Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Compte réseau
<a name="networking-account"></a>

Le compte réseau sert de hub central pour le routage réseau entre les comptes de zone de landing zone multi-comptes AMS, votre réseau local et le trafic de sortie vers Internet. En outre, ce compte contient des bastions DMZ publics qui constituent le point d'entrée permettant aux ingénieurs AMS d'accéder aux hôtes de l'environnement AMS. Pour plus de détails, consultez le schéma de haut niveau du compte réseau ci-dessous.

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)


# Architecture des comptes réseau
<a name="malz-network-arch"></a>

Le schéma suivant décrit l'environnement de la zone d'atterrissage multi-comptes AMS, en présentant les flux de trafic réseau entre les comptes, et constitue un exemple de configuration hautement disponible.

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between Comptes AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS configure pour vous tous les aspects du réseau sur la base de nos modèles standard et des options que vous avez sélectionnées lors de l'intégration. Une conception de réseau AWS standard est appliquée à votre compte AWS, et un VPC est créé pour vous et connecté à AMS par VPN ou Direct Connect. Pour plus d'informations sur Direct Connect, consultez [AWS Direct Connect](https://aws.amazon.com/directconnect/). VPCs Les standards incluent la DMZ, les services partagés et un sous-réseau d'applications. Au cours du processus d'intégration, des informations supplémentaires VPCs peuvent être demandées et créées pour répondre à vos besoins (par exemple, divisions clients, partenaires). Après l'intégration, vous recevez un schéma de réseau : un document d'environnement qui explique comment votre réseau a été configuré.

**Note**  
Pour plus d'informations sur les limites et les contraintes de service par défaut pour tous les services actifs, consultez la documentation relative [aux limites de service AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

La conception de notre réseau repose sur le [« principe du moindre privilège »](https://en.wikipedia.org/wiki/Principle_of_least_privilege) d'Amazon. Pour ce faire, nous acheminons tout le trafic entrant et sortant via une zone démilitarisée, à l'exception du trafic provenant d'un réseau fiable. Le seul réseau fiable est celui configuré entre votre environnement sur site et le VPC via l'utilisation d'un and/or VPN et d'AWS Direct Connect (DX). L'accès est accordé par le biais d'instances de bastion, empêchant ainsi l'accès direct aux ressources de production. Toutes vos applications et ressources résident dans des sous-réseaux privés accessibles via des équilibreurs de charge publics. Le trafic de sortie public passe par les passerelles NAT du VPC de sortie (dans le compte réseau) vers la passerelle Internet, puis vers Internet. Le trafic peut également passer par votre VPN ou Direct Connect vers votre environnement sur site. 

# Connectivité réseau privé à l'environnement de zone d'atterrissage multi-comptes AMS
<a name="malz-net-arch-private-net"></a>

AWS propose une connectivité privée via un réseau privé virtuel (VPN) ou des lignes dédiées avec AWS Direct Connect. La connectivité privée dans votre environnement multi-comptes est configurée à l'aide de l'une des méthodes décrites ci-dessous :
+ Connectivité Edge centralisée à l'aide de Transit Gateway
+ Connexion du and/or VPN Direct Connect (DX) aux clouds privés virtuels du compte () VPCs

# Connectivité périphérique centralisée à l'aide d'une passerelle de transit
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway est un service qui vous permet de connecter votre réseau VPCs et celui de votre réseau sur site à une passerelle unique. La passerelle de transit (TGW) peut être utilisée pour consolider votre connectivité périphérique existante et l'acheminer via un ingress/egress point unique. La passerelle de transit est créée dans le compte réseau de votre environnement multi-comptes AMS. Pour plus d'informations sur la passerelle de transit, consultez [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).

La passerelle AWS Direct Connect (DX) est utilisée pour connecter votre connexion DX via une interface virtuelle de transit à la VPCs ou aux passerelles VPNs connectées à votre passerelle de transit. Vous associez une passerelle Direct Connect à la passerelle de transit. Créez ensuite une interface virtuelle de transit pour votre connexion AWS Direct Connect à la passerelle Direct Connect. Pour plus d'informations sur les interfaces virtuelles DX, consultez la section [Interfaces virtuelles AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).

Cette configuration offre les avantages suivants. Vous pouvez effectuer les actions suivantes :
+ Gérez une seule connexion pour plusieurs VPCs ou pour celles VPNs qui se trouvent dans la même région AWS.
+ Faites connaître les préfixes sur site sur AWS, et d'AWS sur site.

**Note**  
[Pour plus d'informations sur l'utilisation d'un DX avec les services AWS, consultez la section Resiliency Toolkit Classic.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Pour plus d'informations, consultez la section [Associations de Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/onboardingguide/images/malz-cent-edge.png)


Pour augmenter la résilience de votre connectivité, nous vous recommandons d'associer au moins deux interfaces virtuelles de transit provenant de différents sites AWS Direct Connect à la passerelle Direct Connect. Pour plus d'informations, consultez la [recommandation de résilience d'AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).

