Amazon Virtual Private Cloud
Guide de l'utilisateur

VPC et sous-réseaux

Pour commencer avec Amazon Virtual Private Cloud (Amazon VPC), vous créez un VPC et des sous-réseaux. Pour une présentation générale de Amazon VPC, consultez la section Qu'est-ce qu'Amazon VPC ?.

Principes de base des VPC et des sous-réseaux

Un cloud privé virtuel (VPC) est un réseau virtuel dédié à votre compte AWS. Il est logiquement isolé des autres réseaux virtuels dans le cloud AWS. Vous pouvez lancer vos ressources AWS, comme des instances Amazon EC2, dans votre VPC.

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc d'adresse CIDR (Classless Inter-Domain Routing), par exemple, 10.0.0.0/16. Il s'agit du bloc CIDR principal pour votre VPC. Pour plus d'informations sur la notation CIDR, consultez RFC 4632.

Le schéma suivant illustre un nouveau VPC avec un bloc d'adresse CIDR IPv4, et la table de routage principale.

 VPC avec la table de routage principale

Un VPC couvre toutes les zones de disponibilité de la région. Après avoir créé un VPC, vous pouvez ajouter un ou plusieurs sous-réseaux dans chaque zone de disponibilité. Lorsque vous créez un sous-réseau, vous spécifiez son bloc d'adresse CIDR, lequel est un sous-ensemble du bloc CIDR du VPC. Chaque sous-réseau doit résider entièrement dans une zone de disponibilité et ne peut pas s'étendre sur plusieurs zones. Les zones de disponibilité sont des emplacements distincts conçus pour être isolés des défaillances dans d'autres zones de disponibilité. En lançant des instances dans des zones de disponibilité distinctes, vous pouvez protéger vos applications de la défaillance d'un seul emplacement. Nous affectons un ID unique à chaque sous-réseau.

Vous pouvez également attribuer un bloc d'adresse CIDR IPv6 à votre VPC, et attribuer des blocs d'adresses CIDR IPv6 à vos sous-réseaux.

Le schéma ci-après présente un VPC qui est configuré avec des sous-réseaux dans plusieurs zones de disponibilité. 1A, 1B, 2A et 3A sont des instances de votre VPC. Un bloc d'adresse CIDR IPv6 est associé au VPC, et un bloc d'adresse CIDR IPv6 est associé à Sous-réseau 1. Une passerelle Internet active la communication via Internet, et une connexion de réseau privé virtuel (VPN) active la communication avec votre réseau d'entreprise.

 VPC avec plusieurs zones de disponibilité

Si le trafic de votre sous-réseau est acheminé vers une passerelle Internet, le sous-réseau est reconnu comme un sous-réseau public. Dans ce schéma, le sous-réseau 1 est un sous-réseau public. Si vous souhaitez que votre instance d'un sous-réseau public communique avec Internet via IPv4, elle doit posséder une adresse IPv4 publique ou une adresse IP Elastic (IPv4). Pour plus d'informations sur les adresses IPv4 publiques, consultez Adresses IPv4 publiques. Si vous voulez que votre instance d'un sous-réseau public communique avec Internet via IPv6, elle doit posséder une adresse IPv6.

Si un sous-réseau ne comporte pas de route vers la passerelle Internet, le sous-réseau est reconnu comme un sous-réseau privé. Dans ce schéma, le sous-réseau 2 est un sous-réseau privé.

Si un sous-réseau ne comporte pas de route vers la passerelle Internet, mais que son trafic est acheminé vers une passerelle privée virtuelle pour une connexion VPN, il est reconnu comme sous-réseau VPN uniquement. Dans ce schéma, le sous-réseau 3 est un sous-réseau VPN unique. Actuellement, le trafic IPv6 via une connexion VPN n'est pas pris en charge.

Pour plus d'informations, consultez Scénarios et exemples, Passerelles Internet ou Connexions VPN gérées par AWS.

Note

Quel que soit le type de sous-réseau, la plage d'adresses IPv4 interne du sous-réseau est toujours privée ; nous n'annonçons pas le bloc d'adresse à Internet.

Vous disposez d'un nombre limité de VPC et de sous-réseaux que vous pouvez créer dans votre compte. Pour de plus amples informations, veuillez consulter Limites Amazon VPC.

