Embed Size (px)
Citation preview
AWS Site-to-Site VPNGuide de l'utilisateur
AWS Site-to-Site VPN Guide de l'utilisateur
AWS Site-to-Site VPN: Guide de l'utilisateurCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS Site-to-Site VPN Guide de l'utilisateur
Table of ContentsQu’est-ce qu’Site-to-Site VPN ? ............................................................................................................ 1
Composants de votre Site-to-Site VPN .......................................................................................... 1Passerelle réseau privé virtuel .............................................................................................. 1Passerelle client ................................................................................................................. 2
Catégories AWS Site-to-Site VPN ................................................................................................. 2Migration d’un VPN Classic AWS vers un VPN AWS ............................................................... 4
Exemples de configuration Site-to-Site VPN .................................................................................... 5Connexion Site-to-Site VPN unique ....................................................................................... 6Connexion Site-to-Site VPN unique avec une passerelle de transit ............................................. 6Connexions Site-to-Site VPN multiples ................................................................................... 7Connexions de Site-to-Site VPN multiples avec une passerelle de transit ..................................... 7
Options de routage Site-to-Site VPN ............................................................................................. 8Routage statique et dynamique ............................................................................................ 8Tables de routage et priorité de route VPN ............................................................................ 8
Configuration des tunnels VPN pour votre connexion Site-to-Site VPN ................................................ 9Utilisation de connexions Site-to-Site VPN redondantes pour contrer le failover ................................... 11
Démarrage ....................................................................................................................................... 14Création d'une passerelle client ................................................................................................... 14Création d'une passerelle réseau privé virtuel ............................................................................... 15Autorisation de la propagation du routage dans votre table de routage .............................................. 15Mise à jour de votre groupe de sécurité ....................................................................................... 16Création d'une connexion Site-to-Site VPN et configuration de la passerelle client ............................... 17Modification des routes statiques pour une connexion Site-to-Site VPN ............................................. 18Remplacement d'informations d'identification compromises .............................................................. 18
Test de la connexion Site-to-Site VPN ................................................................................................. 20Modification d'une passerelle cible de connexion Site-to-Site VPN ............................................................ 22
Étape 1 : Création de la passerelle de transit ................................................................................ 22Étape 2 : Suppression de vos routes statiques (obligatoire pour une connexion VPN statique migrantvers une passerelle de transit) .................................................................................................... 22Étape 3 : Migration vers une nouvelle passerelle ........................................................................... 23Étape 4 : Mise à jour des tables de routage de VPC ...................................................................... 23Étape 5 : Mise à jour du routage de la passerelle de transit (obligatoire lorsque la nouvelle passerelleest une passerelle de transit) ..................................................................................................... 24
Suppression d'une connexion Site-to-Site VPN ...................................................................................... 25VPN CloudHub ................................................................................................................................. 27Surveillance de votre connexion Site-to-Site VPN .................................................................................. 29
Outils de surveillance ................................................................................................................ 29Outils de surveillance automatique ...................................................................................... 29Outils de surveillance manuelle ........................................................................................... 30
Surveillance des tunnels VPN à l'aide de Amazon CloudWatch ........................................................ 30Dimensions et métriques du tunnel VPN .............................................................................. 31Afficher toutes les métriques CloudWatch du tunnel VPN ........................................................ 31Création d'alarmes CloudWatch pour surveiller des tunnels VPN .............................................. 32
Historique du document ..................................................................................................................... 34
iii
AWS Site-to-Site VPN Guide de l'utilisateurComposants de votre Site-to-Site VPN
Qu'est-ce qu'AWS Site-to-Site VPN ?Par défaut, les instances que vous lancez dans un Amazon VPC ne peuvent pas communiquer avecvotre propre réseau (distant). Vous pouvez permettre l'accès à votre réseau distant depuis votre VPC enattachant une passerelle réseau privé virtuel au VPC, en créant une table de routage personnalisée, enmettant à jour les règles de vos groupes de sécurité et en créant une connexion VPN gérée par AWS Site-to-Site VPN (Site-to-Site VPN).
Bien que le terme connexion VPN soit général, dans cette documentation, une connexion VPN faitréférence à la connexion entre votre VPC et votre propre réseau sur site. Site-to-Site VPN prend en chargeles connexions VPN utilisant l'Internet Protocol Security (IPsec).
Votre connexion Site-to-Site VPN est un VPN Classic AWS ou un VPN AWS. Pour plus d'informations,consultez Catégories AWS Site-to-Site VPN (p. 2).
Important
Le trafic IPv6 via une connexion Site-to-Site VPN n'est pas pris en charge actuellement.
Sommaire• Composants de votre Site-to-Site VPN (p. 1)• Catégories AWS Site-to-Site VPN (p. 2)• Exemples de configuration Site-to-Site VPN (p. 5)• Options de routage Site-to-Site VPN (p. 8)• Configuration des tunnels VPN pour votre connexion Site-to-Site VPN (p. 9)• Utilisation de connexions Site-to-Site VPN redondantes pour contrer le failover (p. 11)
Composants de votre Site-to-Site VPNUne connexion Site-to-Site VPN comprend les trois composants suivants. Pour plus d'informations sur leslimites de Site-to-Site VPN, consultez Limites Amazon VPC dans le Amazon VPC Guide de l'utilisateur.
Passerelle réseau privé virtuelUne passerelle réseau privé virtuel est le concentrateur VPN du côté Amazon de la connexion Site-to-SiteVPN. Vous créez une passerelle réseau privé virtuel et l'attachez au VPC à partir duquel vous souhaitezcréer la connexion Site-to-Site VPN.
Lorsque vous créez une passerelle réseau privé virtuel, vous pouvez spécifier le numéro d'ASN(Autonomous System Number) privé pour le côté Amazon de la passerelle. Si vous ne spécifiez pas d'ASN,la passerelle réseau privé virtuel est créée avec l'ASN par défaut (64512). Une fois la passerelle réseauprivé virtuel créée, vous ne pouvez pas modifier l'ASN. Pour vérifier l'ASN de votre passerelle réseau privévirtuel, affichez ses informations dans l'écran Passerelles réseau privé virtuel de la console Amazon VPCou utilisez la commande AWS CLI describe-vpn-gateways.
Note
Si vous créez votre passerelle réseau privé virtuel avant le 30-06-2018, l'ASN par défaut est 17493dans la région Asie-Pacifique (Singapour), 10124 dans la région Asie-Pacifique (Tokyo), 9059dans la région Europe (Irlande) et 7224 dans toutes les autres régions.
AWS Transit GatewayVous pouvez modifier la passerelle cible de connexion AWS Site-to-Site VPN d'une passerelle réseau privévirtuel à une passerelle de transit. Une passerelle de transit est un hub de transit que vous pouvez utiliser
1
AWS Site-to-Site VPN Guide de l'utilisateurPasserelle client
pour relier vos clouds privés virtuels (VPC) et les réseaux sur site. Pour plus d'informations, consultezModification d'une passerelle cible de connexion Site-to-Site VPN (p. 22).
Passerelle clientUne passerelle client est un périphérique physique ou une application logicielle de votre côté de laconnexion Site-to-Site VPN.
Pour créer une connexion Site-to-Site VPN, vous devez créer une ressource de passerelle client dansAWS, qui fournit des informations à AWS au sujet de votre périphérique de passerelle client. Le tableausuivant décrit les informations dont vous aurez besoin pour créer une ressource de passerelle client.
Elément Description
L'adresse IP routable par Internet (statique) del'interface externe de la passerelle client.
La valeur de l'adresse IP publique doit êtrestatique. Si votre passerelle client est situéederrière un périphérique de traduction d'adressesréseau (NAT) qui est activé pour NAT Traversal(NAT-T), utilisez l'adresse IP publique de votrepériphérique NAT et ajustez vos règles de pare-feupour débloquer le port UDP 4500.
Le type de routage : statique ou dynamique.— Pour plus d'informations, consultez Options deroutage Site-to-Site VPN (p. 8).
(Routage dynamique uniquement) Numéro d'ASN(Autonomous System Number) BGP (BorderGateway Protocol) de la passerelle client.
Vous pouvez utiliser un ASN existant assigné àvotre réseau. Si vous n'en avez pas, vous pouvezutiliser un ASN privé (dans la plage 64512–65534).
Si vous utilisez l'assistant VPC dans la consolepour configurer votre VPC, nous utilisonsautomatiquement 65 000 comme ASN.
Pour utiliser Amazon VPC avec une connexion Site-to-Site VPN, vous ou votre administrateur réseaudevez également configurer le périphérique ou l'application de passerelle client dans un réseau distant.Lorsque vous créez la connexion Site-to-Site VPN, nous vous fournissons les informations de configurationnécessaires, et c'est généralement votre administrateur réseau qui se charge de cette configuration. Pourplus d'informations sur les exigences et la configuration de la passerelle client, consultez la section Votrepasserelle client dans le Guide de l'administrateur réseau AWS Site-to-Site VPN.
