20 | 11 | 2020

Quels éléments de mise en réseau entrent dans AWS VPC?

Découvrez la magie de la mise en réseau derrière AWS VPC : découvrez les éléments !

Introduction

Amazon Web Services Virtual Private Cloud (AWS VPC) est un réseau virtuel dédié au compte AWS de l'utilisateur. Il permet à l'utilisateur de lancer des ressources AWS dans un réseau virtuel qu'il a défini. Un VPC comprend plusieurs composants, notamment des sous-réseaux, des tables de routage, des passerelles réseau, des groupes de sécurité et des listes de contrôle d'accès au réseau. Ces composants fonctionnent ensemble pour fournir à l'utilisateur un environnement sécurisé et isolé pour exécuter ses applications et stocker ses données. De plus, VPC permet à l'utilisateur de contrôler l'accès à ses ressources et de se connecter à des VPC sur site ou à d'autres VPC.

Histoire principale

Les composants d'AWS VPC sont essentiels car ils fournissent à l'utilisateur les outils nécessaires pour construire et gérer son infrastructure de réseau virtuel. De plus, ces composants aident l'utilisateur à sécuriser, isoler et contrôler l'accès à ses ressources AWS.

Les sous-réseaux sont un composant essentiel d'un VPC. Ils permettent aux utilisateurs de partitionner leur VPC en segments de réseau plus petits et de contrôler le flux de trafic entre eux. Les utilisateurs peuvent isoler leurs ressources en créant plusieurs sous-réseaux, en appliquant des politiques de sécurité réseau et en implémentant des groupes de sécurité réseau pour contrôler le trafic entrant et sortant.

Les tables de routage sont également un composant essentiel d'un VPC. Ils dictent le flux de trafic réseau au sein d'un VPC et entre différents sous-réseaux. L'utilisateur peut utiliser des tables de routage pour spécifier la cible du trafic réseau, comme un sous-réseau spécifique ou une passerelle réseau privé virtuel. Cela permet à l'utilisateur de contrôler et de gérer le trafic réseau au sein de son VPC, en s'assurant que ses ressources sont sécurisées et accessibles.

Les passerelles réseau, telles que les passerelles Internet, les passerelles VPN et les passerelles Direct Connect, sont également des composants essentiels d'un VPC. Ils fournissent à l'utilisateur un moyen de connecter son VPC à Internet ou à d'autres VPC, lui permettant d'accéder à ses ressources et de contrôler le flux de trafic réseau. Les passerelles réseau sont intégrées aux tables de routage du VPC pour contrôler le flux de trafic réseau entre le VPC et Internet ou d'autres VPC.

Les groupes de sécurité et les listes de contrôle d'accès (ACL) réseau sont également des composants essentiels d'un VPC. Ils contrôlent le flux du trafic réseau entrant et sortant et garantissent que seul le trafic autorisé peut entrer ou sortir du VPC. De plus, les groupes de sécurité et les ACL peuvent être utilisés pour restreindre l'accès à des ports, des adresses IP ou des sous-réseaux spécifiques. Ils travaillent ensemble pour assurer la sécurité des ressources de l'utilisateur.

En conclusion, AWS VPC travaille ensemble pour fournir à l'utilisateur une infrastructure de réseau virtuel sécurisée, isolée et flexible. Grâce à ces composants, l'utilisateur peut contrôler et gérer son trafic réseau, sécuriser ses ressources et se connecter à d'autres réseaux.

Quelques faits et statistiques intéressants sur AWS VPC :