Dimensionnement des VPC et des sous-réseaux

Amazon VPC prend en charge l'adressage IPv4 et IPv6, et possède différentes limites de taille de bloc d'adresse CIDR pour chacun. Par défaut, tous les VPC et tous les sous-réseaux doivent avoir des blocs d'adresse CIDR IPv4 ; vous ne pouvez pas modifier ce comportement. Vous pouvez associer un bloc d'adresse CIDR IPv6 à votre VPC.

Pour plus d'informations sur les adresses IP, consultez Adressage IP dans votre VPC.

Dimensionnement des VPC et des sous-réseaux pour IPv4

Lorsque vous créez un VPC, vous devez spécifier un bloc d'adresse CIDR IPv4 pour le VPC. La taille de bloc autorisée est comprise entre un masque réseau en /16 (65 536 adresses IP) et un masque réseau en /28 (16 adresses IP). Une fois que vous avez créé votre VPC, vous pouvez lui associer des blocs CIDR secondaires. Pour plus d'informations, consultez Ajout de blocs d'adresse CIDR IPv4 ) à un VPC.

Nous vous conseillons de créer un VPC avec un bloc d'adresse CIDR (de /16 ou plus petit) tiré des plages d'adresses IPv4 privées, comme spécifié dans la norme RFC 1918:

  • 10.0.0.0 - 10.255.255.255 (préfixe 10/8)

  • 172.16.0.0 - 172.31.255.255 (préfixe 172.16/12)

  • 192.168.0.0 - 192.168.255.255 (préfixe 192.168/16)

Vous pouvez créer un VPC avec un bloc d'adresses CIDR publiquement routables qui se trouve en dehors des plages d'adresses IPv4 privées spécifiées dans la norme RFC 1918 ; toutefois, dans le cadre de cette documentation, les adresses IP privées auxquelles nous faisons référence sont des adresses IPv4 privées qui se trouvent dans la plage d'adresses CIDR de votre VPC.

Note

Si vous créez un VPC en vue de l'utiliser avec un autre service AWS, consultez la documentation du service en question pour savoir s'il existe des exigences spécifiques au niveau de la plage d'adresses IP ou des composants réseau.

Le bloc d'adresse CIDR d'un sous-réseau peut être identique à celui du VPC (pour un sous-réseau unique dans le VPC) ou à un sous-ensemble du bloc CIDR du VPC (pour plusieurs sous-réseaux). La taille de bloc autorisée est comprise entre un masque réseau en /28 et un masque réseau en /16. Si vous créez plusieurs sous-réseaux dans un VPC, les blocs d'adresse CIDR de ces sous-réseaux ne peuvent pas se chevaucher.

Par exemple, si vous créez un VPC avec le bloc d'adresse CIDR 10.0.0.0/24, il prend en charge 256 adresses IP. Vous pouvez scinder ce bloc d'adresse CIDR en deux sous-réseaux, chacun prenant en charge 128 adresses IP. Un sous-réseau utilise le bloc d'adresse CIDR 10.0.0.0/25 (pour les adresses 10.0.0.0 - 10.0.0.127) et l'autre utilise le bloc d'adresse CIDR 10.0.0.128/25 (pour les adresses 10.0.0.128 - 10.0.0.255).

Plusieurs outils peuvent vous aider à calculer les blocs d'adresse CIDR du sous-réseau. Par exemple, consultez la page http://www.subnet-calculator.com/cidr.php. Votre équipe d'ingénierie réseau peut aussi vous aider à déterminer les blocs d'adresse CIDR à indiquer pour vos sous-réseaux.

Les quatre premières adresses IP et la dernière adresse IP du bloc d'adresse CIDR de chaque sous-réseau ne sont pas disponibles pour utilisation, et ne peuvent donc pas être affectées à une instance. Par exemple, dans un sous-réseau avec le bloc d'adresse CIDR 10.0.0.0/24, les cinq adresses IP suivantes sont réservées :

  • 10.0.0.0 : Adresse réseau.

  • 10.0.0.1 : Réservée par AWS pour le routeur VPC.

  • 10.0.0.2 : Réservé par AWS. L'adresse IP du serveur DNS est toujours la base de la plage d'adresses du réseau VPC, plus deux ; cependant, nous réservons également la base de chaque sous-réseau, plus deux. Pour les VPC ayant plusieurs blocs CIDR, l'adresse IP du serveur DNS se trouve dans le CIDR principal. Pour plus d'informations, consultez Serveur Amazon DNS.

