- Mise en réseau et diffusion de contenu›
- Amazon VPC›
- Questions fréquentes (FAQ)
FAQ sur Amazon VPC
Sujets de la page
Questions d'ordre généralQuestions d'ordre général
Qu'est-ce qu'Amazon Virtual Private Cloud ?
Amazon VPC vous permet de mettre en service une section du cloud Amazon Web Services (AWS) isolée de manière logique, au sein de laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez. Vous conservez la totale maîtrise de votre environnement de mise en réseau virtuel, y compris pour la sélection de vos propres plages d'adresses IP, la création de sous-réseaux et la configuration de tables de routage et de passerelles réseau. De plus, vous pouvez créer une connexion VPN (Virtual Private Network) matérielle entre le data center de votre entreprise et votre VPC, et exploiter le cloud AWS comme une extension de votre data center d'entreprise.
Vous pouvez facilement adapter la configuration du réseau à votre nuage Amazon VPC. Par exemple, vous pouvez créer un sous-réseau destiné au public pour vos serveurs Web : un sous-réseau qui a accès à Internet et place vos systèmes principaux, comme les bases de données ou les serveurs d'application, dans un sous-réseau non destiné au public sans accès Internet. Vous pouvez exploiter plusieurs couches de sécurité, y compris les groupes de sécurité et les listes de contrôles d'accès au réseau, afin de renforcer le contrôle des accès aux instances Amazon EC2 dans chaque sous-réseau.
Quels éléments composent Amazon VPC ?
Amazon VPC comprend une variété d'objets bien connus des clients déjà équipés de réseaux :
- Cloud privé virtuel : un réseau virtuel isolé de manière logique au sein du Cloud AWS. Vous définissez un espace d'adresse IP d'un VPC depuis des plages que vous sélectionnez.
- Sous-réseau : un segment de plage d'adresses IP d'un VPC dans lequel vous pouvez placer des groupes de ressources isolées.
- Passerelle Internet : le côté Amazon VPC d'une connexion à l'Internet public.
- Passerelle NAT : un service géré de traduction d'adresses réseau (NAT) à disponibilité élevée qui permet à vos ressources d'accéder à Internet depuis un sous-réseau privé.
- Passerelle réseau privé : le côté Amazon VPC d'une connexion VPN.
- Connexion d'appairage : une connexion d'appairage vous permet d'acheminer le trafic via des adresses IP privées entre deux VPC appairés.
- Points de terminaisons VPC : ils permettent une connectivité privée aux services hébergés sur AWS depuis votre VPC sans utiliser de passerelle Internet, de VPN, d'appareils de traduction d'adresses réseau (NAT) ou de proxy pare-feu.
- Passerelle Internet de sortie uniquement : une passerelle avec état qui fournit un accès sortant uniquement pour le trafic IPv6 du VPC vers Internet.
Pourquoi devrais-je utiliser Amazon VPC ?
Comment démarrer avec Amazon VPC ?
Vos ressources AWS sont automatiquement mises en service dans un VPC par défaut prêt à l'emploi. Vous pouvez créer des VPC supplémentaires. Pour cela, rendez-vous sur la page Amazon VPC sur AWS Management Console et sélectionnez « Start VPC Wizard ».
Vous vous verrez proposer quatre options basiques pour les architectures réseau. Après avoir sélectionné une option, vous pouvez modifier la taille et la plage des adresses IP du VPC et ses sous-réseaux. Si vous sélectionnez une option avec l'accès au matériel VPN, vous devrez spécifier l'adresse IP du matériel VPN sur votre réseau. Vous pouvez modifier le VPC pour ajouter ou supprimer des plages d'adresse IP et des passerelles secondaires, ou pour ajouter davantage de sous-réseaux aux plages d'adresses IP.
Voici les quatre options disponibles :
- Amazon VPC avec un sous-réseau public uniquement
- Amazon VPC avec des sous-réseaux publics et privés
- Amazon VPC avec des sous-réseaux publics et privés et un accès VPN entre les sites AWS
- Amazon VPC avec un sous-réseau privé uniquement et un accès VPN entre les sites AWS
Quels sont les différents types de points de terminaison de VPC disponibles sur Amazon VPC ?
Les points de terminaison d'un VPC vous permettent de connecter en privé votre VPC à des services hébergés sur AWS sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou de proxys de pare-feu. Les points de terminaison sont des appareils virtuels dimensionnables à l'horizontale et hautement disponibles qui permettent les communications entre les instances de votre VPC et des services AWS. Amazon VPC propose deux types de points de terminaison : des points de terminaison de type passerelle et d'autres de type interface.
Les points de terminaison de type passerelle sont disponibles uniquement pour les services AWS dont S3 et DynamoDB. Ces points de terminaison ajoutent une entrée à la table de routage que vous avez sélectionné et routent le trafic vers les services pris en charge via le réseau privé d'Amazon.
Les points de terminaison de type interface fournissent une connectivité privée à des services fournis par PrivateLink, qui sont des services AWS, vos propres services ou des solutions SaaS, et prennent en charge la connectivité à Direct Connect. Dans l'avenir, d'autres solutions AWS et SaaS seront prises en charge par ces points de terminaison. Veuillez consulter la tarification VPC pour le prix des points de terminaison de type interface.
Facturation
Comment l'utilisation d'Amazon VPC me sera-t-elle facturée ?
Il n'y a pas de frais supplémentaires pour la création et l'utilisation du VPC lui-même. Les frais d'utilisation pour d'autres solutions Amazon Web Services, y compris Amazon EC2, s'appliquent selon les tarifs en vigueur pour ces ressources, notamment pour les frais de transfert de données. Si vous connectez votre VPC au datacenter de votre entreprise en utilisant la connexion VPN matérielle facultative, le tarif est calculé par heure de connexion VPN consommée (la durée pendant laquelle l'état de votre connexion VPN indique qu'elle est disponible). Les heures partiellement consommées seront facturées comme des heures entières. Les données transférées au-delà des connexions VPN seront facturées aux taux standard de transfert de données AWS. Pour obtenir des informations sur la tarification VPC-VPN, consultez la section de tarification de la page produit Amazon VPC.