  1. Amazon VPC est l'un des services de cloud computing les plus utilisés, avec des millions d'utilisateurs actifs.
  2. AWS VPC fournit une mise en réseau virtuelle sécurisée et évolutive pour les ressources Amazon Web Services (AWS).
  3. AWS VPC permet aux clients de lancer des ressources Amazon Web Services (AWS) dans un réseau virtuel défini par le client.
  4. Le trafic AWS VPC peut être isolé de l'Internet public, offrant un niveau de sécurité plus élevé.
  5. AWS VPC prend en charge les plages d'adresses IPv4 et IPv6.
  6. AWS VPC peut être étendu à des réseaux distants via VPN ou AWS Direct Connect.
  7. AWS VPC propose plusieurs options de contrôle d'accès au réseau définies par le client, notamment des groupes de sécurité et des ACL réseau.
  8. AWS VPC prend en charge de nombreuses topologies de réseau, y compris les sous-réseaux publics, les sous-réseaux privés et les connexions VPN matérielles.
  9. AWS VPC offre aux clients un degré élevé de personnalisation du réseau, y compris la prise en charge de plusieurs plages d'adresses IP, la segmentation du réseau et des contrôles d'accès précis.
  10. AWS VPC est disponible dans plusieurs régions et zones de disponibilité, offrant aux clients une haute disponibilité et une tolérance aux pannes pour leur infrastructure réseau.
Systèmes v500 | solutions d'intelligence artificielle d'entreprise

Optimisation de l'efficacité commerciale avec les solutions cloud AWS


Libérez tout le potentiel de votre entreprise avec la technologie cloud AWS

Dans cet article, nous souhaitons vous présenter tous les composants réseau qui font partie d'Amazon Web Services (AWS). Nous examinerons de plus près chaque élément, ce qu'il fait et comment il s'intègre à l'infrastructure globale. Espérons qu'il répondra à certaines de vos questions et qu'en comprenant mieux, vous serez tenté d'utiliser ces services.

Avant d'entrer dans tous les détails, nous tenons à souligner qu'une bonne conception de réseau est la base d'une infrastructure de centre de données sur site. Il en va de même pour l'environnement Cloud (post 10 meilleures pratiques Bethe st de conception de réseau pour votre infrastructure). Nous tenons également à souligner que nous nous concentrons uniquement sur l'aspect réseau et sécurité d'AWS ; tous les autres services sont hors de portée dans ce blog.

Qu'est-ce qu'Amazon VPC?

Amazon Virtual Private Cloud (Amazon VPC) vous permet de lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous exploiteriez dans votre propre centre de données, avec les avantages de l'utilisation de l'infrastructure évolutive d'AWS.

VPC – un réseau virtuel dédié à votre compte AWS, où vous pouvez exécuter plusieurs réseaux et les isoler les uns des autres pour une meilleure sécurité et conformité. Connectez votre centre de données sur site et exécutez une solution de réseau hybride. La solution évolutive et agile pour améliorer vos opérations commerciales.

Qu'est-ce que la région AWS?

AWS a un concept de région, un emplacement physique autour du monde où nous regroupons les centres de données. Nous appelons chaque groupe de centres de données logiques une zone de disponibilité. La région EacAZsS se compose de plusieurs AZ isolées et physiquement séparées au sein d'une zone géographique. Contrairement à d'autres cloudnombrers, qui définissent souvent une région comme un seul centre de données, la conception multiple AZ de chaque région AWS offre des avantages aux clients. Chaque AZ dispose d'une alimentation, d'un refroidissement et d'une sécurité physique indépendants connectés via des réseaux redondants à très faible latence. Les clients AWS axés sur la haute disponibilité peuvent concevoir leurs applications pour exécuter plusieurs zones de disponibilité afin d'obtenir la tolérance aux pannes la plus élevée. Par conséquent, les régions d'infrastructure AWS répondent aux niveaux de sécurité, de conformité et de protection des données les plus élevés.

AWS offre une empreinte mondiale plus étendue que tout autre fournisseur de cloud. Pour soutenir son empreinte mondiale et s'assurer que les clients sont servis dans le monde entier, AWS ouvre rapidement de nouvelles régions. Par conséquent, AWS gère plusieurs régions géographiques, notamment des régions en Amérique du Nord, en Amérique du Sud, en Europe, en Chine, en Asie-Pacifique, en Afrique du Sud et au Moyen-Orient.