  • 10.0.0.3 : Réservée par AWS pour un usage futur.

  • 10.0.0.255 : Adresse de diffusion réseau. Nous ne prenons pas en charge la diffusion dans un VPC, par conséquent nous réservons cette adresse.

Ajout de blocs d'adresse CIDR IPv4 ) à un VPC

Vous pouvez associer des blocs d'adresse CIDR IPv4 à votre VPC. Lorsque vous associez un bloc d'adresse CIDR à votre VPC, une route est ajoutée automatiquement à vos tables de routage VPC afin de permettre le routage au sein du VPC (la destination est le bloc d'adresse CIDR et la cible est local).

Dans l'exemple suivant, le VPC de gauche a un seul bloc d'adresse CIDR (10.0.0.0/16) et deux sous-réseaux. Le VPC de droite représente l'architecture du même VPC une fois que vous avez ajouté un deuxième bloc d'adresse CIDR (10.2.0.0/16) et que vous avez créé un sous-réseau à partir de la plage du deuxième CIDR.

 VPC avec un seul et plusieurs blocs d'adresse CIDR

Pour ajouter un bloc d'adresse CIDR à votre VPC, les règles suivantes s'appliquent :

  • La taille de bloc autorisée est comprise entre un masque réseau en /28 et un masque réseau en /16.

  • Le bloc d'adresse CIDR ne doit chevaucher aucun bloc d'adresse CIDR existant associé au VPC.

  • Il existe des restrictions pour les plages d'adresses IPv4 que vous pouvez utiliser. Pour plus d'informations, consultez Restrictions des associations de blocs d'adresse CIDR IPv4.

  • Vous ne pouvez pas augmenter ou diminuer la taille d'un bloc CIDR existant.

  • Le nombre de blocs d'adresse CIDR susceptibles d'être associés à un VPC est limité, au même titre que le nombre de routes pouvant être ajoutées à une table de routage. Vous ne pouvez pas associer un bloc d'adresse CIDR si cela entraîne un dépassement de votre limite. Pour plus d'informations, consultez Limites Amazon VPC.

  • Le bloc d'adresse CIDR ne doit pas être le même, ni être plus important, que la plage CIDR d'une route dans une table de routage de VPC. Par exemple, si vous avez une route avec la destination 10.0.0.0/24 vers une passerelle privée virtuelle, vous ne pouvez pas associer un bloc d'adresse CIDR ayant la même plage ou une plage plus importante. Mais vous pouvez associer un bloc d'adresse CIDR de 10.0.0.0/25 ou plus petit.

  • Si vous avez activé votre VPC pour ClassicLink, vous pouvez associer des blocs d'adresse CIDR provenant des plages 10.0.0.0/16 et 10.1.0.0/16, mais vous ne pouvez pas associer tout autre bloc d'adresse CIDR provenant de la plage 10.0.0.0/8.

  • Les règles suivantes s'appliquent lorsque vous ajoutez des blocs d'adresse CIDR IPv4 à un VPC faisant partie d'une connexion d'appairage de VPC :

    • Si la connexion d'appairage de VPC est active, vous pouvez ajouter des blocs d'adresse CIDR à un VPC, à condition qu'ils ne chevauchent pas un bloc d'adresse CIDR du VPC homologue.

    • Si la connexion d'appairage de VPC est pending-acceptance, le propriétaire du VPC demandeur ne peut pas ajouter de bloc d'adresse CIDR au VPC, qu'il chevauche ou non le bloc d'adresse CIDR du VPC demandeur. Soit le propriétaire du VPC demandeur doit accepter la connexion d'appairage, soit il doit supprimer la demande de connexion d'appairage du VPC, ajouter le bloc d'adresse CIDR, puis demander une nouvelle connexion d'appairage du VPC.

    • Si la connexion d'appairage du VPC est pending-acceptance, le propriétaire du VPC demandeur peut ajouter des blocs d'adresse CIDR au VPC. Si un bloc d'adresse CIDR secondaire chevauche un bloc CIDR du VPC demandeur, la demande de connexion d'appairage du VPC échoue et ne peut pas être acceptée.

