Je souhaite configurer AWS Direct Connect en tant que lien principal vers mes ressources sur site. ainsi qu'un VPN en tant que lien secondaire vers ces mêmes ressources. Comment y parvenir à l'aide d'AWS Transit Gateway ?
Solution
Tâche 1 : créer une passerelle de transit
Tâche 2 : attacher votre VPC à votre passerelle de transit
Tâche 3 : créer un VPN AWS site à site et l'attacher à votre passerelle de transit
Remarque : Si vous avez un VPN statique, assurez-vous que les routes statiques définies utilisent un CIDR moins spécifique que n'importe quelle route dynamique propagée. Pour les routes utilisant le même CIDR, les routes statiques ont une priorité plus élevée que les routes propagées dynamiques dans l'ordre d'évaluation de route Transit Gateway.
Tâche 4 : attacher votre passerelle Direct Connect à votre passerelle de transit
Pour chaque VPC attaché à votre passerelle de transit, vous devez ajouter la plage CIDR du VPC à l’interaction des préfixes autorisés de la passerelle Direct Connect. Les préfixes ajoutés sont ensuite publiés côté distant via l'interface virtuelle de transit. Vous pouvez disposer d'un maximum de 20 préfixes par passerelle AWS Transit Gateway configurée entre AWS et vos ressources sur site via une interface virtuelle de transit. Ce quota ne peut pas être augmenté. Pour plus d'informations, consultez la rubrique Quotas AWS Direct Connect. Si vous disposez de plus de 20 VPC, résumez les routes de plusieurs VPC dans une seule plage CIDR. Saisissez les routes résumées dans la rubrique Interaction des préfixes autorisés de la passerelle Direct Connect.
Si vous créez un itinéraire résumé pour les CIDR du VPC, les CIDR publiés via VPN sont plus spécifiques que les CIDR publiés via Direct Connect. Par conséquent, la passerelle client donne la priorité au VPN par rapport à la connexion Direct Connect.
Pour résoudre ce problème :
- Ajoutez l'itinéraire résumé associé à la passerelle Direct Connect. Pour la pièce jointe cible, sélectionnez un VPC avec un CIDR qui fait partie de l'itinéraire résumé vers la table de routage de la passerelle de transit des pièces jointes VPN de site à site. L'itinéraire résumé et les itinéraires spécifiques sont désormais tous deux annoncés via le VPN site à site.
- Dans la passerelle client, filtrez les routes spécifiques annoncées par le VPN de site à site. La passerelle client dispose désormais des mêmes itinéraires résumés sur les deux connexions. La passerelle préfère la connexion Direct Connect.
Tâche 5 : créer des tables de routage de passerelle de transit, puis activer la propagation pour tous les éléments attachés
Remarque : assurez-vous de publier le même préfixe sur la session BGP (Border Gateway Protocol) sur l'interface virtuelle Direct Connect (VIF). Ou publiez le même préfixe sur la session BGP via le VPN.
- Ouvrez la console de cloud privé virtuel Amazon (Amazon VPC).
- Dans le volet de navigation, sélectionnez Passerelles de transit.
- Vérifiez que le paramètre Default association route table (Table de routage d'association par défaut) pour votre passerelle de transit est défini sur False (Faux).
Remarque : si le paramètre est défini sur True (Vrai), passez directement à la tâche 6.
- Sélectionnez Tables de routage Transit Gateway.
- Sélectionnez Create Transit Gateway Route Table(Créer une table de routage Transit Gateway), puis effectuez les opérations suivantes :
Pour Name tag (Balise de nom), saisissez Route Table A (Table de routage A).
Pour ID Transit Gateway, sélectionnez l'ID de votre passerelle de transit.
Choisissez Create Transit Gateway Route Table (Créer une table de routage Transit Gateway).
- Sélectionnez Table de routage A (ou la table de routage par défaut de votre passerelle de transit), puis Associations, Create association (Créer une association).
- Pour Choose attachment to associate, (Sélectionner un attachement à associer), sélectionnez les ID d'association de vos VPC, puis Create Association (Créer une association). Répétez cette étape jusqu'à ce que votre passerelle Direct Connect, votre VPN et vos VPC s'affichent tous sous Association.
- Choisissez Route Table Propagation (Propagation de table de routage).
- Sélectionnez Propagation. Pour Choose attachment to propagate (Choisir un attachement à propager), choisissez votre passerelle Direct Connect, votre VPN et vos VPC.
Tâche 6 : configurer la table de routage associée à votre VPC et au sous-réseau d'attachements
- Ouvrez la console Amazon VPC.
- Dans le volet de navigation, choisissez Tables de routage.
- Choisissez la table de routage attachée au sous-réseau d'attachements.
- Sélectionnez l'onglet Routes, puisModifier des routes.
- Sélectionnez l'onglet Ajouter une route, puis effectuez les opérations suivantes :
Pour Destination, choisissez le sous-réseau du réseau sur site.
Pour Cible, sélectionnez votre passerelle de transit.
Sélectionnez Enregistrer les routes.