Le tunnel VPN intervient lorsque le trafic est généré depuis votre côté de la connexion Site-to-Site VPN.La passerelle réseau privé virtuel n'en est pas l'initiatrice ; votre passerelle client doit lancer les tunnels.Si votre connexion Site-to-Site VPN subit une période d'inactivité (généralement 10 secondes, selon votreconfiguration), le tunnel peut s'arrêter. Vous pouvez utiliser un outil de supervision du réseau pour générerdes tests ping de connexion active pour l'en empêcher ; par exemple, en utilisant l'IP SLA (Internet protocolservice level agreement, contrat de niveau de service du protocole internet).
Pour une liste des passerelles client qui ont été testées avec Amazon VPC, consultez la FAQ sur AmazonVirtual Private Cloud.
Catégories AWS Site-to-Site VPNVotre connexion Site-to-Site VPN est une connexion VPN Classic AWS ou une connexion VPN AWS.Toute nouvelle connexion Site-to-Site VPN créée est une connexion VPN AWS. Les fonctions suivantessont uniquement prises en charge par les connexion VPN AWS :
2
AWS Site-to-Site VPN Guide de l'utilisateurCatégories AWS Site-to-Site VPN
• Internet Key Exchange version 2 (IKEv2)• NAT Traversal• ASN à 4 octets (en plus des ASN à 2 octets)• Métriques CloudWatch• Adresses IP réutilisables pour vos passerelles client• Options de chiffrement supplémentaires, notamment chiffrement AES 256 bits, hachage SHA-2 et
groupes Diffie-Hellman supplémentaires• Options de tunnel configurables• ASN privé personnalisé pour le côté Amazon d'une session BGP
Vous pouvez découvrir la catégorie de votre connexion Site-to-Site VPN en utilisant la console AmazonVPC ou un outil de ligne de commande.
Pour identifier la catégorie Site-to-Site VPN à l'aide de la console
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions ).3. Sélectionnez la connexion Site-to-Site VPN et vérifiez la valeur de Category (Catégorie) dans le volet
des détails. La valeur VPN indique une connexion VPN AWS. La valeur VPN-Classic indique uneconnexion VPN Classic AWS.
Pour identifier la catégorie Site-to-Site VPN à l'aide d'un outil de ligne de commande
• Vous pouvez utiliser la commande AWS CLI describe-vpn-connections. Prenez note de la valeurCategory figurant dans le résultat retourné. La valeur VPN indique une connexion VPN AWS. Lavaleur VPN-Classic indique une connexion VPN Classic AWS.
Dans l'exemple suivant, la connexion Site-to-Site VPN est une connexion AWS.
aws ec2 describe-vpn-connections --vpn-connection-ids vpn-1a2b3c4d
{ "VpnConnections": [ { "VpnConnectionId": "vpn-1a2b3c4d",
...
"State": "available", "VpnGatewayId": "vgw-11aa22bb", "CustomerGatewayId": "cgw-ab12cd34", "Type": "ipsec.1", "Category": "VPN" } ]}
Vous pouvez également utiliser l'une des commandes suivantes :
• DescribeVpnConnections (API de requête Amazon EC2)• Get-EC2VpnConnection (Outils pour Windows PowerShell)
3
AWS Site-to-Site VPN Guide de l'utilisateurMigration d’un VPN Classic AWS vers un VPN AWS
Migration d’un VPN Classic AWS vers un VPN AWSSi votre connexion Site-to-Site VPN existante est une connexion VPN Classic AWS, vous pouvez migrervers une connexion VPN AWS en créant une nouvelle passerelle réseau privé virtuel et une nouvelleconnexion Site-to-Site VPN, puis en détachant l'ancienne passerelle réseau privé virtuel de votre VPCavant d'attacher la nouvelle passerelle réseau privé virtuel au VPC.
Si votre passerelle réseau privé virtuel existante est associée à plusieurs connexions Site-to-Site VPN,vous devez recréer chaque connexion Site-to-Site VPN pour la nouvelle passerelle réseau privé virtuel. S'ily a plusieurs interfaces virtuelles privées AWS Direct Connect attachées à votre passerelle réseau privévirtuel, vous devez recréer chaque interface virtuelle privée pour la nouvelle passerelle réseau privé virtuel.Pour plus d'informations, consultez la section Création d'une interface virtuelle dans le AWS Direct ConnectGuide de l'utilisateur.
Si votre connexion Site-to-Site VPN existante est une connexion VPN AWS, vous ne pouvez pas migrervers une connexion VPN Classic AWS.
Note
Au cours de cette procédure, la connectivité via la connexion VPC actuelle est interrompuelorsque vous désactivez la propagation de route et détachez l'ancienne passerelle réseau privévirtuel de votre VPC. La connectivité est restaurée lorsque la nouvelle passerelle réseau privévirtuel est attachée à votre VPC et que la nouvelle connexion Site-to-Site VPN est active. Pensezà tenir compte des temps d'arrêt prévus.
Pour migrer vers une connexion VPN AWS
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Passerelles réseau privé virtuel, Créer une passerelle réseau
privé virtuel et créez une passerelle réseau privé virtuel.3. Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions ), Create VPN
Connection (Créer une connexion VPN). Spécifiez les informations suivantes, puis choisissez Oui,créer.
• Passerelles réseau privé virtuel : sélectionnez la passerelle réseau privé virtuel que vous avez crééeà l'étape précédente.
• Passerelle client : choisissez Existante, puis sélectionnez la passerelle client existante pour votreconnexion VPN Classic AWS actuelle.
• Spécifiez les options de routage nécessaires.4. Sélectionnez la nouvelle connexion Site-to-Site VPN et choisissez Download Configuration
(Télécharger la configuration). Téléchargez le fichier de configuration approprié pour votre périphériquede passerelle client.
5. Utilisez le fichier de configuration pour configurer les tunnels VPN sur votre périphérique de passerelleclient. Pour obtenir des exemples, consultez le Guide de l'administrateur réseau AWS Site-to-SiteVPN. N'activez pas les tunnels pour l'instant. Contactez votre fournisseur si vous avez besoin d'aidepour assurer la désactivation des tunnels que vous venez de configurer.
6. (Facultatif) Créez un VPC test et attachez-lui la passerelle réseau privé virtuel. Modifiez les adressesde destination de l'origine / du domaine de chiffrement si nécessaire, puis testez la connectivité depuisun hôte de votre réseau local vers une instance test dans le VPC test.
7. Si vous utilisez la propagation de route pour votre table de routage, choisissez Tables de routage dansle volet de navigation. Sélectionnez la table de routage de votre VPC et choisissez Propagation deroute, puis Modifier. Désélectionnez la case à cocher pour l'ancienne passerelle réseau privé virtuel,puis choisissez Enregistrer.
4
AWS Site-to-Site VPN Guide de l'utilisateurExemples de configuration Site-to-Site VPN
Note
À partir de cette étape, la connectivité est interrompue jusqu'à ce que la nouvelle passerelleréseau privé virtuel soit attachée et que la nouvelle connexion Site-to-Site VPN soit active.
8. Dans le volet de navigation, choisissez Virtual Private Gateways. Sélectionnez l'ancienne passerelleréseau privé virtuel, puis choisissez Actions, Detach from VPC (Détacher du VPC), Yes, Detach (Oui,détacher). Sélectionnez la nouvelle passerelle réseau privé virtuel, puis choisissez Actions, Attach toVPC (Attacher au VPC). Spécifiez le VPC pour votre connexion Site-to-Site VPN, puis choisissez Yes,Attach (Oui, attacher).
9. Dans le volet de navigation, choisissez Route Tables. Sélectionnez la table de routage pour votre VPCet effectuez l'une des actions suivantes :
• Si vous utilisez la propagation de route, choisissez Propagation de route, puis Modifier. Sélectionnezla nouvelle passerelle réseau privé virtuel qui est attachée au VPC, puis choisissez Enregistrer.
• Si vous utilisez des routes statiques, choisissez Routes, puis Modifier. Modifiez la route afin qu'ellepointe vers la nouvelle passerelle réseau privé virtuel, puis choisissez Enregistrer.
10. Activez les nouveaux tunnels sur votre périphérique de passerelle client et désactivez les ancienstunnels. Pour établir le tunnel, vous devez initier la connexion depuis votre réseau local.
Le cas échéant, vérifiez votre table de routage pour vous assurer que les routes sont propagées. Lesroutes sont propagées à la table de routage lorsque le statut du tunnel VPN est UP.
Note
Si vous devez revenir à votre configuration précédente, détachez la nouvelle passerelleréseau privé virtuel et suivez les étapes 8 et 9 afin d'attacher à nouveau l'ancienne passerelleréseau privé virtuel et de mettre à jour vos routes.