  • Si vous utilisez AWS Direct Connect pour vous connecter à plusieurs VPC via une passerelle de connexion directe, les VPC associés à la passerelle de connexion directe ne doivent pas avoir de blocs CIDR qui se chevauchent. Si vous ajoutez un bloc CIDR à celui des VPC qui est associé à la passerelle de connexion directe, assurez-vous que le nouveau bloc CIDR ne chevauche pas un bloc CIDR existant d'un autre VPC associé. Pour de plus amples informations, consultez Passerelles Direct Connect dans le guide AWS Direct Connect Guide de l'utilisateur.

  • Lorsque vous ajoutez ou supprimez un bloc d'adresse CIDR, il peut passer par différents états : associating | associated | disassociating | disassociated | failing | failed. Le bloc d'adresse CIDR est prêt pour que vous l'utilisiez utilisé lorsqu'il a l'état associated.

Le tableau suivant présente les associations de blocs d'adresse CIDR autorisées et limitées en fonction de la plage d'adresses IPv4 dans laquelle se trouve le bloc d'adresse CIDR principal du VPC.

Restrictions des associations de blocs d'adresse CIDR IPv4

Plage d'adresses IP dans laquelle réside le bloc d'adresse CIDR principal du VPC Associations limitées de blocs d'adresse CIDR IPv4 Associations autorisées de blocs d'adresse CIDR IPv4

10.0.0.0/8

Les blocs d'adresse CIDR d'autres plages RFC 1918* (172.16.0.0/12 and 192.168.0.0/16).

Si votre CIDR principal se trouve dans la plage 10.0.0.0/15, vous ne pouvez pas ajouter de bloc d'adresse CIDR provenant de la plage 10.0.0.0/16.

Bloc d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre CIDR provenant de la plage 10.0.0.0/8 et qui n'est pas limité.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

172.16.0.0/12

Les blocs d'adresse CIDR d'autres plages RFC 1918* (10.0.0.0/8 and 192.168.0.0/16).

Bloc d'adresse CIDR provenant de la plage 172.31.0.0/16.

Bloc d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre CIDR provenant de la plage 172.16.0.0/12 et qui n'est pas limité.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

192.168.0.0/16

Les blocs d'adresse CIDR d'autres plages RFC 1918* (172.16.0.0/12 and 10.0.0.0/8).

Bloc d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre CIDR provenant de la plage 192.168.0.0/16.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

198.19.0.0/16

Blocs d'adresse CIDR d'autres plages RFC 1918*.

Tout bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

Un bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

Blocs d'adresse CIDR provenant des places RFC 1918*.

Bloc d'adresse CIDR provenant de la plage 198.19.0.0/16.

Tout autre bloc d'adresse CIDR IPv4 (non RFC 1918) publiquement routable ou un bloc d'adresse CIDR dans la plage 100.64.0.0/10.

*Les plages RFC 1918 sont les plages d'adresses IPv4 privées spécifiées dans RFC 1918.

Vous pouvez dissocier un bloc d'adresse CIDR que vous avez associé à votre VPC, mais vous ne pouvez pas dissocier le bloc d'adresse CIDR avec lequel vous avez initialement créé le VPC (bloc d'adresse CIDR principal). Pour afficher le bloc CIDR principal de votre VPC sur la console Amazon VPC, choisissez Vos VPC, sélectionnez votre VPC et notez la première entrée sous Blocs CIDR. Vous pouvez également utiliser la commande describe-vpcs :

aws ec2 describe-vpcs --vpc-id vpc-1a2b3c4d

Dans la sortie qui est retournée, le bloc CIDR principal est retourné dans l'élément CidrBlock de niveau supérieur (l'avant-dernier élément dans l'exemple de sortie ci-dessous).