Quels frais d'utilisation me seront facturés si j'utilise d'autres services AWS, comme Amazon S3, à partir des instances Amazon EC2 dans mon VPC ?
Les frais d'utilisation pour d'autres Amazon Web Services, y compris Amazon EC2, s'appliquent aux taux publiés pour ces ressources. Les frais de transfert de données ne sont pas facturés au moment de l'accès aux Amazon Web Services, tels que Amazon S3, via votre passerelle Internet de VPC.
Si vous accédez aux ressources AWS via votre connexion VPN, vous encourrez des frais pour vos transferts de données Internet.
Connectivité
Quelles sont les options de connectivité pour mon Amazon VPC ?
Vous pouvez connecter votre Amazon VPC à :
- Internet (via une passerelle Internet) ;
- votre centre de données d’entreprise à partir d'une connexion VPN entre les sites AWS (via la passerelle réseau privé virtuel) ;
- Internet et à votre centre de données d’entreprise (en utilisant à la fois une passerelle Internet et une passerelle réseau privé virtuel) ;
- d'autres services AWS (via une passerelle Internet, une NAT, une passerelle privée virtuelle ou des points de terminaison de VPC) ;
- d'autres Amazon VPC (via des connexions d'appairage entre VPC).
Comment connecter un VPC à Internet ?
Les passerelles Internet sont-elles soumises à des restrictions en termes de bande passante ? Dois-je m'inquiéter de sa disponibilité ? Peut-il s'agir d'un point unique de défaillance ?
Comment les instances dans un VPC accèdent-elles à Internet ?
Quand une adresse IP est-elle considérée comme une adresse IP publique ?
Comment les instances sans adresse IP publique accèdent-elles à Internet ?
Les instances sans adresse IP publique peuvent accéder à Internet de deux façons :
- Les instances sans adresse IP publique peuvent acheminer leur trafic via une passerelle NAT ou une instance NAT pour accéder à Internet. Ces instances utilisent l'adresse IP publique de la passerelle ou instance NAT pour traverser Internet. La passerelle ou instance NAT permet une communication sortante, mais n'autorise pas les machines sur Internet à initier une connexion vers des instances à adresse privée.
- Pour les VPC équipés d'une connexion VPN hardware ou d'une connexion Direct Connect, les instances peuvent acheminer leur trafic Internet jusqu'à votre centre de données, via la passerelle privée virtuelle. A partir de là, il est possible d'accéder à Internet via vos points de sortie existants et les périphériques de surveillance/sécurité du réseau.
Puis-je me connecter à mon VPC en utilisant un logiciel VPN ?
Le trafic passe-t-il par Internet lorsque deux instances communiquent à l'aide d'adresses IP publiques, ou lorsque les instances communiquent avec un point de terminaison de service AWS public ?
Non. Lorsque vous utilisez des adresses IP publiques, toutes les communications entre les instances et les services hébergés sur AWS utilisent le réseau privé d'AWS. Les paquets qui proviennent du réseau AWS et dont la destination se trouve sur le réseau AWS restent sur le réseau mondial d'AWS, à l'exception du trafic à destination ou en provenance des régions AWS en Chine.
De plus, toutes les données circulant sur le réseau mondial AWS qui interconnectent nos centres de données et nos régions sont chiffrées automatiquement au niveau de la couche physique avant de quitter nos installations sécurisées. Des couches de chiffrement supplémentaires existent également : par exemple, pour tout le trafic de l'appairage de VPC entre régions et les connexions Transport Layer Security (TLS) client ou de service à service.
Comment une connexion AWS Site-to-Site VPN fonctionne-t-elle avec Amazon VPC ?
Adressage IP
Quelles plages d'adresses IP utiliser au sein de mon Amazon VPC ?
Vous pouvez utiliser n'importe quelle plage d'adresses IPv4, dont RFC 1918 ou des plages d'adresses IP publiquement routables pour le bloc d'adresse CIDR primaire. Pour les blocs d'adresse CIDR secondaires, certaines restrictions s'appliquent. Les blocs IP pouvant être acheminés publiquement ne sont accessibles qu'à partir de la passerelle VPN et ne le sont pas sur Internet, par le biais de la passerelle Internet. AWS n'annonce pas les blocs d'adresses IP des clients sur Internet. Vous pouvez allouer jusqu'à 5 blocs d'adresse CIDR d'adresse unique globale IPv6 fournis par Amazon ou BYOIP à un VPC en appelant l'API correspondante ou par le biais de la console de gestion AWS.
Comment attribuer des plages d'adresses IP à des Amazon VPC ?
Lorsque vous créez un VPC, vous attribuez une seule plage d'adresses IP Classless Internet Domain Routing (CIDR) comme bloc d'adresse CIDR primaire et vous pouvez ajouter jusqu'à quatre (4) blocs CIDR secondaires une fois le VPC créé. Vous adressez les sous-réseaux au sein d'un VPC depuis ces plages CIDR. Même si vous pouvez créer plusieurs VPC avec des chevauchements de plages d'adresses IP, le faire ne vous permettra pas de connecter ces VPC à un réseau de base commun par le biais de la connexion VPN matérielle. C'est pourquoi nous recommandons d'utiliser des plages d'adresses IP non superposées. Vous pouvez allouer jusqu'à 5 blocs d'adresse CIDR IPv6 fournis par Amazon ou BYOIP à votre VPC.
Quelles sont les plages d'adresses IP affectées à un Amazon VPC par défaut ?
