VPC est automatiquement associé aux composants requis pour l'accès Internet via IPv4 ou IPv6.

Composant VPC par défaut VPC personnalisé
Passerelle Internet Oui Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC. Sinon, vous devez créer et attacher manuellement la passerelle Internet.
Table de routage avec route vers une passerelle Internet pour le trafic IPv4 (0.0.0.0/0) Oui Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC. Sinon, vous devez créer la table de routage manuellement et ajouter le routage.
Table de routage avec route vers une passerelle Internet pour le trafic IPv6 (::/0) Non Oui, si vous avez créé le VPC à l'aide de la première ou de la seconde option dans l'Assistant VPC, et si vous avez spécifié l'option pour associer un bloc d'adresse CIDR IPv6 avec le VPC. Sinon, vous devez créer la table de routage manuellement et ajouter le routage.
Adresse IPv4 publique attribuée automatiquement à l'instance lancée dans le sous-réseau Oui (sous-réseau par défaut) Non (sous-réseau personnalisé)
Adresse IPv6 attribuée automatiquement à l'instance lancée dans le sous-réseau Non (sous-réseau par défaut) Non (sous-réseau personnalisé)

Pour plus d'informations sur les VPC par défaut, consultez VPC par défaut. Pour plus d'informations sur l'utilisation de l'assistant VPC pour créer un VPC avec une passerelle Internet, consultez VPC avec un sous-réseau public unique ou VPC avec des sous-réseaux publics et privés (NAT).

Pour plus d'informations sur l'adressage IP dans votre VPC et le contrôle de la façon dont les adresses IPv4 ou IPv6 publiques sont affectées aux instances, consultez Adressage IP.

Lorsque vous ajoutez un nouveau sous-réseau à votre VPC, vous devez définir le routage et la sécurité souhaités pour ce sous-réseau.

Accéder à Internet à partir d'un sous-réseau de votre VPC

La section suivante décrit comment prendre en charge l'accès Internet à partir d'un sous-réseau dans votre VPC à l'aide d'une passerelle Internet. Pour supprimer l'accès à Internet, vous pouvez détacher la passerelle Internet de votre VPC, puis la supprimer.

Création d'un sous-réseau

Pour ajouter un sous-réseau à votre VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Subnets (Sous-réseaux), Create subnet (Créer un sous-réseau).

  3. Spécifiez les détails du sous-réseau si nécessaire :.

    • Balise Nom : vous pouvez également nommer votre sous-réseau. Cette étape crée une balise avec une clé de Name et la valeur que vous spécifiez.

    • VPC : choisissez le VPC pour lequel vous créez le sous-réseau.

    • Zone de disponibilité : vous pouvez choisir une zone de disponibilité ou une zone locale dans laquelle votre sous-réseau réside, ou conserver la valeur Aucune préférence par défaut afin de laisser AWS choisir une zone de disponibilité à votre place.

      Pour de plus amples informations sur les Régions compatibles avec les Local Zones, consultez Régions disponibles dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

    • IPv4 CIDR block : spécifiez un bloc d'adresse CIDR IPv4 pour votre sous-réseau, par exemple, 10.0.1.0/24. Pour plus d'informations, consultez Dimensionnement des VPC pour l’IPv4.

    • Bloc d'adresse CIDR IPv6 : (facultatif) si vous avez associé un bloc d'adresse CIDR IPv6 à votre VPC, choisissez Spécifier un bloc d'adresse CIDR IPv6 personnalisé. Spécifiez la valeur de paire hexadécimale pour le sous-réseau, ou conservez la valeur par défaut.

  4. Choisissez Create (Créer).

Pour plus d'informations, consultez Sous-réseaux de votre VPC.

Créer et attacher une passerelle Internet

Après avoir créé une passerelle Internet, attachez-la à votre VPC

Pour créer une passerelle Internet et l'attacher à votre VPC

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Internet Gateways (Passerelles Internet), puis Create internet gateway (Créer une passerelle Internet).

  3. Attribuez éventuellement un nom à votre passerelle Internet.

  4. (Facultatif) Ajoutez ou supprimez une balise.

    [Ajouter une balise] Choisissez Ajouter une balise et procédez comme suit :

    • Pour Clé, saisissez le nom de la clé.

    • Pour Valeur, saisissez la valeur de clé.

    [Supprimer une balise] Choisissez Supprimer à la droite de la clé et de la valeur de la balise.

  5. Choisissez Créer une passerelle Internet.

  6. Sélectionnez la passerelle Internet que vous venez de créer, puis choisissez Actions, Attach to VPC (Actions, Attacher au VPC).

  7. Sélectionnez votre VPC dans la liste, puis choisissez Attacher une passerelle Internet.

Créer une table de routage personnalisée

Lorsque vous créez un sous-réseau, nous l'associons automatiquement à la table de routage principale de votre VPC. Par défaut, la table de routage principale ne contient pas de route vers une passerelle Internet. La procédure ci-après permet de créer une table de routage personnalisée avec une route qui envoie le trafic destiné à l'extérieur du VPC vers la passerelle Internet, puis l'associe à votre sous-réseau.

Pour créer une table de routage personnalisée

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, choisissez Route Tables, puis Create route table.

  3. Dans la boîte de dialogue Create route table, nommez si vous le souhaitez votre table de routage, puis sélectionnez votre VPC, puis choisissez Create route table.

  4. Sélectionnez la table de routage personnalisée que vous venez de créer. Le volet des détails affiche des onglets pour utiliser ses routes, ses associations et la propagation du routage.

  5. Sur l'onglet Routes, choisissez Edit routes, Add route (Ajouter une route) et ajoutez les routes suivantes si nécessaire. Lorsque vous avez terminé, sélectionnez Save Changes (Enregistrer les modifications).