{ "Vpcs": [ { "VpcId": "vpc-1a2b3c4d", "InstanceTenancy": "default", "Tags": [ { "Value": "MyVPC", "Key": "Name" } ], "CidrBlockAssociations": [ { "AssociationId": "vpc-cidr-assoc-3781aa5e", "CidrBlock": "10.0.0.0/16", "CidrBlockState": { "State": "associated" } }, { "AssociationId": "vpc-cidr-assoc-0280ab6b", "CidrBlock": "10.2.0.0/16", "CidrBlockState": { "State": "associated" } } ], "State": "available", "DhcpOptionsId": "dopt-e0fe0e88", "CidrBlock": "10.0.0.0/16", "IsDefault": false } ] }

Dimensionnement des VPC et des sous-réseaux pour IPv6

Vous pouvez associer un seul bloc d'adresse CIDR IPv6 avec un VPC existant dans votre compte, ou lorsque vous créez un VPC. Le bloc d'adresse CIDR utilise une longueur de préfixe fixe /56. Vous ne pouvez pas choisir la plage d'adresses ou la taille de bloc d'adresse CIDR IPv6 ; nous attribuons le bloc à votre VPC à partir du pool d'adresses IPv6 d'Amazon.

Si vous avez associé un bloc d'adresse CIDR IPv6 à votre VPC, vous pouvez associer un bloc d'adresse CIDR IPv6 à un sous-réseau existant de votre VPC, ou lorsque vous créez un sous-réseau. Un bloc d'adresse CIDR IPv6 utilise une longueur de préfixe fixe /64.

Par exemple, vous créez un VPC et vous spécifiez que vous voulez associer un bloc d'adresse CIDR IPv6 au VPC. Amazon attribue le bloc d'adresse CIDR IPv6 suivant à votre VPC : 2001:db8:1234:1a00::/56. Vous pouvez créer un sous-réseau et associer un bloc d'adresse CIDR IPv6 à partir de cette plage ; par exemple, 2001:db8:1234:1a00::/64.

Vous pouvez dissocier un bloc d'adresse CIDR IPv6 d'un sous-réseau, et vous pouvez dissocier un bloc d'adresse CIDR IPv6 d'un VPC. Une fois que vous avez dissocié un bloc d'adresse CIDR IPv6 d'un VPC, vous ne pouvez pas vous attendre à recevoir le même CIDR si vous associez une nouvelle fois un bloc d'adresse CIDR IPv6 à votre VPC ultérieurement.

Les quatre premières adresses IPv6 et la dernière adresse IPv6 du bloc d'adresse CIDR de chaque sous-réseau ne sont pas disponibles pour utilisation, et ne peuvent donc pas être affectées à une instance. Par exemple, dans un sous-réseau avec le bloc d'adresse CIDR 2001:db8:1234:1a00/64, les cinq adresses IP suivantes sont réservées :

  • 2001:db8:1234:1a00::

  • 2001:db8:1234:1a00::1

  • 2001:db8:1234:1a00::2

  • 2001:db8:1234:1a00::3

  • 2001:db8:1234:1a00:ffff:ffff:ffff:ffff

Routage des sous-réseaux

Chaque sous-réseau doit être associé à une table de routage, qui indique les routes autorisées pour le trafic sortant quittant le sous-réseau. Chaque sous-réseau que vous créez est automatiquement associé à la table de routage principale de votre VPC. Vous pouvez modifier cette association, mais aussi le contenu de la table de routage principale. Pour de plus amples informations, veuillez consulter Tables de routage.

Dans le schéma précédent, la table de routage associée au sous-réseau 1 achemine tout le trafic IPv4 (0.0.0.0/0) et le trafic IPv6 (::/0) vers une passerelle Internet (par exemple, igw-1a2b3c4d). Dans la mesure où l'instance 1A possède une adresse IP Elastic IPv4 et l'instance 1B possède une adresse IPv6, elles sont accessibles depuis Internet via IPv4 et IPv6 respectivement.

Note

(IPv4 uniquement) L'adresse IPv4 Elastic ou l'adresse IPv4 publique qui est associée à votre instance est accessible via la passerelle Internet de votre VPC. Le trafic qui passe par une connexion VPN entre votre instance et un autre réseau traverse une passerelle privée virtuelle, et non la passerelle Internet, et ne peut donc pas accéder à l'adresse IPv4 Elastic ou à l'adresse IPv4 publique.

L'instance 2A ne peut pas accéder à Internet, mais elle peut accéder à d'autres instances dans le VPC. Vous pouvez permettre à une instance de votre VPC d'établir des connexions sortantes vers Internet via IPv4, mais empêcher des connexions entrantes non sollicitées provenant d'Internet à l'aide d'une passerelle ou d'une instance NAT. Comme vous pouvez allouer un nombre limité d'adresses IP Elastic, nous vous conseillons d'utiliser un périphérique NAT si vous avez plusieurs instances qui nécessitent une adresse IP publique statique. Pour plus d'informations, consultez NAT. Pour lancer une communication sortante uniquement vers Internet via IPv6, vous pouvez utiliser une passerelle Internet de sortie uniquement. Pour plus d'informations, consultez Passerelles Internet de sortie uniquement.