# Connexion d'un DX ou d'un VPN au compte VPCs
<a name="malz-net-arch-dx-vpn"></a>

Avec cette option, les environnements VPCs de zone d'atterrissage multi-comptes de votre AMS sont directement connectés à Direct Connect ou à un VPN. Le trafic circule directement depuis Direct Connect ou VPCs vers le VPN sans passer par la passerelle de transit.

# Ressources du compte réseau
<a name="networking-account-resources"></a>

Comme le montre le schéma du compte réseau, les composants suivants sont créés dans le compte et nécessitent votre saisie.

**Le compte réseau en contient deux VPCs : le VPC de **sortie et le VPC** **DMZ, également connu sous le nom de VPC** de périmètre.**

# Responsable du réseau AWS
<a name="networking-manager"></a>

AWS Network Manager est un service qui vous permet de visualiser vos réseaux de passerelles de transit (TGW) sans frais supplémentaires pour AMS. Il fournit une surveillance centralisée du réseau à la fois sur les ressources AWS et sur les réseaux sur site, une vue globale unique de leur réseau privé sous forme de diagramme topologique et de carte géographique, ainsi que des mesures d'utilisation, telles que l'état de in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down connexion en octets. Pour plus d'informations, consultez [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).

Utilisez l'un des rôles suivants pour accéder à cette ressource :
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# VPC de sortie
<a name="networking-vpc"></a>

Le VPC de sortie est principalement utilisé pour le trafic de sortie vers Internet et est composé de sous-réseaux répartis dans un maximum public/private de trois zones de disponibilité (). AZs Les passerelles de traduction d'adresses réseau (NAT) sont mises en service dans les sous-réseaux publics, et les pièces jointes VPC de passerelle de transit (TGW) sont créées dans les sous-réseaux privés. Le trafic Internet sortant de tous les réseaux entre via le sous-réseau privé via TGW, où il est ensuite acheminé vers un NAT via des tables de routage VPC.

Pour ceux VPCs qui contiennent des applications destinées au public dans un sous-réseau public, le trafic provenant d'Internet est contenu dans ce VPC. Le trafic de retour n'est pas routé vers le TGW ou le VPC de sortie, mais renvoyé via la passerelle Internet (IGW) du VPC.

**Note**  
Plage d'adresses CIDR VPC réseau : lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc de routage interdomaine sans classe (CIDR) ; par exemple, 10.0.16.0/24. Il s'agit du bloc CIDR principal pour votre VPC.  
L'équipe de la zone d'atterrissage multi-comptes d'AMS recommande une plage de 24 (avec plus d'adresses IP) afin de fournir une certaine mémoire tampon au cas où d'autres ressources/appareils seraient déployés à l'avenir.

# Périmètre (DMZ) VPC
<a name="networking-dmz"></a>

Le VPC Perimeter, ou DMZ, contient les ressources nécessaires aux ingénieurs des opérations AMS pour accéder aux réseaux AMS. Il contient 2 ou 3 sous-réseaux publics AZs, avec des hôtes SSH Bastions dans un groupe Auto Scaling (ASG) auquel les ingénieurs d'AMS Operations peuvent se connecter ou par tunnel. Les groupes de sécurité attachés aux bastions de la zone démilitarisée contiennent des règles relatives au port 22 en provenance d'**Amazon** Corp Networks.

*Plage d'adresses CIDR VPC DMZ* : lorsque vous créez un VPC, vous devez spécifier une plage d' IPv4 adresses pour le VPC sous la forme d'un bloc de routage interdomaine sans classe (CIDR) ; par exemple, 10.0.16.0/24. Il s'agit du bloc CIDR principal pour votre VPC. 

**Note**  
L'équipe AMS recommande une plage de 24 (avec plus d'adresses IP) pour fournir une certaine mémoire tampon au cas où d'autres ressources, telles qu'un pare-feu, seraient déployées à l'avenir.

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) est un service qui vous permet de connecter vos Amazon Virtual Private Clouds (VPCs) et vos réseaux sur site à une passerelle unique. La passerelle de transit est l'épine dorsale du réseau qui gère le routage entre les réseaux de comptes AMS et les réseaux externes. Pour plus d'informations sur Transit Gateway, consultez [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). 

Fournissez les informations suivantes pour créer cette ressource : 
+ *Numéro ASN de la passerelle de transit* \$1 : indiquez le numéro de système autonome (ASN) privé de votre passerelle de transit. Cela devrait être l’ASN pour le côté AWS d’une session Border Gateway Protocol (BGP). La plage est comprise entre 64512 et 65534 pour 16 bits. ASNs