VPC avec des sous-réseaux publics et privés (NAT) - Amazon Virtual Private Cloud

VPC avec des sous-réseaux publics et privés (NAT)

La configuration de ce scénario comprend un Virtual Private Cloud (VPC) avec un sous-réseau public et un sous-réseau privé. Ce scénario est conseillé si vous voulez exécuter une application Web destinée au public tout en maintenant les serveurs principaux qui ne sont pas accessibles publiquement. Un exemple courant est un site Web multicouches, avec les serveurs Web dans un sous-réseau public et les serveurs de base de données dans un sous-réseau privé. Vous pouvez définir une sécurité et un routage de sorte que les serveurs Web puissent communiquer avec les serveurs de base de données.

Les instances du sous-réseau public peuvent envoyer le trafic sortant directement sur le réseau Internet, tandis que les instances du sous-réseau privé ne le peuvent pas. À la place, les instances du sous-réseau privé peuvent accéder à Internet à l'aide d'une passerelle de traduction d'adresses réseau (NAT) qui se trouve dans le sous-réseau public. Les serveurs de base de données peuvent se connecter à Internet pour les mises à jour logicielles à l'aide de la passerelle NAT, mais Internet ne peut pas établir de connexions aux serveurs de base de données.

Ce scénario peut également être configuré pour IPv6. Vous pouvez utiliser l'assistant VPC pour créer un VPC et des sous-réseaux avec des blocs d'adresse CIDR IPv6 associés. Les instances lancées dans les sous-réseaux peuvent recevoir des adresses IPv6 et communiquer à l'aide d'IPv6. Les instances du sous-réseau privé peuvent utiliser une passerelle Internet de sortie uniquement pour se connecter à Internet via IPv6, mais l'Internet ne peut pas établir de connexion aux instances privées via IPv6. Pour plus d'informations sur l'adressage IPv4 et IPv6, consultez Modification du comportement d'adressage IP des sous-réseaux.

Pour de plus amples informations sur la gestion de votre logiciel d'instance EC2, veuillez consulter Gestion des logiciels sur votre instance Amazon Linux dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

Présentation

Le schéma suivant illustre les principaux composants pour la configuration de ce scénario.


				Schéma pour le scénario 2 : VPC avec des sous-réseaux publics et privés

La configuration de ce scénario est la suivante :

  • Un VPC avec bloc d'adresse CIDR IPv4 de taille /16 (par exemple : 10.0.0.0/16). Cela permet d'obtenir 65 536 adresses IPv4 privées.

  • Un sous-réseau public avec bloc d'adresse CIDR IPv4 de taille /24 (par exemple : 10.0.0.0/24). Cela permet d'obtenir 256 adresses IPv4 privées. Un sous-réseau public est un sous-réseau associé à une table de routage comportant une route vers une passerelle Internet.

  • Un sous-réseau privé avec bloc d'adresse CIDR IPv4 de taille /24 (par exemple : 10.0.1.0/24). Cela permet d'obtenir 256 adresses IPv4 privées.

  • Une passerelle Internet. Celle-ci connecte le VPC à Internet et à d'autres services AWS.

  • Les instances avec des adresses IPv4 privées dans la plage de sous-réseaux (exemples : 10.0.0.5, 10.0.1.5). Cela leur permet de communiquer les unes avec les autres, de même qu'avec d'autres instances dans le VPC.

  • Des instances du sous-réseau public dotées d'adresses IPv4 Elastic (par exemple : 198.51.100.1), c'est-à-dire des adresses IPv4 publiques qui leur permettent d'être accessibles via Internet. Les instances peuvent avoir des adresses IP publiques attribuées au lancement au lieu d'adresses IP Elastic. Les instances du sous-réseau privé sont des serveurs principaux qui n'ont pas besoin d'accepter le trafic entrant depuis Internet et qui, par conséquent, n'ont pas d'adresses IP publiques ; cependant, elles peuvent envoyer des demandes à Internet à l'aide de la passerelle NAT (voir le point suivant).

  • Une passerelle NAT avec sa propre adresse IPv4 Elastic : Les instances du sous-réseau privé peuvent envoyer des demandes à Internet via la passerelle NAT via IPv4 (par exemple, pour les mises à jour logicielles).

  • Table de routage personnalisée associée au sous-réseau public. Cette table de routage contient une entrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le VPC via IPv4, et une entrée qui permet aux instances dans le sous-réseau de communiquer directement avec Internet via IPv4.