11. Si vous n'avez plus besoin de votre connexion VPN Classic AWS et ne souhaitez pas qu'elle continueà vous être facturée, supprimez les configurations de tunnel précédentes de votre périphérique depasserelle client, puis supprimez la connexion Site-to-Site VPN. Pour ce faire, accédez à Site-to-SiteVPN Connections (Connexions ) , sélectionnez la connexion Site-to-Site VPN et choisissez Delete(Supprimer).
Important
Après avoir supprimé la connexion VPN Classic AWS, vous ne pouvez plus la rétablir nimigrer votre nouvelle connexion VPN AWS vers une connexion VPN Classic AWS.
Exemples de configuration Site-to-Site VPNLes schémas suivants illustrent les connexions Site-to-Site VPN simples et multiples. Le VPC a unepasserelle réseau privé virtuel attachée, et votre réseau distant comprend une passerelle client que vousdevez configurer pour activer la connexion Site-to-Site VPN. Vous configurez le routage afin que le trafic devotre VPC lié à votre réseau soit acheminé vers la passerelle réseau privé virtuel.
Quand vous créez plusieurs connexions Site-to-Site VPN vers un seul VPC, vous pouvez configurer uneseconde passerelle client pour créer une connexion redondante vers le même emplacement externe.Vous pouvez également l'utiliser pour créer des connexions Site-to-Site VPN vers plusieurs emplacementsgéographiques.
5
AWS Site-to-Site VPN Guide de l'utilisateurConnexion Site-to-Site VPN unique
Connexion Site-to-Site VPN unique
Connexion Site-to-Site VPN unique avec unepasserelle de transit
6
AWS Site-to-Site VPN Guide de l'utilisateurConnexions Site-to-Site VPN multiples
Connexions Site-to-Site VPN multiples
Connexions de Site-to-Site VPN multiples avec unepasserelle de transit
7
AWS Site-to-Site VPN Guide de l'utilisateurOptions de routage Site-to-Site VPN
Options de routage Site-to-Site VPNLorsque vous créez une connexion Site-to-Site VPN, vous devez procéder comme suit :
• Spécifiez le type de routage que vous prévoyez d'utiliser (statique ou dynamique)• Mettez à jour la table de routage de votre sous-réseau
Le nombre de routes que vous pouvez ajouter à une table de routage est limité. Pour plus d'informations,consultez la section Tables de routage dans Limites de Amazon VPC dans le Amazon VPC Guide del'utilisateur.
Routage statique et dynamiqueLe type de routage que vous sélectionnez peut dépendre de la marque et du modèle de vos périphériquesVPN. Si votre périphérique VPN prend en charge le Border Gateway Protocol (BGP), spécifiez un routagedynamique quand vous configurez votre connexion Site-to-Site VPN. Si votre périphérique ne prend pasen charge BGP, spécifiez un routage statique. Pour une liste des périphériques de routage statique etdynamique qui ont été testés avec Amazon VPC, consultez la FAQ sur Amazon Virtual Private Cloud.
Quand vous utilisez un périphérique BGP, vous n'avez pas besoin de spécifier de routage statique vers laconnexion Site-to-Site VPN puisque le périphérique utilise BGP pour publier ses routes vers la passerelleréseau privé virtuel. Si vous utilisez un périphérique qui prend en charge la publication BGP, vous nepouvez pas spécifier de routes statiques. Si vous utilisez un périphérique qui ne prend pas en charge BGP,vous devez sélectionner un routage statique et entrer les routes (préfixes IP) pour votre réseau qui doiventêtre communiquées à la passerelle réseau privé virtuel.
Nous vous recommandons d'utiliser des périphériques compatibles avec BGP, quand c'est possible,puisque le protocole BGP offre de solides contrôles de détection du caractère vivant qui peuvent assister lefailover vers le second tunnel VPN si le premier tunnel s'arrête. Les périphériques qui ne prennent pas encharge BGP peuvent également exécuter des vérifications de l'état pour assister le failover vers le secondtunnel lorsque c'est nécessaire.
Tables de routage et priorité de route VPNLes tables de routage déterminent où le trafic réseau est dirigé. Dans votre table de routage, vous devezajouter une route pour votre réseau distant et spécifier la passerelle réseau privé virtuel comme cible. Celapermet au trafic de votre VPC destiné à votre réseau distant de s'acheminer via la passerelle réseau privévirtuel et sur l'un des tunnels VPN. Vous pouvez autoriser la propagation du routage pour votre table deroutage pour automatiquement propager vos routes réseau vers la table pour vous.
Seuls les préfixes IP connus de la passerelle réseau privé virtuel, que ce soit par une annonce BGP ouune saisie de routage statique, peuvent recevoir du trafic sortant de votre VPC. La passerelle réseau privévirtuel n'achemine pas d'autre trafic destiné en dehors des annonces BGP reçues, des saisies de routagestatique ou du CIDR de VPC attaché.
Quand une passerelle réseau privé virtuel reçoit des informations de routage, elle utilise la sélection deschemins pour déterminer comment acheminer le trafic vers votre réseau distant. La correspondance depréfixe le plus long s'applique ; sinon, les règles suivantes s'appliquent :
• Si les itinéraires propagés à partir d'une connexion Site-to-Site VPN ou d'une connexion AWS DirectConnect chevauchent l'itinéraire local de votre VPC, l'itinéraire local est privilégié, même si les itinérairesreproduits sont plus spécifiques.
• Si les itinéraires propagés à partir d'une connexion Site-to-Site VPN ou d'une connexion AWS DirectConnect ont le même bloc d´adresse CIDR de destination que d'autres itinéraires statiques existants (la
8
AWS Site-to-Site VPN Guide de l'utilisateurConfiguration des tunnels VPN pour
votre connexion Site-to-Site VPN
correspondance du préfixe le plus long ne peut pas s'appliquer), la priorité est accordée aux itinérairesstatiques dont les cibles sont une passerelle Internet, une passerelle réseau privé virtuel, une interfaceréseau, un ID d'instance, une connexion d'appairage de VPC, une passerelle NAT ou un point determinaison d'un VPC.
Si vous avez des routes qui se chevauchent au sein d'une connexion Site-to-Site VPN et que lacorrespondance de préfixe le plus long ne peut pas être appliquée, nous hiérarchisons les routes commesuit dans la connexion Site-to-Site VPN, de la route la plus préférée à la route la moins préférée :
• Routes propagées BGP depuis une connexion AWS Direct Connect• Routes statiques ajoutées manuellement pour une connexion Site-to-Site VPN• Routes propagées BGP depuis une connexion Site-to-Site VPN
Dans cet exemple, votre table de routage compte une route statique vers une passerelle Internet (quevous avez ajoutée manuellement) et une route propagée vers une passerelle réseau privé virtuel. Lesdeux routes ont pour destination : 172.31.0.0/24. Dans ce cas, tout le trafic à destination de l'adresse172.31.0.0/24 est routé vers la passerelle Internet ; il s'agit d'une— route statique et, par conséquent,elle prime sur la route propagée.
Destination Target
10.0.0.0/16 Locale
172.31.0.0/24 vgw-1a2b3c4d (propagée)
172.31.0.0/24 igw-11aa22bb
Configuration des tunnels VPN pour votreconnexion Site-to-Site VPN
Vous utilisez une connexion Site-to-Site VPN pour connecter votre réseau distant à un VPC. Chaqueconnexion Site-to-Site VPN a deux tunnels, chacun utilisant une adresse IP publique de passerelle réseauprivé virtuel unique. Il est important de configurer deux tunnels pour la redondance. Quand un tunneldevient indisponible (par exemple, à des fins de maintenance), le trafic réseau est automatiquementacheminé vers le tunnel disponible pour cette connexion Site-to-Site VPN spécifique.
Le schéma suivant illustre les deux tunnels de la connexion Site-to-Site VPN.
9
AWS Site-to-Site VPN Guide de l'utilisateurConfiguration des tunnels VPN pour
votre connexion Site-to-Site VPN
Lorsque vous créez une connexion Site-to-Site VPN, vous téléchargez un fichier de configurationspécifique à votre périphérique de passerelle client qui contient les informations nécessaires à laconfiguration du périphérique, notamment pour chacun des tunnels. Si vous le souhaitez, vous pouvezspécifier vous-même certaines options de tunnel lorsque vous créez la connexion Site-to-Site VPN. Sinon,AWS fournit des valeurs par défaut.
Le tableau suivant décrit plus en détail les options de tunnel que vous pouvez configurer.
Elément Description Valeur par défaut fournie parAWS
CIDR interne du tunnel Plage d'adresses IP internespour le tunnel VPN. Vous pouvezspécifier un bloc d'adresse CIDRd'une taille de /30 dans la plage169.254.0.0/16. Le blocd'adresse CIDR doit être uniquesur l'ensemble des connexionsSite-to-Site VPN qui utilisent lamême passerelle réseau privévirtuel.
