Partage de VPC Amazon - Création d'une infrastructure réseau AWS à plusieurs VPC évolutive et sécurisée

Le partage de VPC est utile lorsque l'isolation réseau entre les équipes n'a pas besoin d'être strictement gérée par le propriétaire du VPC, mais que les utilisateurs et les autorisations au niveau du compte doivent l'être. Avec un VPC partagé, plusieurs comptes AWS créent leurs ressources d'application (telles que des instances Amazon EC2) dans des VPC Amazon partagés et gérés de manière centralisée. Dans ce modèle, le compte qui détient le VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d'autres comptes (participants). Une fois un sous-réseau partagé, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d'application contenues dans les sous-réseaux partagés avec eux. Ils ne peuvent toutefois pas afficher, modifier ou supprimer des ressources appartenant à d'autres participants ou au propriétaire du VPC. La sécurité entre les ressources des VPC partagés est gérée à l'aide de groupes de sécurité et d'ACL réseau de sous-réseau.

Avantages du partage de VPC :

Conception simplifiée : aucune complexité liée à la connectivité inter-VPC
Nombre de VPC gérés moins important
Séparation des tâches entre les équipes réseau et les propriétaires d'applications
Meilleure utilisation des adresses IPv4
Faibles coûts : aucun frais de transfert de données entre les instances appartenant à différents comptes au sein de la même zone de disponibilité

Remarque : Lorsque vous partagez un sous-réseau avec plusieurs comptes, vos participants doivent bénéficier d'un certain niveau de coopération puisqu'ils partagent l'espace IP et les ressources réseau. Si nécessaire, vous pouvez choisir de partager un sous-réseau différent pour chaque compte de participant. Un sous-réseau par participant permet à l'ACL réseau de fournir une isolation réseau en plus des groupes de sécurité.

La plupart des architectures client contiendront plusieurs VPC, dont beaucoup seront partagés avec plusieurs comptes. Transit Gateway et l'appairage de VPC peuvent être utilisés pour connecter les VPC partagés. Supposons, par exemple, que vous ayez 10 applications. Chaque application nécessite son propre compte AWS. Les applications peuvent être classées en deux portefeuilles d'applications (les applications d'un même portefeuille ont des exigences réseau similaires, par exemple les applications 1 à 5 dans le portefeuille « Marketing » et les applications 6 à 10 dans le portefeuille « Ventes »).

Vous pouvez avoir un VPC par portefeuille d'applications (deux VPC au total), et le VPC est partagé avec les différents comptes de propriétaires d'applications au sein de ce portefeuille. Les propriétaires d'applications déploient des applications dans leur VPC partagé respectif (dans ce cas, dans les différents sous-réseaux pour la segmentation et l'isolation des routes réseau à l'aide de listes de contrôle d'accès réseau (NACL). Les deux VPC partagés sont connectés via la passerelle Transit Gateway. Avec cette configuration, vous pourriez passer de 10 VPC à seulement 2 VPC (Figure 6).

Figure 6 – Exemple de configuration – VPC partagé

Note

Les participants au partage de VPC ne peuvent pas créer toutes les ressources AWS d'un sous-réseau partagé. Pour de plus amples informations, veuillez consulter Limitations Amazon VPC.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS PrivateLink

Connectivité hybride