Je souhaite configurer une VIF publique AWS Direct Connect.
Brève description
Une VIF publique utilise une adresse IP publique pour accéder à tous les services publics AWS, tels qu'Amazon Elastic Compute Cloud (Amazon EC2).
Remarque : les VIF publiques ne peuvent pas être utilisés pour accéder à Internet.
Solution
Suivez ces instructions pour configurer une VIF publique AWS Direct Connect en fonction de votre scénario.
Allocation et adressage d'adresses IPv4 et numéro de système autonome (ASN) du protocole de passerelle frontière (BGP)
Pour les adresses IPv4, utilisez l'une des options suivantes :
- Utilisez un bloc d'adresse CIDR IPv4 public dont vous êtes propriétaire.
- Si vous ne possédez pas de bloc IPv4 public, vérifiez auprès de votre partenaire du programme de partenariat AWS Direct Connect ou de votre fournisseur de services Internet s'il peut vous fournir un CIDR IPv4 public. Assurez-vous d'inclure le formulaire d'autorisation LOA-CFA indiquant que vous êtes autorisé à utiliser ces préfixes IP publics.
- Vous pouvez également contacter AWS Support pour demander un CIDR IPv4 public. N'oubliez pas de fournir votre cas d'utilisation. Notez qu'AWS ne peut pas garantir l'approbation de toutes les demandes d'adresses CIDR IPv4 publiques. Pour plus d'informations, consultez Prérequis concernant les interfaces virtuelles.
- Un ASN BGP public ou privé pour votre côté de la session BGP. Si vous utilisez un ASN public, vous devez en être propriétaire. Si vous utilisez un ASN privé, il doit figurer dans la plage 1-2147483647. Le préfixe du système autonome (AS) ne fonctionne pas si vous utilisez un ASN privé pour une interface virtuelle publique.
Remarque : pour les adresses IPv6, AWS vous attribue automatiquement un CIDR IPv6 /125. Vous ne pouvez pas spécifier vos propres adresses IPv6 homologues.
Approbation des préfixes et de l'ASN BGP sur un VIF public
Lorsque vous créez une interface virtuelle publique, les informations suivantes sont soumises à approbation par l'équipe Direct Connect :
- Numéro de système autonome BGP (uniquement s'il s'agit d'un ASN public)
- Adresses IP publiques d'homologues
- Préfixes publics que vous prévoyez de publier sur l'interface virtuelle
Si vous avez publié les préfixes avant qu'ils ne soient approuvés, vous devrez peut-être effacer la session BGP et publier à nouveau les préfixes après approbation.
Pour plus d'informations, voir Mon interface virtuelle publique Direct Connect est bloquée à l'état « Verifying » (En cours de vérification). Comment puis-je la faire approuver ?
Publication de préfixes sur une VIF publique
Vous devez publier au moins un préfixe public à l'aide de BGP.
Les adresses IP publiques utilisées pour l'appairage et les adresses IP publiques publiées ne peuvent pas chevaucher d'autres adresses IP publiques publiées ou utilisées dans Direct Connect. Vous pouvez vérifier la propriété des préfixes d'ASN BGP et d'adresses IP à l'aide d'une requête WHOIS.
Exemple de sortie :
AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name
12345 | 192.0.2.0 | 192.0.2.0/24 | US | arin | 1991-12-19 | EXAMPLE-02, US
Préfixes AWS reçus sur site via une VIF publique
Une fois que le BGP est établi sur votre VIF publique, vous recevez tous les préfixes de régions AWS locaux et distants disponibles. Pour vérifier les préfixes disponibles, consultez les communautés BGP pour connaître les préfixes reçus d'AWS. Pour plus d'informations, voir Comment puis-je contrôler les acheminements publiés et reçus via l'interface virtuelle publique AWS avec Direct Connect ?
AWS Direct Connect applique les communautés BGP suivantes à ses acheminements publiés.
- 7224:8100 : acheminements qui proviennent de la région AWS où se trouve le point de présence Direct Connect
- 7224:8200 : acheminements qui proviennent du continent où se trouve le point de présence Direct Connect
- Aucune identification : mondial (toutes les régions AWS publiques)
Connexion à AWS via une VIF publique
Direct Connect effectue un filtrage des paquets entrants pour vérifier que la source du trafic provient du préfixe publié.
Assurez-vous de vous connecter à partir d'un préfixe qui publié sur une VIF publique. Vous ne pouvez pas vous connecter à partir d'un préfixe qui n'est pas publié sur une VIF publique.
Informations connexes
Comment connecter mon réseau privé aux services publics AWS à l'aide d'une VIF publique AWS Direct Connect ?