  • Table de routage principale associée au sous-réseau privé. La table de routage contient une entrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le VPC via IPv4, et une entrée qui permet aux instances dans le sous-réseau de communiquer avec Internet via la passerelle NAT via IPv4.

Pour plus d'informations sur les sous-réseaux, consultez la section Présentation des VPC et des sous-réseaux. Pour de plus amples informations sur les passerelles Internet, veuillez consulter Connecter des sous-réseaux à Internet à l'aide d'une passerelle Internet. Pour plus d'informations les passerelles NAT, consultez la section Passerelles NAT.

Présentation d'IPv6

Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, la configuration inclut les éléments suivants :

  • Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56). Amazon attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

  • Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau public (par exemple : 2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée au VPC. Vous ne pouvez pas choisir la taille du bloc d'adresse CIDR IPv6 du VPC.

  • Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau privé (par exemple : 2001:db8:1234:1a01::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée au VPC. Vous ne pouvez pas choisir la taille du bloc d'adresse CIDR IPv6 du sous-réseau.

  • Des adresses IPv6 attribuées aux instances à partir de la plage du sous-réseau (par exemple : 2001:db8:1234:1a00::1a).

  • Passerelle Internet de sortie uniquement. Vous utilisez la passerelle pour envoyer des demandes à Internet à partir d’instances du sous-réseau privé via IPv6 (par exemple, pour des mises à jour logicielles). Une passerelle Internet de sortie uniquement est nécessaire si vous souhaitez que les instances du sous-réseau privé puissent initier la communication avec Internet via IPv6. Pour plus d'informations, consultez Activation du trafic sortant uniquement à partir de sous-réseaux à l'aide de passerelles Internet de sortie uniquement.

  • Des entrées de la table de routage personnalisée qui permettent aux instances du sous-réseau public d'utiliser IPv6 pour communiquer entre elles, ainsi que directement via Internet.

  • Entrées de la table de routage principale qui permettent aux instances du sous-réseau privé d'utiliser IPv6 pour communiquer entre elles et pour communiquer avec Internet via une passerelle Internet de sortie uniquement.


					VPC activé pour IPv6 avec un sous-réseau public et un sous-réseau privé

Les serveurs Web du sous-réseau public ont les adresses suivantes.

de bases de données IPv4 address (Adresse IPv4) Adresse IP Elastic Adresse IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Les serveurs de base de données du sous-réseau privé ont les adresses suivantes.

de bases de données IPv4 address (Adresse IPv4) Adresse IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Routage

Dans ce scénario, l'assistant VPC met à jour la table de routage principale utilisée avec le sous-réseau privé, puis il crée une table de routage personnalisée et l'associe au sous-réseau public.

Dans ce scénario, tout le trafic de chaque sous-réseau qui est lié pour AWS (par exemple, aux points de terminaison Amazon EC2 ou Amazon S3), passe par la passerelle Internet. Les serveurs de base de données dans le sous-réseau privé ne peuvent pas recevoir de trafic en provenance d'Internet directement car ils n'ont pas d'adresses IP Elastic. Cependant, les serveurs de base de données peuvent envoyer et recevoir du trafic Internet via le dispositif NAT dans le sous-réseau public.

Tous les sous-réseaux supplémentaires que vous créez utilisent la table de routage principale par défaut, ce qui signifie qu'ils sont des sous-réseaux privés par défaut. Si vous voulez rendre un sous-réseau public, vous pouvez toujours modifier la table de routage à laquelle il est associé.

Les tableaux ci-après décrivent les tables de routage pour ce scénario.

Table de routage principale

La table de routage principale est associée au sous-réseau privé. La première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet aux instances du VPC de communiquer entre elles. La deuxième entrée envoie tout le reste du trafic du sous-réseau vers la passerelle NAT (par exemple, nat-12345678901234567).

Destination Target

10.0.0.0/16

locale

0.0.0.0/0

nat-gateway-id

Table de routage personnalisée

La table de routage personnalisée est associée au sous-réseau public. La première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine tout le reste du trafic du sous-réseau à Internet via la passerelle Internet (par exemple, igw-1a2b3d4d).

Destination Target

10.0.0.0/16

locale

0.0.0.0/0

igw-id

Routage pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vos tables de routage doivent inclure des routages séparés pour le trafic IPv6. Les tableaux suivants présentent les tables de routage pour ce scénario, si vous choisissez d'activer la communication IPv6 dans votre VPC.

Table de routage principale

La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans le VPC via IPv6. La quatrième entrée achemine tout le reste du trafic de sous-réseau IPv6 à la passerelle Internet de sortie uniquement.

