Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Premiers pas avec les équilibreurs de charge Gateway Load Balancers
Gateway Load Balancers facilite le déploiement, la mise à l’échelle et la gestion des appareils virtuels tiers, tels que les appareils de sécurité.
Dans le cadre de ce tutoriel, nous allons implémenter un système d’inspection à l’aide d’un Gateway Load Balancer et d’un point de terminaison Gateway Load Balancer.
**Topics**
+ [Présentation](#overview)
+ [Prérequis](#prerequisites)
+ [Étape 1 : Créer un Gateway Load Balancer](#create-register)
+ [Étape 2 : Création d'un service de point de terminaison Gateway Load Balancer](#create-endpoint-service)
+ [Étape 3 : Création d’un point de terminaison Gateway Load Balancer](#create-endpoint)
+ [Étape 4 : Configuration du routage](#configure-routing)
## Présentation
Un point de terminaison Gateway Load Balancer est un point de terminaison VPC qui fournit une connectivité privée entre les appliances virtuelles du fournisseur de services VPC et les serveurs d'applications du VPC consommateur de services. L'équilibreur de charge Gateways Load Balancer est déployé dans le même VPC que les appareils virtuels. Ces appareils sont enregistrés en tant que groupe cible de l'équilibreur de charge Gateway Load Balancer.
Les serveurs d'applications s'exécutent dans un sous-réseau (sous-réseau de destination) du VPC consommateur de services, tandis que le point de terminaison Gateway Load Balancer se trouve dans un autre sous-réseau du même VPC. Tout le trafic entrant dans le VPC du consommateur du service par la passerelle Internet est d'abord acheminé vers le point de terminaison d'équilibreur de charge de passerelle, puis acheminé vers le sous-réseau de destination.
De même, tout le trafic quittant les serveurs d'applications (sous-réseau de destination) est acheminé vers le point de terminaison Gateway Load Balancer avant d'être réacheminé vers Internet. Le schéma de réseau suivant est une représentation visuelle de la manière dont un point de terminaison Gateway Load Balancer est utilisé pour accéder à un service de point de terminaison.
![\[Utilisation d’un point de terminaison Gateway Load Balancer pour accéder à un service de point de terminaison\]](http://docs.aws.amazon.com/fr_fr/elasticloadbalancing/latest/gateway/images/vpc-endpoint-service-gwlbe-new.png)
Les éléments numérotés qui suivent, mettent en évidence et expliquent ceux affichés sur l’image précédente.
**Trafic depuis Internet vers l’application (flèches bleues) :**
1. Le trafic entre dans le VPC du consommateur du service via la passerelle Internet.
1. Le trafic est envoyé au point de terminaison Gateway Load Balancer à la suite du routage d’entrée.
1. Le trafic est envoyé au Gateway Load Balancer qui distribue le trafic vers un des appareils de sécurité.
1. Le trafic est renvoyé au point de terminaison Gateway Load Balancer après avoir été inspecté par l’appareil de sécurité.
1. Le trafic est envoyé aux serveurs d'applications (sous-réseau de destination).
**Trafic de l’application vers Internet (flèches oranges) :**
1. Le trafic est envoyé au point de terminaison Gateway Load Balancer à la suite du routage par défaut configuré sur le sous-réseau du serveur d’application.
1. Le trafic est envoyé au Gateway Load Balancer qui distribue le trafic vers un des appareils de sécurité.
1. Le trafic est renvoyé au point de terminaison Gateway Load Balancer après avoir été inspecté par l’appareil de sécurité.
1. Le trafic est envoyé à la passerelle Internet en fonction de la configuration de la table de routage.
1. Le trafic est redirigé vers Internet.
### Routage
La table de routage de la passerelle Internet doit comporter une entrée qui achemine le trafic destiné aux serveurs d'applications vers le point de terminaison Gateway Load Balancer. Pour spécifier le point de terminaison Gateway Load Balancer, utilisez l'ID du point de terminaison d'un VPC. L’exemple suivant montre les routages pour une configuration dualstack.
| Destination | Target |
| --- | --- |
| VPC IPv4 CIDR | Local |
| VPC IPv6 CIDR | Local |
| Subnet 1 IPv4 CIDR | vpc-endpoint-id |
| Subnet 1 IPv6 CIDR | vpc-endpoint-id |
La table de routage du sous-réseau avec les serveurs d’application doit comporter des entrées qui acheminent tout le trafic des serveurs d'applications vers le point de terminaison Gateway Load Balancer.
| Destination | Target |
| --- | --- |
| VPC IPv4 CIDR | Local |
| VPC IPv6 CIDR | Local |
| 0.0.0.0/0 | vpc-endpoint-id |
| ::/0 | vpc-endpoint-id |
La table de routage du sous-réseau avec le point de terminaison Gateway Load Balancer doit acheminer le trafic qui revient de l’inspection à sa destination finale. Pour le trafic provenant d'Internet, l’acheminement local s’assure qu’il atteigne les serveurs d'applications. Pour le trafic provenant des serveurs d'applications, ajoutez des entrées qui acheminent tout le trafic à la passerelle Internet.
| Destination | Target |
| --- | --- |
| VPC IPv4 CIDR | Local |
| VPC IPv6 CIDR | Local |
| 0.0.0.0/0 | internet-gateway-id |
| ::/0 | internet-gateway-id |
## Prérequis
+ Assurez-vous que le VPC du consommateur du service comporte au moins deux sous-réseaux pour chaque zone de disponibilité qui contient les serveurs d’applications. Un sous-réseau est destiné au point de terminaison Gateway Load Balancer et l'autre aux serveurs d’applications.