    • Pour le trafic IPv4, spécifiez 0.0.0.0/0 dans la zone Destination, puis sélectionnez l'ID de passerelle Internet dans la liste Target (Cible).

    • Pour le trafic IPv6, spécifiez ::/0 dans la zone Destination, puis sélectionnez l'ID de passerelle Internet dans la liste Target (Cible).

  6. Sous l'onglet Subnet Associations (Associations de sous-réseau), choisissez Edit subnet associations (Modifier les associations de sous-réseau), sélectionnez la case à cocher pour le sous-réseau, puis choisissez Save asspciations (Enregistrer les asspciations).

Pour plus d'informations, consultez Configuration des tables de routage.

Créer un groupe de sécurité pour l'accès Internet

Par défaut, un groupe de sécurité VPC autorise tout le trafic sortant. Vous pouvez créer un nouveau groupe de sécurité et ajouter des règles qui autorisent le trafic entrant à partir d'Internet. Vous pouvez ensuite associer le groupe de sécurité aux instances du sous-réseau public.

Pour créer un groupe de sécurité et l'associer à une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité), puis Create security group (Créer un groupe de sécurité).

  3. Saisissez un nom et une description pour le groupe de sécurité.

  4. Pour VPC, sélectionnez votre VPC.

  5. Pour Inbound Rules (Règles entrantes), choisissez Add Rule (Ajouter une règle), puis ajoutez les informations requises. Par exemple, sélectionnez HTTP ou HTTPS pour le Type, et saisissez la Source comme 0.0.0.0/0 pour le trafic IPv4 ou ::/0 pour le trafic IPv6.

  6. Sélectionnez Create security group (Créer un groupe de sécurité).

  7. Dans le panneau de navigation, choisissez Instances.

  8. Sélectionnez votre instance, puis choisissez Actions, Security (Sécurité), Change security groups (Modifier les groupes de sécurité).

  9. Pour Associated security groups (Groupes de sécurité associés), sélectionnez un groupe de sécurité existant et choisissez Add security group (Ajouter un groupe de sécurité). Pour supprimer un groupe de sécurité déjà associé, choisissez Remove (Supprimer). Une fois les modifications terminées, choisissez Save (Enregistrer).

Pour plus d'informations, consultez Contrôler le trafic vers les ressources à l'aide de groupes de sécurité.

Affecter une adresse IP Elastic à une instance

Après avoir lancé une instance dans le sous-réseau, vous devez lui affecter une adresse IP Elastic si vous voulez qu'elle soit accessible depuis Internet via IPv4.

Note

Si vous avez affecté une adresse IPv4 publique à votre instance lors du lancement, votre instance est accessible depuis Internet, et vous n'avez pas besoin de lui affecter une adresse IP Elastic. Pour plus d'informations sur l'adressage IP pour votre instance, consultez la section Adressage IP.

Pour allouer une adresse IP Elastic et l'affecter à une instance à l'aide de la console

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, sélectionnez Adresses IP Elastic.

  3. Choisissez Allouer une nouvelle adresse.

  4. Choisissez Allocate.

    Note

    Si votre compte prend en charge EC2-Classic, commencez par choisir VPC.

  5. Sélectionnez l'adresse IP Elastic dans la liste et choisissez Actions, puis Associate address.

  6. Choisissez Instance ou Network interface, puis sélectionnez l'ID d'instance ou d'interface réseau. Sélectionnez l'adresse IP privée à laquelle associer l'adresse IP Elastic, puis choisissez Associate.

Pour plus d'informations, consultez Association d'adresses IP Elastic à des ressources dans votre VPC.

Détacher une passerelle Internet de votre VPC

Si vous n'avez plus besoin d'un accès Internet pour les instances que vous lancez dans un VPC personnalisé, vous pouvez détacher une passerelle Internet d'un VPC. Vous ne pouvez pas détacher une passerelle Internet si le VPC comporte des ressources avec des adresses IP publiques ou des adresses IP Elastic associées.

Pour détacher une passerelle Internet

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet de navigation, sélectionnez Elastic IPs, puis l'adresse IP Elastic.

  3. Choisissez Actions, Disassociate address. Choisissez Dissocier l'adresse.

  4. Dans le panneau de navigation, choisissez Passerelles Internet.

  5. Sélectionnez la passerelle Internet, puis choisissez Actions, Detach from VPC (Actions, Détacher du VPC).

  6. Dans la boîte de dialogue Détacher du VPC, choisissez Détacher la passerelle Internet.

Suppression d'une passerelle Internet

Si vous n'avez plus besoin d'une passerelle Internet, vous pouvez la supprimer. Vous ne pouvez pas supprimer une passerelle Internet si elle est encore attachée à un VPC.

Pour supprimer une passerelle Internet

  1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Passerelles Internet.

  3. Sélectionnez la passerelle Internet, puis choisissez Actions, Delete internet gateway (Supprimer la passerelle Internet).

  4. Dans la boîte de dialogue Supprimer la passerelle Internet, entrez delete et choisissez Supprimer la passerelle Internet.

Présentation des API et des commandes

Vous pouvez exécuter les tâches décrites sur cette page à l'aide de la ligne de commande ou d'un API. Pour plus d'informations sur les interfaces de ligne de commande et la liste des actions liées aux API disponibles, consultez Accéder à Amazon VPC.

Création d'une passerelle Internet

Attachement d'une passerelle Internet à un VPC

Description d'une passerelle Internet

Détachement d'une passerelle Internet d'un VPC

Suppression d'une passerelle Internet