Puis-je utiliser mes adresses IP dans un VPC et y accéder via Internet ?
Quelle taille de VPC puis-je créer ?
Actuellement, Amazon VPC prend en charge cinq (5) plages d'adresses IP, une (1) primaire et quatre (4) secondaires pour IPv4. Chacune de ces plages peut présenter une taille comprise entre /28 (en rotation CIDR) et /16. Les plages d'adresses IP de votre VPC ne doivent pas se superposer aux plages d'adresses IP de votre réseau existant.
Pour IPv6, le VPC a une taille fixe de /56 (en notation CIDR). Les blocs IPv4 et IPv6 peuvent être tous les deux associés à un VPC.
Puis-je modifier la taille d'un VPC ?
Combien de sous-réseaux puis-je créer par VPC ?
À l'heure actuelle, vous pouvez créer 200 sous-réseaux par VPC. Si vous souhaitez en créer davantage, soumettez une demande auprès du Centre de support.
Existe-t-il une limite à la taille d'un sous-réseau ?
La taille minimum d'un sous-réseau est de /28 (ou 14 adresses IP) pour IPv4. Les sous-réseaux ne peuvent pas être supérieurs au VPC dans lequel ils sont créés.
Pour IPv6, la taille du sous-réseau est fixée à /64. Seul un bloc IPv6 CIDR peut être alloué à un sous-réseau.
Puis-je utiliser les adresses IP que j'attribue à un sous-réseau ?
Comment puis-je attribuer des adresses IP privées aux instances Amazon EC2 au sein d'un VPC ?
Est-il possible de changer les adresses IP privées d'une instance Amazon EC2 alors que celle-ci est en cours d'exécution et/ou arrêtée au sein d'un VPC ?
Si une instance Amazon EC2 est arrêtée au sein d'un VPC, puis-je lancer une autre instance avec la même adresse IP dans le même VPC ?
Puis-je attribuer des adresses IP simultanément pour plusieurs instances ?
Puis-je attribuer une adresse IP à une instance ?
Vous pouvez attribuer n'importe quelle adresse IP à votre instance tant qu'elle :
- figure dans la plage d'adresses IP du sous-réseau associé ;
- n'est pas réservée par Amazon pour un réseau IP ;
- n'est pas actuellement attribuée à une autre interface.
Puis-je attribuer plusieurs adresses IP à une instance ?
Oui. Vous pouvez attribuer une ou plusieurs adresses IP privées secondaires à une Elastic Network Interface ou à une instance EC2 au sein d'Amazon VPC. Le nombre d'adresses IP privées secondaires que vous pouvez attribuer dépend du type d'instance. Pour en savoir plus sur le nombre d'adresses IP privées secondaires pouvant être attribuées à chaque type d'instance, consultez le Guide de l'utilisateur d'Amazon EC2.
Puis-je attribuer une ou plusieurs adresses IP élastiques à des instances Amazon EC2 reposant sur un VPC ?
Bring Your Own IP
Qu'est-ce que la fonctionnalité Bring Your Own IP ?
Pourquoi devrais-je utiliser BYOIP ?
Vous pouvez apporter vos propres adresses IP à AWS pour les raisons suivantes :
Réputation de l'IP : de nombreux clients considèrent la réputation de leurs adresses IP comme un atout stratégique et veulent les utiliser sur AWS avec leurs ressources. Par exemple, les clients qui maintiennent des services tels que les MTA de courrier électronique sortant et qui ont des IP réputés, peuvent maintenant apporter leur espace IP et maintenir avec succès leur taux de réussite d'envoi existant.
Liste blanche des clients : BYOIP permet également aux clients de déplacer les charges de travail qui dépendent de la liste blanche des adresses IP vers AWS sans avoir besoin de rétablir les listes blanches avec de nouvelles adresses IP.
Dépendances codées en dur : plusieurs clients ont des IP codées en dur dans les appareils ou ont pris des dépendances architecturales sur leurs IP. BYOIP permet à ces clients de migrer sans tracas vers AWS.
Réglementation et conformité : de nombreux clients sont tenus d'utiliser certaines adresses IP pour des raisons de réglementation et de conformité. Elles aussi sont déverrouillées par BYOIP.
Règle de réseau IPv6 sur site : De nombreux clients peuvent acheminer uniquement leur trafic IPv6 sur leur réseau sur site. Grâce à BYOIP, ces clients peuvent désormais attribuer leur plage d’adresses IPv6 à leur VPC et choisir d’acheminer via Internet ou Direct Connect leur trafic vers le réseau sur site.
Que se passe-t-il si je diffuse une adresse IP BYOIP élastique ?
Dans quelles Régions AWS la fonctionnalité BYOIP est-elle disponible ?
Veuillez consulter notre documentation d' pour plus de détails sur la disponibilité de BYOIP.
Est-ce qu'un préfixe BYOIP peut être partagé avec plusieurs VPC dans le même compte ?
Combien de plages d'adresses IP puis-je apporter via BYOIP ?
Quel est le préfixe le plus spécifique que je peux apporter via BYOIP ?
Quels préfixes RIR puis-je utiliser pour BYOIP ?
Puis-je apporter un préfixe réaffecté ou réattribué ?
Puis-je déplacer un préfixe BYOIP d'une Région AWS à une autre ?
IP Address Manager
Qu'est-ce que le gestionnaire d'adresses IP (IPAM) ?
Pourquoi utiliser IPAM ?
Quelles sont les principales fonctionnalités d'IPAM ?
AWS IPAM offre les fonctionnalités suivantes :
- Attribution d'adresses IP pour les réseaux à grande échelle : IPAM peut automatiser les attributions d'adresses IP sur des centaines de comptes et de VPC en fonction de règles métier configurables.
