Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Solution de transport en VPC
Les VPC de transit peuvent créer une connectivité entre les VPC d'une manière différente de celle du peering VPC en introduisant une conception en forme de hub and spoke pour la connectivité entre VPC. Dans un réseau VPC de transit, un VPC central (le VPC hub) se connecte à tous les autres VPC (VPC en étoile) via une connexion VPN qui utilise généralement le protocole BGP sur IPsec.
-
Le routage transitif est activé à l'aide du réseau VPN superposé, ce qui permet une conception en forme de hub and spoke.
-
Lorsque vous utilisez un logiciel d'un fournisseur tiers sur l'instance EC2 du VPC de transit hub, les fonctionnalités du fournisseur relatives à la sécurité avancée (pare-feu/système de prévention des intrusions (IPS) /système de détection des intrusions (IDS) de couche 7) peuvent être utilisées. Si les clients utilisent le même logiciel sur site, ils bénéficient d'une expérience opérationnelle/de surveillance unifiée.
-
L'architecture Transit VPC permet une connectivité qui peut être souhaitée dans certains cas d'utilisation. Par exemple, vous pouvez connecter une GovCloud instance AWS et un VPC de région commerciale ou une instance de Transit Gateway à un VPC de transit et activer la connectivité inter-VPC entre les deux régions. Évaluez vos exigences en matière de sécurité et de conformité lorsque vous envisagez cette option. Pour plus de sécurité, vous pouvez déployer un modèle d'inspection centralisé à l'aide des modèles de conception décrits plus loin dans ce livre blanc.
VPC de transit avec dispositifs virtuels
Transit VPC présente ses propres défis, tels que des coûts plus élevés liés à l'exécution d'appliances virtuelles de fournisseurs tiers sur EC2 en fonction de la taille/de la famille d'instances, un débit limité par connexion VPN (jusqu'à 1,25 Gbit/s par tunnel VPN) et des frais supplémentaires de configuration, de gestion et de résilience (les clients sont responsables de la gestion de la haute disponibilité et de la redondance des instances EC2 exécutant les appliances virtuelles du fournisseur tiers).
Peering VPC contre Transit VPC contre Transit Gateway
Tableau 1 — Comparaison des connexions
| Critères | Appairage de VPC | VPC de transit | Passerelle de transit | PrivateLink | Réseau WAN dans le cloud | VPC Lattice |
|---|---|---|---|---|---|---|
|
Portée |
Régional/mondial | Régional | Régional | Régional | Globale | Régional |
| Architecture | Maille complète | Basé sur un VPN hub-and-spoke | Basé sur des pièces jointes hub-and-spoke | Modèle fournisseur ou consommateur | Basé sur des pièces jointes, multirégional | Connectivité entre applications |
|
Échelle |
125 pairs actifs/VPC | Dépend du routeur virtuel/EC2 | 5000 pièces jointes par région | Aucune limite | 5000 pièces jointes par réseau principal | 500 associations VPC par service |
|
Segmentation |
Groupes de sécurité | Géré par le client | Tables de routage Transit Gateway | Aucune segmentation | Segments | Politiques de service et de réseau de services |
|
Latence |
Le plus faible | Supplémentaire, en raison de la surcharge de chiffrement du VPN | Boutique Transit Gateway supplémentaire | Le trafic reste sur le backbone AWS, les clients doivent le tester | Utilise le même plan de données que Transit Gateway | Le trafic reste sur le backbone AWS, les clients doivent le tester |
|
Limite de bande passante |
Limites par instance, aucune limite agrégée | Soumis aux limites de bande passante de l'instance EC2 en fonction de la taille/de la famille | Jusqu'à 100 Gbit/s (rafale) /pièce jointe | 10 Gbit/s par zone de disponibilité, évolutivité automatique jusqu'à 100 Gbit/s | Jusqu'à 100 Gbit/s (rafale) /pièce jointe | 10 Gbit/s par zone de disponibilité |
|
Visibilité |
Journaux de flux VPC | Journaux et métriques de flux VPC CloudWatch | Gestionnaire de réseau Transit Gateway, journaux de flux VPC, métriques CloudWatch | CloudWatch Métriques | Gestionnaire de réseau, journaux de flux VPC, métriques CloudWatch | CloudWatch Journaux d'accès |
|
Groupe de sécurité référencement croisé |
Pris en charge | Non pris en charge | Non pris en charge | Non pris en charge | Non pris en charge | Ne s’applique pas |
| Prise en charge d’IPv6 | Pris en charge | Dépend de l'appliance virtuelle | Pris en charge | Pris en charge | Pris en charge | Pris en charge |