La table de routage associée au sous-réseau 3 achemine tout le trafic IPv4 (0.0.0.0/0) vers une passerelle réseau privé virtuel (par exemple, vgw-1a2b3c4d). L'instance 3A peut accéder aux ordinateurs du réseau d'entreprise sur une connexion VPN.

Sécurité des sous-réseaux

AWS propose deux fonctions que vous pouvez utiliser pour accroître la sécurité de votre VPC : les groupes de sécurité et les listes ACL réseau. Les groupes de sécurité contrôlent le trafic entrant et sortant pour vos instances, et les ACL réseau contrôlent le trafic entrant et sortant pour vos sous-réseaux. Dans la plupart des cas, les groupes de sécurité peuvent répondre à vos besoins ; cependant, vous pouvez également utiliser les ACL réseau si vous souhaitez ajouter une couche de sécurité supplémentaire à votre VPC. Pour plus d'informations, consultez Sécurité.

Dans sa conception, chaque sous-réseau doit être associé à une liste ACL réseau. Chaque sous-réseau que vous créez est automatiquement associé à l'ACL réseau par défaut de votre VPC. Vous pouvez modifier cette association, mais aussi le contenu de l'ACL réseau par défaut. Pour de plus amples informations, veuillez consulter ACL réseau.

Vous pouvez créer un journal de flux sur votre VPC ou sous-réseau pour capturer ces flux vers et en provenance des interfaces réseau dans votre VPC ou sous-réseau. Vous pouvez aussi créer un journal de flux sur une interface réseau individuelle. Les journaux de flux sont publiés dans CloudWatch Logs. Pour de plus amples informations, veuillez consulter Journaux de flux VPC.

Connexions avec votre réseau local et d'autres VPC

Vous pouvez éventuellement créer une connexion entre votre VPC et votre réseau d'entreprise ou domestique. Si votre VPC comporte un préfixe d'adresse IPv4 qui se chevauche avec l'un des préfixes de vos réseaux, le trafic vers le préfixe de ce réseau est abandonné. Par exemple, supposons que vous disposiez de la configuration suivante :

  • Un VPC avec le bloc d'adresse CIDR 10.0.0.0/16

  • Un sous-réseau dans ce VPC avec le bloc d'adresse CIDR 10.0.1.0/24

  • Des instances s'exécutant dans ce sous-réseau avec les adresses IP 10.0.1.4 et 10.0.1.5

  • Des réseaux hôtes sur site utilisant les blocs d'adresse CIDR 10.0.37.0/24 et 10.1.38.0/24

Lorsque ces instances dans le VPC essaient de dialoguer avec les hôtes de l'espace d'adresse 10.0.37.0/24, le trafic est abandonné car l'espace d'adresse 10.0.37.0/24 fait partie d'un préfixe plus grand affecté au VPC (10.0.0.0/16). Les instances peuvent dialoguer avec les hôtes de l'espace 10.1.38.0/24 car ce bloc ne fait pas partie de VPC 10.0.0.0/16.

Vous pouvez aussi créer une connexion d'appairage de VPC entre vos VPC, ou avec un VPC situé dans un autre compte AWS. Une connexion d'appairage de VPC permet d'acheminer le trafic entre les VPC à l'aide d'adresses IP privées ; toutefois, vous ne pouvez pas créer une connexion d'appairage de VPC entre des VPC comportant des blocs d'adresse CIDR qui se chevauchent. Pour de plus amples informations, veuillez consulter Amazon VPC Peering Guide.

Nous vous conseillons par conséquent de créer un VPC avec une plage CIDR suffisamment large pour permettre une possible croissance future, mais qui ne se chevauche pas avec des sous-réseaux actuels ou futurs au sein de votre réseau d'entreprise ou domestique, ou qui se chevauche avec des VPC actuels ou futurs.

Actuellement, nous ne prenons pas en charge les connexions VPN via IPv6.