Présentation des VPC et des sous-réseaux - Amazon Virtual Private Cloud

Présentation des VPC et des sous-réseaux

Pour commencer avec Amazon Virtual Private Cloud (Amazon VPC), vous allez créer un VPC et des sous-réseaux. Pour une présentation générale d'Amazon VPC, veuillez consulter Qu'est-ce qu'Amazon VPC ?.

Principes de base des VPC

Un cloud privé virtuel (VPC) est un réseau virtuel dédié à votre compte AWS. Il est logiquement isolé des autres réseaux virtuels dans le cloud AWS. Vous pouvez lancer vos ressources AWS, telles que des instances Amazon EC2, dans votre VPC.

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc d'adresse CIDR (Classless Inter-Domain Routing), par exemple, 10.0.0.0/16. Il s'agit du bloc CIDR principal pour votre VPC. Pour plus d'informations sur la notation de bloc d'adresse CIDR, consultez RFC 4632.

Un VPC couvre toutes les zones de disponibilité de la région. Le diagramme suivant illustre un nouveau VPC avec un bloc d'adresse CIDR IPv4.


				VPC couvrant les zones de disponibilité de sa région.

Après avoir créé un VPC, vous pouvez ajouter un ou plusieurs sous-réseaux dans chaque zone de disponibilité.

Principes de base des sous-réseaux

Un sous-réseau est une plage d'adresses IP dans votre VPC. Vous pouvez lancer des ressources AWS, telles que des instances EC2, dans un sous-réseau spécifique. Lorsque vous créez un sous-réseau, vous spécifiez son bloc d'adresse CIDR IPv4, lequel est un sous-ensemble du bloc d'adresse CIDR du VPC. Chaque sous-réseau doit résider entièrement dans une zone de disponibilité et ne peut pas s'étendre sur plusieurs zones. En lançant des instances dans des zones de disponibilité distinctes, vous pouvez protéger vos applications contre la défaillance d'une zone.

Note

Vous pouvez éventuellement ajouter des sous-réseaux dans une Local Zone, c'est-à-dire un déploiement d'infrastructure AWS qui rapproche le calcul, le stockage, la base de données et d'autres services sélectionnés de vos utilisateurs finaux. Une Lcoal Zone permet à vos utilisateurs finaux d'exécuter des applications qui nécessitent des latences de l'ordre de la milliseconde. Pour de plus amples informations, veuillez consulter Local Zones dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Types de sous-réseaux

Lorsque vous créez un sous-réseau, en fonction des configurations définies pour le VPC et celles pour le sous-réseau, vous disposez des options IPv4 et IPv6 suivantes :

  • IPv4-only (IPv4 uniquement) : votre VPC est associé à un CIDR IPv4 ou à des CIDR IPv4 et IPv6. Si les CIDR de sous-réseau que vous choisissez sont des plages CIDR IPv4, toutes les instances EC2 lancées dans le sous-réseau communiquent uniquement sur IPv4.

  • Dual-stack (IPv4 and IPv6) (Double pile [IPv4 et IPv6]) : votre VPC est associé à un CIDR IPv4 ou à des CIDR IPv4 et IPv6. Par conséquent, tous les sous-réseaux que vous créez dans le VPC peuvent être des sous-réseaux à double pile. Toutes les instances EC2 lancées dans le sous-réseau communiquent via l'adresse IP du sous-réseau.

  • IPv6-only (IPv6 uniquement) : votre VPC est associé à des CIDR IPv4 et IPv6. Si vous sélectionnez l'option IPv6-only (IPv6 uniquement) lorsque vous créez le sous-réseau, toutes les instances EC2 lancées dans le sous-réseau communiquent uniquement sur IPv6.

