VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN - Amazon Virtual Private Cloud

VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN

La configuration de ce scénario comprend un cloud privé virtuel (VPC) avec un sous-réseau public et un sous-réseau privé, ainsi qu'une passerelle réseau privé virtuel pour permettre la communication avec votre propre réseau via un tunnel VPN IPsec. Ce scénario est conseillé si vous souhaitez étendre votre réseau dans le cloud, tout en conservant la possibilité d'accéder directement à Internet depuis votre VPC. Ce scénario vous permet d'exécuter une application multicouche avec un serveur Web frontal évolutif dans un sous-réseau public, et d'héberger vos données dans un sous-réseau privé qui est connecté à votre réseau à l'aide d'une connexion AWS Site-to-Site VPN IPsec.

Ce scénario peut également être configuré en option pour IPv6. Les instances lancées dans les sous-réseaux peuvent recevoir des adresses IPv6. La communication IPv6 via une connexion Site-to-Site VPN sur une passerelle réseau privé virtuel n'est pas compatible ; toutefois, les instances du VPC peuvent communiquer entre elles par le biais d’IPv6 et les instances du sous-réseau public peuvent communiquer par le biais d'Internet avec IPv6. Pour plus d'informations sur l'adressage IPv4 et IPv6, consultez Adressage IP.

Pour de plus amples informations sur la gestion de votre logiciel d'instance EC2, veuillez consulter Gestion des logiciels sur votre instance Amazon Linux dans le Guide de l’utilisateur Amazon EC2 pour les instances Linux.

Présentation

Le schéma suivant illustre les principaux composants pour la configuration de ce scénario.


				Schéma pour le scénario 3 : VPC avec sous-réseaux public et privé et un accès VPN
Important

Pour ce scénario, consultez la section Votre périphérique de passerelle client dans le Guide de l’utilisateur AWS Site-to-Site VPN pour de plus amples informations sur la configuration du périphérique de passerelle client de votre côté de la connexion Site-to-Site VPN.

La configuration de ce scénario est la suivante :

  • Un cloud privé virtuel (VPC) avec CIDR IPv4 de taille /16 (par exemple : 10.0.0.0/16). Cela permet d'obtenir 65 536 adresses IPv4 privées.

  • Un sous-réseau public avec CIDR IPv4 de taille /24 (par exemple : 10.0.0.0/24). Cela permet d'obtenir 256 adresses IPv4 privées. Un sous-réseau public est un sous-réseau associé à une table de routage comportant une route vers une passerelle Internet.

  • Un sous-réseau VPN unique avec CIDR IPv4 de taille /24 (par exemple : 10.0.1.0/24). Cela permet d'obtenir 256 adresses IPv4 privées.

  • Une passerelle Internet. Celle-ci connecte le VPC à Internet et à d'autres produits AWS.

  • Une connexion Site-to-Site VPN entre votre VPC et votre réseau. La connexion Site-To-Site VPN consiste en une passerelle réseau privé virtuel située du côté Amazon de la connexion Site-to-Site VPN et une passerelle client située de votre côté de la connexion Site-to-Site VPN.

  • Des instances avec des adresses IPv4 privées dans la gamme du sous-réseau (par exemple : 10.0.0.5 et 10.0.1.5), ce qui permet aux instances de communiquer entre elles et avec d'autres instances dans le VPC.

  • Des instances du sous-réseau public dotées d'adresses IP Elastic (par exemple : 198.51.100.1), c'est-à-dire des adresses IPv4 publiques qui leur permettent d'être accessibles depuis Internet. Les instances peuvent avoir des adresses IPv4 publiques attribuées au lancement au lieu d'adresses IP Elastic. Les instances du sous-réseau VPN unique sont des serveurs principaux qui n'ont pas besoin d'accepter le trafic entrant depuis Internet ; cependant, elles peuvent envoyer et recevoir le trafic en provenance de votre réseau.

  • Table de routage personnalisée associée au sous-réseau public. Cette table de routage contient une entrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le VPC, et une entrée qui permet aux instances dans le sous-réseau de communiquer directement avec Internet.

  • Table de routage principale associée au sous-réseau VPN uniquement. La table de routage contient une entrée qui permet aux instances dans le sous-réseau de communiquer avec d'autres instances dans le VPC, et une entrée qui permet aux instances dans le sous-réseau de communiquer directement avec votre réseau.