Destination Cible

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

nat-gateway-id

::/0

egress-only-igw-id

Table de routage personnalisée

La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans le VPC via IPv6. La quatrième entrée achemine tout le reste du trafic IPv6 du sous-réseau vers la passerelle Internet.

Destination Cible

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

igw-id

::/0

igw-id

Sécurité

AWS fournit deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupes de sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vos instances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupart des cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez également utiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations, consultez Confidentialité du trafic inter-réseau dans Amazon VPC.

Pour le scénario 2, vous utilisez des groupes de sécurité, mais pas de liste ACL réseau. Si vous voulez utiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandées pour un VPC avec des sous-réseaux publics et privés (NAT).

Votre VPC est associé à un groupe de sécurité par défaut. Une instance lancée dans le VPC est automatiquement associée au groupe de sécurité par défaut, sauf si vous spécifiez un autre groupe de sécurité lorsque vous la lancez. Pour ce scénario, nous vous conseillons de créer les groupes de sécurité suivants plutôt que d'utiliser le groupe de sécurité par défaut :

  • WebServerSG : spécifiez ce groupe de sécurité lorsque vous lancez les serveurs web dans le sous-réseau public.

  • DBServerSG : spécifiez ce groupe de sécurité lorsque vous lancez les serveurs de base de données dans le sous-réseau privé.

Les instances affectées à un groupe de sécurité peuvent se trouver dans différents sous-réseaux. Cependant, dans ce scénario, chaque groupe de sécurité correspond au type de rôle d'une instance, et chaque rôle exige que l'instance se trouve dans un sous-réseau spécifique. Par conséquent, dans ce scénario, toutes les instances affectées à un groupe de sécurité se trouvent dans le même sous-réseau.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité WebServerSG, qui permet aux serveurs web de recevoir le trafic Internet, ainsi que le trafic SSH et RDP en provenance de votre réseau. Les serveurs Web peuvent également initier des demandes de lecture et d'écriture sur les serveurs de base de données dans le sous-réseau privé, puis envoyer du trafic vers Internet ; par exemple, pour obtenir des mises à jour logicielles. Étant donné que le serveur Web n'est pas à l'origine d'autres communications sortantes, la règle de trafic sortant par défaut est retirée.

Note

Ces recommandations incluent à la fois l'accès SSH et RDP, ainsi que l'accès Microsoft SQL Server et MySQL access. Dans votre cas, vous n'aurez peut-être besoin que de règles pour Linux (SSH et MySQL) ou Windows (RDP et Microsoft SQL Server).

Entrant
Source Protocole Plage de ports Commentaires

0.0.0.0/0

TCP

80

Autoriser l'accès HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv4.

0.0.0.0/0

TCP

443

Autoriser l'accès HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv4.

Plage d'adresses IPv4 publiques de votre réseau domestique

TCP

22

Autoriser l'accès SSH entrant aux instances Linux depuis votre réseau domestique (via la passerelle Internet). Vous pouvez obtenir l'adresse IPv4 publique de votre ordinateur local à l'aide d'un service tel que http://checkip.amazonaws.com ou https://checkip.amazonaws.com. Si votre connexion s'effectue via un ISP ou derrière un pare-feu sans adresse IP statique, vous devez déterminer la plage d'adresses IP utilisée par les ordinateurs clients.

Plage d'adresses IPv4 publiques de votre réseau domestique

TCP

3389

Autoriser l'accès RDP entrant aux instances Windows depuis votre réseau domestique (via la passerelle Internet).

Sortant

Destination Protocole Plage de ports Commentaires

ID de votre groupe de sécurité DBServerSG

TCP

1433

Autorisez l'accès Microsoft SQL Server sortant aux serveurs de base de données affectés au groupe de sécurité DBServerSG.

ID de votre groupe de sécurité DBServerSG

TCP

3306

Autorisez l'accès MySQL sortant aux serveurs de base de données affectés au groupe de sécurité DBServerSG.

0.0.0.0/0

TCP

80

Autoriser l'accès HTTP sortant vers n'importe quelle adresse IPv4.

0.0.0.0/0

TCP

443

Autoriser l'accès HTTPS sortant vers n'importe quelle adresse IPv4.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité DBServerSG, ce qui autorise les demandes de lecture ou d'écriture de base de données depuis les serveurs web. Les serveurs de base de données peuvent également initier un trafic lié à Internet (la table de routage envoie ce trafic vers la passerelle NAT, laquelle le transfère ensuite vers Internet via la passerelle Internet).