Bloc d'adresse CIDR de taille /30dans la plage 169.254.0.0/16.
10
AWS Site-to-Site VPN Guide de l'utilisateurUtilisation de connexions Site-to-Site
VPN redondantes pour contrer le failover
Elément Description Valeur par défaut fournie parAWS
Les blocs d'adresse CIDRsuivants sont réservés et nepeuvent pas être utilisés :
• 169.254.0.0/30
• 169.254.1.0/30
• 169.254.2.0/30
• 169.254.3.0/30
• 169.254.4.0/30
• 169.254.5.0/30
• 169.254.169.252/30
Clé pré-partagée (PSK) Clé pré-partagée (pre-sharedkey, PSK) permettant d'établirl'association de sécurité IKEinitiale entre la passerelle réseauprivé virtuel et la passerelleclient.
La clé pré-partagée doitcomporter entre 8 et64 caractères et ne peut pascommencer par un zéro (0). Lescaractères autorisés sont lescaractères alphanumériques,les points (.) et les traits desoulignement (_).
Chaîne alphanumérique de32 caractères.
Vous ne pouvez pas modifier les options de tunnel après avoir créé la connexion Site-to-Site VPN. Pourmodifier les adresses IP de tunnel internes ou les clés pré-partagées d'une connexion existante, vousdevez supprimer la connexion Site-to-Site VPN et en créer une nouvelle. Vous ne pouvez pas configurerles options de tunnel d'une connexion VPN Classic AWS.
Utilisation de connexions Site-to-Site VPNredondantes pour contrer le failover
Comme indiqué plus tôt, une connexion Site-to-Site VPN a deux tunnels pour permettre d'assurer laconnectivité en cas d'indisponibilité d'une des connexions Site-to-Site VPN. Pour une protection contrela perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer uneseconde connexion Site-to-Site VPN vers votre VPC et votre passerelle réseau privé virtuel en utilisantune seconde passerelle client. En utilisant des connexions Site-to-Site VPN et des passerelles clientredondantes, vous pouvez effectuer une opération de maintenance sur l'une de vos passerelles clientpendant que le trafic continue d'être acheminé via la connexion Site-to-Site VPN de la seconde passerelleclient. Pour établir des connexions Site-to-Site VPN et des passerelles client redondantes sur votre réseaudistant, vous devez configurer une seconde connexion Site-to-Site VPN. L'adresse IP de la passerelleclient pour la seconde connexion Site-to-Site VPN doit être publiquement accessible.
Le schéma suivant illustre les deux tunnels de chaque connexion Site-to-Site VPN et deux passerellesclient.
11
AWS Site-to-Site VPN Guide de l'utilisateurUtilisation de connexions Site-to-Site
VPN redondantes pour contrer le failover
12
AWS Site-to-Site VPN Guide de l'utilisateurUtilisation de connexions Site-to-Site
VPN redondantes pour contrer le failover
Les connexions Site-to-Site VPN à routage dynamique utilisent le Border Gateway Protocol (BGP) pouréchanger des informations de routage entre vos passerelles client et les passerelles réseau privé virtuel.Les connexions Site-to-Site VPN à routage statique nécessitent une saisie des routes statiques pour leréseau distant de votre côté de la passerelle client. Les informations de route saisies statiquement etpubliées par BGP permettent aux passerelles de chaque côté de déterminer quels tunnels sont disponibleset de rediriger le trafic en cas de panne. Nous vous recommandons de configurer votre réseau pour utiliserles informations de routage fournies par BGP (si disponible) pour sélectionner un chemin disponible. Laconfiguration exacte dépend de l'architecture de votre réseau.
13
AWS Site-to-Site VPN Guide de l'utilisateurCréation d'une passerelle client
DémarrageUtilisez les procédures suivantes pour configurer manuellement la connexion AWS Site-to-Site VPN. Vouspouvez également laisser l'assistant de création VPC prendre en charge la plupart de ces étapes pourvous. Pour plus d'informations sur l'utilisation de l’assistant de création VPC pour configurer la passerelleréseau privé virtuel, consultez Scénario 3 : VPC avec des sous-réseaux publics et privés et un accès AWSSite-to-Site VPN ou Scénario 4 : VPC avec un sous-réseau privé seulement et un accès AWS Site-to-SiteVPN dans le Amazon VPC Guide de l'utilisateur.
Pour configurer une connexion Site-to-Site VPN, vous devez effectuer les étapes suivantes :
• Étape 1 : Création d'une passerelle client (p. 14)• Étape 2 : Création d'une passerelle réseau privé virtuel (p. 15)• Étape 3 : Autorisation de la propagation du routage dans votre table de routage (p. 15)• Étape 4 : Mise à jour de votre groupe de sécurité (p. 16)• Étape 5 : Création d'une connexion Site-to-Site VPN et configuration de la passerelle client (p. 17)
Ces procédures supposent que vous avez un VPC avec un ou plusieurs sous-réseaux.
Création d'une passerelle clientUne passerelle client fournit des informations à AWS au sujet de votre périphérique ou application logiciellede passerelle client. Pour plus d'informations, consultez Passerelle client (p. 2).
Pour créer une passerelle client avec la console
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Customer Gateways, puis Create Customer Gateway.3. Renseignez les informations suivantes, puis choisissez Créer la passerelle client :
• (Facultatif) Pour Nom, tapez un nom pour votre passerelle client. Cette étape crée une balise avecune clé de Name et la valeur que vous spécifiez.
• Pour Routage, sélectionnez le type de routage.• En cas de routage dynamique, pour Version du moteur de cache (BGP ASN), saisissez le numéro
d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) de votre passerelle.• Pour Adresse IP, saisissez l'adresse IP statique routable sur Internet pour votre périphérique de
passerelle client. Si votre passerelle client est située derrière un périphérique NAT activé pour NAT-T, utilisez l'adresse IP publique du périphérique NAT.
Pour créer une passerelle client à l'aide de la ligne de commande ou de l'API
• CreateCustomerGateway (API de requête Amazon EC2)• create-customer-gateway (AWS CLI)• New-EC2CustomerGateway (Outils AWS pour Windows PowerShell)
14
AWS Site-to-Site VPN Guide de l'utilisateurCréation d'une passerelle réseau privé virtuel
Création d'une passerelle réseau privé virtuelLorsque vous créez une passerelle réseau privé virtuel, vous pouvez, si vous le souhaitez, spécifier lenuméro d'ASN (Autonomous System Number) privé pour le côté Amazon de la passerelle. Le numérod'ASN doit être différent de la version du moteur de cache (BGP ASN) spécifiée pour la passerelle client.
Après avoir créé une passerelle réseau privé virtuel, vous devez l'attacher à votre VPC.
Pour créer une passerelle réseau privé virtuel et l'attacher à votre VPC
1. Dans le volet de navigation, choisissez Passerelles réseau privé virtuel, puis Créer une passerelleréseau privé virtuel.
2. (Facultatif) Saisissez un nom pour votre passerelle réseau privé virtuel. Cette étape crée une baliseavec une clé de Name et la valeur que vous spécifiez.
3. Pour ASN, conservez la sélection par défaut pour utiliser le numéro d'ASN Amazon par défaut. Sinon,choisissez ASN personnalisé et entrez une valeur. Pour un ASN de 16 bits, la valeur doit être compriseentre 64512 et 65534. Pour un ASN de 32 bits, la valeur doit être comprise entre 4200000000 et4294967294.
4. Cliquez sur Créer une passerelle réseau privé virtuel.5. Sélectionnez la passerelle réseau privé virtuel que vous avez créée, puis choisissez Actions, Attacher
au VPC.6. Sélectionnez le VPC dans la liste et choisissez Oui, attacher.
Pour créer une passerelle réseau privé virtuel à l'aide de la ligne de commande ou de l'API
• CreateVpnGateway (API de requête Amazon EC2)• create-vpn-gateway (AWS CLI)• New-EC2VpnGateway (Outils AWS pour Windows PowerShell)
Pour attacher une passerelle réseau privé virtuel à un VPC à l'aide de la ligne de commande ou del'API
• AttachVpnGateway (API de requête Amazon EC2)• attach-vpn-gateway (AWS CLI)• Add-EC2VpnGateway (Outils AWS pour Windows PowerShell)
Autorisation de la propagation du routage dansvotre table de routage
Pour permettre aux instances dans votre VPC d'atteindre votre passerelle cliente, vous devez configurervotre table de routage pour inclure les routes utilisées par votre connexion Site-to-Site VPN et les dirigervers votre passerelle privée virtuelle. Vous pouvez autoriser la propagation du routage pour votre table deroutage pour automatiquement propager ces routes vers la table pour vous.
Pour un routage statique, les préfixes IP statiques que vous spécifiez dans votre configuration VPN sontpropagés vers la table de routage lorsque la connexion Site-to-Site VPN a le statut UP. De même, pour unroutage dynamique, les routes publiées par BGP depuis votre passerelle client sont propagées vers la tablede routage quand la connexion Site-to-Site VPN a le statut .