- Surveillance de l'utilisation des adresses IP dans votre réseau : IPAM peut surveiller les adresses IP et vous permettre de recevoir des alertes lorsqu'IPAM détecte de potentiels problèmes, comme l'épuisement d'adresses IP pouvant paralyser la croissance de votre réseau ou un chevauchement d'adresses IP pouvant entraîner des erreurs de routage.
- Dépannage de votre réseau : IPAM vous permet d'identifier rapidement si des problèmes de connectivité proviennent d'adresses IP mal configurées ou d'autres erreurs.
- Audit des adresses IP : IPAM conserve automatiquement les données de surveillance de vos adresses IP (jusqu'à trois ans maximum). Vous pouvez utiliser ces données historiques pour effectuer des analyses rétrospectives et des audits de votre réseau.
Quels sont les principaux composants d'IPAM ?
Voici les principaux composants d'IPAM :
- Une portée est le conteneur de plus haut niveau dans IPAM. Un IPAM contient deux portées par défaut. Chaque portée représente l'espace IP d'un réseau unique. La portée privée est destinée à tous les espaces privés. La portée publique est destinée à tous les espaces publics. Les portées vous permettent de réutiliser les adresses IP sur plusieurs réseaux non connectés sans provoquer de chevauchement ou de conflit d'adresses IP. Dans une portée, vous créez des groupes IPAM.
- Un groupe est un ensemble de plages d'adresses IP contiguës (ou CIDR). Les groupes IPAM vous permettent d'organiser vos adresses IP selon vos besoins de routage et de sécurité. Vous pouvez avoir plusieurs groupes au sein d'un groupe de niveau supérieur. Par exemple, si vous avez des besoins de routage et de sécurité distincts pour les applications de développement et de production, vous pouvez créer un groupe pour chacune d'entre elles. Dans les groupes IPAM, vous allouez des CIDR aux ressources AWS.
- Une allocation est une affectation CIDR d'un groupe IPAM vers un autre groupe de ressources ou IPAM. Lorsque vous créez un VPC et que vous choisissez un groupe IPAM pour le CIDR du VPC, le CIDR est alloué à partir du CIDR alloué au groupe IPAM. Vous pouvez contrôler et gérer l'allocation à l'aide d'IPAM.
IPAM prend-il en charge la fonctionnalité Apportez votre propre adresse IP (BYOIP) ?
Oui. IPAM prend en charge les adresses BYOIPv4 et BYOIPv6. BYOIP est une fonctionnalité d'EC2 qui vous permet d'apporter vos adresses IP sur AWS. Avec IPAM, vous pouvez directement allouer et partager leurs blocs d'adresses IP entre les comptes et l'organisation. Les clients existants BYOIP qui utilisent IPv4 peuvent migrer leurs groupes dans IPAM afin de simplifier la gestion des adresses IP.
Amazon fournit-il des blocs CIDR contigus et comment fonctionnent-ils avec IPAM ?
Puis-je utiliser les blocs CIDR IPv6 contigus fournis par Amazon sans IPAM ?
Puis-je partager mes groupes IPAM avec d'autres comptes ?
Topologie
Puis-je spécifier quel sous-réseau utilisera quelle passerelle par défaut ?
Sécurité et filtrage
Comment sécuriser les instances Amazon EC2 qui fonctionnent au sein de mon VPC ?
Les groupes de sécurité Amazon EC2 peuvent être utilisés pour sécuriser les instances au sein de Amazon VPC. Les groupes de sécurité dans un VPC vous permettent de spécifier le trafic réseau entrant et sortant, autorisé vers et à partir de chaque instance Amazon EC2. Le trafic qui n'est pas autorisé de façon explicite vers ou à partir d'une instance est automatiquement refusé.
En plus des groupes de sécurité, le trafic réseau entrant et sortant de chaque sous-réseau peut être autorisé ou rejeté via les listes de contrôle d'accès (ACL) réseau.
Quelles sont les différences entre les groupes de sécurité dans un VPC et les ACL réseau dans un VPC ?
Quelle est la différence entre les filtres dynamiques et les filtres statiques ?
Le filtrage dynamique suit l'origine d'une demande et peut automatiquement autoriser le retour de la réponse à une demande vers l'ordinateur d'origine. Par exemple, un filtre dynamique qui autorise un trafic entrant vers un port TCP 80 sur un serveur web autorisera le trafic de retour, habituellement sur un port dont le chiffre est élevé (par ex, port de destination TCP 63 912) pour le transmettre à un filtre dynamique entre le client et le serveur web. Le dispositif de filtrage maintient un tableau d'état qui suit les numéros de port et d'adresses IP d'origine et de destination. Une seule règle est requise sur le dispositif de filtrage : autoriser le trafic entrant vers le serveur web sur le port TCP 80.
Le filtrage statique, quant à lui, examine seulement la source ou la destination d'une adresse IP et le port de destination, ignorant si le trafic correspond à une nouvelle demande ou à une réponse à une demande. Dans l'exemple ci-dessus, deux règles auraient besoin d'être mises en œuvre sur le dispositif de filtrage : une règle pour autoriser le trafic entrant vers le serveur web sur le port TCP 80, et une autre pour autoriser le trafic sortant à partir du serveur web (plage de ports TCP 49 152 à 65 535).
Les instances Amazon EC2 au sein d'un VPC communiquent-elles avec les instances Amazon EC2 qui ne sont pas au sein d'un VPC ?
Les instances Amazon EC2 au sein d'un VPC dans une région communiquent-elles avec les instances Amazon EC2 dans une autre région ?
Les instances Amazon EC2 au sein d'un VPC communiquent-elles avec Amazon S3 ?
Puis-je surveiller le trafic réseau sur mon VPC ?
Que sont les journaux de flux Amazon VPC ?
