Démarrage avec Amazon VPC à l'aide de la CLI AWS - Amazon Virtual Private Cloud
PrérequisCréation d'un VPCCréation de sous-réseauxConfiguration de la connectivité InternetCréation d'une passerelle NATConfiguration des paramètres de sous-réseauCréation de groupes de sécuritéVérification de votre configuration VPCDéployer EC2 des instancesRésolution des problèmesNettoyage des ressources Passage à la productionÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démarrage avec Amazon VPC à l'aide de la CLI AWS

Ce didacticiel vous explique comment créer un Virtual Private Cloud (VPC) à l'aide de l'interface de ligne de AWS commande ().AWS CLI Vous apprendrez à configurer un VPC avec des sous-réseaux publics et privés, à configurer la connectivité Internet et à déployer des EC2 instances pour démontrer une architecture d'application Web commune.

Prérequis

Avant de commencer ce didacticiel, assurez-vous que vous disposez des éléments suivants :

  1. Le AWS CLI. Si vous devez l'installer, suivez le guide AWS CLI d'installation.

  2. Vous avez configuré AWS CLI avec les informations d'identification appropriées. Exécutez aws configure si vous n'avez pas encore configuré vos informations d'identification.

  3. Compréhension de base des concepts de mise en réseau.

  4. Identity and Access Management pour Amazon VPCpour créer et gérer les ressources VPC de votre AWS compte.

Considérations de coût

Ce didacticiel crée AWS des ressources susceptibles d'entraîner des coûts sur votre compte. Le coût principal provient de la passerelle NAT (0,045$ de l'heure plus les frais de traitement des données) et des EC2 instances (t2.micro, environ 0,0116$ de l'heure chacune). Si vous terminez ce didacticiel en une heure, puis nettoyez toutes les ressources, le coût total sera d'environ 0,07$. Pour optimiser les coûts dans les environnements de développement, pensez à utiliser une instance NAT au lieu d'une passerelle NAT, ce qui peut réduire les coûts de manière significative.

Vérifions-nous que le vôtre AWS CLI est correctement configuré avant de continuer.

aws configure list

Vous devriez voir votre clé AWS d'accès, votre clé secrète et votre région par défaut. Vérifiez également que vous disposez des autorisations nécessaires pour créer des ressources VPC.

aws sts get-caller-identity

Cette commande affiche votre identifiant de AWS compte, votre identifiant utilisateur et votre ARN, confirmant ainsi la validité de vos informations d'identification.

Création d'un VPC

Un Virtual Private Cloud (VPC) est un réseau virtuel dédié à votre compte. AWS Dans cette section, vous allez créer un VPC avec un bloc CIDR de 10.0.0.0/16, qui fournit jusqu'à 65 536 adresses IP.

Création du VPC

La commande suivante crée un nouveau VPC et lui attribue une étiquette nominative.

aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=MyVPC}]'

Prenez note de l'ID du VPC dans la sortie. Vous en aurez besoin pour les commandes suivantes. Dans le cadre de ce didacticiel, nous utiliserons « vpc-0123456789abcdef0 » comme exemple d'identifiant VPC. Remplacez-le par votre identifiant VPC réel dans toutes les commandes.

Activer le support DNS et les noms d'hôte

Par défaut, la résolution DNS et les noms d'hôte DNS sont désactivés dans un nouveau VPC. Activez ces fonctionnalités pour permettre aux instances de votre VPC de résoudre des noms de domaine.

aws ec2 modify-vpc-attribute --vpc-id vpc-0123456789abcdef0 --enable-dns-support
aws ec2 modify-vpc-attribute --vpc-id vpc-0123456789abcdef0 --enable-dns-hostnames

Ces commandes ne produisent aucun résultat en cas de réussite. Le support DNS et la résolution du nom d'hôte sont désormais activés sur votre VPC.

Création de sous-réseaux

Les sous-réseaux sont des segments de la plage d'adresses IP d'un VPC dans lesquels vous pouvez placer des groupes de ressources isolées. Dans cette section, vous allez créer des sous-réseaux publics et privés dans deux zones de disponibilité pour une haute disponibilité.