15
AWS Site-to-Site VPN Guide de l'utilisateurMise à jour de votre groupe de sécurité
Note
Si votre connexion est interrompue, les routes propagées de votre table de routage ne sont pasautomatiquement supprimées. Il se peut que vous ayez à désactiver la propagation des itinérairespour supprimer les routes propagées ; par exemple, si vous voulez que le trafic bascule sur unitinéraire statique.
Pour activer la propagation de route avec la console
1. Dans le volet de navigation, choisissez Route Tables puis la table de routage qui est associée au sous-réseau par défaut, qui est la table de routage principale pour le VPC.
2. Dans l'onglet Route Propagation (Propagation de route) dans le volet des détails, choisissez Edit,sélectionnez la passerelle réseau privé virtuel que vous avez créée dans la procédure précédente,puis choisissez Save.
Note
Pour un routage statique, si vous n'autorisez pas la propagation du routage, vous devezmanuellement saisir les routes statiques utilisées par votre connexion Site-to-Site VPN. Pour cefaire, sélectionnez votre table de routage et choisissez Routes, Modifier. Pour Destination, ajoutezla route statique utilisée par votre connexion Site-to-Site VPN. Pour Cible, sélectionnez l'ID depasserelle réseau privé virtuel et choisissez Enregistrer.
Pour désactiver la propagation de route avec la console
1. Dans le volet de navigation, sélectionnez Tables de routage, puis sélectionnez la table de routageassociée au sous-réseau privé.
2. Choisissez Propagation de route, Modifier. Désélectionnez la case à cocher Propager en regard de lapasserelle réseau privé virtuel, puis choisissez Enregistrer.
Pour activer la propagation de route à l'aide de la ligne de commande ou d'une API
• EnableVgwRoutePropagation (API de requête Amazon EC2)• enable-vgw-route-propagation (AWS CLI)• Enable-EC2VgwRoutePropagation (Outils AWS pour Windows PowerShell)
Pour désactiver la propagation de route à l'aide de la ligne de commande ou d'une API
• DisableVgwRoutePropagation (API de requête Amazon EC2)• disable-vgw-route-propagation (AWS CLI)• Disable-EC2VgwRoutePropagation (Outils AWS pour Windows PowerShell)
Mise à jour de votre groupe de sécuritéPour autoriser l'accès aux instances dans votre VPC à partir de votre réseau, vous devez mettre à jour lesrègles des groupes de sécurité afin de permettre l'accès SSH, RDP et ICMP entrant.
Ajouter des règles à votre groupe de sécurité pour autoriser un accès SSH, RDP et ICMP entrant
1. Dans le volet de navigation, choisissez Security Groups, puis sélectionnez le groupe de sécurité pardéfaut pour le VPC.
2. Dans l'onglet Inbound dans le volet des détails, ajoutez des règles qui autorisent un accès SSH, RDPet ICMP entrant depuis votre réseau, puis choisissez Save. Pour plus d'informations sur l'ajout de
16
AWS Site-to-Site VPN Guide de l'utilisateurCréation d'une connexion Site-to-Site VPN
et configuration de la passerelle client
règles entrantes, consultez Ajout, suppression et mise à jour des règles dans le Amazon VPC Guidede l'utilisateur.
Pour plus d'informations sur l'utilisation des groupes de sécurité à l’aide de l’AWS CLI, consultez Groupesde sécurité pour votre VPC dans le Amazon VPC Guide de l'utilisateur.
Création d'une connexion Site-to-Site VPN etconfiguration de la passerelle client
Après avoir créé la connexion Site-to-Site VPN, téléchargez les informations de configuration et utilisez-lespour configurer le périphérique ou l'application logicielle de passerelle client.
Pour créer une connexion Site-to-Site VPN et configurer la passerelle client
1. Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions Site-to-Site VPN) ,Create VPN Connection (Créer une conneixon VPN).
2. Renseignez les informations suivantes, puis choisissez Créer une connexion VPN :
• (Facultatif) Pour Name tag (Balise nom), tapez un nom pour votre connexion Site-to-Site VPN. Cetteétape crée une balise avec une clé Name et la valeur que vous spécifiez.
• Sélectionnez la passerelle réseau privé virtuel que vous avez créée plus tôt.• Sélectionnez la passerelle client que vous avez créée plus tôt.• Sélectionnez une des options de routage en fonction de la prise en charge ou non de Border
Gateway Protocol (BGP) par votre routeur VPN :• Si votre routeur VPN prend en charge BGP, choisissez Dynamique (nécessite BGP).• Si votre routeur VPN ne prend pas en charge BGP, choisissez Static (Statique). Pour Static
IP Prefixes (Préfixes IP statiques), spécifiez chaque préfixe IP pour le réseau privé de votreconnexion Site-to-Site VPN.
• Sous Options de tunnel, vous pouvez, si vous le souhaitez, spécifier les informations suivantes pourchaque tunnel :• Un bloc d'adresse CIDR de taille /30 de la plage 169.254.0.0/16 pour les adresses IP de
tunnel internes.• La clé pré-partagée (PSK) IKE. Les versions suivantes sont prises en charge : IKEv1 et IKEv2.
Pour plus d'informations sur ces options, consultez Configuration des tunnels VPN pour votreconnexion Site-to-Site VPN (p. 9).
La création de la connexion Site-to-Site VPN peut prendre quelques minutes. Quand elle est prête,sélectionnez la connexion et choisissez Télécharger la configuration.
3. Dans la boîte de dialogue Download Configuration, sélectionnez le fournisseur, la plateforme etle logiciel correspondant à votre périphérique ou logiciel de passerelle client, puis choisissez Yes,Download.
4. Donnez le fichier de configuration à votre administrateur de réseau, ainsi que ce manuel : Guide del'administrateur réseau AWS Site-to-Site VPN. Une fois que l'administrateur de réseau a configuré lapasserelle client, la connexion Site-to-Site VPN est opérationnelle.
Pour créer une connexion Site-to-Site VPN à l'aide de la ligne de commande ou de l'API
• CreateVpnConnection (API de requête Amazon EC2I)• create-vpn-connection (AWS CLI)
17
AWS Site-to-Site VPN Guide de l'utilisateurModification des routes statiques
pour une connexion Site-to-Site VPN
• New-EC2VpnConnection (Outils AWS pour Windows PowerShell)
Modification des routes statiques pour uneconnexion Site-to-Site VPN
Pour un routage statique, vous pouvez ajouter, modifier ou supprimer les routes statiques de votreconfiguration VPN.
Ajouter, modifier ou supprimer une route statique
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions Site-to-Site VPN).3. Choisissez Static Routes (Routes statiques), Edit (Modifier).4. Modifiez vos préfixes IP statiques existants ou choisissez Remove pour les effacer. Choisissez Ajouter
une autre règle pour ajouter un nouveau préfixe IP à votre configuration. Lorsque vous avez terminé,choisissez Save.
Note
Si vous n'avez pas autorisé la propagation du routage pour votre table de routage, vous devezmanuellement mettre à jour les routes dans votre table de routage afin de tenir compte despréfixes IP statiques mis à jour dans votre connexion Site-to-Site VPN. Pour plus d'informations,consultez Autorisation de la propagation du routage dans votre table de routage (p. 15).
Pour ajouter une route statique à l'aide de la ligne de commande ou d'une API
• CreateVpnConnectionRoute (API de requête Amazon EC2)• create-vpn-connection-route (AWS CLI)• New-EC2VpnConnectionRoute (Outils AWS pour Windows PowerShell)
Pour supprimer une route statique à l'aide de la ligne de commande ou d'une API
• DeleteVpnConnectionRoute (API de requête Amazon EC2)• delete-vpn-connection-route (AWS CLI)• Remove-EC2VpnConnectionRoute (Outils AWS pour Windows PowerShell)
Remplacement d'informations d'identificationcompromises
Si vous pensez que les informations d'identification du tunnel de votre connexion Site-to-Site VPN ont étédivulguées, vous pouvez changer la clé pré-partagée IKE. Pour ce faire, supprimez la connexion Site-to-Site VPN, créez-en une nouvelle en utilisant la même passerelle réseau privé virtuel et configurez lesnouvelles clés sur votre passerelle client. Vous pouvez spécifier vos propres clés pré-partagées au momentde la création de la connexion Site-to-Site VPN. Vous devez également confirmer que les adressesinternes et externes du tunnel correspondent car elles peuvent changer quand vous recréez la connexionSite-to-Site VPN. Pendant que vous exécutez la procédure, la communication avec vos instances dans leVPC s'arrête mais les instances continuent à s'exécuter sans interruption. Une fois que l'administrateur de
18
AWS Site-to-Site VPN Guide de l'utilisateurRemplacement d'informations d'identification compromises
réseau a implémenté les nouvelles informations de configuration, votre connexion Site-to-Site VPN utiliseles nouvelles informations d'identification et la connexion réseau de vos instances dans le VPC reprend.