Pour plus d'informations, consultez Sous-réseaux. Pour de plus amples informations sur les passerelles Internet, veuillez consulter Connecter à l’Internet à l’aide d’une passerelle Internet. Pour plus d'informations sur votre AWS Site-to-Site VPN connexion, consultez le AWS Site-to-Site VPN Guide de l'utilisateur.

Présentation d'IPv6

Vous pouvez activer IPv6 pour ce scénario, le cas échéant. Outre les composants répertoriés ci-dessus, la configuration inclut les éléments suivants :

  • Un bloc d'adresse CIDR IPv6 de taille /56 associé au VPC (par exemple : 2001:db8:1234:1a00::/56). AWS attribue automatiquement le CIDR ; vous ne pouvez pas choisir la plage.

  • Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau public (par exemple : 2001:db8:1234:1a00::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée au VPC. Vous ne pouvez pas choisir la taille du CIDR IPv6.

  • Un bloc d'adresse CIDR IPv6 de taille /64 associé au sous-réseau VPN unique (par exemple : 2001:db8:1234:1a01::/64). Vous pouvez choisir la plage de votre sous-réseau à partir de celle allouée au VPC. Vous ne pouvez pas choisir la taille du CIDR IPv6.

  • Des adresses IPv6 attribuées aux instances à partir de la plage du sous-réseau (par exemple : 2001:db8:1234:1a00::1a).

  • Des entrées de la table de routage personnalisée qui permettent aux instances du sous-réseau public d'utiliser IPv6 pour communiquer entre elles, ainsi que directement via Internet.

  • Une entrée de la table de routage principale qui permet aux instances du sous-réseau VPN unique d'utiliser IPv6 pour communiquer entre elles.

Les serveurs Web du sous-réseau public ont les adresses suivantes.

de bases de données IPv4 address (Adresse IPv4) Adresse IP Elastic Adresse IPv6

1

10.0.0.5

198.51.100.1 2001:db8:1234:1a00::1a

2

10.0.0.6

198.51.100.2 2001:db8:1234:1a00::2b
3 10.0.0.7 198.51.100.3 2001:db8:1234:1a00::3c

Les serveurs de base de données du sous-réseau privé ont les adresses suivantes.

de bases de données IPv4 address (Adresse IPv4) Adresse IPv6

1

10.0.1.5

2001:db8:1234:1a01::1a

2

10.0.1.6

2001:db8:1234:1a01::2b
3 10.0.1.7 2001:db8:1234:1a01::3c

Routage

Votre VPC possède un routeur implicite (montré dans le schéma de configuration de ce scénario). Pour ce scénario, Amazon VPC met à jour la table de routage principale utilisée avec le sous-réseau VPN unique, puis il crée une table de routage personnalisée et l'associe au sous-réseau public.

Les instances dans votre sous-réseau VPN unique ne peuvent pas directement atteindre Internet ; tout trafic lié à Internet doit d'abord traverser la passerelle réseau privé virtuel vers votre réseau, où le trafic est ensuite soumis à votre pare-feu et aux politiques de sécurité de l'entreprise. Si les instances envoient du trafic lié à AWS (par exemple, des demandes aux API Amazon S3 ou Amazon EC2), les demandes doivent passer par la passerelle réseau privé virtuel vers votre réseau et ensuite retourner vers Internet avant d'atteindre AWS.

Astuce

Tout trafic en provenance de votre réseau et à direction d'une adresse IP Elastic pour une instance dans le sous-réseau public passe par Internet, et non pas par la passerelle réseau privé virtuel. Vous pouvez plutôt configurer une route et des règles de groupe de sécurité qui permettent le trafic vers et en provenance de votre réseau par la passerelle réseau privé virtuel vers le sous-réseau public.

La connexion Site-to-Site VPN est configurée en tant que connexion Site-to-Site VPN acheminée soit statiquement, soit dynamiquement (à l’aide de BGP). Si vous sélectionnez un routage statique, vous serez invité à saisir manuellement le préfixe IP pour votre réseau lorsque vous créez la connexion Site-to-Site VPN. Si vous sélectionnez un routage dynamique, le préfixe IP est automatiquement publié vers la passerelle réseau privé virtuel de votre VPC via le BGP.

Les tableaux ci-après décrivent les tables de routage pour ce scénario.