Régions du monde AWS

Cloud AWS : la clé pour rationaliser les opérations et réduire les coûts

Zones de disponibilité

Une zone de disponibilité (AZ) est un centre de données discret disposant d'une alimentation, d'une mise en réseau et d'une connectivité redondantes dans une région AWS. Les AZ permettent aux clients d'exploiter des applications de production et des bases de données qui sont plus hautement disponibles, tolérantes aux pannes et évolutives que ce qui serait possible à partir d'un seul centre de données. Toutes les AZ d'une région AWS sont interconnectées avec un réseau à bande passante élevée et à faible latence, sur une metAZsibre dédiée entièrement redondante, fournissant une mise en réseau à haut débit et à faible latence entre les AZ. Tout le trafic entre les AZ est chiffré, les performances du réseau AZ sont suffisantes pour réaliser une réplication synchrone entre les AZ. Les AZ facilitent la disponibilité des applications de partitionnement. Si une application est partie, les entreprises sont mieux isolées et protégées contre des problèmes tels que les pannes de pAZ, les coups de foudre, les tremblements de terre importants, etc. Les AZ sont physiquement séparées par une distance considérable, plusieurs kilomètres, de toute autre AZ, bien que toutes soient à moins de 100 km (60 miles) les unes des autres.

La haute disponibilité

Contrairement aux autres fournisseurs d'infrastructure AZshnology, chaque région AWS possède plusieurs AZ. Comme nous l'avons appris en exécutant la plate-forme technologique d'infrastructure cloud leader depuis 2006, les clients qui se soucient des performances de disponibilité de leurs applications souhaitent déployer ces applications sur plusieurs AZ dans la même région pour une tolérance aux pannes et une faible latence. Les zones de disponibilité sont connectées à un réseau de fibre optique rapide et privé, ce qui implique de concevoir efficacement des applications qui basculent automatiquement entre les zones de disponibilité sans interruption.

Le plan de contrôle AWS (y compris les API) et AWS Management Console sont répartis dans les régions AWS et utilisent une architecture multi-AZ dans chaque région pour assurer la résilience et la disponibilité continue. Cela garantit que les clients évitent la dépendance de services critiques vis-à-vis d'un seul centre de données. AWS peut effectuer des activités de maintenance sans rendre temporairement indisponible un service vital pour un client.

Systèmes v500 | solutions de réseautage et de sécurité d'entreprise

Comment le cloud AWS peut révolutionner vos processus métier

Réseau / sous-réseaux

Principes de base du VPC et du sous-réseau

Un cloud privé virtuel (VPC) est un réseau virtuel dédié à votre compte AWS. Il est logiquement isolé des autres réseaux virtuels dans le cloud AWS. Vous pouvez lancer vos ressources AWS, telles que les instances Amazon EC2, dans votre VPC.

Lorsque vous créez un VPC, vous devez spécifier une plage d'adresses IPv4 pour le VPC sous la forme d'un bloc de routage inter-domaines sans classe (CIDR); par exemple, 10.0.0.0/16.

Segmentation du réseau

Bien que vous disposiez d'un réseau ./16 au sein de votre VPC, aucun n'a besoin de 65k plus d'adresse IP, pas même les entreprises FTSE 100 GIPsl Enterprise. En disant cela, il est bon d'avoir plus d'adresses IP car vous pouvez les segmenter en sous-réseaux beaucoup plus petits - ./24, par exemple, vous donnant plus de 250 adresses IP. Ceci est important et doit être énoncé clairement dès le début. Une bonne conception vous aidera à déployer les services dont vous avez besoin et à les isoler ; serveurs Web, applications, bases de données et autres. Un autre élément essentiel est de ne pas avoir les mêmes plages de réseau dans le Cloud et le réseau sur site, car cela peut entraîner des conflits à l'avenir.

Sous-réseaux privés

Honnêtement, il n'y a pas de sous-réseaux privés ou publics. Le terme est utilisé pour décrire – les sous-réseaux privés ; ces permis qui sont isolés et n'ont pas accès à Internet ou l'accès depuis Internet n'est pas autorisé à ces sous-réseaux/réseaux. Très probablement, votre base de données sera sur ces réseaux et autres services sécurisés.

