View a markdown version of this page

Passerelles de ressources dans VPC Lattice - Amazon VPC Lattice

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Passerelles de ressources dans VPC Lattice

Une passerelle de ressources est le point qui reçoit le trafic vers le VPC où réside une ressource. Il couvre plusieurs zones de disponibilité.

Un VPC doit disposer d'une passerelle de ressources si vous prévoyez de rendre les ressources du VPC accessibles depuis d'autres VPC ou comptes. Chaque ressource que vous partagez est associée à une passerelle de ressources. Lorsque des clients d'autres VPC ou comptes accèdent à une ressource de votre VPC, la ressource voit le trafic provenant localement de la passerelle de ressources de ce VPC. L'adresse IP source du trafic est l'adresse IP de la passerelle de ressources dans une zone de disponibilité. Plusieurs configurations de ressources, chacune comportant plusieurs ressources, peuvent être associées à une passerelle de ressources.

Le schéma suivant montre comment un client accède à une ressource via la passerelle de ressources :

Client accédant à la ressource via la passerelle de ressources.

Considérations

Les considérations suivantes s'appliquent aux passerelles de ressources :

  • Pour que votre ressource soit accessible depuis toutes les zones de disponibilité, vous devez créer vos passerelles de ressources de manière à couvrir autant de zones de disponibilité que possible.

  • Au moins une zone de disponibilité du point de terminaison VPC et de la passerelle de ressources doit se chevaucher.

  • Un VPC peut avoir un maximum de 100 passerelles de ressources. Pour plus d'informations, consultez la section Quotas pour VPC Lattice.

  • VPC Lattice peut ajouter de nouveaux ENI à votre passerelle de ressources.

  • Passerelles de ressources avec sous-réseaux VPC partagés :

    • Une passerelle de ressources ne peut être déployée dans un sous-réseau VPC partagé que par le compte propriétaire du VPC.

    • Une configuration de ressources pour une passerelle de ressources ne peut être créée que par le compte propriétaire de la passerelle de ressources.

Groupes de sécurité

Vous pouvez associer des groupes de sécurité à une passerelle de ressources. Les règles de groupe de sécurité pour les passerelles de ressources contrôlent le trafic sortant de la passerelle de ressources vers les ressources.

Règles sortantes recommandées pour le trafic circulant d'une passerelle de ressources vers une ressource de base de données

Pour que le trafic circule d'une passerelle de ressources vers une ressource, vous devez créer des règles de sortie pour les protocoles d'écoute et les plages de ports acceptés par la ressource.

Destination Protocole Plage de ports Comment
CIDR range for resource TCP 3306 Autorise le trafic entre la passerelle de ressources et les bases de données.

Types d'adresses IP

Une passerelle de ressources peut avoir des adresses IPv4, IPv6 ou à double pile. Le type d'adresse IP d'une passerelle de ressources doit être compatible avec les sous-réseaux de la passerelle de ressources et le type d'adresse IP de la ressource, comme décrit ici :

  • IPv4 — Attribuez des adresses IPv4 aux interfaces réseau de votre passerelle de ressources. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et si la ressource possède également une adresse IPv4. Lorsque vous utilisez cette option, vous pouvez configurer le nombre d'adresses IPv4 par passerelle de ressources ENI.

  • IPv6 — Attribuez des adresses IPv6 aux interfaces réseau de votre passerelle de ressources. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés sont des sous-réseaux IPv6 uniquement et que la ressource possède également une adresse IPv6. Lorsque vous utilisez cette option, les adresses IPv6 sont attribuées automatiquement et n'ont pas besoin d'être gérées.

  • Dualstack — Attribuez des adresses IPv4 et IPv6 aux interfaces réseau de votre passerelle de ressources. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d'adresses IPv4 et IPv6, et si la ressource possède une adresse IPv4 ou IPv6. Lorsque vous utilisez cette option, vous pouvez configurer le nombre d'adresses IPv4 par passerelle de ressources ENI.

Le type d'adresse IP de la passerelle de ressources est indépendant du type d'adresse IP du client ou du point de terminaison VPC via lequel la ressource est accessible.

Adresses IPv4 par ENI

Si votre passerelle de ressources possède un type d'adresse IP IPv4 ou à double pile, vous pouvez configurer le nombre d'adresses IPv4 attribuées à chaque ENI de votre passerelle de ressources. Lorsque vous créez une passerelle de ressources, vous choisissez entre 1 et 62 adresses IPv4. Une fois que vous avez défini le nombre d'adresses IPv4, la valeur ne peut pas être modifiée.

Les adresses IPv4 sont utilisées pour la traduction des adresses réseau et déterminent le nombre maximal de connexions IPv4 simultanées à une ressource. Chaque adresse IPv4 peut prendre en charge jusqu'à 55 000 connexions simultanées par adresse IP de destination. Par défaut, 16 adresses IPv4 par ENI sont attribuées à toutes les passerelles de ressources.

Si votre passerelle de ressources utilise le type d'adresse IPv6, elle reçoit automatiquement un CIDR /80 par ENI. Cette valeur ne peut pas être modifiée. L'unité de transmission maximale (MTU) par connexion est de 8 500 octets.

Résolution DNS de Resource Config

Vous pouvez spécifier la manière dont une passerelle de ressources effectue la résolution DNS pour les configurations de ressources qui sont des cibles de nom de domaine. Cette propriété est immuable. Vous pouvez choisir :

  • PUBLIC (par défaut) - Les noms de domaine sont résolus à l'aide de résolveurs DNS publics.

  • IN_VPC - Les noms de domaine sont résolus à l'aide du serveur DNS configuré dans le jeu d'options DHCP du VPC dans lequel se trouve la passerelle de ressources. Vous devez l’utiliser si vous employez un serveur DNS privé ou si vos cibles de noms de domaine se trouvent dans une zone hébergée privée Route53.

Si la résolution DNS est IN_VPC, vous ne pouvez pas associer les configurations de ressources définies par l’ARN à la passerelle de ressources. Vous ne pouvez pas définir la résolution DNS sur IN_VPC si la passerelle de ressources utilise des sous-réseaux. IPv6-only