+ Le Gateway Load Balancer et les cibles peuvent se trouver dans le même sous-réseau.
+ Vous ne pouvez pas utiliser un sous-réseau partagé depuis un autre compte pour déployer le Gateway Load Balancer.
+ Lancez au moins une instance d'appareil de sécurité dans chaque sous-réseau d'appareil de sécurité du VPC du fournisseur de services. Les groupes de sécurité de ces instances doivent autoriser le trafic UDP sur le port 6081.
## Étape 1 : Créer un Gateway Load Balancer
Utilisez la procédure suivante pour créer votre équilibreur de charge, votre écouteur et votre groupe cible.
**Pour créer l'équilibreur de charge, l'écouteur et le groupe cible à l'aide de la console**
1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, sous **Équilibrage de charge**, choisissez **Équilibreurs de charge**.
1. Choisissez **Créer un équilibreur de charge**.
1. Sous **Gateway Load Balancer**, choisissez **Créer**.
1. **Configuration de base**
1. Pour **Load balancer name** (Nom de l'équilibreur de charge), saisissez un nom pour l'équilibreur de charge.
1. Pour le **type d'adresse IP**, choisissez de prendre **IPv4**en charge les IPv4 adresses uniquement ou **Dualstack** pour prendre en charge à la fois les adresses IPv4 et IPv6 les adresses.
1. **Mappage du réseau**
1. Pour **VPC**, sélectionnez le VPC du fournisseur du service.
1. Pour **Mappages**, sélectionnez toutes les zones de disponibilité dans lesquelles vous avez lancé les instances d’appareils de sécurité, et un sous-réseau par zone de disponibilité.
1. **Routage d’écouteur d’IP**
1. Pour **Action par défaut**, sélectionnez un groupe cible existant pour recevoir le trafic. Ce groupe cible doit utiliser le protocole GENEVE.
Si vous n'avez pas de groupe cible, choisissez **Créer un groupe cible**, qui ouvre un nouvel onglet dans votre navigateur. Choisissez un type de cible, saisissez un nom pour le groupe cible et conservez le protocole GENEVE. Sélectionnez le VPC avec vos instances de dispositif de sécurité. Modifiez les paramètres de surveillance de l'état selon vos besoins et ajoutez les balises dont vous avez besoin. Choisissez **Suivant**. Vous pouvez enregistrer vos instances de dispositif de sécurité auprès du groupe cible dès à présent ou après avoir terminé cette procédure. Choisissez **Créer un groupe cible**, puis revenez à l'onglet précédent du navigateur.
1. (Facultatif) Développez **Balises d’écouteur** et ajoutez les balises dont vous avez besoin.
1. (Facultatif) Développez **Balises d’équilibreur de charge** et ajoutez les balises dont vous avez besoin.
1. Choisissez **Créer un équilibreur de charge**.
## Étape 2 : Création d'un service de point de terminaison Gateway Load Balancer
Utilisez la procédure suivante pour créer un service de point de terminaison à l'aide de votre Gateway Load Balancer.
**Pour créer un service de point de terminaison Gateway Load Balancer**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Choisissez **Créer un service de point de terminaison**, puis effectuez les opérations suivantes :
1. Pour **Load balancer type** (Type d'équilibreur de charge), choisissez **Gateway** (Passerelle).
1. Pour **Available load balancers** (Équilibreurs de charge disponibles), sélectionnez l'équilibreur de charge de passerelle.
1. Dans la section **Require acceptance for endpoint** (Acceptation requise pour le point de terminaison), sélectionnez **Acceptance required** (Acceptation requise) pour accepter les demandes de connexion à votre service manuellement. Sinon, elles sont acceptées automatiquement.
1. Pour **Supported IP address types** (Types d'adresse IP pris en charge), effectuez l'une des opérations suivantes :
+ Sélectionner **IPv4**— Activez le service de point de terminaison pour qu'il accepte les IPv4 demandes.
+ Sélectionner **IPv6**— Activez le service de point de terminaison pour qu'il accepte les IPv6 demandes.
+ Sélectionnez **IPv4**et **IPv6**— Activez le service de point de terminaison pour qu'il accepte à la fois les IPv6 demandes IPv4 et.
1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l'identification.
1. Choisissez **Créer**. Notez le nom du service ; vous en aurez besoin lors de la création du point de terminaison.
1. Sélectionnez le nouveau service de point de terminaison et choisissez **Actions** (Actions), **Allow principals** (Autoriser les mandataires). Entrez le ARNs nombre de consommateurs de services autorisés à créer un point de terminaison pour votre service. Un consommateur du service peut être un utilisateur, un rôle IAM ou Compte AWS. Choisissez **Allow principals** (Autoriser les mandataires).