Sous-réseaux publics

Le trafic est autorisé et filtré d'Internet vers les sous-réseaux/réseaux publics. Les hôtes au sein de ces réseaux ont des adresses IP privées, un IPscess peut être acheminé via des passerelles Internet et des adresses IP publiques associées (allocation IP élastique)

Comment fournissons-nous des réseaux de données et une infrastructure cyber-sécurisée? | Systèmes v500

Cloud AWS : l'avenir de la croissance et de l'innovation des entreprises

Isoler les réseaux

Pour un contrôle d'accès réseau supplémentaire, vous pouvez exécuter vos instances DB dans un Amazon VPC. Amazon VPC vous permet d'isoler vos instances de base de données en spécifiant la plage d'adresses IP que vous souhaitez utiliser et de vous connecter à votre ajout existant, exécutez l'infrastructure via un VPN IPsec chiffré aux normes de l'industrie. L'exécution d'Amazon RDS dans un VPC vous permet d'avoir une instance de base de données dans un sous-réseau privé. Vous pouvez également configurer une passerelle réseau privé virtuel qui étend votre réseau d'entreprise dans votre VPC et autorise l'accès à l'instance de base de données RDS dans ce VPC.

Pour les déploiements multi-AZ, la définition d'un sous-réseau pour toutes les zones de disponibilité d'une région permettra à Amazon RDS de créer une nouvelle réserve dans une autre zone de disponibilité en cas de besoin. Vous pouvez créer des collections de groupes de sous-réseaux DB de sous-réseaux que vous pouvez désigner pour vos instances DB RDS dans un VPC. Chaque groupe de sous-réseaux DB doit avoir au moins un sous-réseau pour chaque zone de disponibilité dans une région donnée. Dans ce cas, lorsque vous créez une instance DB dans un VPC, vous sélectionnez un groupe de sous-réseaux DB ; Amazon RDS utilise ensuite ce groupe de sous-réseaux DB et votre zone de disponibilité préférée pour sélectionner un sous-réseau et une adresse IP au sein de ce sous-réseau. Amazon RDS crée et associe une interface réseau élastique à votre instance de base de données avec cette adresse IP.

Les instances DB déployées dans un Amazon VPC sont accessibles à partir d'Internet ou d'instances Amazon EC2 en dehors du VPC via un VPN ou des hôtes bastion thamustunch dans votre sous-réseau public. Pour utiliser un hôte bastion, vous devez configurer un sous-réseau public avec une instance EC2 qui agit comme un bastion SSH. Ce sous-réseau public doit disposer d'une passerelle Internet et de règles de routage qui permettent de diriger le trafic via l'hôte SSH, qui doit ensuite transmettre les demandes à la confidentialité de votre instance de base de données Amazon RDS.

Les groupes de sécurité DB peuvent aider à sécuriser les instances DB au sein d'un Amazon VPC. En outre, le trafic réseau entrant et sortant de chaque sous-réseau peut être autorisé ou refusé via les ACL réseau. Enfin, tout le trafic réseau entrant ou sortant de votre Amazon VPC via votre connexion VPN IPsec peut être inspecté par votre infrastructure de sécurité sur site, y compris les pare-feux réseau et les systèmes de détection d'intrusion.

Groupes de sécurité pour votre VPC

groupe de sécurité agit comme un pare-feu virtuel, par exemple en contrôlant le trafic entrant et sortant. Lorsque vous lancez un modèle dans un VPC, vous pouvez attribuer cinq groupes de sécurité à l'instance. Les groupes de sécurité agissent au niveau de l'instance, pas au niveau du sous-réseau. Par conséquent, chaque instance d'un sous-réseau de votre VPC peut être attribuée à un ensemble différent de groupes de sécurité.

Supposons que vous lanciez une instance à l'aide de l'API Amazon EC2 ou d'un outil de ligne de commande et que vous ne spécifiiez pas de groupe de sécurité. Dans ce cas, l'instance est automatiquement affectée au groupe de sécurité par défaut pour le VPC si vous lancez une instance à l'aide de la console Amazon EC2 ; vous pouvez créer un nouveau groupe de sécurité, par exemple.

Pour chaque groupe de sécurité, vous ajoutez  qui contrôlent le trafic vers les instances et un ensemble distinct de règles qui contrôlent le trafic sortant. Cette section décrit les pratiques de base que vous devez connaître concernant les groupes de sécurité pour votre VPC et leurs pratiques.