Les journaux de flux VPC sont une fonctionnalité qui vous permet de collecter les informations relatives au trafic IP entrant et sortant dans les interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiés soit dans Amazon CloudWatch Logs ou sur Amazon S3. Vous pouvez surveiller vos journaux de flux VPC pour obtenir une visibilité opérationnelle sur vos dépendances réseau et vos modèles de trafic, détecter les anomalies et empêcher les fuites de données, ou résoudre les problèmes de connectivité et de configuration du réseau. Les métadonnées enrichies dans les journaux de flux vous aident à obtenir des informations supplémentaires concernant qui a initié vos connexions TCP et la source et la destination réelles au niveau des paquets pour le trafic passant par des couches intermédiaires telles que la passerelle NAT. Vous pouvez également archiver vos journaux de flux pour répondre aux exigences de conformité. Pour en savoir plus sur les journaux de flux VPC, veuillez consulter la documentation.
Comment puis-je utiliser les journaux de flux VPC ?
Les journaux de flux VPC prennent-ils en charge AWS Transit Gateway ?
Oui, vous pouvez créer un journal de flux VPC pour une passerelle de transit ou pour un attachement de la passerelle de transit. Grâce à cette fonctionnalité, Transit Gateway peut exporter des informations détaillées telles que les adresses IP source ou de destination, les ports, le protocole, les compteurs de trafic, les horodatages et diverses métadonnées pour tous ses flux réseau traversants par la passerelle de transit. Pour en savoir plus sur la prise en charge des journaux de flux Amazon VPC pour la passerelle de transit, veuillez consulter la documentation.
L'utilisation des journaux de flux a-t-elle un impact sur la latence ou les performances de mon réseau ?
Combien coûtent les journaux de flux VPC ?
Les frais d'ingestion et d'archivage des données pour les journaux de flux VPC s'appliquent lorsque vous publiez les journaux de flux sur CloudWatch Logs ou sur Amazon S3. Pour plus d'informations et des exemples, consultez la page Tarification Amazon CloudWatch. Vous pouvez également suivre les frais de publication des journaux de flux à l'aide de balises de répartition des coûts.
Mise en miroir du trafic VPC
Qu'est-ce que la mise en miroir du trafic Amazon VPC ?
Quelles ressources peuvent être surveillées avec la mise en miroir du trafic Amazon VPC ?
La mise en miroir du trafic prend en charge les captures de paquets réseau au niveau de l’interface réseau ENI (Elastic Network Interface) pour les instances EC2. Veuillez vous référer à la documentation sur la mise en miroir du trafic pour connaître les instances EC2 qui prennent en charge la mise en miroir du trafic Amazon VPC.
Quels sont les types d'appareils qui sont pris en charge par la mise en miroir du trafic Amazon VPC ?
Quelle est la différence entre la mise en miroir du trafic Amazon VPC et les journaux de flux Amazon VPC ?
Les journaux de flux Amazon VPC permettent aux clients de collecter, stocker et analyser des journaux de flux réseau. Les informations capturées dans les journaux de flux incluent des informations sur le trafic autorisé et refusé, les adresses IP source et de destination, les ports, le numéro de protocole, le nombre de paquets et d’octets, ainsi qu’une action (accepter ou rejeter). Vous pouvez utiliser cette fonctionnalité pour résoudre les problèmes de connectivité et de sécurité et pour vous assurer que les règles d’accès au réseau fonctionnent comme prévu.
La mise en miroir du trafic Amazon VPC fournit des informations plus détaillées sur le trafic réseau en vous permettant d’analyser le contenu du trafic réel, y compris la charge utile. Elle est également ciblée pour les cas d’utilisation où vous devez analyser les paquets réels pour déterminer la cause profonde d’un problème de performance, procéder à l’ingénierie inverse d’une attaque réseau sophistiquée, ou détecter et bloquer les charges de travail compromises ou les abus commis par des initiés.
Amazon VPC et EC2
Dans quelle(s) région(s) d'Amazon EC2 Amazon VPC est-il disponible ?
Amazon VPC est actuellement disponible dans plusieurs zones de disponibilité dans toutes les régions couvertes par Amazon EC2.
Un VPC peut-il couvrir plusieurs zones de disponibilité ?
Un sous-réseau peut-il couvrir plusieurs zones de disponibilité ?
Comment spécifier dans quelle zone de disponibilité mes instances Amazon EC2 sont lancées ?
Comment puis-je déterminer la zone de disponibilité incluant mes sous-réseaux ?
Suis-je facturé pour la bande passante du réseau utilisée entre les instances de différents sous-réseaux ?
Lorsque j'appelle DescribeInstances(), est-ce que je vois toutes mes instances Amazon EC2, y compris celles dans EC2-Classic et EC2-VPC ?
Lorsque j'appelle DescribeVolumes(), est-ce que je vois tous mes volumes EBS, y compris ceux dans EC2-Classic et EC2-VPC ?
Combien d'instances Amazon EC2 puis-je utiliser au sein d'un VPC ?
Pour des instances nécessitant un adressage IPv4, vous pouvez exécuter un nombre illimité d'instances Amazon EC2 au sein d'un VPC, aussi longtemps que la taille de votre VPC est appropriée pour qu'une adresse IPv4 soit attribuée à chaque instance. La limite initiale de lancement est de 20 instances Amazon EC2 en simultané et la limite de taille du VPC de /16 (65 536 adresses IP). Si ces limites vous semblent trop contraignantes, remplissez le formulaire suivant. Pour les instances IPv6 uniquement, la taille VPC de /56 vous permet de lancer un nombre pratiquement illimité d'instances Amazon EC2.
Puis-je utiliser mes AMI existantes dans Amazon VPC ?
Vous pouvez utiliser des AMI dans Amazon VPC, qui sont enregistrées au sein de la même région que votre VPC. Par exemple, vous pouvez utiliser des AMI enregistrées dans la région usa-est-1 avec un VPC dans la région usa-est-1. Plus d'informations sont disponibles dans la FAQ sur les régions et zones de disponibilité d'Amazon EC2.
