Comment puis-je configurer Direct Connect et un basculement VPN avec Transit Gateway ?

Résolution

1.    Créez une passerelle de transit.

2.    Associez votre Amazon Virtual Private Cloud (Amazon VPC) à votre passerelle de transit.

3.    Créez un AWS Site-to-Site VPN, et associez-le à votre passerelle de transit.
Remarque : si vous utilisez un VPN statique, assurez-vous que les itinéraires statiques définis utilisent un CIDR moins spécifique que les itinéraires propagés par le BGP. Selon l'ordre d'évaluation des itinéraires pour les itinéraires qui utilisent le même CIDR, Transit Gateway préfère les itinéraires statiques aux itinéraires propagés par le BGP.

4.    Associez votre passerelle Direct Connect à votre passerelle de transit. Vous devez également ajouter la plage d'adresses CIDR Amazon VPC aux interactions de préfixes autorisées par la passerelle Direct Connect pour chaque association Amazon VPC. Une fois que vous avez ajouté les préfixes, ils sont annoncés à distance via une interface virtuelle de transit.
Remarque : sur une interface virtuelle de transit, vous pouvez annoncer un maximum de 200 préfixes par passerelle de transit depuis AWS vers les sites locaux. Pour annoncer plus de 200 préfixes CIDR, résumez les itinéraires pour qu'elles soient égales ou inférieures à 200 préfixes CIDR en fonction des quotas de service. Après avoir résumé les itinéraires, ajoutez-les à la section sur les interactions de préfixes autorisés. Pour plus d'informations, consultez la section Quotas AWS Direct Connect.

5.    (Facultatif) Les CIDR VPC annoncés à partir des tables de routage associées à AWS VPN Transit Gateway sont plus spécifiques que les CIDR annoncés par l'interface virtuelle de transit. Cela peut amener la passerelle client à donner la priorité au VPN par rapport à la connexion AWS Direct Connect et peut entraîner un routage asymétrique potentiel. Pour résoudre ce problème, procédez comme suit :
Remarque : lorsque vous créez des itinéraires résumés pour les CIDR Amazon VPC dans le champ « Préfixe autorisé par la passerelle Direct Connect », AWS VPN vers les sites locaux annonce des CIDR Amazon VPC.

1. Ajoutez les itinéraires résumés associés à la passerelle Direct Connect à l’association VPN associée à la table de routage Transit Gateway. Pour l'association cible dans la table de routage, sélectionnez un Amazon VPC avec un CIDR. Le CIDR doit faire partie de l'itinéraire résumé vers la table de routage Transit Gateway de l’association Site-to-Site VPN. L'itinéraire résumé et les itinéraires spécifiques doivent tous deux être annoncés sur Site-to-Site VPN.
2. Dans la passerelle client VPN, filtrez les itinéraires qui annoncent des préfixes CIDR plus spécifiques sur le Site-to-Site VPN. La passerelle client doit avoir les mêmes itinéraires résumés sur les deux connexions. La passerelle préfère la connexion AWS Direct Connect.

6.    Créez des tables de routage Transit Gateway, puis activez la propagation des itinéraires pour toutes les pièces jointes :
Remarque : annoncez le même ensemble de préfixes sur les sessions BGP dans les interfaces virtuelles de transit Direct Connect et Site-to-Site VPN.

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, choisissez Transit Gateways.
3. Vérifiez que le paramètre Table de routage d'association par défaut de votre passerelle de transit est défini sur Faux. Si le paramètre est défini sur Vrai, passez à l'étape suivante.
4. Choisissez Tables de routage Transit Gateway.
5. Choisissez Créer une table de routage Transit Gateway.
6. Pour le champ Balise de nom, saisissez Table de routage A.
7. Pour le champ ID Transit Gateway, choisissez l'ID Transit Gateway de votre passerelle de transit.
8. Choisissez Créer une table de routage Transit Gateway.
9. Sélectionnez Table de routage A (ou la table de routage par défaut de votre passerelle de transit), puis choisissez Associations.
10. Choisissez Créer une association.
11. Pour le champ Choisir l'association à associer, choisissez les ID d'association pour vos Amazon VPC, puis choisissez Créer une association. Répétez cette étape jusqu'à ce que votre passerelle Direct Connect, votre VPN et vos Amazon VPC s'affichent tous sous Association.
12. Choisissez Propagation de la table de routage.
13. Choisissez Propagation. Pour le champ Choisir l'association à propager, sélectionnez votre passerelle Direct Connect, votre VPN et vos Amazon VPC.

7.    Configurez la table de routage associée à votre Amazon VPC et à votre sous-réseau d'associations :

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, choisissez Tables de routage.
3. Sélectionnez la table de routage associée au sous-réseau des associations.
4. Choisissez l'onglet Itinéraire, puis choisissez Modifier les itinéraires.
5. Choisissez l'onglet Ajouter un itinéraire.
6. Pour le champ Destination, sélectionnez le sous-réseau du réseau sur site.
7. Pour le champ Cible, sélectionnez votre passerelle de transit.
8. Choisissez Enregistrer les itinéraires.

Remarque : pour plus de visibilité sur vos événements de mise à jour du routage, nous vous recommandons d'activer Transit Gateway Network Manager. Pour plus d'informations, sélectionnez la section Événements de mise à jour du routage.

8.    Pour tester la redondance de l'environnement, utilisez le test de basculement de Direct Connect pour désactiver la connexion Direct Connect. Pour plus d'informations, consultez la section Tester la résilience d'AWS Direct Connect avec le kit d'outils de résilience – Test de basculement.

Informations connexes

Connectivité hybride à AWS Transit Gateway