Table de routage principale

La première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet aux instances du VPC de communiquer entre elles via IPv4. La deuxième entrée achemine tout le reste du trafic IPv4 de sous-réseau à partir du sous-réseau privé vers votre réseau via la passerelle réseau privé virtuel (par exemple, vgw-1a2b3c4d).

Destination Target

10.0.0.0/16

locale

0.0.0.0/0

vgw-id

Table de routage personnalisée

La première entrée correspond à l'entrée par défaut pour le routage local dans le VPC ; elle permet aux instances du VPC de communiquer entre elles. La deuxième entrée achemine le reste du trafic IPv4 de sous-réseau entre le sous-réseau public et Internet, via la passerelle Internet (par exemple, igw-1a2b3c4d).

Destination Target

10.0.0.0/16

locale

0.0.0.0/0

igw-id

Autre routage

Par ailleurs, si vous voulez que des instances du sous-réseau privé accèdent à Internet, vous pouvez créer une passerelle NAT (Network Address Translation, traduction d'adresses réseau) ou une instance dans le sous-réseau public, puis configurer le routage de sorte que le trafic Internet pour le sous-réseau passe par le périphérique NAT. Ainsi, les instances du sous-réseau VPN unique peuvent envoyer des demandes via la passerelle Internet (par exemple, pour les mises à jour logicielles).

Pour plus d'informations sur la configuration manuelle d'un périphérique NAT, consultez la section Connectez-vous à Internet ou à d'autres réseaux à l'aide de périphériques NAT.

Pour permettre au trafic Internet du sous-réseau privé d'accéder à la passerelle NAT, vous devez mettre à jour la table de routage principale comme suit.

La première entrée décrit l'entrée par défaut pour le routage local dans le VPC. La deuxième entrée achemine le trafic de sous-réseau lié à votre propre réseau local (client) vers la passerelle privée virtuelle. Dans cet exemple, supposons que la plage d'adresses IP de votre réseau local est 172.16.0.0/12. La troisième entrée envoie tout le reste du trafic de sous-réseau à une passerelle NAT.

Destination Target

10.0.0.0/16

locale

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

Routage pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vos tables de routage doivent inclure des routages séparés pour le trafic IPv6. Les tableaux suivants présentent les tables de routage pour ce scénario, si vous choisissez d'activer la communication IPv6 dans votre VPC.

Table de routage principale

La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans le VPC via IPv6.

Destination Cible

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

vgw-id

Table de routage personnalisée

La deuxième entrée est le routage par défaut qui est automatiquement ajouté pour le routage local dans le VPC via IPv6. La quatrième entrée achemine tout le reste du trafic IPv6 du sous-réseau vers la passerelle Internet.

Destination Cible

10.0.0.0/16

locale

2001:db8:1234:1a00::/56

locale

0.0.0.0/0

igw-id

::/0

igw-id

Sécurité

AWS fournit deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupes de sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vos instances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupart des cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez également utiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations, consultez Confidentialité du trafic inter-réseau dans Amazon VPC.

Pour le scénario 3, vous utilisez des groupes de sécurité, mais pas de liste ACL réseau. Si vous voulez utiliser une liste ACL réseau, consultez Règles de liste ACL réseau recommandées pour un VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN.

Votre VPC est associé à un groupe de sécurité par défaut. Une instance lancée dans le VPC est automatiquement associée au groupe de sécurité par défaut, sauf si vous spécifiez un autre groupe de sécurité lorsque vous la lancez. Pour ce scénario, nous vous conseillons de créer les groupes de sécurité suivants plutôt que d'utiliser le groupe de sécurité par défaut :

  • WebServerSG : spécifiez ce groupe de sécurité lorsque vous lancez des serveurs web dans le sous-réseau public.

  • DBServerSG : spécifiez ce groupe de sécurité lorsque vous lancez des serveurs de base de données dans le sous-réseau VPN unique.

Les instances affectées à un groupe de sécurité peuvent se trouver dans différents sous-réseaux. Cependant, dans ce scénario, chaque groupe de sécurité correspond au type de rôle d'une instance, et chaque rôle exige que l'instance se trouve dans un sous-réseau spécifique. Par conséquent, dans ce scénario, toutes les instances affectées à un groupe de sécurité se trouvent dans le même sous-réseau.