Afficher les zones de disponibilité disponibles

Tout d'abord, récupérez les zones de disponibilité disponibles dans votre région.

aws ec2 describe-availability-zones

Pour ce didacticiel, nous utiliserons les deux premières zones de disponibilité. Notez leurs noms dans la sortie (par exemple, « us-east-1a » et « us-east-1b »).

Création de sous-réseaux publics

Les sous-réseaux publics sont utilisés pour les ressources qui doivent être accessibles depuis Internet, telles que les serveurs Web.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.0.0/24 \
  --availability-zone us-east-1a \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Public-Subnet-AZ1}]'

Notez l'ID de sous-réseau indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « subnet-0123456789abcdef0 » comme exemple pour le premier sous-réseau public.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.1.0/24 \
  --availability-zone us-east-1b \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Public-Subnet-AZ2}]'

Notez l'ID de sous-réseau indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « subnet-0123456789abcdef1" comme exemple pour le deuxième sous-réseau public.

Créer des sous-réseaux privés

Les sous-réseaux privés sont utilisés pour les ressources qui ne devraient pas être directement accessibles depuis Internet, telles que les bases de données.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.2.0/24 \
  --availability-zone us-east-1a \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Private-Subnet-AZ1}]'

Notez l'ID de sous-réseau indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « subnet-0123456789abcdef2 » comme exemple pour le premier sous-réseau privé.

aws ec2 create-subnet \
  --vpc-id vpc-0123456789abcdef0 \
  --cidr-block 10.0.3.0/24 \
  --availability-zone us-east-1b \
  --tag-specifications 'ResourceType=subnet,Tags=[{Key=Name,Value=Private-Subnet-AZ2}]'

Notez l'ID de sous-réseau indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « subnet-0123456789abcdef3 » comme exemple pour le deuxième sous-réseau privé.

Vous disposez désormais de quatre sous-réseaux : deux sous-réseaux publics et deux sous-réseaux privés, répartis sur deux zones de disponibilité.

Conseil : Lorsque vous planifiez vos blocs CIDR, assurez-vous qu'ils ne se chevauchent pas avec vos réseaux existants. Pour les environnements de production, allouez suffisamment d'adresses IP pour la croissance future tout en conservant des sous-réseaux de taille raisonnable pour des raisons de sécurité et de gestion.

Configuration de la connectivité Internet

Pour permettre aux ressources de votre VPC de communiquer avec Internet, vous devez créer et associer une passerelle Internet Gateway. Dans cette section, vous allez configurer la connectivité Internet pour votre VPC.

Création d'une passerelle Internet

Une passerelle Internet permet la communication entre votre VPC et Internet.

aws ec2 create-internet-gateway \
  --tag-specifications 'ResourceType=internet-gateway,Tags=[{Key=Name,Value=MyIGW}]'

Notez l'ID Internet Gateway indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « igw-0123456789abcdef0 » comme exemple.

Connectez l'Internet Gateway à votre VPC

Après avoir créé l'Internet Gateway, connectez-le à votre VPC.

aws ec2 attach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0

Création et configuration de tables de routage

Les tables de routage contiennent des règles (itinéraires) qui déterminent l'orientation du trafic réseau. Créez d'abord une table de routage pour vos sous-réseaux publics.

aws ec2 create-route-table \
  --vpc-id vpc-0123456789abcdef0 \
  --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Public-RT}]'

Notez l'ID de la table de routage indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « rtb-0123456789abcdef0 » comme exemple pour la table de routage publique.

Ajoutez un itinéraire vers Internet Gateway dans la table de routage publique.

aws ec2 create-route --route-table-id rtb-0123456789abcdef0 --destination-cidr-block 0.0.0.0/0 --gateway-id igw-0123456789abcdef0

Associez les sous-réseaux publics à la table de routage publique.

aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef0 --subnet-id subnet-0123456789abcdef0
aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef0 --subnet-id subnet-0123456789abcdef1

Créez maintenant une table de routage pour vos sous-réseaux privés.

aws ec2 create-route-table \
  --vpc-id vpc-0123456789abcdef0 \
  --tag-specifications 'ResourceType=route-table,Tags=[{Key=Name,Value=Private-RT}]'

Notez l'ID de la table de routage indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « rtb-0123456789abcdef1" comme exemple de table de routage privée.

