Activation de l’accès à Internet pour un VPC à l’aide d’une passerelle Internet
Une passerelle Internet est un composant de VPC dimensionné horizontalement, redondant et hautement disponible qui permet la communication entre votre VPC et Internet. Elle prend en charge le trafic IPv4 et IPv6. Elle ne génère pas de risques de disponibilité ou de contraintes de bande passante sur votre trafic réseau.
Une passerelle Internet active des ressources de vos sous-réseaux publics (telles que les instances EC2) pour se connecter à l'Internet si elles comportent une adresse IPv4 publique ou une adresse IPv6. De même, les ressources sur Internet peuvent établir une connexion à des ressources de votre sous-réseau à l'aide de l'adresse IPv4 publique ou de l'adresse IPv6. Par exemple, une passerelle Internet vous permet de vous connecter à une instance EC2 dans AWS à l'aide de votre ordinateur local.
Une passerelle Internet fournit une cible dans vos tables de routage VPC pour le trafic routable par Internet. Pour la communication via IPv4, la passerelle Internet effectue la traduction d'adresses réseau (NAT). Pour plus d'informations, consultez Adresses IP et NAT.
Tarification
Il n'y a pas de frais pour une passerelle Internet, mais il y a des frais de transfert de données pour les instances EC2 qui utilisent des passerelles Internet. Pour plus d'informations, consultez Amazon EC2 On-Demand Pricing
Table des matières
Principes de base des passerelles Internet
Pour utiliser une passerelle Internet, vous devez l’attacher à un VPC et configurer le routage.
Configuration du routage
Si un sous-réseau est associé à une table de routage comportant une route vers une passerelle Internet, il est reconnu comme un sous-réseau public. Si un sous-réseau est associé à une table de routage ne comportant pas de route vers une passerelle Internet, il est reconnu comme un sous-réseau privé.
Dans la table de routage de votre sous-réseau public, vous pouvez spécifier pour la passerelle Internet une route vers toutes les destinations qui ne sont pas explicitement connues de la table de routage (0.0.0.0/0 pour IPv4 ou ::/0 pour IPv6). Vous pouvez également définir la route vers une plage d'adresses IP plus restreinte, par exemple, les adresses IPv4 publiques des points de terminaison publics de votre entreprise en dehors de AWS, ou les adresses IP Elastic d'autres instances Amazon EC2 situées en dehors de votre VPC.
Schéma de la passerelle Internet
Dans le schéma ci-dessous, le sous-réseau de la zone de disponibilité A est un sous-réseau public, car sa table de routage comporte une route qui dirige tout le trafic IPv4 entrant lié à Internet vers la passerelle Internet. Les instances du sous-réseau public doivent avoir des adresses IP publiques ou des adresses IP Elastic pour permettre la communication avec Internet via la passerelle Internet. À titre de comparaison, le sous-réseau de la zone de disponibilité B est un sous-réseau privé, car sa table de routage n'a pas d'acheminement vers la passerelle Internet. Puisqu’il n’existe aucune route vers la passerelle Internet, les instances du sous-réseau privé ne peuvent pas communiquer avec Internet, même si elles disposent d’adresses IP publiques.
Adresses IP et NAT
Pour permettre la communication via Internet pour IPv4, votre instance doit comporter une adresse IPv4 publique. Vous pouvez soit configurer votre VPC pour affecter automatiquement des adresses IPv4 publiques à vos instances, soit affecter des adresses IP Elastic à vos instances. Votre instance ne connaît que l'espace d'adresse IP privée (interne) défini au sein du VPC et du sous-réseau. La passerelle Internet fournit logiquement la relation NAT un-à-un sur le compte de votre instance, de sorte que lorsque le trafic quitte le sous-réseau de votre VPC et va sur Internet, le champ d'adresse de réponse est défini sur l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance, et non sur son adresse IP privée. Inversement, l'adresse de destination du trafic qui est destiné pour l'adresse IPv4 publique ou l'adresse IP Elastic de votre instance est convertie en adresse IPv4 privée de l'instance avant que le trafic ne soit distribué au VPC.
Pour permettre la communication via Internet pour IPv6, votre VPC et un sous-réseau doivent avoir un bloc d'adresse CIDR IPv6 associé et une adresse IPv6 doit être attribuée à votre instance à partir de la plage du sous-réseau. Les adresses IPv6 sont globalement uniques et par conséquent publiques par défaut.
Accès Internet pour les VPC par défaut et personnalisés
Le tableau suivant fournit une vue d'ensemble qui indique si votre VPC est automatiquement associé aux composants requis pour l'accès Internet via IPv4 ou IPv6.
| Composant | VPC par défaut | VPC personnalisé |
|---|---|---|
| Passerelle Internet | Oui | Non |
| Table de routage avec route vers une passerelle Internet pour le trafic IPv4 (0.0.0.0/0) | Oui | Non |
| Table de routage avec route vers une passerelle Internet pour le trafic IPv6 (::/0) | Non | Non |
| Adresse IPv4 publique attribuée automatiquement à l'instance lancée dans le sous-réseau | Oui (sous-réseau par défaut) | Non (sous-réseau personnalisé) |
| Adresse IPv6 attribuée automatiquement à l'instance lancée dans le sous-réseau | Non (sous-réseau par défaut) | Non (sous-réseau personnalisé) |
