View a markdown version of this page

Connexion à un VPC via un autre compte - AWS HealthOmics
Conditions préalablesCréez un Amazon VPC dans le compte de votre flux de travailCréation d’une requête de connexion d’appairage de VPCPréparation du compte de votre ressourceMettre à jour la configuration VPC dans le compte de votre flux de travailExécution de flux de travail avec accès VPC entre comptesRésolution des problèmesBonnes pratiquesRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connexion à un VPC via un autre compte

Vous pouvez donner à vos HealthOmics flux de travail l'accès aux ressources d'un Amazon VPC géré par un autre AWS compte, sans exposer l'un ou l'autre VPC à Internet. Ce modèle d’accès vous permet de partager des données avec d’autres organisations utilisant AWS. Grâce à ce modèle d’accès, vous pouvez partager des données entre VPC avec un niveau de sécurité et de performance supérieur à celui d’Internet. Configurez les exécutions de votre flux de travail pour utiliser une connexion d'appairage VPC pour accéder à ces ressources.

Avertissement

Lorsque vous autorisez l’accès entre des comptes ou des VPC, vérifiez que votre plan répond aux exigences de sécurité des organisations qui gèrent ces comptes. Le respect des instructions de ce document aura une incidence sur le niveau de sécurité de vos ressources.

Dans ce tutoriel, vous connectez deux comptes ensemble à l’aide d’une connexion d’appairage via IPv4. Vous configurez une ressource HealthOmics de configuration qui n'est pas déjà connectée à un VPC dans un autre compte. Vous configurez la résolution DNS pour connecter les exécutions de votre flux de travail à des ressources qui ne fournissent pas d'adresses IP statiques. Pour adapter ces instructions à d’autres scénarios d’appairage, consultez le Guide d’appairage de VPC.

Conditions préalables

Pour autoriser l'exécution d'un HealthOmics flux de travail à accéder à une ressource d'un autre compte, vous devez disposer des éléments suivants :

  • Un HealthOmics flux de travail configuré pour s'authentifier auprès de votre ressource puis lire à partir de celle-ci.

  • Une ressource d'un autre compte, telle qu'un cluster Amazon RDS ou un serveur de licences, disponible via Amazon VPC.

  • Informations d'identification du compte de votre flux de travail et du compte de votre ressource. Si vous n’êtes pas autorisé à utiliser le compte de votre ressource, contactez un utilisateur autorisé pour préparer ce compte ;

  • Autorisation de créer et de mettre à jour un VPC (et de prendre en charge les ressources Amazon VPC) à associer à vos exécutions de flux de travail. HealthOmics

  • Autorisation de créer des ressources HealthOmics de configuration.

  • Autorisation de créer une connexion d'appairage VPC dans le compte de votre flux de travail.

  • l’autorisation d’accepter une connexion d’appairage de VPC dans le compte de votre ressource ;

  • l’autorisation de mettre à jour la configuration du VPC de votre ressource (et de prendre en charge les ressources Amazon VPC) ;

  • Autorisation de démarrer des exécutions HealthOmics de flux de travail.

Créez un Amazon VPC dans le compte de votre flux de travail

Créez un Amazon VPC, des sous-réseaux, des tables de routage et un groupe de sécurité dans le compte de votre HealthOmics flux de travail.

Pour créer un VPC, des sous-réseaux et d'autres ressources VPC à l'aide de la console

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Sur le tableau de bord, choisissez Créer un VPC.

  3. Pour le bloc d’adresse CIDR IPv4, fournissez un bloc d’adresse CIDR privé. Votre bloc d’adresse CIDR ne doit chevaucher aucun bloc utilisé dans le VPC de votre ressource. Ne choisissez pas un bloc que le VPC de votre ressource utilise pour attribuer des adresses IP aux ressources ou un bloc déjà défini dans les tables de routage du VPC de votre ressource. Pour plus d’informations sur la définition des blocs d’adresse CIDR appropriés, consultez VPC CIDR blocks.

  4. Choisissez Personnaliser les zones de disponibilité.

  5. Sélectionnez au moins une zone de disponibilité HealthOmics opérant dans votre région.

  6. Pour Nombre de sous-réseaux publics, sélectionnez0.

  7. Pour les points de terminaison VPC, choisissez None (vous pourrez les ajouter ultérieurement pour optimiser les coûts).

  8. Sélectionnez Create VPC (Créer un VPC).

Création d’une requête de connexion d’appairage de VPC

Créez une demande de connexion d'appairage VPC entre le VPC de votre flux de travail (le VPC demandeur) et le VPC de votre ressource (le VPC accepteur).

Pour demander une connexion d'appairage VPC depuis le VPC de votre flux de travail

  1. Ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, choisissez Peering connections (Connexions d'appairage).