Selon la façon dont vous configurez votre VPC, les sous-réseaux peuvent être considérés comme publics, privés ou VPN uniquement :

  • Public subnet (Sous-réseau public) : le trafic IPv4 ou IPv6 du sous-réseau est acheminé vers une passerelle Internet ou une passerelle Internet de sortie uniquement et peut atteindre l'Internet public. Pour de plus amples informations, veuillez consulter . Autorisation des sous-réseaux publics à accéder à Internet.

  • Private subnet (Sous-réseau privé) : le trafic IPv4 ou IPv6 du sous-réseau n'est pas acheminé vers une passerelle Internet ou une passerelle Internet de sortie uniquement et ne peut pas atteindre l'Internet public.

  • VPN-only subnet (Sous-réseau VPN uniquement) : si un sous-réseau ne comporte pas d'acheminement vers la passerelle Internet, mais que son trafic est acheminé vers une passerelle réseau privé virtuel pour une connexion Site-to-Site VPN. Actuellement, le trafic IPv6 n'est pas compatible avec une connexion Site-to-Site VPN. Pour plus d'informations sur Site-to-Site VPN, consultez la rubrique Qu'est-ce que AWS Site-to-Site VPN ? du Guide de l'utilisateur AWS Site-to-Site VPN.

Note

Quel que soit le type de sous-réseau, la plage d'adresses IPv4 interne du sous-réseau est toujours privée. Nous n'annonçons pas le bloc d'adresse à Internet. Pour plus d'informations sur l'attribution d'adresses IP privées dans les VPC, consultez Modification du comportement d'adressage IP des sous-réseaux.

Paramètres du sous-réseau

Une fois que vous avez créé un sous-réseau, vous pouvez modifier les paramètres suivants pour ce sous-réseau.

  • Auto-assign IP settings (Paramètres d'attribution automatique des adresses IP) : vous permet de configurer les paramètres d'attribution automatique des adresses IP pour demander automatiquement une adresse IPv4 ou IPv6 publique pour une nouvelle interface réseau dans ce sous-réseau. Pour plus d'informations sur ces paramètres, consultez la page Utiliser des adresses IP.

  • Resource-based Name (RBN) settings (Paramètres de nom basé sur les ressources [RBN]) : vous permet de spécifier le type de nom d'hôte pour les instances EC2 dans ce sous-réseau et de configurer la façon dont les requêtes d'enregistrement DNS A et AAAA sont traitées. Pour plus d'informations sur ces paramètres, consultez Types de noms d'hôte des instances Amazon EC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Diagramme des VPC et des sous-réseaux

Le schéma ci-après présente un VPC qui est configuré avec des sous-réseaux dans plusieurs zones de disponibilité.


					VPC avec plusieurs zones de disponibilité

Remarques :

  • 1A, 2A et 3A représentent des instances de votre VPC.

  • Le sous-réseau 1 est un sous-réseau public, le sous-réseau 2 est un sous-réseau privé et le sous-réseau 3 est un sous-réseau VPN uniquement.

  • Un bloc d'adresse CIDR IPv6 est associé au VPC, et un bloc d'adresse CIDR IPv6 est associé à Sous-réseau 1.

  • Une passerelle Internet active la communication via Internet, et une connexion de réseau privé virtuel (VPN) active la communication avec votre réseau d'entreprise.

Note

Si une instance EC2 est lancée dans un sous-réseau public et que vous souhaitez qu'elle communique avec Internet, elle doit posséder une adresse IPv4 publique (ou une adresse IP élastique) ou une adresse IPv6. Pour plus d'informations sur l'attribution d'adresses IP publiques et privées pour les instances EC2, consultez Adressage IP des instances Amazon EC2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Ressources supplémentaires

Dimensionnement des VPC et des sous-réseaux

Amazon VPC est compatible avec l'adressage IPv4 et IPv6 et dispose de différents quotas pour la taille de bloc d'adresse CIDR de chacun. Par défaut, tous les VPC et tous les sous-réseaux doivent avoir des blocs d'adresse CIDR IPv4 ; vous ne pouvez pas modifier ce comportement. Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC.