Puis-je utiliser mes instantanés Amazon EBS existants ?
Oui, vous pouvez utiliser des instantanés Amazon EBS s'ils sont situés dans la même région que votre VPC. Plus de détails sont disponibles dans la FAQ sur les régions et zones de disponibilité d'Amazon EC2.
Puis-je démarrer une instance Amazon EC2 depuis un volume Amazon EBS au sein d'Amazon VPC ?
Puis-je utiliser Amazon CloudWatch au sein d'Amazon VPC ?
Puis-je utiliser Auto Scaling au sein d'Amazon VPC ?
Puis-je lancer des instances en cluster Amazon EC2 dans un VPC ?
Que sont les noms d'hôte des instances ?
Puis-je modifier le nom d'hôte de mon instance Amazon EC2 ?
Puis-je utiliser les noms d'hôte des instances comme noms d'hôte DNS ?
VPC par défaut
Qu'est-ce qu'un VPC par défaut ?
Quels sont les avantages d'un VPC par défaut ?
Quels sont les comptes autorisés pour un VPC par défaut ?
Si votre compte AWS a été créé après le 18 mars 2013, vous pouvez l'utiliser pour lancer des ressources dans un VPC par défaut. Consultez cette annonce sur le forum pour savoir quelles régions permettent d'utiliser l'ensemble des fonctionnalités du VPC par défaut. Par ailleurs, les comptes créés à une date antérieure permettent d'utiliser des VPC par défaut dans toutes les régions compatibles avec cette fonctionnalité et dans lesquelles vous n'avez pas encore lancé d'instances EC2 ou mis en service des ressources Amazon Elastic Load Balancing, Amazon RDS, Amazon ElastiCache ou Amazon Redshift.
Que dois-je savoir sur Amazon VPC pour utiliser un VPC par défaut ?
Quelles sont les différences entre les instances lancées dans EC2-Classic et les instances lancées dans EC2-VPC ?
Consultez la section Différences entre EC2-Classic et EC2-VPC du Guide de l'utilisateur d'Amazon EC2.
Une connexion VPN est-elle nécessaire pour utiliser un VPC par défaut ?
Puis-je créer d'autres VPC et les utiliser en plus de mon VPC par défaut ?
Puis-je créer des sous-réseaux supplémentaires, tels que des sous-réseaux privés, dans mon VPC par défaut ?
Combien de VPC par défaut puis-je utiliser ?
Combien de sous-réseaux par défaut sont inclus dans un VPC par défaut ?
Puis-je indiquer quel VPC doit être utilisé en tant que VPC par défaut ?
Puis-je indiquer quels sous-réseaux doivent être utilisés en tant que sous-réseaux par défaut ?
Puis-je supprimer un VPC par défaut ?
Puis-je supprimer un sous-réseau par défaut ?
Je possède déjà un compte EC2-Classic. Puis-je obtenir un VPC par défaut ?
Je voudrais vraiment disposer d'un VPC par défaut pour un compte EC2 existant. Est-ce possible ?
Oui, néanmoins, nous ne pouvons permettre l'utilisation d'un VPC par défaut sur un compte existant que dans la mesure où vous ne possédez pas de ressources EC2-Classic pour ce compte dans la région concernée. De plus, vous devez mettre fin à toutes les ressources Elastic Load Balancer, Amazon RDS, Amazon ElastiCache et Amazon Redshift n'étant pas mises en service dans un VPC pour cette région. Une fois votre compte configuré pour utiliser un VPC par défaut, toutes les ressources, y compris les instances lancées via Auto Scaling, seront lancées dans votre VPC par défaut. Pour demander que votre compte existant soit configuré avec un VPC par défaut, rendez-vous sur Account and Billing → Service: Account → Category: Convert EC2 Classic to VPC et faites votre demande. Nous examinerons votre demande, vos services AWS existants et votre présence EC2-Classic et vous guiderons dans les prochaines étapes.
Dans quelle mesure les comptes IAM sont-ils affectés par les VPC par défaut ?
EC2-Classic
Qu'est-ce que EC2-Classic ?
Qu'est-ce qui change ?
En quoi le retrait d'EC2-Classic affecte-t-il mon compte ?
Vous n'êtes concerné par ce changement que si vous avez activé EC2-Classic sur votre compte dans une région AWS. Vous pouvez utiliser la console ou la commande describe-account-attributes pour vérifier si vous avez activé EC2-Classic pour une Région AWS. Veuillez consulter ce document pour plus de détails.
Si vous n'avez pas de ressources AWS actives qui s'exécutent sur EC2-Classic dans une région, nous vous demandons de désactiver EC2-Classic de votre compte pour cette région. En désactivant EC2-Classic dans une région, vous pouvez y lancer le VPC par défaut. Pour ce faire, rendez-vous dans AWS Support Center ici console.aws.amazon.com/support, choisissez « Créer un ticket de support », puis « Support de compte et facturation ». Pour « Type », choisissez « Compte ». Pour « Catégorie », choisissez « Convertir EC2-Classic en VPC ». Fournissez les autres détails demandés, puis cliquez sur « Envoyer ».
Nous désactiverons automatiquement EC2-Classic de votre compte le 30 octobre 2021 pour toute région AWS où vous n'avez pas eu de ressources AWS (instances EC2, base de données relationnelle Amazon, AWS Elastic Beanstalk, Amazon Redshift, AWS Data Pipeline, Amazon EMR, AWS OpsWorks) sur EC2-Classic depuis le 1er janvier 2021.