Associez les sous-réseaux privés à la table de routage privée.

aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef1 --subnet-id subnet-0123456789abcdef2
aws ec2 associate-route-table --route-table-id rtb-0123456789abcdef1 --subnet-id subnet-0123456789abcdef3

Création d'une passerelle NAT

Une passerelle NAT permet aux instances situées dans des sous-réseaux privés d'initier le trafic sortant vers Internet tout en empêchant le trafic entrant en provenance d'Internet. Cela est essentiel pour les instances qui ont besoin de télécharger des mises à jour ou d'accéder à des services externes.

Allouer une adresse IP élastique

Tout d'abord, allouez une adresse IP élastique à votre passerelle NAT.

aws ec2 allocate-address --domain vpc

Notez l'ID d'allocation indiqué dans la sortie. Pour ce didacticiel, nous allons utiliser « eipalloc-0123456789abcdef0 » comme exemple.

Création de la passerelle NAT

Créez une passerelle NAT dans l'un de vos sous-réseaux publics à l'aide de l'adresse IP élastique allouée.

aws ec2 create-nat-gateway \
  --subnet-id subnet-0123456789abcdef0 \
  --allocation-id eipalloc-0123456789abcdef0 \
  --tag-specifications 'ResourceType=natgateway,Tags=[{Key=Name,Value=MyNATGateway}]'

Notez l'ID de passerelle NAT indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « nat-0123456789abcdef0 » comme exemple.

Attendez que la passerelle NAT soit disponible avant de continuer.

aws ec2 wait nat-gateway-available --nat-gateway-ids nat-0123456789abcdef0

Ajouter une route à la passerelle NAT

Ajoutez une route vers la passerelle NAT dans la table de routage privée pour permettre aux instances des sous-réseaux privés d'accéder à Internet.

aws ec2 create-route --route-table-id rtb-0123456789abcdef1 --destination-cidr-block 0.0.0.0/0 --nat-gateway-id nat-0123456789abcdef0

Remarque : pour les environnements de production, envisagez de créer une passerelle NAT dans chaque zone de disponibilité où vous disposez de sous-réseaux privés afin d'éliminer les points de défaillance uniques.

Configuration des paramètres de sous-réseau

Configurez vos sous-réseaux publics pour attribuer automatiquement des adresses IP publiques aux instances qui y sont lancées.

aws ec2 modify-subnet-attribute --subnet-id subnet-0123456789abcdef0 --map-public-ip-on-launch
aws ec2 modify-subnet-attribute --subnet-id subnet-0123456789abcdef1 --map-public-ip-on-launch

Cela garantit que les instances lancées dans vos sous-réseaux publics reçoivent une adresse IP publique par défaut, ce qui les rend accessibles depuis Internet.

Création de groupes de sécurité

Les groupes de sécurité agissent comme des pare-feux virtuels permettant à vos instances de contrôler le trafic entrant et sortant. Dans cette section, vous allez créer des groupes de sécurité pour les serveurs Web et les serveurs de base de données.

Création d'un groupe de sécurité pour les serveurs Web

aws ec2 create-security-group \
  --group-name WebServerSG \
  --description "Security group for web servers" \
  --vpc-id vpc-0123456789abcdef0

Notez l'ID du groupe de sécurité indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « sg-0123456789abcdef0 » comme exemple pour le groupe de sécurité du serveur Web.

Autorisez le trafic HTTP et HTTPS vers vos serveurs Web.

aws ec2 authorize-security-group-ingress --group-id sg-0123456789abcdef0 --protocol tcp --port 80 --cidr 0.0.0.0/0
aws ec2 authorize-security-group-ingress --group-id sg-0123456789abcdef0 --protocol tcp --port 443 --cidr 0.0.0.0/0

Remarque : Pour les environnements de production, limitez le trafic entrant à des plages d'adresses IP spécifiques plutôt que d'autoriser le trafic provenant de 0.0.0.0/0 (n'importe quelle adresse IP).