Pour plus d'informations sur les adresses IP, consultez Modification du comportement d'adressage IP des sous-réseaux.

Dimensionnement des VPC et des sous-réseaux pour IPv4

Lorsque vous créez un VPC, vous devez spécifier un bloc d'adresse CIDR IPv4 pour le VPC. La taille de bloc autorisée est comprise entre un masque réseau en /16 (65 536 adresses IP) et un masque réseau en /28 (16 adresses IP). Une fois que vous avez créé votre VPC, vous pouvez lui associer des blocs CIDR secondaires. Pour plus d'informations, consultez Gestion des blocs d'adresse CIDR IPv4 pour un VPC.

Nous vous conseillons de créer un VPC avec un bloc d'adresse CIDR tiré des plages d'adresses IPv4 privées, comme spécifié dans la norme RFC 1918 :

Plage RFC 1918 Exemple de bloc d'adresse CIDR
10.0.0.0 - 10.255.255.255 (préfixe 10/8) Votre VPC doit être /16 ou plus petit, par exemple 10.0.0.0/16.
172.16.0.0 - 172.31.255.255 (préfixe 172.16/12) Votre VPC doit être /16 ou plus petit, par exemple 172.31.0.0/16.
192.168.0.0 - 192.168.255.255 (préfixe 192.168/16) Votre VPC peut être plus petit, par exemple 192.168.0.0/20.

Vous pouvez créer un VPC avec un bloc d'adresses CIDR publiquement routables qui se trouve en dehors des plages d'adresses IPv4 privées spécifiées dans la norme RFC 1918 ; toutefois, dans le cadre de cette documentation, les adresses IP privées auxquelles nous faisons référence sont des adresses IPv4 privées qui se trouvent dans la plage d'adresses CIDR de votre VPC.

Note

Si vous créez un VPC en vue de l'utiliser avec un autre service AWS, consultez la documentation du service en question pour savoir s'il existe des exigences spécifiques au niveau de la plage d'adresses IP ou des composants réseau.

Le bloc d'adresse CIDR d'un sous-réseau peut être identique à celui du VPC (pour un sous-réseau unique dans le VPC) ou à un sous-ensemble du bloc CIDR du VPC (pour plusieurs sous-réseaux). La taille de bloc autorisée est comprise entre un masque réseau en /28 et un masque réseau en /16. Si vous créez plusieurs sous-réseaux dans un VPC, les blocs d'adresse CIDR de ces sous-réseaux ne peuvent pas se chevaucher.

Par exemple, si vous créez un VPC avec le bloc d'adresse CIDR 10.0.0.0/24, il prend en charge 256 adresses IP. Vous pouvez scinder ce bloc d'adresse CIDR en deux sous-réseaux, chacun prenant en charge 128 adresses IP. Un sous-réseau utilise le bloc d'adresse CIDR 10.0.0.0/25 (pour les adresses 10.0.0.0 - 10.0.0.127) et l'autre utilise le bloc d'adresse CIDR 10.0.0.128/25 (pour les adresses 10.0.0.128 - 10.0.0.255).

Des outils sont disponibles sur Internet pour vous aider à calculer et à créer des blocs d'adresses CIDR de sous-réseau IPv4. Vous pouvez trouver des outils qui répondent à vos besoins en recherchant des termes tels que « calculateur de sous-réseau » ou « calculateur CIDR ». Votre équipe d'ingénierie réseau peut aussi vous aider à déterminer les blocs d'adresse CIDR à indiquer pour vos sous-réseaux.

Les quatre premières adresses IP et la dernière adresse IP du bloc d'adresse CIDR de chaque sous-réseau ne sont pas disponibles pour utilisation, et ne peuvent donc pas être affectées à une instance. Par exemple, dans un sous-réseau avec le bloc d'adresse CIDR 10.0.0.0/24, les cinq adresses IP suivantes sont réservées :

  • 10.0.0.0 : adresse réseau.

