Comment connecter plusieurs VPC à un réseau local via la même connexion VPN ?

Lecture de 6 minute(s)
0

J'ai deux clouds privés virtuels (VPC) : un pour la production et un pour le développement. Les utilisateurs sur site doivent accéder aux deux VPC avec une seule connexion VPN. Je dois établir une connectivité réseau entre les VPC et le réseau local par le biais d'une connexion VPN. De plus, je dois bloquer l'accès entre les VPC.

Brève description

Suivez les étapes ci-dessous pour établir une connectivité réseau entre les ressources de plusieurs VPC afin que :

  • Les utilisateurs locaux puissent accéder aux ressources de tous les VPC via le VPN
  • Les ressources du VPC ne puissent pas accéder aux ressources des autres VPC

Solution

Créer une passerelle de transit, puis connecter vos VPC et vos VPN de site à site

  1. Créez une passerelle de transit.
  2. Connectez vos VPC à votre passerelle de transit.
  3. Créez une connexion VPN de site à site et connectez-la à votre passerelle de transit.

Remarque :

  • Désactivez le paramètre Default association route table (table de routage des associations par défaut) lors de la création de votre passerelle de transit.
  • Pour propager automatiquement les itinéraires VPN vers la table de routage de la passerelle de transit, choisissez l'option (nécessite le protocole Border Gateway) Dynamic (Dynamique) pour Routing option (Option de routage).

Créez une table de routage de passerelle de transit et associez-y vos VPC

  1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
  2. Dans le volet de navigation, choisissez Transit Gateways (Passerelles de transit).
  3. Vérifiez que le paramètre Default association route table (Table de routage d'association par défaut) de votre passerelle de transit est défini sur Disable (Désactivé).
    Remarque : Si le paramètre est défini sur Activer, passez à l'étape 8.
  4. Choisissez (Transit Gateway Route Tables) Tables de routage des passerelles de transit.
  5. Choisissez (Create Transit Gateway Route Table) Créer une table de routage pour la passerelle de transit, puis procédez comme suit :
    Pour Name tag (Nom de balise), saisissez VPC Route Table.
    Pour Transit Gateway ID (Identifiant de passerelle de transit), choisissez Transit Gateway ID de votre passerelle de transit.
    Choisissez Create Transit Gateway Route Table (Créer une table de routage pour la passerelle de transit).
  6. Choisissez VPCs Route Table (table de routage VPC) (ou la table de routage par défaut de votre passerelle de transit). Choisissez ensuite Associations, puis Create Association (Créer une association).
  7. Pour Choose attachment to assiociate (Choisir la pièce jointe à associer), choisissez les identifiants d'association pour vos VPC. Choisissez ensuite Create an association (Créer une association). Répétez cette étape jusqu'à ce que tous vos VPC s'affichent sous Association.
  8. Supprimez l'association VPN de la table de routage par défaut de la passerelle de transit.

Créez une deuxième table de routage de passerelle de transit et associez-y votre pièce jointe de connexion VPN

  1. Choisissez (Transit Gateway Route Tables) Tables de routage des passerelles de transit.
  2. Choisissez (Create Transit Gateway Route Table) Créer une table de routage pour la passerelle de transit, puis procédez comme suit :
    Pour Name tag (Balise de nom, entrez VPN Route table (table de routage VPN).
    Pour Transit Gateway ID (Identifiant de passerelle de transit), choisissez Transit Gateway ID de votre passerelle de transit.
    Choisissez Create Transit Gateway Route Table (Créer une table de routage pour la passerelle de transit).
  3. Choisissez VPN Route table (table de routage VPN) (ou la table de routage par défaut de votre passerelle de transit). Choisissez ensuite Associations, puis Create Association (Créer une association).
  4. Associez la pièce jointe de connexion VPN que vous avez créée à la table de routage VPN.

Propagez les itinéraires depuis vos VPC et VPN sur les deux tables de routage

  1. Choisissez VPCs Route Table Propagation (Propagation de la table de routage VPC).
  2. Choisissez Propagation. Pour Choose attachment to propagate (Choisir un attachement à propager), choisissez la propagation pour le VPN. Si la propagation est activée pour toutes les pièces jointes, vérifiez que l'association de connexion VPN n'est pas activée dans la table de routage.
    Important : Si vous avez créé une connexion VPN par route statique, créez une route statique pour le réseau local vers la table de routage de l'attachement VPN sur la table de routage des VPC. Procédez ainsi au lieu d'activer la propagation de routes à partir de la connexion VPN.
  3. Choisissez VPN Route table Propagation (Propagation de la table de routtage VPN).
  4. Choisissez Propagation. Pour Choose attachment to propagate (Choisir un attachement à propager), choisissez la propagation pour tous les VPC.

Configurer la table de routage associée à votre VPC et à votre sous-réseau d’attachements

  1. Ouvrez la Amazon VPC console (console Amazon VPC).
  2. Dans le volet de navigation, choisissez Route Tables (Tables de routage).
  3. Choisissez la table de routage attachée aux sous-réseaux de production (les sous-réseaux contenant les ressources VPC).
  4. Choisissez l'onglet Routes, puis choisissez Edit Routes (Modifier les itinéraires).
  5. Choisissez l'onglet Add Route (Ajouter une route), puis effectuez les opérations suivantes :
    Pour Destination, sélectionnez le sous-réseau du réseau sur site .
    Pour Target (Cible), choisissez votre passerelle de transit.
    Choisissez (Save routes) Enregistrer les itinéraires.

Remarque : Si vous avez besoin d'un accès plus restrictif entre vos VPC, vous pouvez créer une table de routage distincte pour chaque VPC et configurer les itinéraires. Notez les points suivants pour cette méthode :

  • Si un attachement de la passerelle de transit est associée à une table de routage de passerelle de transit, l’attachement utilise la table de routage pour prendre des décisions de routage.
  • Si la propagation d'un attachement de la passerelle de transit est activée pour une table de routage de passerelle de transit spécifique, l’attachement annonce uniquement des préfixes dans cette table de routage. Toutefois, si l’attachement n'est pas associée à la table de routage, elle n'utilise pas la table de routage pour le routage.
  • Un attachement de passerelle de transit peut se propager dans une ou plusieurs tables de routage de passerelle de transit.
  • Un seul attachement de passerelle de transit ne peut être associée qu'à une seule table de routage de passerelle de transit.
  • Une seule table de routage de passerelle de transit peut être associée à un ou plusieurs attachements de passerelle de transit.
  • Plusieurs attachements de passerelle de transit peuvent se propager vers la même table de routage de passerelle de transit.
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an