Création d'un groupe de sécurité pour les serveurs de base de données

aws ec2 create-security-group \
  --group-name DBServerSG \
  --description "Security group for database servers" \
  --vpc-id vpc-0123456789abcdef0

Notez l'ID du groupe de sécurité indiqué dans la sortie. Pour ce didacticiel, nous allons utiliser « sg-0123456789abcdef1 » comme exemple pour le groupe de sécurité du serveur de base de données.

Autoriser MySQL/Aurora le trafic provenant des serveurs Web uniquement.

aws ec2 authorize-security-group-ingress --group-id sg-0123456789abcdef1 --protocol tcp --port 3306 --source-group sg-0123456789abcdef0

Cette configuration garantit que seules les instances du groupe de sécurité du serveur Web peuvent se connecter à vos serveurs de base de données sur le port 3306, conformément au principe du moindre privilège.

Vérification de votre configuration VPC

Après avoir créé tous les composants nécessaires, vérifiez la configuration de votre VPC pour vous assurer que tout est correctement configuré.

Vérifiez votre VPC

aws ec2 describe-vpcs --vpc-id vpc-0123456789abcdef0

Vérifiez vos sous-réseaux

aws ec2 describe-subnets --filters "Name=vpc-id,Values=vpc-0123456789abcdef0"

Vérifiez vos tables de routage

aws ec2 describe-route-tables --filters "Name=vpc-id,Values=vpc-0123456789abcdef0"

Vérifiez votre Internet Gateway

aws ec2 describe-internet-gateways --filters "Name=attachment.vpc-id,Values=vpc-0123456789abcdef0"

Vérifiez votre passerelle NAT

aws ec2 describe-nat-gateways --filter "Name=vpc-id,Values=vpc-0123456789abcdef0"

Vérifiez vos groupes de sécurité

aws ec2 describe-security-groups --filters "Name=vpc-id,Values=vpc-0123456789abcdef0"

Ces commandes fournissent des informations détaillées sur chaque composant de votre VPC, ce qui vous permet de vérifier que tout est correctement configuré.

Déployer EC2 des instances

Maintenant que vous avez créé votre infrastructure VPC, vous pouvez déployer des EC2 instances pour démontrer le fonctionnement de l'architecture. Vous allez lancer un serveur Web dans un sous-réseau public et un serveur de base de données dans un sous-réseau privé.

Création d'une paire de clés pour l'accès SSH

Créez d'abord une paire de clés pour vous connecter en toute sécurité à vos instances :

aws ec2 create-key-pair --key-name vpc-tutorial-key --query 'KeyMaterial' --output text > vpc-tutorial-key.pem
chmod 400 vpc-tutorial-key.pem

Cette commande crée une nouvelle paire de clés et enregistre la clé privée dans un fichier dont les autorisations sont restreintes.

Trouvez l'AMI Amazon Linux 2 la plus récente

Trouvez l'AMI Amazon Linux 2 la plus récente à utiliser pour vos instances :

aws ec2 describe-images --owners amazon \
  --filters "Name=name,Values=amzn2-ami-hvm-*-x86_64-gp2" "Name=state,Values=available" \
  --query "sort_by(Images, &CreationDate)[-1].ImageId" --output text

Notez l'ID de l'AMI indiqué sur la sortie. Pour ce didacticiel, nous utiliserons « ami-0123456789abcdef0 » comme exemple.

Lancer un serveur Web dans le sous-réseau public

Maintenant, lancez une EC2 instance dans le sous-réseau public pour qu'elle serve de serveur Web :

aws ec2 run-instances \
  --image-id ami-0123456789abcdef0 \
  --count 1 \
  --instance-type t2.micro \
  --key-name vpc-tutorial-key \
  --security-group-ids sg-0123456789abcdef0 \
  --subnet-id subnet-0123456789abcdef0 \
  --associate-public-ip-address \
  --user-data '#!/bin/bash
                yum update -y
                yum install -y httpd
                systemctl start httpd
                systemctl enable httpd
                echo "<h1>Hello from $(hostname -f)</h1>" > /var/www/html/index.html' \
  --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=WebServer}]'

Notez l'ID d'instance indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « i-0123456789abcdef0 » comme exemple pour l'instance de serveur Web.