En revanche, si vous disposez de ressources AWS qui s'exécutent sur EC2-Classic, nous vous demandons de planifier leur migration vers Amazon VPC dès que possible. Vous ne pourrez pas lancer d'instances ou de services AWS sur la plateforme EC2-Classic après le 15 août 2022. Les applications ou services en cours d'exécution perdront progressivement l'accès à tous les services AWS sur EC2-Classic au fur et à mesure de leur retrait à partir du 16 août 2022.
Vous pouvez trouver les guides de migration pour vos ressources AWS dans la question suivante.
Quels bénéfices y a-t-il à passer d'EC2-Classic à Amazon VPC ?
Amazon VPC vous donne un contrôle total sur votre environnement réseau virtuel sur AWS, lequel est logiquement isolé de votre compte AWS. Dans l'environnement EC2-Classic, vos applications partagent un seul réseau plat avec d'autres clients. L'environnement Amazon VPC offre de nombreux autres avantages par rapport à l'environnement EC2-Classic, notamment la possibilité de sélectionner votre propre espace d'adresse IP, la configuration des sous-réseaux publics et privés et la gestion des tables de routage et des passerelles réseau. Tous les services et instances actuellement disponibles dans EC2-Classic ont des services comparables disponibles dans l'environnement Amazon VPC. Amazon VPC offre également une génération d'instances beaucoup plus large et plus récente qu'EC2-Classic. De plus amples informations sur Amazon VPC sont disponibles sur ce lien.
Comment puis-je migrer d'EC2-Classic vers VPC ?
Pour vous aider à migrer vos ressources, nous avons publié des playbooks et créé des solutions que vous trouverez ci-dessous. Pour migrer, vous devez recréer vos ressources EC2-Classic dans votre VPC. Vous pouvez commencer par utiliser ce script pour identifier toutes les ressources allouées dans EC2-Classic dans toutes les régions d'un compte. Vous pouvez ensuite utiliser le guide de migration pour les ressources AWS concernées ci-dessous :
- Instances et groupes de sécurité
- Classic Load Balancer
- Amazon Relational Database Service
- AWS Elastic Beanstalk
- Amazon Redshift pour la migration des clusters DC1 et pour d'autres types de nœuds
- AWS Data Pipeline
- Amazon EMR
- AWS OpsWorks
Outre les guides de migration susmentionnés, nous proposons AWS Application Migration Service (AWS MGN), une solution de lift-and-shift (réhébergement) hautement automatisée qui simplifie, accélère et réduit le coût de la migration des applications. Des ressources pertinentes sur AWS MGN sont disponibles ici :
- Démarrage avec AWS Application Migration Service.
- Formation technique à la demande sur AWS Application Migration Service
- Documentation pour explorer les fonctions et fonctionnalités du service de migration d'applications AWS.
- Vidéo sur l'architecture des services et l'architecture des réseaux
Pour les migrations simples d'instances EC2 individuelles de EC2-Classic vers VPC, outre AWS MGN ou le Guide de migration des instances, vous pouvez également utiliser le runbook « AWSSupport-MigrateEC2 ClassicToVPC » à partir de « AWS Systems Manager > Automatisation ». Ce runbook automatise les étapes nécessaires à la migration d'une instance d'EC2-Classic vers VPC en créant une AMI de l'instance dans EC2-Classic, en créant une nouvelle instance à partir de l'AMI dans VPC et en résiliant éventuellement l'instance EC2-Classic.
Si vous avez des questions ou des préoccupations, vous pouvez contacter l'équipe AWS Support viaAWS Premium Support.
Remarque : si vous avez des ressources AWS qui s'exécutent sur EC2-Classic dans plusieurs régions AWS, nous vous recommandons de désactiver EC2-Classic pour chacune de ces régions dès que vous aurez migré toutes vos ressources vers VPC dans celles-ci.
Quelles sont les dates importantes que je dois connaître ?
Nous prendrons les deux mesures suivantes avant la date du retrait fixée au 15 août 2022 :
- Nous cesserons d'émettre des instances réservées (IR) de 3 ans et des IR d'un an pour l'environnement EC2-Classic le 30 octobre 2021. Les IR déjà disponibles sur l'environnement EC2-Classic ne seront pas affectées à cette date. Les IR qui doivent expirer après le 15 août 2022 devront être modifiées pour utiliser l'environnement Amazon VPC pour la période restante du bail. Pour savoir comment modifier vos IR, veuillez consulter notre document.
- Le 15 août 2022, nous n'autoriserons plus la création de nouvelles instances (Spot ou à la demande) ou d'autres services AWS dans l'environnement EC2-Classic. Les applications ou services en cours d'exécution perdront progressivement l'accès à tous les services AWS sur EC2-Classic au fur et à mesure de leur retrait à partir du 16 août 2022.
Interfaces réseau Elastic
Est-il possible d'associer une ou plusieurs interfaces réseau à une instance EC2 en cours d'exécution (ou de les dissocier) ?
Puis-je rattacher une interface réseau située dans une zone de disponibilité à une instance située dans une autre zone de disponibilité ?
Puis-je rattacher une interface réseau située dans un VPC à une instance située dans un autre VPC ?
Les interfaces réseau ne peuvent être rattachées qu'à des instances de VPC du même compte.
Puis-je utiliser les interfaces réseau élastiques dans le but d'héberger sur une instance unique de multiples sites Web nécessitant des adresses IP distinctes ?
Puis-je détacher l'interface principale (eth0) sur mon instance EC2 ?
Connexions d'appairage
Puis-je créer une connexion d'appairage ciblant un VPC situé dans une autre région ?
Puis-je associer mon VPC à un VPC appartenant à un autre compte AWS ?
Combien coûtent les connexions d'appairage de VPC ?
La création de connexions d'appairage entre VPC est gratuite, mais les transferts de données via ces connexions vous sont facturés. Référez vous à la section Transfert de données de la page Tarification Amazon EC2 pour connaître les tarifs applicables.