  • 10.0.0.1 : réservée par AWS pour le routeur VPC.

  • 10.0.0.2 : réservée par AWS. Notez que l'adresse IP du serveur DNS a pour valeur la base de la plage réseau VPC plus deux. Pour les VPC ayant plusieurs blocs CIDR, l'adresse IP du serveur DNS se trouve dans le CIDR principal. Nous réservons également la base de chaque plage de sous-réseau plus deux à tous les blocs d'adresse CIDR du VPC. Pour de plus amples informations, veuillez consulter . Serveur Amazon DNS.

  • 10.0.0.3 : réservée par AWS pour un usage futur.

  • 10.0.0.255 : adresse de diffusion réseau. Nous ne prenons pas en charge la diffusion dans un VPC, par conséquent nous réservons cette adresse.

Si vous créez un VPC ou un sous-réseau à l'aide d'un outil de ligne de commande ou de l'API Amazon EC2, le bloc d'adresse CIDR est automatiquement ramené à sa forme canonique. Par exemple, si vous spécifiez 100.68.0.18/18 pour le bloc CIDR, nous créons un bloc CIDR de 100.68.0.0/18.

Gestion des blocs d'adresse CIDR IPv4 pour un VPC

Vous pouvez associer des blocs d'adresse CIDR IPv4 à votre VPC. Lorsque vous associez un bloc d'adresse CIDR à votre VPC, une route est ajoutée automatiquement à vos tables de routage VPC afin de permettre le routage au sein du VPC (la destination est le bloc d'adresse CIDR et la cible est local).

Dans l'exemple suivant, le VPC de gauche a un seul bloc d'adresse CIDR (10.0.0.0/16) et deux sous-réseaux. Le VPC de droite représente l'architecture du même VPC une fois que vous avez ajouté un deuxième bloc d'adresse CIDR (10.2.0.0/16) et que vous avez créé un sous-réseau à partir de la plage du deuxième CIDR.


					VPC avec un seul et plusieurs blocs d'adresse CIDR

Pour ajouter un bloc d'adresse CIDR à votre VPC, les règles suivantes s'appliquent :

  • La taille de bloc autorisée est comprise entre un masque réseau en /28 et un masque réseau en /16.

  • Le bloc d'adresse CIDR ne doit chevaucher aucun bloc d'adresse CIDR existant associé au VPC.

  • Il existe des restrictions pour les plages d'adresses IPv4 que vous pouvez utiliser. Pour plus d'informations, consultez Restrictions des associations de blocs d'adresse CIDR IPv4.

  • Vous ne pouvez pas augmenter ou diminuer la taille d'un bloc CIDR existant.

  • Le nombre de blocs d'adresse CIDR susceptibles d'être associés à un VPC est limité, au même titre que le nombre de routes pouvant être ajoutées à une table de routage. Vous ne pouvez pas associer un bloc d'adresse CIDR si cela entraîne un dépassement de vos quotas. Pour plus d'informations, consultez Quotas Amazon VPC.

  • Le bloc d'adresse CIDR ne doit pas être le même, ni être plus important, qu'une plage CIDR de destination d'une route dans une table de routage de VPC. Par exemple, dans un VPC où le bloc CIDR principal est 10.2.0.0/16, vous avez une route existante dans une table de routage avec une destination de 10.0.0.0/24 vers une passerelle privée virtuelle. Vous souhaitez associer un bloc CIDR secondaire dans la plage 10.0.0.0/16. En raison de l'itinéraire existant, vous ne pouvez pas associer un bloc CIDR de 10.0.0.0/24 ou plus grand. Toutefois, vous pouvez associer un bloc d'adresse CIDR de 10.0.0.0/25 ou plus petit.

