Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Qu'est-ce que c'est AWS Site-to-Site VPN ?
Par défaut, une instance que vous lancez au sein d'un Amazon VPC ne peut pas communiquer avec un réseau local (AWS Cloud) et un appareil distant. Par exemple, il peut s'agir d'un site ou d'un appareil sur site. Vous pouvez activer l'accès à vos appareils distants depuis votre VPC en créant une connexion AWS Site-to-Site VPN (Site-to-Site VPN) et en configurant le routage pour faire passer le trafic via cette connexion.
Bien que le terme connexion VPN soit un terme général, dans cette documentation, une connexion VPN fait référence à la connexion entre votre VPC et votre propre réseau local. Site-to-Site Le VPN prend en charge les connexions VPN de sécurité par protocole Internet (IPsec).
Table des matières
Concepts
Les concepts clés du Site-to-Site VPN sont les suivants :
-
Connexion VPN : connexion sécurisée entre votre équipement sur site et votre VPCs.
-
Tunnel VPN : lien chiffré où les données peuvent transiter par le réseau client vers ou depuis AWS.
Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour une haute disponibilité.
-
Passerelle client : AWS ressource qui fournit des informations AWS sur votre dispositif de passerelle client.
-
Dispositif de passerelle client : appareil physique ou application logicielle situé de votre côté de la connexion Site-to-Site VPN.
-
Passerelle cible : terme générique désignant le point de terminaison VPN du côté Amazon de la connexion Site-to-Site VPN.
-
Passerelle privée virtuelle : une passerelle privée virtuelle est le point de terminaison VPN du côté Amazon de votre connexion Site-to-Site VPN qui peut être rattaché à un seul VPC.
-
Passerelle de transit : hub de transit qui peut être utilisé pour interconnecter plusieurs VPCs réseaux locaux et comme point de terminaison VPN pour le côté Amazon de la Site-to-Site connexion VPN.
Site-to-Site Fonctionnalités du VPN
Les fonctionnalités suivantes sont prises en charge sur AWS Site-to-Site VPN les connexions :
-
Échange de clés Internet version 2 (IKEv2)
-
NAT Traversal
-
ASN à 4 octets compris entre 1 et 2147483647 pour une configuration de passerelle privée virtuelle (VGW). Pour plus d’informations, consultez Options de passerelle client pour votre AWS Site-to-Site VPN connexion.
-
ASN à 2 octets pour Customer Gateway (CGW) compris entre 1 et 65 535. Pour plus d’informations, consultez Options de passerelle client pour votre AWS Site-to-Site VPN connexion.
-
CloudWatch métriques
-
Adresses IP réutilisables pour vos passerelles client
-
Options de chiffrement supplémentaires, notamment chiffrement AES 256 bits, hachage SHA-2 et groupes Diffie-Hellman supplémentaires
-
Options de tunnel configurables
-
ASN privé personnalisé pour le côté Amazon d'une session BGP
-
Certificat privé d'une autorité de certification subordonnée de AWS Private Certificate Authority
-
Support pour le IPv6 support pour le AWS Site-to-Site VPN
-
IPv6 pour les adresses IP du tunnel interne (IP du paquet)
-
IPv6 pour les adresses IP des tunnels extérieurs (IP des tunnels) sur Transit Gateway et Cloud WAN
-
-
Support de IPv6 migration complet avec les combinaisons suivantes :
-
IPv6 IP du tunnel extérieur avec IP du paquet IPv6 intérieur (IPv6-in-IPv6)
-
IPv6 IP du tunnel extérieur avec IP du paquet IPv4 intérieur (IPv4-in-IPv6)
-
Site-to-Site Limites du VPN
Les limites d'une connexion Site-to-Site VPN sont les suivantes.
-
IPv6 le trafic n'est pas pris en charge pour les connexions VPN sur une passerelle privée virtuelle. IPv6 pour le tunnel extérieur n' IPs est pris en charge que sur Transit Gateway et Cloud WAN.
-
Une AWS VPN connexion ne prend pas en charge Path MTU Discovery.
-
Une seule connexion Site-to-Site VPN ne peut pas prendre en charge à la fois IPv6 le trafic IPv4 et le trafic. Vous avez besoin de connexions VPN distinctes pour le transport IPv4 et IPv6 les paquets.
-
Les connexions VPN IP privées ne prennent pas en charge IPv6 les adresses pour le tunnel extérieur IPs.
-
Vous ne pouvez pas modifier une connexion IPv4 VPN existante pour l'utiliser IPv6. Vous devez supprimer la connexion existante et en créer une nouvelle.
En outre, tenez compte des points suivants lorsque vous utilisez Site-to-Site un VPN.
-
Lorsque vous vous connectez VPCs à un réseau local commun, nous vous recommandons d'utiliser des blocs CIDR qui ne se chevauchent pas pour vos réseaux.
Site-to-Site Ressources VPN
Vous pouvez créer, accéder et gérer vos ressources Site-to-Site VPN à l'aide de l'une des interfaces suivantes :
-
AWS Management Console— Fournit une interface Web que vous pouvez utiliser pour accéder à vos ressources Site-to-Site VPN.
-
AWS Command Line Interface (AWS CLI) — Fournit des commandes pour un large éventail de AWS services, y compris Amazon VPC, et est compatible avec Windows, macOS et Linux. Les lignes de commande sont incluses dans la AWS Site-to-Site VPN référence de ligne de commande plus large EC2
-
Pour des informations générales sur l'interface de ligne de commande, consultez AWS Command Line Interface
. -
Pour la liste des EC2 commandes disponibles, y compris les commandes Site-to-Site VPN, consultez la section Référence de ligne de EC2 commande.
Note
La référence à la ligne de commande ne fait pas la différence entre les commandes Site-to-Site VPN et le plus grand ensemble de EC2 commandes
-
-
AWS SDKs— Fournissez des informations spécifiques à la langue APIs et prend en charge de nombreux détails de connexion, tels que le calcul des signatures, la gestion des nouvelles tentatives de demande et la gestion des erreurs. Pour de plus amples informations, veuillez consulter AWS SDKs
. -
API de requête : Fournit des actions d'API de bas niveau appelées à l'aide de demandes HTTPS. L'utilisation de l'API de requête est le moyen le plus direct d'accéder à Amazon VPC;, mais elle nécessite que votre application gère les détails de bas niveau, tels que la génération d'un hachage pour signer la demande et le traitement des erreurs. Pour plus d'informations, consultez le Amazon EC2 API Reference.
Tarification
Vous êtes facturé pour chaque heure de connexion VPN pendant laquelle votre connexion VPN est fournie et disponible. Pour plus d'informations, consultez AWS Site-to-Site VPN la section Tarification de la connexion Site-to-Site VPN accélérée
Le transfert de données depuis Amazon EC2 vers Internet vous est facturé. Pour plus d'informations, consultez la section Transfert de données
Lorsque vous créez une connexion VPN accélérée, nous créons et gérons deux accélérateurs en votre nom. Vous êtes facturé à un tarif horaire et aux frais de transfert de données pour chaque accélérateur. Pour en savoir plus, consultez Pricing AWS Global Accelerator
L'utilisation d' IPv6 adresses avec vos connexions Site-to-Site VPN est gratuite.