Liste de contrôle d'accès au réseau (NACL)

Une liste de contrôle d'accès réseau (NACL) est une couche de sécurité facultative pour votre VPC qui agit comme un pare-feu pour contrôler le trafic entrant et sortant d'un ou plusieurs sous-réseaux. Vous pouvez configurer des ACL réseau avec des règles similaires à celles de vos groupes de sécurité pour ajouter une couche de sécurité à votre VPC.

NACL effectue un certain filtrage entre les réseaux. Cependant, nous avons fortement réussi à déployer un pare-feu de nouvelle génération, tel que Palo Alto, pour réaliser une inspection granulaire sur toutes les couches 7x de votre infrastructure VPC, sans parler du trafic provenant d'Internet.

En savoir plus sur les pare-feu Next-Gen, article dédié à ce sujet

Contrôle du routage

Tableau des itinéraires — Un ensemble de règles, appelées routes, détermine où le trafic réseau est dirigé.

Il vous donne une manière granulaire où le trafic peut aller ou influencer le trafic, ce qui est très utile dans la séparation des réseaux privés.

Passerelle Internet

Une passerelle Internet est un composant VPC mis à l'échelle horizontalement, redondant et hautement disponible qui permet la communication entre votre VPC et Internet.

Une passerelle Internet a deux objectifs: fournir une cible dans vos tables de routage VPC pour le trafic routable par Internet et effectuer une traduction d'adresses réseau (NAT) pour les instances auxquelles des adresses IPv4 publiques ont été attribuées.
Contrairement à NAT Gateway, Internet Gateway autorisera le trafic vers vos instances dans VPC à partir d'Internet.

Passerelles Internet de sortie uniquement

Une passerelle Internet de sortie uniquement est un composant VPC mis à l'échelle horizontalement, redondant et hautement disponible qui permet la communication sortante sur IPv6 à partir d'instances de votre VPC vers Internet. Il empêche Internet d'initier une connexion IPv6 avec vos instances.

 

Systèmes v500 | solutions de réseaux d'entreprise et de cybersécurité

Les avantages de déplacer votre entreprise vers le cloud AWS

Passerelle NAT

Vous pouvez utiliser une passerelle de traduction d'adresses réseau (NAT) pour permettre aux instances d'un sous-réseau privé de se connecter à Internet ou à d'autres services AWS, mais empêcher Internet d'établir une connexion avec ces instances. En d'autres termes, une session créée par un hébergeur sur Internet sera refusée.
Cette fonction est utile si vous souhaitez que les serveurs -> instances d'un réseau sécurisé/restreint obtiennent les mises à jour de sécurité, les correctifs et les mises à jour antivirus à récupérer sur Internet.
Si vous voulez en savoir plus sur le NAT, veuillez lire notre article à ce sujet.

Adresse IP élastique

An Adresse IP élastique est une adresse IPv4 statique conçue pour le cloud computing dynamique. À l'aide d'une adresse IP Elastic, vous pouvez masquer une défaillance d'instance ou de logiciel en remappant rapidement l'adresse vers une autre instance de votre compte. Une adresse IP Elastic est attribuée à votre compte AWS et vous appartient jusqu'à ce que vous la libériez.

Une adresse IP Elastic est une adresse IPv4 publique accessible depuis Internet. Si votre instance n'a pas d'adresse IPv4 publique, vous pouvez associer une adresse IP Elastic à votre instance pour permettre la communication avec Internet. Cela vous permet par exemple de vous connecter à votre instance depuis votre ordinateur local.

AWS ne prend actuellement pas en charge les adresses IP Elastic pour IPv6.

Connexions VPN à votre cloud AWS - VPC

VPN de site à site AWS

Vous pouvez créer une connexion VPN IPsec entre votre VPC et votre réseau distant. Une passerelle réseau privé virtuel ou une passerelle de transit fournit deux points de terminaison VPN (tunnels) pour le basculement automatique du côté AWS de la connexion Site-to-Site VPN. Ensuite, vous configurez votre périphérique de passerelle client sur le côté distant de la connexion VPN de site à site.

