Je souhaite établir une connexion cryptée entre mon réseau local et mon Amazon Virtual Private Cloud (Amazon VPC) via une connexion AWS Direct Connect.
Brève description
AWS Direct Connect fournit une connexion dédiée et privée, avec un débit constant entre votre réseau local et AWS. Une connexion AWS Direct Connect n'est pas chiffrée par défaut. Pour chiffrer le trafic via les connexions AWS Direct Connect, utilisez l'une des méthodes suivantes :
- Utilisez MAC Sécurité (MacSec). MacSec fournit un chiffrement point à point via une connexion directe dédiée. Pour plus d'informations sur les connexions prenant en charge MacSec, consultez AWS Direct Connect.
- Créez un VPN de site à site AWS via Direct Connect. Le VPN de site à site assure le chiffrement entre une passerelle client et une passerelle AWS. La passerelle AWS peut être une passerelle AWS Transit ou une passerelle privée virtuelle.
Pour plus d'informations sur l'utilisation du chiffrement MacSec, voir Commencer à utiliser MacSec sur des connexions dédiées.
Si vous n'utilisez pas MacSec, utilisez un VPN de site à site. Le VPN de site à site permet d'établir des tunnels VPN entre un appareil sur site et une passerelle privée virtuelle ou une passerelle de transit. Pour créer un VPN de site à site via Direct Connect à Amazon VPC, utilisez une interface virtuelle publique. Pour créer un VPN de site à site entre un équipement sur site et AWS Transit Gateway, choisissez une interface virtuelle publique ou de transit.
Résolution
Création d'un VPN de site à site via une interface virtuelle publique
-
Créer votre connexion Direct Connect.
-
Créer une interface virtuelle publique pour votre connexion Direct Connect.
Pour les Préfixes que vous souhaitez promouvoir, entrez l'adresse IP publique de votre passerelle client et tous les préfixes réseau que vous souhaitez promouvoir.
Remarque : votre interface virtuelle publique reçoit tous les préfixes d'adresses IP publiques AWS de chaque région AWS (à l'exception de la région AWS Chine). Il s'agit notamment des adresses IP publiques des points de terminaison VPN gérés par AWS. Utilisez les communautés BGP (protocole de passerelle frontière) pour filtrer les préfixes par région AWS locale ou par région AWS d'un continent.
-
Créez une nouvelle connexion VPN vers votre passerelle privée virtuelle ou votre passerelle de transit AWS.
Dans la configuration de la passerelle client, utilisez la même adresse IP publique que celle que vous avez spécifiée à l'étape précédente.
Remarque : configurez votre dispositif de passerelle client pour créer les tunnels VPN. Vous pouvez télécharger des exemples de configurations depuis la console de gestion AWS ou l'interface de ligne de commande AWS (AWS CLI).
Créez un VPN de site à site via une interface virtuelle de transit
-
Créer votre connexion Direct Connect.
-
Associez un bloc d'adresse CIDR IP à votre passerelle de transit. Vous ne pouvez pas associer d'adresses comprises dans la plage 169.254.0.0/16 ou des plages qui se chevauchent avec les adresses de vos pièces jointes VPC et de vos réseaux locaux. Vous pouvez modifier une passerelle de transit existante pour ajouter ce bloc CIDR.
-
Créer une interface virtuelle de transit. Dans la configuration de l'interface virtuelle de transit, vous pouvez sélectionner une passerelle Direct Connect existante ou en créer une nouvelle.
Remarque : une passerelle Direct Connect ne peut pas être associée à une passerelle privée virtuelle et à une passerelle de transit en même temps.
-
Associez votre passerelle de transit à la passerelle Direct Connect. Assurez-vous que le bloc CIDR de la passerelle de transit configuré à l'étape précédente est annoncé à votre réseau local par le biais de préfixes autorisés.
-
Créez une nouvelle connexion VPN à l'aide d'adresses IP privées vers la passerelle de transit.
-
Configurez votre dispositif de passerelle client pour créer les tunnels VPN. Vous pouvez télécharger des exemples de configurations depuis la console de gestion AWS ou l'AWS CLI.
Informations connexes
Résolution des problèmes liés à AWS Direct Connect
Journalisation des appels d'API AWS Direct Connect à l'aide d'AWS CloudTrail
Surveillance de votre connexion VPN de site à site
Journaux AWS Site-to-Site VPN
Options de connectivité Amazon Virtual Private Cloud