Lancer un serveur de base de données dans le sous-réseau privé

Ensuite, lancez une EC2 instance dans le sous-réseau privé pour servir de serveur de base de données :

aws ec2 run-instances \
  --image-id ami-0123456789abcdef0 \
  --count 1 \
  --instance-type t2.micro \
  --key-name vpc-tutorial-key \
  --security-group-ids sg-0123456789abcdef1 \
  --subnet-id subnet-0123456789abcdef2 \
  --user-data '#!/bin/bash
                yum update -y
                yum install -y mariadb-server
                systemctl start mariadb
                systemctl enable mariadb' \
  --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=DBServer}]'

Notez l'ID d'instance indiqué dans la sortie. Pour ce didacticiel, nous utiliserons « i-0123456789abcdef1 » comme exemple pour l'instance du serveur de base de données.

Accédez à votre serveur Web

Une fois que votre instance de serveur Web est en cours d'exécution, vous pouvez y accéder à l'aide de son adresse IP publique :

aws ec2 describe-instances \
  --instance-ids i-0123456789abcdef0 \
  --query 'Reservations[0].Instances[0].PublicIpAddress' \
  --output text

Cette commande affichera l'adresse IP publique de votre serveur Web. Pour ce didacticiel, nous utiliserons « 203.0.113.10 » comme exemple.

Vous pouvez désormais ouvrir cette URL dans votre navigateur Web : http://203.0.113.10

Connectez-vous à vos instances via SSH

Pour vous connecter à votre serveur Web :

ssh -i vpc-tutorial-key.pem ec2-user@203.0.113.10

Pour vous connecter à votre serveur de base de données, vous devez d'abord vous connecter en SSH à votre serveur Web, puis à votre serveur de base de données :

# Get the private IP of the database server
aws ec2 describe-instances \
  --instance-ids i-0123456789abcdef1 \
  --query 'Reservations[0].Instances[0].PrivateIpAddress' \
  --output text

Cette commande affiche l'adresse IP privée de votre serveur de base de données. Pour ce didacticiel, nous utiliserons « 10.0.2.10 » comme exemple.

# First SSH to web server, then to database server
ssh -i vpc-tutorial-key.pem -A ec2-user@203.0.113.10
ssh ec2-user@10.0.2.10

Cela illustre l'architecture réseau que vous avez créée : le serveur Web est accessible au public, tandis que le serveur de base de données n'est accessible que depuis le VPC.

Résolution des problèmes

Voici quelques problèmes courants que vous pouvez rencontrer lors de la création d'un VPC et comment les résoudre :

Chevauchements de blocs CIDR

Si vous recevez un message d'erreur concernant le chevauchement des blocs d'adresse CIDR, assurez-vous que les blocs d'adresse CIDR de votre VPC et de vos sous-réseaux ne se chevauchent pas avec les sous-réseaux existants VPCs ou les sous-réseaux de votre compte.

Erreurs d'autorisation

Si vous rencontrez des erreurs d'autorisation, vérifiez que votre utilisateur ou rôle IAM dispose des autorisations nécessaires pour créer et gérer les ressources VPC. Vous devrez peut-être joindre la AmazonVPCFullAccess politique ou créer une politique personnalisée avec les autorisations requises.

Limites de ressources

AWS les comptes ont des limites par défaut quant au nombre de VPCs, de sous-réseaux et d'autres ressources que vous pouvez créer. Si vous atteignez ces limites, vous pouvez demander une augmentation par le biais du AWS Support Center.

Défaillances de dépendance pendant le nettoyage

Lorsque vous nettoyez des ressources, vous risquez de rencontrer des erreurs de dépendance si vous essayez de supprimer des ressources dans le mauvais ordre. Supprimez toujours les ressources dans l'ordre inverse de leur création, en commençant par les ressources les plus dépendantes.