Est-il nécessaire de disposer d'une passerelle Internet pour utiliser les connexions d'appairage ?
Le trafic entre VPC appairés au sein d'une région est-il chiffré ?
Si je supprime ma partie d'une connexion d'appairage, l'autre partie aura-t-elle toujours accès à mon VPC ?
Si j'appaire le VPC A au VPC B, puis le VPC B au VPC C, les VPC A et C sont-ils appairés ?
Ma connexion d'appairage peut-elle tomber en panne ?
AWS utilise l'infrastructure existante du VPC pour créer la connexion d'appairage de VPC ; il ne s'agit ni d'une passerelle ni d'une connexion VPN, et elle ne repose pas sur un équipement matériel distinct. Il n'y a donc pas de point unique de défaillance pour la communication, ni de goulet d'étranglement en termes de bande passante.
L'appairage de VPC entre régions repose sur la même technologie hautement disponible, redondante et dimensionnée horizontalement qui alimente VPC aujourd'hui. Le trafic de l'appairage de VPC entre régions passe par le réseau fédérateur AWS qui dispose d'une redondance intégrée et d'une allocation dynamique de la bande passante. Il n'existe donc pas de point unique de défaillance pour la communication.
Si une connexion d'appairage entre régions est interrompue, le trafic ne sera pas acheminé via Internet.
Les connexions d'appairage sont-elles soumises à des restrictions en termes de bande passante ?
La bande passante entre les instances de VPC appairées est identique à celle que l'on peut observer entre des instances d'un même VPC. Remarque : un groupe de placement peut intégrer des VPC appairés ; cependant, dans ce cas, vous n'obtiendrez pas une bande passante entièrement bisectionnelle entre les instances des VPC pairs. En savoir plus sur les groupes de placement.
Le trafic de l'appairage de VPC entre régions est-il chiffré ?
De quelle manière les traductions de DNS fonctionnent-elles avec l'appairage de VPC entre régions ?
Puis-je référencer des groupes de sécurité dans une connexion d'appairage de VPC entre régions ?
L'appairage de VPC entre régions prend-il en charge le protocole IPv6 ?
L'appairage de VPC entre régions peut-il être utilisé avec EC2 Classic Link ?
ClassicLink
Qu'est-ce que ClassicLink ?
Combien coûte ClassicLink ?
L'utilisation de ClassicLink n'engendre pas de frais supplémentaires. En revanche, les frais inhérents au transfert de données entre plusieurs zones de disponibilité existantes s'appliquent. Pour plus d'informations, consultez la page Tarification Amazon EC2.
Comment utiliser ClassicLink ?
L'instance EC2-Classic fera-t-elle partie du VPC ?
Est-il possible d'utiliser des noms d'hôte DNS publics EC2 depuis mes instances EC2-Classic et EC2-VPC afin qu'elles interagissent les unes avec les autres, pour communiquer à l'aide d'une adresse IP privée ?
Existe-t-il des VPC pour lesquels il est impossible d'activer ClassicLink ?
Le trafic provenant d'une instance EC2-Classic peut-il transiter via le VPC d'Amazon et sortir via la passerelle Internet, la passerelle réseau privé virtuel ou vers des VPC appairées ?
ClassicLink a-t-il une incidence sur le contrôle des accès entre l'instance EC2-Classic et les autres instances se trouvant dans la plateforme EC2-Classic ?
Les paramètres ClassicLink de mon instance EC2-Classic sont-ils maintenus durant les cycles d'interruption/de mise en route ?
ClassicLink permet-il aux règles du groupe de sécurité EC2-Classic de faire référence à des groupes de sécurité VPC, ou vice versa ?
AWS PrivateLink
Qu'est-ce qu'AWS PrivateLink ?
Comment utiliser AWS PrivateLink ?
En tant qu'utilisateur du service, vous devrez créer des points de terminaison d'un VPC de type interface pour les services fournis par PrivateLink. Ces points de terminaison de service apparaîtront en tant qu'interface réseau Elastic (ENI) avec des IP privées dans vos VPC. Une fois ces points de terminaison créés, tout trafic destiné à ces IP sera routé de manière privée vers les services AWS correspondants.
En tant que propriétaire du service, vous pouvez embarquer votre service sur AWS PrivateLink en créant un Network Load Balancer pour mettre en avant votre service et créer un service PrivateLink pour s'enregistrer auprès du NLB. Vos clients pourront créer des points de terminaison dans leurs propres VPC pour se connecter à votre service une fois que vous aurez établi une liste blanche de leurs comptes et de leurs rôles IAM.
Quels services sont actuellement disponibles sur AWS PrivateLink ?
Les services AWS suivants prennent en charge cette fonctionnalité : Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Kinesis Streams, Service Catalog, EC2 Systems Manager, Amazon SNS et AWS DataSync. De nombreuses solutions SaaS prennent également cette fonctionnalité en charge. Consultez AWS Marketplace pour plus de produits SaaS à technologie AWS PrivateLink.
Puis-je accéder de manière privée aux services fournis par AWS PrivateLink via AWS Direct Connect ?
Questions supplémentaires
Puis-je utiliser la console de gestion AWS pour contrôler et gérer Amazon VPC ?
Combien de VPC, de sous-réseaux, d'adresses IP Elastic et de passerelles Internet puis-je créer ?
Consultez le Guide de l'utilisateur d'Amazon VPC pour en savoir plus sur les restrictions de VPC.
Puis-je obtenir AWS Support avec Amazon VPC ?
Oui. Cliquez ici pour plus d'informations sur AWS Support.
Puis-je utiliser ElasticFox avec Amazon VPC ?
ElasticFox n'est plus officiellement pris en charge pour la gestion de votre Amazon VPC. La prise en charge d'Amazon VPC est disponible via les API AWS, les outils de ligne de commande et AWS Management Console, tout comme une variété de services tiers.