  3. Choisissez Create peering connection (Créer une connexion d'appairage).

  4. Pour l'ID VPC (demandeur), sélectionnez le VPC de votre flux de travail.

  5. Pour ID de compte, saisissez l’ID du compte de votre ressource.

  6. Pour VPC ID (Accepter), entrez l'ID VPC de votre ressource.

  7. Choisissez Create peering connection (Créer une connexion d'appairage).

Préparation du compte de votre ressource

Pour créer votre connexion d’appairage et préparer le VPC de votre ressource à utiliser la connexion, connectez-vous au compte de votre ressource avec un rôle doté des autorisations répertoriées dans les conditions requises. Les étapes de connexion peuvent être différentes en fonction de la manière dont le compte est sécurisé. Pour plus d'informations sur la procédure de connexion à un AWS compte, consultez le guide de AWS Sign-in l'utilisateur. Au sein du compte de votre ressource, effectuez les procédures suivantes.

Pour accepter une requête de connexion d’appairage de VPC

  1. Ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, choisissez Peering connections (Connexions d'appairage).

  3. Sélectionnez la connexion d’appairage de VPC en attente (statut pending-acceptance).

  4. Choisissez Actions.

  5. Dans la liste déroulante Actions, choisissez Accepter la demande.

  6. Lorsque vous êtes invité à confirmer l'opération, choisissez Accepter la demande.

  7. Choisissez Modifier mes tables de routage maintenant pour ajouter une route à la table de routage principale de votre VPC afin de pouvoir envoyer et recevoir du trafic via la connexion d’appairage.

Inspectez les tables de routage du VPC de la ressource. La route générée par Amazon VPC peut ne pas établir de connectivité, en fonction de la configuration du VPC de votre ressource. Vérifiez les conflits entre la nouvelle route et la configuration existante du VPC. Pour plus d'informations sur le dépannage, consultez Résoudre les problèmes liés à une connexion d'appairage VPC dans le guide d'appairage Amazon VPC.

Pour mettre à jour la table de routage du VPC de votre ressource

  1. Ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, choisissez Route tables (Tables de routage).

  3. Cochez la case à côté du nom de la table de routage pour le sous-réseau associé à votre ressource.

  4. Choisissez Actions.

  5. Choisissez Edit routes (Modifier des routes).

  6. Choisissez Ajouter une route.

  7. Pour Destination, entrez le bloc CIDR pour le VPC de votre flux de travail.

  8. Pour Cible, sélectionnez la connexion d’appairage de VPC.

  9. Sélectionnez Enregistrer les modifications.

Pour de plus amples informations relatives aux éléments que vous pouvez rencontrer lors de la mise à jour de vos tables de routage, consultez Update your route tables for a VPC peering connection.

Pour mettre à jour le groupe de sécurité de votre ressource

  1. Ouvrez la console Amazon VPC.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité pour votre ressource.

  4. Choisissez Actions.

  5. Dans la liste déroulante, choisissez Modifier les règles entrantes.

  6. Choisissez Ajouter une règle.

  7. Pour Type, sélectionnez le protocole utilisé par votre ressource (par exemple MySQL/Aurora, HTTPS ou TCP personnalisé).

  8. Dans Portée de ports, entrez le port sur lequel votre ressource écoute.

  9. Pour Source, entrez le bloc d'adresse CIDR VPC de votre flux de travail (par exemple, 10.0.0). 0/16).

  10. Sélectionnez Enregistrer les règles.

  11. Choisissez Edit outbound rules (Modifier les règles sortantes).

  12. Vérifiez si le trafic sortant est restreint. Les paramètres de VPC par défaut autorisent tout le trafic sortant. Si le trafic sortant est restreint, passez à l’étape suivante.

  13. Choisissez Ajouter une règle.

  14. Pour Type, sélectionnez All traffic le protocole spécifique requis.

  15. Pour Destination, entrez le bloc d'adresse CIDR VPC de votre flux de travail (par exemple, 10.0.0). 0/16).

  16. Sélectionnez Enregistrer les règles.

Pour activer la résolution DNS pour votre connexion d’appairage

  1. Ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, choisissez Peering connections (Connexions d'appairage).

  3. Sélectionnez votre connexion d’appairage.

  4. Choisissez Actions.

  5. Choisissez Modifier les paramètres DNS.

  6. En-dessous de Résolution DNS acceptée, sélectionnez Autoriser le VPC demandeur à convertir le DNS des hôtes VPC accepteurs en IP privée.

  7. Sélectionnez Enregistrer les modifications.

Mettre à jour la configuration VPC dans le compte de votre flux de travail

Connectez-vous au compte de votre flux de travail, puis mettez à jour la configuration du VPC.

Pour ajouter une route pour une connexion d’appairage de VPC

  1. Ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, choisissez Route tables (Tables de routage).

  3. Cochez la case à côté du nom de la table de routage pour le sous-réseau que vous allez associer à votre HealthOmics configuration.

  4. Choisissez Actions.

  5. Choisissez Edit routes (Modifier des routes).

  6. Choisissez Ajouter une route.

  7. Pour Destination, saisissez le bloc CIDR du VPC de votre ressource.

  8. Pour Cible, sélectionnez la connexion d’appairage de VPC.

  9. Sélectionnez Enregistrer les modifications.

Pour de plus amples informations relatives aux éléments que vous pouvez rencontrer lors de la mise à jour de vos tables de routage, consultez Update your route tables for a VPC peering connection.

