VPC avec un sous-réseau public unique - Amazon Virtual Private Cloud

VPC avec un sous-réseau public unique

La configuration de ce scénario comprend un Virtual Private Cloud (VPC) avec un seul sous-réseau public et une passerelle Internet pour permettre la communication sur Internet. Nous vous recommandons cette configuration si vous avez besoin d'exécuter une application Web à un seul niveau et destinée au public, telle qu'un blog ou un simple site Web.

Ce scénario peut également être configuré en option pour IPv6. Les instances lancées dans le sous-réseau public peuvent recevoir des adresses IPv6 et communiquer à l'aide d'IPv6. Pour plus d'informations sur l'adressage IPv4 et IPv6, consultez Adressage IP.

Pour de plus amples informations sur la gestion de votre logiciel d'instance EC2, veuillez consulter Gestion des logiciels sur votre instance Amazon Linux dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

Présentation

Le schéma suivant illustre les principaux composants pour la configuration de ce scénario.


				Schéma pour le scénario 1 : VPC avec un sous-réseau public

La configuration de ce scénario est la suivante :

  • Un Virtual Private Cloud (VPC) avec bloc d'adresse CIDR IPv4 de taille /16 (par exemple : 10.0.0.0/16). Cela permet d'obtenir 65 536 adresses IPv4 privées.

  • Un sous-réseau avec bloc d'adresse CIDR IPv4 de taille /24 (par exemple : 10.0.0.0/24). Cela permet d'obtenir 256 adresses IPv4 privées.

  • Une passerelle Internet. Celle-ci connecte le VPC à Internet et à d'autres services AWS.

  • Une instance dotée d'une adresse IPv4 privée dans la plage de sous-réseaux (par exemple : 10.0.0.6) qui permet à l'instance de communiquer avec d'autres instances dans le VPC, et une adresse IPv4 Elastic (par exemple : 198.51.100.2), c'est-à-dire une adresse IPv4 publique qui permet d'accéder à l'instance depuis Internet.

  • Table de routage personnalisée associée au sous-réseau Les entrées de la table de routage permettent aux instances du sous-réseau d'utiliser IPv4 pour communiquer avec d'autres instances du VPC et de communiquer directement via Internet. Un sous-réseau associé à une table de routage comportant une route vers une passerelle Internet est appelé sous-réseau public.

Pour plus d'informations, consultez Sous-réseaux. Pour de plus amples informations sur les passerelles Internet, veuillez consulter Connecter à l’Internet à l’aide d’une passerelle Internet.

Présentation d'IPv6

Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, la configuration inclut les éléments suivants :

  • Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56). Amazon attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

  • Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau public (par exemple : 2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée au VPC. Vous ne pouvez pas choisir la taille du bloc d'adresse CIDR IPv6 du sous-réseau.

  • Adresse IPv6 attribuée à l'instance à partir de la plage de sous-réseaux (exemple : 2001:db8:1234:1a00::123).

  • Des entrées de la table de routage personnalisée qui permettent aux instances du VPC d'utiliser IPv6 pour communiquer entre elles, ainsi que directement via Internet.

Routage

Votre VPC possède un routeur implicite (illustré dans le schéma de configuration ci-dessus). Dans ce scénario, Amazon VPC crée une table de routage personnalisée qui achemine tout le trafic destiné à une adresse à l'extérieur du VPC vers la passerelle Internet et associe cette table de routage au sous-réseau.

Le tableau suivant présente la table de routage correspondant à l'exemple de schéma de configuration ci-dessus. La première entrée correspond à l'entrée par défaut pour le routage IPv4 local dans le VPC ; elle permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic du sous-réseau IPv4 vers la passerelle Internet (par exemple, igw-1a2b3c4d).

Destination Cible

10.0.0.0/16

locale

0.0.0.0/0

igw-id

Routage pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et votre sous-réseau, votre table de routage doivent inclure des routages séparés pour le trafic IPv6. Le tableau suivant présente la table de routage personnalisée pour ce scénario, si vous choisissez d'activer la communication IPv6 dans votre VPC. La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans le VPC via IPv6. La quatrième entrée achemine tout le reste du trafic IPv6 du sous-réseau vers la passerelle Internet.

Destination Cible

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

igw-id

::/0

igw-id

Sécurité

AWS fournit deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupes de sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vos instances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupart des cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez également utiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations, consultez Confidentialité du trafic inter-réseau dans Amazon VPC.

Pour ce scénario, vous utiliserez un groupe de sécurité mais pas de liste ACL réseau. Si vous voulez utiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandées pour un VPC avec un sous-réseau public unique.

Votre VPC est associé à un groupe de sécurité par défaut. Une instance lancée dans le VPC est automatiquement associée au groupe de sécurité par défaut, sauf si vous spécifiez un autre groupe de sécurité lorsque vous la lancez. Vous pouvez ajouter des règles spécifiques au groupe de sécurité par défaut, mais celles-ci ne conviendront peut-être pas pour les autres instances que vous lancez dans le VPC. Nous vous recommandons plutôt de créer un groupe de sécurité personnalisé pour votre serveur web.