Nettoyage des ressources

Lorsque vous avez terminé d'utiliser votre VPC, vous pouvez nettoyer les ressources pour éviter d'encourir des frais. Supprimez les ressources dans l'ordre inverse de leur création pour gérer correctement les dépendances.

Mettre fin à EC2 des instances

aws ec2 terminate-instances --instance-ids i-0123456789abcdef0 i-0123456789abcdef1
aws ec2 wait instance-terminated --instance-ids i-0123456789abcdef0 i-0123456789abcdef1

Supprimer la paire de clés

aws ec2 delete-key-pair --key-name vpc-tutorial-key
rm vpc-tutorial-key.pem

Supprimer la passerelle NAT

aws ec2 delete-nat-gateway --nat-gateway-id nat-0123456789abcdef0
aws ec2 wait nat-gateway-deleted --nat-gateway-ids nat-0123456789abcdef0

Libérez l'adresse IP élastique

aws ec2 release-address --allocation-id eipalloc-0123456789abcdef0

Supprimer des groupes de sécurité

aws ec2 delete-security-group --group-id sg-0123456789abcdef1
aws ec2 delete-security-group --group-id sg-0123456789abcdef0

Supprimer des tables de routage

Tout d'abord, recherchez l'association de la table de routage IDs :

aws ec2 describe-route-tables --route-table-id rtb-0123456789abcdef0
aws ec2 describe-route-tables --route-table-id rtb-0123456789abcdef1

Dissociez ensuite les tables de routage des sous-réseaux (remplacez l'association IDs par celles de votre sortie) :

aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef0
aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef1
aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef2
aws ec2 disassociate-route-table --association-id rtbassoc-0123456789abcdef3

Supprimez ensuite les tables de routage :

aws ec2 delete-route-table --route-table-id rtb-0123456789abcdef1
aws ec2 delete-route-table --route-table-id rtb-0123456789abcdef0

Détachez et supprimez l'Internet Gateway

aws ec2 detach-internet-gateway --internet-gateway-id igw-0123456789abcdef0 --vpc-id vpc-0123456789abcdef0
aws ec2 delete-internet-gateway --internet-gateway-id igw-0123456789abcdef0

Supprimer des sous-réseaux

aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef0
aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef1
aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef2
aws ec2 delete-subnet --subnet-id subnet-0123456789abcdef3

Supprimer le VPC

aws ec2 delete-vpc --vpc-id vpc-0123456789abcdef0

Passage à la production

Ce didacticiel est conçu pour vous aider à apprendre à créer un VPC à l'aide du. AWS CLI Pour les environnements de production, tenez compte des meilleures pratiques de sécurité et d'architecture suivantes :

  1. Règles du groupe de sécurité : limitez le trafic entrant à des plages d'adresses IP spécifiques plutôt que d'autoriser le trafic provenant de 0.0.0.0/0.

  2. Haute disponibilité : déployez des passerelles NAT dans chaque zone de disponibilité où vous disposez de sous-réseaux privés afin d'éliminer les points de défaillance uniques.

  3. Réseau ACLs : implémentez ACLs le réseau comme couche de sécurité supplémentaire au-delà des groupes de sécurité.

  4. Journaux de flux VPC : activez les journaux de flux VPC pour surveiller et analyser les modèles de trafic réseau.

  5. Marquage des ressources : mettez en œuvre une stratégie de balisage complète pour une meilleure gestion des ressources.

Pour plus d'informations sur la création d'architectures prêtes pour la production, consultez AWS Well-Architected Framework et Security Best Practices.AWS

Étapes suivantes

Maintenant que vous avez créé un VPC avec des sous-réseaux publics et privés, vous pouvez :

  1. Lancez EC2 des instances dans vos sous-réseaux publics ou privés.

  2. Déployez des équilibreurs de charge pour répartir le trafic sur plusieurs instances.

  3. Configurez des groupes Auto Scaling pour une disponibilité et une évolutivité élevées.

  4. Configurez les bases de données RDS dans vos sous-réseaux privés.

  5. Implémentez le peering VPC pour vous connecter aux autres. VPCs

  6. Configurez des connexions VPN pour connecter votre VPC à votre réseau local.