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité WebServerSG, qui permet aux serveurs web de recevoir le trafic Internet, ainsi que le trafic SSH et RDP en provenance de votre réseau. Les serveurs Web peuvent également initier des demandes de lecture et d'écriture sur les serveurs de base de données dans le sous-réseau VPN unique, puis envoyer du trafic vers Internet; par exemple, pour obtenir des mises à jour logicielles. Étant donné que le serveur Web n'est pas à l'origine d'autres communications sortantes, la règle de trafic sortant par défaut est retirée.

Note

Le groupe inclut à la fois l'accès SSH et RDP, ainsi que l'accès Microsoft SQL Server et MySQL access. Dans votre cas, vous n'aurez peut-être besoin que de règles pour Linux (SSH et MySQL) ou Windows (RDP et Microsoft SQL Server).

Entrant
Source Protocole Plage de ports Commentaires

0.0.0.0/0

TCP

80

Autoriser l'accès HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv4.

0.0.0.0/0

TCP

443

Autoriser l'accès HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv4.

Plage d'adresses IP publiques de votre réseau

TCP

22

Autoriser l'accès SSH entrant aux instances Linux depuis votre réseau (via la passerelle Internet).

Plage d'adresses IP publiques de votre réseau

TCP

3389

Autoriser l'accès RDP entrant aux instances Windows depuis votre réseau (via la passerelle Internet).

Sortant

ID de votre groupe de sécurité DBServerSG

TCP

1433

Autoriser l'accès Microsoft SQL Server sortant aux serveurs de base de données affectés à DBServerSG.

ID de votre groupe de sécurité DBServerSG

TCP

3306

Autoriser l'accès MySQL sortant aux serveurs de base de données affectés à DBServerSG.

0.0.0.0/0

TCP

80

Autoriser l'accès à Internet de l'HTTP sortant

0.0.0.0/0

TCP

443

Autoriser l'accès HTTPS sortant à Internet

Le tableau ci-après décrit les règles recommandées pour le groupe de sécurité DBServerSG, afin d'autoriser les demandes de lecture et d'écriture Microsoft SQL Server et MySQL depuis les serveurs Web, ainsi que le trafic SSH et RDP en provenance de votre réseau. Les serveurs de base de données peuvent également initier un trafic lié à Internet (votre table de routage envoie ce trafic vers la passerelle réseau privé virtuel).

Entrant
Source Protocole Plage de ports Commentaires

ID de votre groupe de sécurité WebServerSG

TCP

1433

Autorisez l'accès entrant Microsoft SQL Server à partir des serveurs web associés au groupe de sécurité WebServerSG.

ID de votre groupe de sécurité WebServerSG

TCP

3306

Autorisez l'accès entrant MySQL à partir des serveurs web associés au groupe de sécurité WebServerSG.

Plage d'adresses IPv4 de votre réseau

TCP

22

Autoriser le trafic SSH entrant vers les instances Linux depuis votre réseau (via la passerelle réseau privé virtuel Internet).

Plage d'adresses IPv4 de votre réseau

TCP

3389

Autoriser le trafic RDP entrant vers les instances Windows depuis votre réseau (via la passerelle réseau privé virtuel).

Sortant

Destination Protocole Plage de ports Commentaires

0.0.0.0/0

TCP

80

Autoriser l'accès HTTP IPv4 sortant à Internet (par exemple, pour les mises à jour logicielles) sur la passerelle réseau privé virtuel.

0.0.0.0/0

TCP

443

Autoriser l'accès HTTPS IPv4 sortant à Internet (par exemple, pour les mises à jour logicielles) sur la passerelle réseau privé virtuel.

(Facultatif) Le groupe de sécurité par défaut pour un VPC a des règles qui autorisent automatiquement les instances assignées à communiquer entre elles. Pour autoriser ce type de communication pour un groupe de sécurité personnalisé, vous devez ajouter les règles suivantes :

Entrant
Source Protocole Plage de ports Commentaires

ID du groupe de sécurité

Tous

Tous

Autoriser le trafic entrant en provenance des autres instances affectées à ce groupe de sécurité.

Sortant
Destination Protocole Plage de ports Commentaires
The ID of the security group All All Allow outbound traffic to other instances assigned to this security group.

Règles de groupe de sécurité pour IPv6

Si vous associez un bloc d'adresse CIDR IPv6 à votre VPC et vos sous-réseaux, vous devez ajouter des règles séparées à vos groupes de sécurité WebServerSG et DBServerSG pour contrôler le trafic IPv6 entrant et sortant pour vos instances. Dans ce scénario, les serveurs web seront en mesure de recevoir tout le trafic Internet via IPv6 et SSH, ainsi que le trafic RDP à partir de votre réseau local via IPv6. Ils peuvent également lancer le trafic IPv6 sortant vers Internet. Les serveurs de base de données ne peuvent pas lancer le trafic IPv6 sortant vers Internet et, par conséquent, ils ne requièrent pas de règles de groupe de sécurité supplémentaires.