VPN client AWS

AWS Client VPN est un service VPN géré basé sur le client qui vous permet d'accéder en toute sécurité à vos ressources AWS ou à votre réseau sur site. Avec AWS Client VPN, vous configurez un point de terminaison auquel vos utilisateurs peuvent se connecter pour établir une session VPN TLS sécurisée. Cela permet aux clients d'accéder aux ressources dans AWS ou sur site à partir de n'importe quel emplacement à l'aide d'un client VPN basé sur OpenVPN.

AWS VPN CloudHub

Supposons que vous disposiez de plusieurs réseaux distants (par exemple, plusieurs succursales). Dans ce cas, vous pouvez créer diverses connexions AWS Site-to-Site VPN via votre passerelle réseau privé virtuel pour permettre la communication entre ces réseaux.

Appliance VPN de logiciel tiers

Vous pouvez créer une connexion VPN à votre réseau distant en utilisant une instance Amazon EC2 dans votre VPC qui exécute une appliance VPN logicielle tierce. Malheureusement, AWS ne fournit ni ne gère d'appliances VPN logicielles tierces ; cependant, vous pouvez choisir parmi une gamme de produits proposés par des partenaires et des communautés open source.

systèmes v500 | blog | aci - infrastructure centrée sur les applications

Cloud AWS : favoriser l'agilité et la résilience de l'entreprise

 

 

 

Prêt à commencer?


Nuage | Informatique | Stockage | Services | Fournisseurs | Sécurité | Migration | Architecture | Infrastructures | Solutions basées | Économies de coûts | Évolutivité | Flexibilité | Applications natives | Plates-formes basées | Nuage hybride | Nuage public | Nuage privé | Logiciel basé sur le cloud | Analyse basée sur le cloud | IA/ML/NLP basé sur le cloud

 

Agissez maintenant, inscrivez-vous : profitez de la puissance de l'IA pour le traitement de documents

Libérez la puissance de l'IA avec notre offre irrésistible. Lancez-vous GRATUITEMENT sur la comparaison de documents multiples par IA et la recherche cognitive intelligente dès aujourd'hui. Bénéficiez d'une efficacité, d'une précision et d'un gain de temps inégalés. Après l'essai gratuit, continuez la transformation pour seulement $ 20/mois. Ne manquez pas cette opportunité révolutionnaire. Renforcez votre parcours de traitement de documents dès maintenant.

Veuillez consulter nos études de cas et autres articles pour en savoir plus:

Data Network Automation, comment Cisco ACI fournit une plate-forme réseau agile ?

Comment la recherche intelligente peut-elle vous rendre cohérent au travail avec moins d'effort ?

Pourquoi NAT parce que le monde a manqué d'adresses IPv4 en février 2010 ?

Quels sont les moyens de connecter un réseau sur site à AWS Cloud?

#cloud #économies #évolutivité #intelligenceartificielle #machinelearning #croissance

MC

ARTICLES LIÉS

07 | 05 | 2024

Que vendons-nous ?

Découvrez la puissance de la compréhension de documents par l'IA avec aiMDC. Rationalisez les flux de travail, améliorez la précision et récupérez du temps grâce à des fonctionnalités innovantes telles que la comparaison de plusieurs documents et l'affichage des faits saillants. Dites adieu au traitement manuel des documents et bonjour à l’efficacité et à la perspicacité
05 | 05 | 2024

Combien de temps faut-il pour devenir créatif

Explorez le pouvoir transformateur de l’intelligence artificielle pour accélérer le voyage vers la créativité. Qu'il s'agisse de rationaliser les tâches ou de fournir de l'inspiration, l'IA remodèle le paysage de l'innovation, permettant aux individus de libérer leur potentiel créatif comme jamais auparavant.
01 | 05 | 2024

Une façon intelligente de demander à l'IA

Explorez l'art du questionnement précis en exploitant l'IA pour l'analyse de documents. Découvrez des stratégies pour maximiser les informations et rationaliser les processus d'extraction de données
27 | 04 | 2024

Détails Bâtir la confiance : l'IA est très efficace dans les détails | 'QUANTIQUE 5' S1, E10

Plongez dans le monde du traitement de documents basé sur l'IA et découvrez comment son attention méticuleuse aux détails renforce la confiance en garantissant précision et fiabilité.