Entrant
Source Protocole Plage de ports Commentaires

ID de votre groupe de sécurité WebServerSG

TCP

1433

Autorisez l'accès entrant Microsoft SQL Server à partir des serveurs web associés au groupe de sécurité WebServerSG.

ID de votre groupe de sécurité WebServerSG

TCP

3306

Autorisez l'accès entrant MySQL à partir des serveurs web associés au groupe de sécurité WebServerSG.

Sortant

Destination Protocole Plage de ports Commentaires

0.0.0.0/0

TCP

80

Autorisez l'accès HTTP sortant à Internet sur IPv4 (par exemple, pour les mises à jour logicielles).

0.0.0.0/0

TCP

443

Autorisez l'accès HTTPS sortant à Internet sur IPv4 (par exemple, pour les mises à jour logicielles).

(Facultatif) Le groupe de sécurité par défaut pour un VPC a des règles qui autorisent automatiquement les instances assignées à communiquer entre elles. Pour autoriser ce type de communication pour un groupe de sécurité personnalisé, vous devez ajouter les règles suivantes :

Entrant
Source Protocole Plage de ports Commentaires

ID du groupe de sécurité

Tous

Tous

Autoriser le trafic entrant en provenance des autres instances affectées à ce groupe de sécurité.

Sortant
Destination Protocole Plage de ports Commentaires
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

(Facultatif) Si vous lancez un hôte bastion dans votre sous-réseau public pour l'utiliser comme proxy pour le trafic SSH ou RDP depuis votre réseau domestique vers votre sous-réseau privé, ajoutez une règle au groupe de sécurité DBServerSG qui autorise le trafic SSH ou RDP entrant depuis votre instance bastion ou son groupe de sécurité associé.

Règles de groupe de sécurité pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vous devez ajouter des règles séparées à vos groupes de sécurité WebServerSG et DBServerSG pour contrôler le trafic IPv6 entrant et sortant pour vos instances. Dans ce scénario, les serveurs web seront en mesure de recevoir tout le trafic Internet via IPv6 et SSH, ainsi que le trafic RDP à partir de votre réseau local via IPv6. Ils peuvent également lancer le trafic IPv6 sortant vers Internet. Les serveurs de base de données peuvent initier le trafic IPv6 sortant vers le réseau Internet.

Voici les règles spécifiques à IPv6 (qui s'ajoutent aux règles détaillées ci-dessus) pour le groupe de sécurité WebServerSG.

Entrant
Source Protocole Plage de ports Commentaires

::/0

TCP

80

Autoriser l'accès HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv6.

::/0

TCP

443

Autoriser l'accès HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv6.

Plage d'adresses IPv6 de votre réseau

TCP

22

(Instances Linux) Autoriser l'accès SSH entrant depuis votre réseau via IPv6.

Plage d'adresses IPv6 de votre réseau

TCP

3389

(Instances Windows) Autoriser l'accès RDP entrant depuis votre réseau via IPv6

Sortant
Destination Protocole Plage de ports Commentaires
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

Voici les règles spécifiques à IPv6 pour le groupe de sécurité DBServerSG (qui s'ajoutent aux règles détaillées ci-dessus).

Sortant

Destination Protocole Plage de ports Commentaires

::/0

TCP

80

Autoriser l'accès HTTP sortant vers n'importe quelle adresse IPv6.

::/0

TCP

443

Autoriser l'accès HTTPS sortant vers n'importe quelle adresse IPv6.

Mettre en œuvre le scénario 2

Vous pouvez utiliser l'Assistant VPC pour créer le VPC, les sous-réseaux, la passerelle NAT et le cas échéant, une passerelle Internet de sortie uniquement. Vous devez spécifier une adresse IP Elastic pour votre passerelle NAT ; si vous n'en avez pas, vous devrez d'abord en attribuer une à votre compte. Si vous voulez utiliser une adresse IP Elastic existante, vérifiez qu'elle n'est pas déjà associée à une autre instance ou interface réseau. La passerelle NAT est automatiquement créée dans le sous-réseau public de votre VPC.

Règles de liste ACL réseau recommandées pour un VPC avec des sous-réseaux publics et privés (NAT)

Pour ce scénario, vous avez une liste ACL réseau pour le sous-réseau public et une autre pour le sous-réseau privé. Le tableau suivant montre les règles que nous recommandons pour chaque ACL. Elles bloquent tout le trafic, sauf celui qui est explicitement requis. Elles imitent principalement les règles du groupe de sécurité pour le scénario.