  • Si vous avez activé votre VPC pour ClassicLink, vous pouvez associer des blocs d'adresse CIDR provenant des plages 10.0.0.0/16 et 10.1.0.0/16, mais vous ne pouvez pas associer tout autre bloc d'adresse CIDR provenant de la plage 10.0.0.0/8.

  • Les règles suivantes s'appliquent lorsque vous ajoutez des blocs d'adresse CIDR IPv4 à un VPC faisant partie d'une connexion d'appairage de VPC :

    • Si la connexion d'appairage de VPC est active, vous pouvez ajouter des blocs d'adresse CIDR à un VPC, à condition qu'ils ne chevauchent pas un bloc d'adresse CIDR du VPC homologue.

    • Si la connexion d'appairage de VPC est pending-acceptance, le propriétaire du VPC demandeur ne peut pas ajouter de bloc d'adresse CIDR au VPC, qu'il chevauche ou non le bloc d'adresse CIDR du VPC demandeur. Soit le propriétaire du VPC demandeur doit accepter la connexion d'appairage, soit il doit supprimer la demande de connexion d'appairage du VPC, ajouter le bloc d'adresse CIDR, puis demander une nouvelle connexion d'appairage du VPC.

    • Si la connexion d'appairage du VPC est pending-acceptance, le propriétaire du VPC demandeur peut ajouter des blocs d'adresse CIDR au VPC. Si un bloc d'adresse CIDR secondaire chevauche un bloc CIDR du VPC demandeur, la demande de connexion d'appairage du VPC échoue et ne peut pas être acceptée.

  • Si vous utilisez AWS Direct Connect pour vous connecter à plusieurs VPC via une passerelle Direct Connect, les VPC associés à la passerelle Direct Connect ne doivent pas avoir de blocs d'adresse CIDR qui se chevauchent. Si vous ajoutez un bloc d'adresse CIDR à l'un des VPC qui est associé à la passerelle Direct Connect, assurez-vous que le nouveau bloc d'adresse CIDR ne chevauche pas un bloc d'adresse CIDR existant d'un autre VPC associé. Pour plus d'informations, veuillez consulter la section Passerelles Direct Connect du Guide de l'utilisateur AWS Direct Connect.

  • Lorsque vous ajoutez ou supprimez un bloc d'adresse CIDR, il peut passer par différents états: associating | associated | disassociating | disassociated | failing | failed. Le bloc d'adresse CIDR est prêt pour que vous l'utilisiez utilisé lorsqu'il a l'état associated.

Vous pouvez dissocier un bloc d'adresse CIDR que vous avez associé à votre VPC, mais vous ne pouvez pas dissocier le bloc d'adresse CIDR avec lequel vous avez initialement créé le VPC (bloc d'adresse CIDR principal). Pour afficher le CIDR principal de votre VPC sur la console Amazon VPC, choisissez Your VPCs (Vos VPC), cochez la case de votre VPC et choisissez l'onglet CIDRs (CIDR). Pour afficher le CIDR principal à l'aide d'AWS CLI, utilisez la commande describe-vpcs comme suit. Le CIDR principal est retourné dans le CidrBlock element de niveau supérieur.

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d --query Vpcs[*].CidrBlock

Voici un exemple de sortie.

[ "10.0.0.0/16", ]

Restrictions des associations de blocs d'adresse CIDR IPv4

Le tableau suivant présente les associations de blocs d'adresse CIDR autorisées et limitées en fonction de la plage d'adresses IPv4 dans laquelle se trouve le bloc d'adresse CIDR principal du VPC.

Plage d'adresses IP du bloc d'adresse CIDR principal Associations limitées Associations autorisées

10.0.0.0/8

Les blocs d'adresse CIDR d'autres plages RFC 1918* (172.16.0.0/12 and 192.168.0.0/16).

Si votre bloc d'adresse CIDR principal se trouve dans la plage 10.0.0.0/15 (10.0.0.0 à 10.1.255.255), vous ne pouvez pas ajouter de bloc d'adresse CIDR provenant de la plage 10.0.0.0/16 (10.0.0.0 à 10.0.255.255).

Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre bloc d'adresse CIDR provenant de la plage 10.0.0.0/8 qui n'est pas limité.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

172.16.0.0/12

Les blocs d'adresse CIDR d'autres plages RFC 1918* (10.0.0.0/8 and 192.168.0.0/16).

Blocs d'adresse CIDR provenant de la plage 172.31.0.0/16.

Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre bloc d'adresse CIDR provenant de la plage 172.16.0.0/12 qui n'est pas limité.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

192.168.0.0/16

Les blocs d'adresse CIDR d'autres plages RFC 1918* (10.0.0.0/8 et 172.16.0.0/12).

Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre bloc d'adresse CIDR provenant de la plage 192.168.0.0/16.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

198.19.0.0/16

Blocs d'adresse CIDR provenant des places RFC 1918*.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

Un bloc d'adresse CIDR (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10

Blocs d'adresse CIDR provenant des places RFC 1918*.

Blocs d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

*Les plages RFC 1918 sont les plages d'adresses IPv4 privées spécifiées dans RFC 1918.

Dimensionnement des VPC et des sous-réseaux pour IPv6

Vous pouvez associer un seul bloc d'adresse CIDR IPv6 avec un VPC existant dans votre compte, ou lorsque vous créez un VPC. Le bloc d'adresse CIDR utilise une longueur de préfixe fixe de /56. Vous pouvez demander un bloc d'adresse CIDR IPv6 à partir du pool d'adresses IPv6 d'Amazon.

Si vous avez associé un bloc d'adresse CIDR IPv6 à votre VPC, vous pouvez associer un bloc d'adresse CIDR IPv6 à un sous-réseau existant de votre VPC, ou lorsque vous créez un sous-réseau. Un bloc d'adresse CIDR IPv6 d'un sous-réseau utilise une longueur de préfixe fixe de /64.

Par exemple, vous créez un VPC et vous spécifiez que vous voulez associer un bloc d'adresse CIDR IPv6 fourni par Amazon au VPC. Amazon attribue le bloc d'adresse CIDR IPv6 suivant à votre VPC : 2001:db8:1234:1a00::/56. Vous ne pouvez pas choisir vous-même la plage d'adresses IP. Vous pouvez créer un sous-réseau et associer un bloc d'adresse CIDR IPv6 à partir de cette plage ; par exemple, 2001:db8:1234:1a00::/64.

Des outils sont disponibles sur Internet pour vous aider à calculer et à créer des blocs d'adresse CIDR de sous-réseau IPv6 ; par exemple, le Planificateur d'adresses IPv6. Vous pouvez trouver d'autres outils qui répondent à vos besoins en recherchant des termes tels que « calculateur de sous-réseau IPv6 » ou « calculateur CIDR IPv6 ». Votre équipe d'ingénierie réseau peut aussi vous aider à déterminer les blocs d'adresse CIDR IPv6 à indiquer pour vos sous-réseaux.

Vous pouvez dissocier un bloc d'adresse CIDR IPv6 d'un sous-réseau, et vous pouvez dissocier un bloc d'adresse CIDR IPv6 d'un VPC. Une fois que vous avez dissocié un bloc d'adresse CIDR IPv6 d'un VPC, vous ne pouvez pas vous attendre à recevoir le même CIDR si vous associez une nouvelle fois un bloc d'adresse CIDR IPv6 à votre VPC ultérieurement.