Important
Cette procédure requiert l'assistance de votre groupe d'administrateur du réseau.
Changer la clé pré-partagée IKE
1. Supprimez la connexion Site-to-Site VPN. Pour plus d'informations, consultez Suppression d'uneconnexion Site-to-Site VPN (p. 25). Vous n'avez pas besoin de supprimer le VPC ni la passerelleréseau privé virtuel.
2. Créez une nouvelle connexion Site-to-Site VPN et spécifiez vos propres clés pré-partagées pour lestunnels, ou laissez AWS générer de nouvelles clés pré-partagées pour vous. Pour plus d'informations,consultez Création d'une connexion Site-to-Site VPN et configuration de la passerelle client (p. 17).
3. Téléchargez le nouveau fichier de configuration.
19
AWS Site-to-Site VPN Guide de l'utilisateur
Test de la connexion Site-to-Site VPNAprès avoir créé la connexion AWS Site-to-Site VPN et configuré la passerelle client, vous pouvez lancerune instance et tester la connexion en effectuant un test ping de l'instance. Vous devez utiliser une AMIpour répondre aux demandes de ping, et vous devez vous assurer que le groupe de sécurité de votreinstance est configuré pour autoriser l'accès ICMP entrant. Nous vous recommandons d'utiliser une desAMI d'Amazon Linux. Si vous utilisez des instances exécutant Windows Server, vous devez vous connecterà l'instance et autoriser l'accès ICMPv4 entrant sur le pare-feu Windows afin d'effectuer un test ping del'instance.
Important
Vous devez configurer tout groupe de sécurité ou liste ACL réseau dans votre VPC qui filtre letrafic vers l'instance pour autoriser le trafic ICMP entrant et sortant.
Tester la connectivité de bout en bout
1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sur le tableau de bord, choisissez Launch Instance.3. Sur la page Choose an Amazon Machine Image (AMI), choisissez une AMI puis Select.4. Sélectionnez un type d'instance, puis choisissez Suivant : Configurer les détails de l'instance.5. Sur la page Configurer les détails de l'instance, sélectionnez votre VPC dans le champ Réseau. Pour
Sous-réseau, sélectionnez votre sous-réseau. Choisissez Next jusqu'à la page Configure SecurityGroup.
6. Sélectionnez l'option Select an existing security group, puis choisissez le groupe par défaut modifiéplus tôt. Choisissez Review and Launch.
7. Passez en revue les paramètres que vous avez choisis. Effectuez tous les changements nécessaires,puis choisissez Launch pour sélectionner une paire de clés et lancer l'instance.
8. Après l'exécution de l'instance, obtenez son adresse IP privée (par exemple, 10.0.0.4). La consoleAmazon EC2 affiche l'adresse dans le cadre des détails de l'instance.
9. Depuis un ordinateur dans votre réseau qui se trouver derrière la passerelle client, utilisez lacommande ping avec l'adresse IP privée de l'instance. Une réponse positive est semblable à ce quisuit :
ping 10.0.0.4
Pinging 10.0.0.4 with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),
Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Vous pouvez désormais utiliser SSH ou RDP pour connecter votre instance au VPC. Pour plusd'informations sur la connexion à une instance Linux, consultez Connect to Your Linux Instance dansle manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux. Pour plus d'informations sur la
20
AWS Site-to-Site VPN Guide de l'utilisateur
connexion à une instance Windows, consultez Connect to Your Windows Instance dans le manuel AmazonEC2 Guide de l'utilisateur pour les instances Windows.
21
AWS Site-to-Site VPN Guide de l'utilisateurÉtape 1 : Création de la passerelle de transit
Modification d'une passerelle cible deconnexion Site-to-Site VPN
Vous pouvez modifier la passerelle cible d’une connexion AWS Site-to-Site VPN. Les options de migrationsuivantes sont disponibles :
• Une passerelle réseau privé virtuel vers une passerelle de transit• Une passerelle réseau privé virtuel vers une autre passerelle réseau privé virtuel• Une passerelle de transit existante vers une autre passerelle de transit• Une passerelle de transit existante vers une passerelle réseau privé virtuel
Les tâches suivantes vous aident à procéder à la migration vers une nouvelle passerelle.
Tâches• Étape 1 : Création de la passerelle de transit (p. 22)• Étape 2 : Suppression de vos routes statiques (obligatoire pour une connexion VPN statique migrant
vers une passerelle de transit) (p. 22)• Étape 3 : Migration vers une nouvelle passerelle (p. 23)• Étape 4 : Mise à jour des tables de routage de VPC (p. 23)• Étape 5 : Mise à jour du routage de la passerelle de transit (obligatoire lorsque la nouvelle passerelle
est une passerelle de transit) (p. 24)
Étape 1 : Création de la passerelle de transitAvant de procéder à la migration vers la nouvelle passerelle, vous devez configurer celle-ci. Pour plusd'informations sur l'ajout d'une passerelle réseau privé virtuel, consultez the section called “Création d'unepasserelle réseau privé virtuel” (p. 15). Pour plus d'informations sur l'ajout d'une passerelle de transit,consultez le informations sur la création d’une passerelle de transit dans le Passerelles de transit AmazonVPC.
Si la nouvelle passerelle cible est une passerelle de transit, attachez les VPC à la passerelle de transit.Pour plus d'informations sur les attachements de VPC, consultez les informations sur lesattachements depasserelle de transit à un VPC dans le Passerelles de transit Amazon VPC.
Étape 2 : Suppression de vos routes statiques(obligatoire pour une connexion VPN statiquemigrant vers une passerelle de transit)
Cette étape est obligatoire lorsque vous procédez à une migration depuis une passerelle réseau privévirtuel avec des routes statiques vers une passerelle de transit.
Vous devez supprimer les routes statiques avant de procéder à la migration vers la nouvelle passerelle.
22
AWS Site-to-Site VPN Guide de l'utilisateurÉtape 3 : Migration vers une nouvelle passerelle
Tip
Gardez une copie de la route statique avant de la supprimer. Vous devrez rajouter ces routes à lapasserelle de transit lorsque la migration de la connexion VPN sera terminée.
Pour supprimer une route dans une table de routage
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Route Tables (Tables de routage), puis sélectionnez la table de
routage.3. Dans l'onglet Routes, choisissez Edit (Modifier), puis Remove (Supprimer) en regard de la route
statique vers la passerelle réseau privé virtuel.4. Choisissez Save (Enregistrer) lorsque vous avez terminé.
Étape 3 : Migration vers une nouvelle passerelle1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Connections Site-to-Site VPN (Connexions Site-to-Site VPN).3. Sélectionnez la connexion Site-to-Site VPN, puis choisissez Actions, Modify VPN Connection (Modifier
une connexion VPN).4. Sous Change Target (Modifier la cible), procédez comme suit :
a. Pour Target Type (Type de cible), choisissez le type de passerelle.b. Configurez la cible de connexion :
[Passerelle réseau privé virtuel] Pour Target VPN Gateway ID (ID de passerelle VPN cible),Choisissez l’ID de passerelle réseau privé virtuel
[Passerelle de transit] Pour Target passerelle de transit ID (ID de passerelle de transit cible),choisissez l'ID de passerelle de transit.
5. Choisissez Save (Enregistrer).
Pour modifier une connexion Site-to-Site VPN à l'aide de la ligne de commande ou de l'API
• ModifyVpnConnection (API de requête Amazon EC2)• modify-vpn-connection (AWS CLI)
Étape 4 : Mise à jour des tables de routage de VPCAprès la migration vers la nouvelle passerelle, il se peut que vous ayez besoin de modifier votre table deroutage de VPC. Le tableau suivant fournit des informations sur les actions que vous devez effectuer. Pourplus d'informations sur la mise à jour des tables de routage de VPC, consultez les informations sur lestables de routage dans le Amazon VPC Guide de l'utilisateur.
Modification de cible de passerelle VPN nécessitant des mises à jour de table de routage VPC
Passerelle existante Nouvelle passerelle Modification de table de routagede VPC
Passerelle réseau privé virtuelavec routes propagées
Passerelle de transit Ajouter une route qui pointe versl’ID depasserelle de transit.
23
AWS Site-to-Site VPN Guide de l'utilisateurÉtape 5 : Mise à jour du routage de la passerelle
de transit (obligatoire lorsque la nouvellepasserelle est une passerelle de transit)
Passerelle existante Nouvelle passerelle Modification de table de routagede VPC
Passerelle réseau privé virtuelavec routes propagées
Passerelle réseau privé virtuelavec routes propagées
Aucune action n'est requise.
Passerelle virtuelle avec routespropagées
Passerelle réseau privé virtuelavec routes statiques
Ajouter une entrée qui contient lanouvelle ID de passerelle réseauprivé virtuel.
