Qu'est-ce que AWS Site-to-Site VPN ? - AWS Site-to-Site VPN

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce que AWS Site-to-Site VPN ?

Par défaut, les instances que vous lancez sur un Amazon VPC ne peuvent pas communiquer avec votre propre réseau (distant). Vous pouvez activer l'accès à votre réseau distant à partir de votre VPC en créant une connexion AWS Site-to-Site VPN (Site-to-Site VPN) et en configurant le routage pour transmettre le trafic via la connexion.

Bien que le terme connexion VPN soit un terme général, dans cette documentation, une connexion VPN fait référence à la connexion entre votre VPC et votre propre réseau sur site. Site-to-Site VPN prend en charge les connexions VPN utilisant l'Internet Protocol Security (IPsec).

Concepts

Voici les concepts clés de Site-to-Site VPN :

  • Connexion VPN : connexion sécurisée entre votre équipement sur site et vos VPC.

  • Tunnel VPN : lien chiffré où les données peuvent transiter par le réseau client vers ou depuis AWS.

    Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour une haute disponibilité.

  • Passerelle client : ressource AWS qui fournit des informations à AWS sur votre périphérique de passerelle client.

  • Périphérique de passerelle client : périphérique physique ou application logicielle de votre côté de la connexion Site-to-Site VPN.

  • Passerelle cible : terme générique pour le point de terminaison VPN du côté Amazon de la connexion Site-to-Site VPN.

  • Passerelle réseau privé virtuel : il s’agit du point de terminaison VPN du côté Amazon de votre connexion Site-to-Site VPN qui peut être connecté à un seul VPC.

  • Passerelle de transit : hub de transit qui peut être utilisé pour interconnecter plusieurs VPC et réseaux sur site, et comme point de terminaison VPN pour le côté Amazon de la connexion Site-to-Site VPN.

Fonctions de Site-to-Site VPN

Les fonctions suivantes sont prises en charge par les connexions AWS Site-to-Site VPN :

  • Internet Key Exchange version 2 (IKEv2)

  • NAT Traversal

  • ASN sur 4 octets dans la plage de 1 à 2147483647 pour la configuration de Virtual Private Gateway (VGW). Pour plus d'informations, consultez Options de passerelle client pour votre connexion Site-to-Site VPN.

  • ASN sur 2 octets pour Customer Gateway (CGW) dans la plage de 1 à 65535. Pour plus d'informations, consultez Options de passerelle client pour votre connexion Site-to-Site VPN.

  • Métriques CloudWatch

  • Adresses IP réutilisables pour vos passerelles client

  • Options de chiffrement supplémentaires, notamment chiffrement AES 256 bits, hachage SHA-2 et groupes Diffie-Hellman supplémentaires

  • Options de tunnel configurables

  • ASN privé personnalisé pour le côté Amazon d'une session BGP

  • Certificat privé d'une autorité de certification subordonnée de AWS Private Certificate Authority

  • Prise en charge du trafic IPv6 pour les connexions VPN sur une passerelle de transit

Limites de Site-to-Site VPN

Une connexion Site-to-Site VPN présente les limites suivantes.

  • Le trafic IPv6 n'est pas pris en charge pour les connexions VPN sur une passerelle réseau privé virtuel.

  • Une connexion AWS VPN ne prend pas en charge la détection de la MTU du chemin.

De plus, tenez compte des points suivants lorsque vous utilisez Site-to-Site VPN.

  • Lors de la connexion de vos VPC à un réseau local commun, nous vous recommandons d'utiliser des blocs CIDR non superposés pour vos réseaux.

Utilisation de Site-to-Site VPN

Vous pouvez créer vos ressources Site-to-Site VPN, y accéder et les gérer à l'aide des interfaces suivantes :

  • AWS Management Console : fournit une interface web que vous pouvez utiliser pour accéder à vos ressources Site-to-Site VPN.

  • AWS Command Line Interface (AWS CLI) : fournit des commandes pour une large gamme de services AWS, notamment Amazon VPC, et est prise en charge sur Windows, macOS et Linux. Pour de plus amples informations, veuillez consulter AWS Command Line Interface.

  • Kits SDK AWS : fournissent des API propres au langage et se chargent de nombreux détails de connexion, tels que le calcul des signatures, la gestion des nouvelles tentatives de demande et la gestion des erreurs. Pour plus d'informations, consultez Kits SDK AWS.

  • API de requête : Fournit des actions d'API de bas niveau appelées à l'aide de demandes HTTPS. L'utilisation de l'API de requête est le moyen le plus direct d'accéder à Amazon VPC;, mais elle nécessite que votre application gère les détails de bas niveau, tels que la génération d'un hachage pour signer la demande et le traitement des erreurs. Pour plus d’informations, consultez la Référence d’API Amazon EC2.

Tarification

Vous êtes facturé pour chaque heure de connexion VPN pendant laquelle votre connexion VPN est fournie et disponible. Pour plus d'informations, consultez Tarification des connexions AWS Site-to-Site VPN Site-to-Site VPN et Site-to-Site VPN accélérées.

Le transfert de données depuis Amazon EC2 vers l'Internet vous est facturé. Pour plus d'informations, consultez Transfert de données sur la page Tarification à la demande d'Amazon EC2.

Lorsque vous créez une connexion VPN accélérée, nous créons et gérons deux accélérateurs en votre nom. Vous êtes facturé à un tarif horaire et aux frais de transfert de données pour chaque accélérateur. Pour en savoir plus, consultez PricingAWS Global Accelerator (Tarification).