## Étape 3 : Création d’un point de terminaison Gateway Load Balancer
Utilisez la procédure suivante pour créer un point de terminaison Gateway Load Balancer qui se connecte à votre service de point de terminaison Gateway Load Balancer. Les points de terminaison Gateway Load Balancer sont répartis par zone. Nous vous recommandons de créer un point de terminaison Gateway Load Balancer par zone. Pour plus d’informations, consultez les [Accès aux appareils virtuels via AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway-load-balancer.html) dans le *Guide AWS PrivateLink *.
**Pour créer un point de terminaison Gateway Load Balancer**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Points de terminaison**.
1. Choisissez **Créer un point de terminaison**, puis effectuez les opérations suivantes :
1. Pour **Service category** (Catégorie de service), choisissez **Other endpoint services** (Autres services de point de terminaison).
1. Pour **Service Name** (Nom du service), saisissez le nom du service que vous avez noté précédemment, puis choisissez **Verify service** (Vérifier le service).
1. Pour **VPC**, sélectionnez le VPC du consommateur du service.
1. Pour **Subnets** (Sous-réseaux), sélectionnez un sous-réseau pour le point de terminaison Gateway Load Balancer.
**Remarque :** vous ne pouvez sélectionner qu'un seul sous-réseau dans chaque zone de disponibilité lors de la création d'un point de terminaison Gateway Load Balancer.
1. Pour **IP address type** (Type d'adresse IP), choisissez l'une des options suivantes :
+ **IPv4**— Attribuez IPv4 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d' IPv4 adresses.
+ **IPv6**— Attribuez IPv6 des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.
+ **Dualstack** — Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.
1. (Facultatif) Pour ajouter une identification, choisissez **Add new tag** (Ajouter une identification) et saisissez la clé et la valeur de l'identification.
1. Choisissez **Créer un point de terminaison**. L’état initial est `pending acceptance`.
Utilisez la procédure suivante pour accepter la demande de connexion au point de terminaison.
1. Dans le volet de navigation, choisissez **Endpoint Services (Services de point de terminaison)**.
1. Sélectionnez le service de point de terminaison.
1. Dans l'onglet **Endpoint connections** (Connexions de point de terminaison), sélectionnez la connexion de point de terminaison.
1. Pour accepter la demande de connexion, choisissez **Actions**, **Accept endpoint connection request** (Accepter la demande de connexion de point de terminaison). À l'invite de confirmation, saisissez **accept**, puis choisissez **Accept** (Accepter).
## Étape 4 : Configuration du routage
Configurez les tables de routage suivantes pour le VPC du consommateur du service, comme suit. Cela permet aux dispositifs de sécurité d'effectuer une inspection de sécurité du trafic entrant destiné aux serveurs d'applications.
**Pour configurer le routage**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Route tables** (Tables de routage).
1. Sélectionnez la table de routage pour la passerelle Internet et procédez comme suit :
1. Choisissez **Actions**, **Modifier les routes**.
1. Choisissez **Ajouter une route**. Pour **Destination**, entrez le bloc IPv4 CIDR du sous-réseau pour les serveurs d'applications. Pour **Target** (Cible), sélectionnez le point de terminaison d’un VPC.
1. Si vous êtes d' IPv6accord, choisissez **Ajouter un itinéraire**. Pour **Destination**, entrez le bloc IPv6 CIDR du sous-réseau pour les serveurs d'applications. Pour **Target** (Cible), sélectionnez le point de terminaison d’un VPC.
1. Sélectionnez **Enregistrer les modifications**.
1. Sélectionnez la table de routage pour le sous-réseau avec les serveurs d'applications et procédez comme suit :
1. Choisissez **Actions**, **Modifier les routes**.
1. Choisissez **Ajouter une route**. En regard de **Destination**, entrez **0.0.0.0/0**. Pour **Target** (Cible), sélectionnez le point de terminaison de VPC.
1. Si vous êtes d' IPv6accord, choisissez **Ajouter un itinéraire**. En regard de **Destination**, entrez **::/0**. Pour **Target** (Cible), sélectionnez le point de terminaison de VPC.
1. Sélectionnez **Enregistrer les modifications**.
1. Sélectionnez la table de routage pour le sous-réseau avec le point de terminaison d'équilibreur de charge de passerelle, puis procédez comme suit :
1. Choisissez **Actions**, **Modifier les routes**.
1. Choisissez **Ajouter une route**. En regard de **Destination**, entrez **0.0.0.0/0**. Pour **Target** (Cible), sélectionnez la passerelle Internet.
1. Si vous êtes d' IPv6accord, choisissez **Ajouter un itinéraire**. En regard de **Destination**, entrez **::/0**. Pour **Target** (Cible), sélectionnez la passerelle Internet.
1. Sélectionnez **Enregistrer les modifications**.