Passerelle virtuelle avec routesstatiques
Passerelle de transit Mettre à jour la table de routagede VPC et modifier l'entrée quipointe vers l'ID de passerelleréseau privé virtuel avec l’ID depasserelle de transit.
Passerelle virtuelle avec routesstatiques
Passerelle réseau privé virtuelavec routes statiques
Mettre à jour l'entrée qui pointevers l’ID de passerelle réseauprivé virtuel avec l’ID de lanouvelle passerelle réseau privévirtuel.
Passerelle virtuelle avec routesstatiques
Passerelle réseau privé virtuelavec routes propagées
Supprimer l'entrée qui contientl’ID de passerelle réseau privévirtuel.
Passerelle de transit Passerelle réseau privé virtuelavec routes statiques
Mettre à jour l'entrée qui contientla passerelle de transit avec l’IDde passerelle réseau privé virtuel.
Passerelle de transit Passerelle réseau privé virtuelavec routes propagées
Supprimer l'entrée qui contientl'ID de passerelle de transit.
Passerelle de transit Passerelle de transit Mettre à jour l'entrée qui contientl'ID de passerelle de transit avecla nouvelle ID de passerelle detransit.
Étape 5 : Mise à jour du routage de la passerelle detransit (obligatoire lorsque la nouvelle passerelle estune passerelle de transit)
Lorsque la nouvelle passerelle est une passerelle de transit, modifiez la table de routage de la passerellede transit pour autoriser le trafic entre le VPC et le Site-to-Site VPN. Pour plus d'informations sur le routagede passerelle de transit, consultez les informations sur les tables de routage de passerelle de transit dansle Passerelles de transit Amazon VPC.
Important
Si vous avez supprimé les routes statiques de VPN, vous devez ajouter les routes statiques à latable de routage de passerelle de transit.
24
AWS Site-to-Site VPN Guide de l'utilisateur
Suppression d'une connexion Site-to-Site VPN
Si vous n'avez plus besoin d'une connexion AWS Site-to-Site VPN, vous pouvez la supprimer.
Important
Si vous supprimez votre connexion Site-to-Site VPN puis en créez une nouvelle, vous deveztélécharger les nouvelles informations de configuration et demander à votre administrateur deréseau de reconfigurer la passerelle client.
Pour supprimer une connexion Site-to-Site VPN avec la console
1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Site-to-Site VPN Connections (Connexions Site-to-Site VPN).3. Sélectionnez la connexion Site-to-Site VPN, puis choisissez Actions, Delete (Supprimer).4. Sélectionnez Delete (Supprimer).
Si vous n'avez plus besoin d'une passerelle client, vous pouvez la supprimer. Vous ne pouvez supprimerune passerelle client utilisée dans une connexion Site-to-Site VPN.
Pour supprimer une passerelle cliente avec la console
1. Dans le volet de navigation, choisissez Customer Gateways.2. Sélectionnez la passerelle client à supprimer, puis choisissez Actions, Supprimer la passerelle client.3. Sélectionnez Oui, supprimer.
Si vous n'avez plus besoin d'une passerelle réseau privé virtuel pour votre VPC, vous pouvez la détacher.
Pour détacher une passerelle réseau privé virtuel avec la console
1. Dans le volet de navigation, choisissez Virtual Private Gateways.2. Sélectionnez la passerelle réseau privé virtuel, puis choisissez Actions, Détacher du VPC.3. Choisissez Oui, détacher.
Si vous n'avez plus besoin d'une passerelle réseau privé virtuel détachée, vous pouvez la supprimer. Vousne pouvez pas supprimer une passerelle réseau privé virtuel qui est toujours attachée à un VPC.
Pour supprimer une passerelle réseau privé virtuel avec la console
1. Dans le volet de navigation, choisissez Virtual Private Gateways.2. Sélectionnez la passerelle client à supprimer, puis choisissez Actions, Supprimer la passerelle réseau
privé virtuel.3. Sélectionnez Yes, Delete (Oui, supprimer).
Pour supprimer une connexion Site-to-Site VPN à l'aide de la ligne de commande ou de l'API
• DeleteVpnConnection (API de requête Amazon EC2)
25
AWS Site-to-Site VPN Guide de l'utilisateur
• delete-vpn-connection (AWS CLI)• Remove-EC2VpnConnection (Outils AWS pour Windows PowerShell)
Pour supprimer une passerelle client à l'aide de la ligne de commande ou de l'API
• DeleteCustomerGateway (API de requête Amazon EC2)• delete-customer-gateway (AWS CLI)• Remove-EC2CustomerGateway (Outils AWS pour Windows PowerShell)
Pour détacher une passerelle réseau privé virtuel à l'aide de la ligne de commande ou de l'API
• DetachVpnGateway (API de requête Amazon EC2)• detach-vpn-gateway (AWS CLI)• Dismount-EC2VpnGateway (Outils AWS pour Windows PowerShell)
Pour supprimer une passerelle réseau privé virtuel à l'aide de la ligne de commande ou de l'API
• DeleteVpnGateway (API de requête Amazon EC2)• delete-vpn-gateway (AWS CLI)• Remove-EC2VpnGateway (Outils AWS pour Windows PowerShell)
26
AWS Site-to-Site VPN Guide de l'utilisateur
Apport d'une communicationsécurisée entre les sites à l'aide duVPN CloudHub
Si vous avez plusieurs connexions AWS Site-to-Site VPN, vous pouvez assurer une communicationsécurisée entre les sites à l'aide de l'AWS VPN CloudHub. Cela permet à vos sites distants decommuniquer entre eux et pas uniquement avec le VPC. Le VPN CloudHub fonctionne sur un simplemodèle en étoile (hub and spoke) que vous pouvez utiliser avec ou sans VPC. Ce modèle convient auxclients ayant plusieurs succursales et des connexions Internet existantes qui aimeraient implémenter unmodèle en étoile (hub and spoke) pratique et potentiellement à bas coût pour une connectivité primaire oude sauvegarde entre ces bureaux à distance.
Le schéma suivant montre l'architecture du VPN CloudHub : les lignes pointillées bleues indiquent le traficréseau entre les sites à distance qui est acheminé via leurs connexions Site-to-Site VPN.
Pour utiliser l'AWS VPN CloudHub, vous devez créer une passerelle réseau privé virtuel avec plusieurspasserelles client. Vous devez utiliser un numéro d'ASN (Autonomous System Number) BGP (BorderGateway Protocol) unique pour chaque passerelle client. Les passerelles client publient les routesappropriées (préfixes BGP) via leurs connexions Site-to-Site VPN. Ces annonces de routage sont reçueset ré-publiées pour chaque BGP pair, pour permettre à chaque site d'envoyer des données vers les autressites et d'en recevoir. Les sites ne doivent pas avoir de plages d'adresses IP qui se chevauchent. Chaque
27
AWS Site-to-Site VPN Guide de l'utilisateur
site peut également envoyer et recevoir des données depuis le VPC comme s'ils utilisaient une connexionSite-to-Site VPN standard.
Les sites qui utilisent des connexions AWS Direct Connect vers la passerelle réseau privé virtuel peuventégalement faire partie de l'AWS VPN CloudHub. Par exemple, votre siège social à New York peut avoir uneconnexion AWS Direct Connect vers le VPC et vos succursales peuvent utiliser des connexions Site-to-Site VPN vers le VPC. Les succursales de Los Angeles et Miami peuvent envoyer et recevoir des donnéesentre elles et avec votre siège social, tout cela grâce à l’AWS VPN CloudHub.
Pour configurer l'AWS VPN CloudHub, utilisez la AWS Management Console afin de créer plusieurspasserelles client, chacune avec l'adresse IP publique de la passerelle et de l'ASN. Ensuite, créezune connexion Site-to-Site VPN pour chaque passerelle client vers une passerelle réseau privé virtuelcommune. Chaque connexion Site-to-Site VPN doit publier ses routes BGP spécifiques. Pour ce faire, vouspouvez utiliser les relevés du réseau dans les fichiers de configuration VPN pour la connexion Site-to-SiteVPN. Les relevés du réseau sont légèrement différents en fonction du type de routeur que vous utilisez.
Quand vous utilisez un AWS VPN CloudHub, vous payez les tarifs de connexion Site-to-Site VPN AmazonVPC habituels. Le tarif de la connexion vous est facturé pour chaque heure de connexion de chaque VPNà la passerelle réseau privé virtuel. Quand vous envoyez des données depuis un site vers un autre à l'aidede l'AWS VPN CloudHub, l'envoi de données depuis votre site vers la passerelle réseau privé virtuel estgratuit. Vous payez uniquement les tarifs de transfert de données AWS standards pour les données quisont transmises de la passerelle réseau privé virtuel vers votre point de terminaison. Par exemple, si vousavez un site à Los Angeles et un second site à New York, et que les deux sites ont une connexion Site-to-Site VPN vers la passerelle réseau privé virtuel, vous payez 0,05 $ par heure pour chaque connexion Site-to-Site VPN (pour un total de 0,10 $ par heure). Vous payez également les tarifs de transfert de donnéesAWS standards pour toutes les données que vous envoyez depuis Los Angeles vers New York (et viceversa) qui traversent chaque connexion Site-to-Site VPN ; le trafic réseau envoyé via la connexion Site-to-Site VPN vers la passerelle réseau privé virtuel est gratuit mais le trafic réseau envoyé via la connexionSite-to-Site VPN depuis la passerelle réseau privé virtuel vers le point de terminaison est facturé au tarif dutransfert de données AWS standards. Pour plus d’informations, consultez Tarification de connexion Site-to-Site VPN.