Dans ce scénario, créez un groupe de sécurité nommé WebServerSG. Lorsque vous créez un groupe de sécurité, celui-ci est associé à une règle de trafic sortant unique qui autorise tout le trafic à quitter les instances. Vous devez modifier les règles pour autoriser le trafic entrant et limiter le trafic sortant en fonction des besoins. Vous spécifierez ce groupe de sécurité lorsque vous lancerez les instances dans le VPC.

Le tableau suivant décrit les règles entrantes et sortantes pour le trafic IPv4 pour le groupe de sécurité WebServerSG.

Entrant
Source Protocole Plage de ports Commentaires

0.0.0.0/0

TCP

80

Autoriser l'accès HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv4.

0.0.0.0/0

TCP

443

Autoriser l'accès HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv4

Plage d'adresses IPv4 publiques de votre réseau

TCP

22

(Instances Linux) Autoriser l'accès SSH entrant depuis votre réseau via IPv4. Vous pouvez obtenir l'adresse IPv4 publique de votre ordinateur local à l'aide d'un service tel que http://checkip.amazonaws.com ou https://checkip.amazonaws.com. Si votre connexion s'effectue via un ISP ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Plage d'adresses IPv4 publiques de votre réseau

TCP

3389

(Instances Windows) Autorisez l'accès RDP entrant depuis votre réseau via IPv4.

The security group ID (sg-xxxxxxxx) All All (Optional) Allow inbound traffic from other instances associated with this security group. This rule is automatically added to the default security group for the VPC; for any custom security group you create, you must manually add the rule to allow this type of communication.
Sortant (Facultatif)
Destination Protocole Plage de ports Commentaires
0.0.0.0/0 All All Default rule to allow all outbound access to any IPv4 address. If you remove this rule, your web server can't initiate outbound traffic, for example, to get software updates. If you remove this rule, your web server can still send response traffic to requests, because security groups are stateful.

Règles de groupe de sécurité pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et votre sous-réseau, vous devez ajouter des règles séparées à votre groupe de sécurité pour contrôler le trafic IPv6 entrant et sortant pour votre instance de serveur web. Dans ce scénario, le serveur web sera en mesure de recevoir tout le trafic Internet via IPv6 et SSH, ainsi que le trafic RDP à partir de votre réseau local via IPv6.

Voici les règles spécifiques à IPv6 (qui s'ajoutent aux règles détaillées ci-dessus) pour le groupe de sécurité WebServerSG.

Entrant
Source Protocole Plage de ports Commentaires

::/0

TCP

80

Autoriser l'accès HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv6.

::/0

TCP

443

Autoriser l'accès HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv6.

Plage d'adresses IPv6 de votre réseau

TCP

22

(Instances Linux) Autoriser l'accès SSH entrant depuis votre réseau via IPv6.

Plage d'adresses IPv6 de votre réseau

TCP

3389

(Instances Windows) Autoriser l'accès RDP entrant depuis votre réseau via IPv6

Sortant (Facultatif)
Destination Protocole Plage de ports Commentaires
::/0 All All Default rule to allow all outbound access to any IPv4 address. If you remove this rule, your web server can't initiate outbound traffic, for example, to get software updates. If you remove this rule, your web server can still send response traffic to requests, because security groups are stateful.

Règles de liste ACL réseau recommandées pour un VPC avec un sous-réseau public unique

Le tableau suivant montre les règles que nous recommandons. Elles bloquent tout le trafic, sauf celui qui est explicitement requis.

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4.

120

Plage d'adresses IPv4 publiques de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant depuis votre réseau domestique (sur la passerelle Internet).

130

Plage d'adresses IPv4 publiques de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant depuis votre réseau domestique (sur la passerelle Internet).

140

0.0.0.0/0

TCP

32768/65535

AUTORISER

Autorise le trafic de retour entrant depuis les hôtes sur Internet qui répondent aux demandes provenant du sous-réseau.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

120

0.0.0.0/0

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web auprès des visiteurs des serveurs Web du sous-réseau)

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Règles de listes ACL réseau recommandées pour IPv6

Si vous avez implémenté la prise en charge IPv6 et créé un VPC et un sous-réseau avec les blocs d'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseau pour contrôler le trafic IPv6 entrant et sortant.

Voici les règles IPv6 spécifiques de votre ACL réseau (qui s'ajoutent aux règles mentionnées ci-dessus).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

150

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv6.

160

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv6.

170

Plage d'adresses IPv6 de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant depuis votre réseau domestique (sur la passerelle Internet).

180

Plage d'adresses IPv6 de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant depuis votre réseau domestique (sur la passerelle Internet).

190

::/0

TCP

32768/65535

AUTORISER

Autorise le trafic de retour entrant depuis les hôtes sur Internet qui répondent aux demandes provenant du sous-réseau.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

130

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

140

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

150

::/0

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web auprès des visiteurs des serveurs Web du sous-réseau)

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).