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv4.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv4.

120

Plage d'adresses IP publiques de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant depuis votre réseau domestique (sur la passerelle Internet).

130

Plage d'adresses IP publiques de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant depuis votre réseau domestique (sur la passerelle Internet).

140

0.0.0.0/0

TCP

1024-65535

AUTORISER

Autorise le trafic de retour entrant depuis les hôtes sur Internet qui répondent aux demandes provenant du sous-réseau.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

120

10.0.1.0/24

TCP

1433

AUTORISER

Autorise l'accès MS SQL sortant aux serveurs de base de données dans le sous-réseau privé.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

140

0.0.0.0/0

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web auprès des visiteurs des serveurs Web du sous-réseau)

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

150

10.0.1.0/24

TCP

22

AUTORISER

Autorise l'accès SSH sortant vers les instances de votre sous-réseau privé (depuis un bastion SSH, si vous en avez un).

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

100

10.0.0.0/24

TCP

1433

AUTORISER

Autorise les serveurs Web dans le sous-réseau public à lire et écrire aux serveurs MS SQL dans le sous-réseau privé.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

120

10.0.0.0/24

TCP

22

AUTORISER

Autorise le trafic SSH entrant depuis un bastion SSH dans le sous-réseau public (si vous en avez un).

130

10.0.0.0/24

TCP

3389

AUTORISER

Autorise le trafic RDP entrant depuis la passerelle des services Terminal de Microsoft dans le sous-réseau public.

140

0.0.0.0/0

TCP

1024-65535

AUTORISER

Autorise le trafic de retour entrant du périphérique NAT dans le sous-réseau public pour les demandes provenant du sous-réseau privé.

Pour plus d'informations sur la spécification de ports éphémères corrects, consultez la note importante au début de cette rubrique.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic entrant IPv4 qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

120

10.0.0.0/24

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes vers le sous-réseau public (par exemple, des réponses aux serveurs web dans le sous-réseau public qui communiquent avec des serveurs de base de données dans le sous-réseau privé).

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv4 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Règles de listes ACL réseau recommandées pour IPv6

Si vous avez implémenté la prise en charge IPv6 et créé un VPC et des sous-réseaux avec les blocs d'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseau pour contrôler le trafic IPv6 entrant et sortant.

Voici les règles IPv6 spécifiques de vos ACL réseau (qui s'ajoutent aux règles mentionnées ci-dessus).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

150

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv6.

160

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv6.

170

Plage d'adresses IPv6 de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant via IPv6 depuis votre réseau domestique (sur la passerelle Internet).

180

Plage d'adresses IPv6 de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant via IPv6 depuis votre réseau domestique (sur la passerelle Internet).

190

::/0

TCP

1024-65535

AUTORISER

Autorise le trafic de retour entrant depuis les hôtes sur Internet qui répondent aux demandes provenant du sous-réseau.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

160

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

170

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

180

2001:db8:1234:1a01::/64

TCP

1433

AUTORISER

Autorise l'accès MS SQL sortant aux serveurs de base de données dans le sous-réseau privé.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

200

::/0

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web auprès des visiteurs des serveurs Web du sous-réseau)

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

210

2001:db8:1234:1a01::/64

TCP

22

AUTORISER

Autorise l'accès SSH sortant vers les instances de votre sous-réseau privé (depuis un bastion SSH, si vous en avez un).

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

150

2001:db8:1234:1a00::/64

TCP

1433

AUTORISER

Autorise les serveurs Web dans le sous-réseau public à lire et écrire aux serveurs MS SQL dans le sous-réseau privé.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

170

2001:db8:1234:1a00::/64

TCP

22

AUTORISER

Autorise le trafic SSH entrant depuis un bastion SSH dans le sous-réseau public (le cas échéant).

180

2001:db8:1234:1a00::/64

TCP

3389

AUTORISER

Autorise le trafic RDP entrant depuis une passerelle des services Terminal Server Microsoft dans le sous-réseau public, le cas échéant.

190

::/0

TCP

1024-65535

AUTORISER

Autorise le trafic de retour entrant depuis la passerelle Internet de sortie uniquement pour les demandes provenant du sous-réseau privé.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

130

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

140

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

150

2001:db8:1234:1a00::/64

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes vers le sous-réseau public (par exemple, des réponses aux serveurs web dans le sous-réseau public qui communiquent avec des serveurs de base de données dans le sous-réseau privé).

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).