Pour mettre à jour le groupe de sécurité pour votre HealthOmics flux de travail, exécutez

  1. Ouvrez la console Amazon VPC.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez le groupe de sécurité que vous utiliserez pour votre HealthOmics configuration.

  4. Choisissez Actions.

  5. Choisissez Edit outbound rules (Modifier les règles sortantes).

  6. Choisissez Ajouter une règle.

  7. Pour Type, sélectionnez le protocole utilisé par votre ressource (par exemple MySQL/Aurora, HTTPS ou TCP personnalisé).

  8. Dans Portée de ports, entrez le port sur lequel votre ressource écoute.

  9. Pour Destination, entrez le bloc d'adresse CIDR VPC de votre ressource (par exemple, 10.1.0). 0/16).

  10. Sélectionnez Enregistrer les règles.

  11. Choisissez Modifier les règles entrantes.

  12. Vérifiez s'il existe des règles relatives au trafic entrant. Si votre ressource doit établir des connexions pour revenir à vos exécutions de flux de travail, passez à l'étape suivante. Sinon, passez à l'étape de résolution DNS.

  13. Choisissez Ajouter une règle.

  14. Pour Type, sélectionnez le protocole approprié.

  15. Pour Source, entrez le bloc d'adresse CIDR VPC de votre ressource (par exemple, 10.1.0). 0/16).

  16. Sélectionnez Enregistrer les règles.

Pour activer la résolution DNS pour votre connexion d’appairage

  1. Ouvrez la console Amazon VPC.

  2. Dans le volet de navigation, choisissez Peering connections (Connexions d'appairage).

  3. Sélectionnez votre connexion d’appairage.

  4. Choisissez Actions.

  5. Choisissez Modifier les paramètres DNS.

  6. Sous Résolution DNS du demandeur, sélectionnez Autoriser le VPC accepteur à convertir le DNS des hôtes VPC demandeur en IP privée.

  7. Sélectionnez Enregistrer les modifications.

Exécution de flux de travail avec accès VPC entre comptes

Lorsque vous démarrez l'exécution d'un flux de travail, utilisez les sous-réseaux et les groupes de sécurité du VPC dans le compte de votre flux de travail. Le trafic provenant de vos exécutions de flux de travail sera acheminé vers le VPC de l'autre compte via la connexion d'appairage VPC.

Pour plus d'informations sur la création HealthOmics de ressources de configuration et le démarrage d'exécutions de flux de travail avec un réseau VPC, consultez. Connecter HealthOmics des flux de travail à un VPC

Important

Nous recommandons d'activer les journaux de flux VPC sur les deux VPC afin de vérifier le flux de trafic entre eux et de résoudre les problèmes de connectivité. Pour plus d’informations, consultez Journaux de flux VPC dans le Guide de l’utilisateur Amazon VPC.

Résolution des problèmes

Si votre flux de travail ne parvient pas à se connecter aux ressources du VPC homologue :

  1. Vérifiez les tables de routage : assurez-vous que les deux VPC disposent de routes bidirectionnelles pointant vers la connexion d'appairage du VPC.

  2. Vérifiez les groupes de sécurité : vérifiez que les groupes de sécurité des deux VPC autorisent le trafic requis (entrant dans le VPC de ressource, sortant dans le VPC de flux de travail).

  3. Vérifiez la résolution DNS : assurez-vous que la résolution DNS est activée dans les deux sens sur la connexion d'appairage si vous utilisez des noms DNS.

  4. Vérifier les blocs d'adresse CIDR : vérifiez que les blocs d'adresse CIDR ne se chevauchent pas entre les deux VPC.

  5. Consultez les journaux de flux VPC : activez les journaux de flux VPC dans les deux VPC pour diagnostiquer les problèmes de flux de trafic.

  6. Vérifiez l'état de la connexion d'appairage : assurez-vous que l'état de la connexion d'appairage se trouve active dans les deux comptes.

Pour plus d'informations sur la résolution des problèmes, consultez Résoudre les problèmes liés à une connexion d'appairage VPC dans le guide d'appairage Amazon VPC.

Bonnes pratiques

  1. Utilisez des groupes de sécurité dotés du moindre privilège : autorisez uniquement les ports et protocoles spécifiques requis pour votre flux de travail à accéder à la ressource.

  2. Documentez la relation d'appairage : conservez la documentation indiquant quels VPC sont pairs et dans quel but.

  3. Surveillez le trafic entre comptes : utilisez les journaux de flux CloudWatch et les métriques VPC pour surveiller les modèles de trafic et détecter les anomalies.

  4. Planifiez soigneusement les blocs CIDR : assurez-vous que les blocs CIDR ne se chevauchent pas et laissez de la place pour une future extension.

  5. Testez de manière approfondie : validez la connectivité avec des flux de travail de test avant d'exécuter des charges de travail de production.

  6. Coordination avec les propriétaires des comptes de ressources : établissez des canaux de communication clairs avec l'équipe qui gère le compte de ressources pour le dépannage et la maintenance.

  7. Utilisez des balises : balisez vos connexions d'appairage VPC, vos tables de routage et vos groupes de sécurité pour identifier leur objectif et leur propriétaire.

Ressources supplémentaires