Les quatre premières adresses IPv6 et la dernière adresse IPv6 du bloc d'adresse CIDR de chaque sous-réseau ne sont pas disponibles pour utilisation, et ne peuvent donc pas être affectées à une instance. Par exemple, dans un sous-réseau avec le bloc d'adresse CIDR 2001:db8:1234:1a00/64, les cinq adresses IP suivantes sont réservées :

  • 2001:db8:1234:1a00::

  • 2001:db8:1234:1a00::1

  • 2001:db8:1234:1a00::2

  • 2001:db8:1234:1a00::3

  • 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Routage des sous-réseaux

Chaque sous-réseau doit être associé à une table de routage, qui indique les routes autorisées pour le trafic sortant quittant le sous-réseau. Chaque sous-réseau que vous créez est automatiquement associé à la table de routage principale de votre VPC. Vous pouvez modifier cette association, mais aussi le contenu de la table de routage principale. Pour plus d'informations, consultez Gestion des tables de routage de votre VPC.

Dans le schéma précédent, la table de routage associée au sous-réseau 1 achemine tout le trafic IPv4 (0.0.0.0/0) et le trafic IPv6 (::/0) vers une passerelle Internet (par exemple, igw-1a2b3c4d). Étant donné que l'instance 1A a une adresse IP Elastic IPv4 et une adresse IPv6, elle peut être atteinte à partir d'Internet via IPv4 et IPv6.

Note

(IPv4 uniquement) L'adresse IPv4 Elastic ou l'adresse IPv4 publique qui est associée à votre instance est accessible via la passerelle Internet de votre VPC. Le trafic qui passe par une connexion AWS Site-to-Site VPN entre votre instance et un autre réseau traverse une passerelle réseau privé virtuel, et non la passerelle Internet. Il ne peut donc pas accéder à l'adresse IPv4 Elastic ou à l'adresse IPv4 publique.

L'instance 2A ne peut pas accéder à Internet, mais elle peut accéder à d'autres instances dans le VPC. Vous pouvez permettre à une instance de votre VPC d'établir des connexions sortantes vers Internet via IPv4, mais empêcher des connexions entrantes non sollicitées provenant d'Internet à l'aide d'une passerelle ou d'une instance NAT. Comme vous pouvez allouer un nombre limité d'adresses IP Elastic, nous vous conseillons d'utiliser un périphérique NAT si vous avez plusieurs instances qui nécessitent une adresse IP publique statique. Pour plus d'informations, consultez Autorisation des sous-réseaux privés à accéder à Internet avec des périphériques NAT. Pour lancer une communication sortante uniquement vers Internet via IPv6, vous pouvez utiliser une passerelle Internet de sortie uniquement. Pour plus d'informations, consultez Activation du trafic sortant uniquement à partir de sous-réseaux à l'aide de passerelles Internet de sortie uniquement.

La table de routage associée au sous-réseau 3 achemine tout le trafic IPv4 (0.0.0.0/0) vers une passerelle réseau privé virtuel (par exemple, vgw-1a2b3c4d). L'instance 3A peut accéder aux ordinateurs du réseau d'entreprise par une connexion Site-to-Site VPN.

Sécurité des sous-réseaux

AWS fournit deux fonctions que vous pouvez utiliser pour renforcer la sécurité de votre VPC : les groupes de sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vos instances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupart des cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez également utiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations, consultez Confidentialité du trafic inter-réseau dans Amazon VPC.

Dans sa conception, chaque sous-réseau doit être associé à une liste ACL réseau. Chaque sous-réseau que vous créez est automatiquement associé à l'ACL réseau par défaut de votre VPC. Vous pouvez modifier cette association, mais aussi le contenu de l'ACL réseau par défaut. Pour plus d'informations, consultez Contrôle du trafic vers les sous-réseaux avec des ACL réseau.

Vous pouvez créer un journal de flux sur votre VPC ou sous-réseau pour capturer ces flux vers et en provenance des interfaces réseau dans votre VPC ou sous-réseau. Vous pouvez aussi créer un journal de flux sur une interface réseau individuelle. Les journaux de flux peuvent publier des données vers CloudWatch Logs ou Amazon S3. Pour de plus amples informations, veuillez consulter . Journalisation du trafic IP avec les journaux de flux VPC.