Voici les règles spécifiques à IPv6 (qui s'ajoutent aux règles détaillées ci-dessus) pour le groupe de sécurité WebServerSG.

Entrant
Source Protocole Plage de ports Commentaires

::/0

TCP

80

Autoriser l'accès HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv6.

::/0

TCP

443

Autoriser l'accès HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv6.

Plage d'adresses IPv6 de votre réseau

TCP

22

(Instances Linux) Autoriser l'accès SSH entrant depuis votre réseau via IPv6.

Plage d'adresses IPv6 de votre réseau

TCP

3389

(Instances Windows) Autoriser l'accès RDP entrant depuis votre réseau via IPv6

Sortant
Destination Protocole Plage de ports Commentaires
::/0 TCP HTTP Allow outbound HTTP access to any IPv6 address.
::/0 TCP HTTPS Allow outbound HTTPS access to any IPv6 address.

Mettre en œuvre le scénario 3

Pour mettre en œuvre le scénario 3, renseignez-vous sur votre passerelle client, puis créez le VPC.

Ces procédures incluent des étapes facultatives pour l'activation et la configuration de la communication IPv6 pour votre VPC. Il n'est pas nécessaire d'effectuer ces étapes si vous ne souhaitez pas utiliser IPv6 dans votre VPC.

Préparer votre passerelle client

  1. Déterminez le dispositif que vous utiliserez comme passerelle client. Pour de plus amples informations, consultez la section Votre périphérique de passerelle client dans le Guide de l'utilisateur AWS Site-to-Site VPN.

  2. Obtenez l'adresse IP routable par Internet pour l'interface externe du périphérique de passerelle client. L'adresse doit être statique et peut se trouver derrière un périphérique exécutant une traduction d'adresses réseau (NAT).

  3. Pour créer une connexion Site-to-Site VPN à routage statique, obtenez la liste des plages d'adresses IP internes (en notation CIDR) qui doivent être publiées sur la connexion Site-to-Site VPN vers la passerelle réseau privé virtuel. Pour de plus amples informations, consultez la section Tables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

Pour obtenir des informations sur l'utilisation d’Amazon VPC avec IPv6, consultez VPC prenant en charge l'adressage IPv6.

Règles de liste ACL réseau recommandées pour un VPC avec des sous-réseaux publics et privés et un accès AWS Site-to-Site VPN

Pour ce scénario, vous avez une liste ACL réseau pour le sous-réseau public et une autre pour le sous-réseau VPN unique. Le tableau suivant montre les règles que nous recommandons pour chaque ACL. Elles bloquent tout le trafic, sauf celui qui est explicitement requis.

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP entrant aux serveurs web depuis n'importe quelle adresse IPv4.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS entrant aux serveurs web depuis n'importe quelle adresse IPv4.

120

Plage d'adresses IPv4 publiques de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant vers les serveurs Web depuis votre réseau domestique (sur la passerelle Internet).

130

Plage d'adresses IPv4 publiques de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant vers les serveurs web depuis votre réseau domestique (sur la passerelle Internet).

140

0.0.0.0/0

TCP

32768/65535

AUTORISER

Autorise le trafic de retour entrant depuis les hôtes sur Internet qui répondent aux demandes provenant du sous-réseau.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv4 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

100

0.0.0.0/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

110

0.0.0.0/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

120

10.0.1.0/24

TCP

1433

AUTORISER

Autorise l'accès MS SQL sortant aux serveurs de base de données dans le sous-réseau VPN unique.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

140

0.0.0.0/0

TCP

32768/65535

AUTORISER

Autorise les réponses IPv4 sortantes aux clients sur Internet (par exemple, la diffusion de pages web auprès des visiteurs des serveurs web dans le sous-réseau).

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

100

10.0.0.0/24

TCP

1433

AUTORISER

Autorise les serveurs Web dans le sous-réseau public à lire et écrire aux serveurs MS SQL dans le sous-réseau VPN unique.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

120

Plage d'adresses IPv4 privées de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant depuis le réseau domestique (sur la passerelle réseau privé virtuel).

130

Plage d'adresses IPv4 privées de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant depuis le réseau domestique (sur la passerelle réseau privé virtuel).

140

Plage d'adresses IP privées de votre réseau domestique

TCP

32768/65535

AUTORISER

Autorise le trafic de retour entrant depuis les clients dans le réseau domestique (sur la passerelle réseau privé virtuel)

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

100

Plage d'adresses IP privées de votre réseau domestique

Tous

Tous

AUTORISER

Autorise tout le trafic sortant depuis le sous-réseau vers votre réseau domestique (sur la passerelle réseau privé virtuel). Cette règle couvre également la règle 120. Cependant, vous pouvez rendre cette règle plus restrictive en utilisant un type de protocole et un numéro de port spécifiques. Si vous rendez cette règle plus restrictive, alors vous devez inclure la règle 120 dans votre liste ACL réseau pour vous assurer que les réponses sortantes ne sont pas bloquées.

110

10.0.0.0/24

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes vers les serveurs web dans le sous-réseau public.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

120

Plage d'adresses IP privées de votre réseau domestique

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes vers les clients dans le réseau domestique (sur la passerelle réseau privé virtuel).

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

0.0.0.0/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Règles de listes ACL réseau recommandées pour IPv6

Si vous avez implémenté la prise en charge IPv6 et créé un VPC et des sous-réseaux avec les blocs d'adresse CIDR IPv6 associés, vous devez ajouter des règles distinctes à votre ACL réseau pour contrôler le trafic IPv6 entrant et sortant.

Voici les règles IPv6 spécifiques de vos ACL réseau (qui s'ajoutent aux règles mentionnées ci-dessus).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

150

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP entrant depuis n'importe quelle adresse IPv6.

160

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS entrant depuis n'importe quelle adresse IPv6.

170

Plage d'adresses IPv6 de votre réseau domestique

TCP

22

AUTORISER

Autorise le trafic SSH entrant via IPv6 depuis votre réseau domestique (sur la passerelle Internet).

180

Plage d'adresses IPv6 de votre réseau domestique

TCP

3389

AUTORISER

Autorise le trafic RDP entrant via IPv6 depuis votre réseau domestique (sur la passerelle Internet).

190

::/0

TCP

1024-65535

AUTORISER

Autorise le trafic de retour entrant depuis les hôtes sur Internet qui répondent aux demandes provenant du sous-réseau.

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

150

::/0

TCP

80

AUTORISER

Autorise le trafic HTTP sortant du sous-réseau vers Internet.

160

::/0

TCP

443

AUTORISER

Autorise le trafic HTTPS sortant du sous-réseau vers Internet.

170

2001:db8:1234:1a01::/64

TCP

1433

AUTORISER

Autorise l'accès MS SQL sortant aux serveurs de base de données dans le sous-réseau privé.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

190

::/0

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes aux clients sur Internet (par exemple, la diffusion de pages Web auprès des visiteurs des serveurs Web du sous-réseau)

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).

Inbound
Règle n° IP Source Protocole Port Autoriser/Refuser Commentaires

150

2001:db8:1234:1a00::/64

TCP

1433

AUTORISER

Autorise les serveurs Web dans le sous-réseau public à lire et écrire aux serveurs MS SQL dans le sous-réseau privé.

Ce numéro de port est uniquement à titre d'exemple. Parmi d'autres exemples, on peut citer 3306 pour l'accès MySQL/Aurora, 5432 pour l'accès PostgreSQL, 5439 pour l'accès Amazon Redshift et 1521 pour l'accès Oracle.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 entrant qui n'est pas déjà géré par une règle précédente (non modifiable).

Outbound
Règle n° IP Dest Protocole Port Autoriser/Refuser Commentaires

130

2001:db8:1234:1a00::/64

TCP

32768/65535

AUTORISER

Autorise les réponses sortantes vers le sous-réseau public (par exemple, des réponses aux serveurs web dans le sous-réseau public qui communiquent avec des serveurs de base de données dans le sous-réseau privé).

Cette plage est uniquement à titre d'exemple. Pour plus d'informations sur le choix de ports éphémères corrects pour votre configuration, consultez Ports éphémères.

*

::/0

Tout

Tout

REFUSER

Refuse l'ensemble du trafic IPv6 sortant qui n'est pas déjà géré par une règle précédente (non modifiable).