28
AWS Site-to-Site VPN Guide de l'utilisateurOutils de surveillance
Surveillance de votre connexion Site-to-Site VPN
La surveillance est un enjeu important pour assurer la fiabilité, la disponibilité et les performances de votreconnexion AWS Site-to-Site VPN. Vous devez recueillir les données de surveillance de toutes les partiesde votre solution AWS de telle sorte que vous puissiez déboguer plus facilement une éventuelle défaillanceà plusieurs points. Avant de commencer la surveillance de votre connexion Site-to-Site VPN ; toutefois,vous devez créer un plan de surveillance qui contient les réponses aux questions suivantes :
• Quels sont les objectifs de la surveillance ?• Quelles sont les ressources à surveiller ?• À quelle fréquence les ressources doivent-elles être surveillées ?• Quels outils de surveillance utiliser ?• Qui exécute les tâches de surveillance ?• Qui doit être informé en cas de problème ?
L'étape suivante consiste à établir une référence de performances normales d'un VPN dans votreenvironnement, en mesurant la performance à divers moments et dans diverses conditions de charge.Lorsque vous surveillez votre VPN, conservez les données d'historique de surveillance afin de pouvoir lescomparer aux données de performances actuelles, d'identifier les modèles de performances normales etles anomalies de performances, et de concevoir des méthodes pour résoudre les problèmes.
Pour établir une référence, vous devez superviser les éléments suivants :
• L'état de vos tunnels VPN• Données entrant dans le tunnel• Données sortant du tunnel
Sommaire• Outils de surveillance (p. 29)• Surveillance des tunnels VPN à l'aide de Amazon CloudWatch (p. 30)
Outils de surveillanceAWS fournit différents outils que vous pouvez utiliser pour surveiller une connexion Site-to-Site VPN. Vouspouvez configurer certains outils pour qu'ils effectuent la surveillance à votre place, tandis que d'autresnécessitent une intervention manuelle. Nous vous recommandons d'automatiser le plus possible les tâchesde surveillance.
Outils de surveillance automatiqueVous pouvez utiliser les outils de surveillance automatique pour surveiller une connexion Site-to-Site VPNet être informé en cas de problème :
• Alarmes Amazon CloudWatch – Surveillez une seule métrique sur une durée définie et exécutez uneou plusieurs actions en fonction de la valeur de la métrique par rapport à un seuil donné sur un certain
29
AWS Site-to-Site VPN Guide de l'utilisateurOutils de surveillance manuelle
nombre de durées. L'action est une notification envoyée vers une rubrique Amazon SNS. Les alarmesCloudWatch n'appellent pas d'actions simplement parce qu'elles sont dans un état particulier : l'étatdoit avoir changé et été maintenu pendant un certain nombre de périodes. Pour plus d'informations,consultez Surveillance des tunnels VPN à l'aide de Amazon CloudWatch (p. 30).
• AWS CloudTrail Log Monitoring (Surveillance des journaux ) – Partagez des fichiers journaux entre lescomptes, surveillez les fichiers journaux CloudTrail en temps réel en les envoyant à CloudWatch Logs,écrivez des applications de traitement des journaux en Java et vérifiez que vos fichiers journaux n'ontpas changé après leur livraison par CloudTrail. Pour plus d’informations, consultez Journalisation desappels d'API à l'aide d’AWS CloudTrail dans le Amazon EC2 API Reference et Utilisationi des fichiersjournaux CloudTrail dans le AWS CloudTrail User Guide
Outils de surveillance manuelleLa surveillance d'une connexion Site-to-Site VPN implique également de surveiller manuellement leséléments que les alarmes CloudWatch ne couvrent pas. Les tableaux de bord des consoles Amazon VPCet CloudWatch fournissent un aperçu de l'état de votre environnement AWS.
• Le tableau de bord du Amazon VPC affiche :• Intégrité du service par région• Connexions Site-to-Site VPN• Statut d'un tunnel VPN (dans le volet de navigation, sélectionnez Site-to-Site VPN Connections
(Connexions ), sélectionnez une connexion Site-to-Site VPN, puis choisissez Tunnel details (Détails dutunnel)
• La page d'accueil CloudWatch affiche les informations suivantes :• Alarmes et statuts en cours• Graphiques des alarmes et des ressources• Statut d'intégrité du service
De plus, vous pouvez utiliser CloudWatch pour effectuer les tâches suivantes :• Créer des tableaux de bord personnalisés pour surveiller les services de votre choix• Représenter graphiquement les données de métriques pour résoudre les problèmes et découvrir les
tendances• Rechercher et parcourir toutes les métriques des ressources AWS• Créer et modifier des alarmes pour être informé des problèmes
Surveillance des tunnels VPN à l'aide de AmazonCloudWatch
Vous pouvez surveiller les tunnels VPN à l'aide de CloudWatch, qui recueille et traite les données brutes duservice VPN en métriques lisibles et disponibles presque en temps réel. Ces statistiques sont enregistréespour une durée de 15 mois et, par conséquent, vous pouvez accéder aux informations historiques etacquérir un meilleur point de vue de la façon dont votre service ou application web s'exécute. Les donnéesdes métriques VPN sont automatiquement envoyées à CloudWatch lorsqu'elles sont disponibles.
Important
Les métriques CloudWatch ne sont actuellement pas prises en charge pour les connexions VPNClassic AWS. Pour plus d'informations, consultez Catégories AWS Site-to-Site VPN (p. 2).
Pour de plus amples informations, consultez Guide de l'utilisateur Amazon CloudWatch.
30
AWS Site-to-Site VPN Guide de l'utilisateurDimensions et métriques du tunnel VPN
Dimensions et métriques du tunnel VPNLes métriques suivantes sont disponibles pour vos tunnels VPN.
Métrique Description
TunnelState État du tunnel. Pour les VPN statiques, 0 indiqueDOWN et 1 indique UP. Pour les VPN BGP, 1 indiqueESTABLISHED et 0 est utilisé pour tous les autres états.
Unités : booléennes
TunnelDataIn Octets reçus par le biais du tunnel VPN. Chaque pointde données de métriques représente le nombre d'octetsreçus après le point de données précédent. Utilisez lastatistique Somme pour afficher le nombre total d'octetsreçus pendant la période.
Cette métrique comptabilise les données aprèsdéchiffrement.
Unités : octets
TunnelDataOut Octets envoyés par le biais du tunnel VPN. Chaque pointde données de métriques représente le nombre d'octetsenvoyés après le point de données précédent. Utilisez lastatistique Somme pour afficher le nombre total d'octetsenvoyés pendant la période.
Cette métrique comptabilise les données avantchiffrement.
Unités : octets
Pour filtrer les données de métriques, utilisez les dimensions suivantes.
Dimension Description
VpnId Permet de filtrer les données en fonction de l'ID de connexion Site-to-Site VPN.
TunnelIpAddress Permet de filtrer les données en fonction de l'adresse IP du tunnel dela passerelle réseau privé virtuel.
Afficher toutes les métriques CloudWatch du tunnelVPNLorsque vous créez une nouvelle connexion Site-to-Site VPN, le service VPN envoie les métriquessuivantes au sujet de vos tunnels VPN à CloudWatch lorsqu'elles sont disponibles. Vous pouvez afficherles métriques de tunnels VPN en procédant comme suit.
31
AWS Site-to-Site VPN Guide de l'utilisateurCréation d'alarmes CloudWatchpour surveiller des tunnels VPN
Pour afficher des métriques à l'aide de la console CloudWatch
Les métriques sont d'abord regroupées par espace de noms de service, puis par les différentescombinaisons de dimension au sein de chaque espace de noms.
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Métriques.3. Sous All metrics (Toutes les métriques), choisissez l'espace de nom de métrique VPN.4. Sélectionnez la dimension de métrique pour afficher les métriques (par exemple, pour la connexion
Site-to-Site VPN).
Pour afficher les métriques à l'aide de l'interface de ligne de commande AWS
À partir d'une invite de commande, utilisez la commande suivante :
aws cloudwatch list-metrics --namespace "AWS/VPN"
Création d'alarmes CloudWatch pour surveiller destunnels VPNVous pouvez créer une alarme CloudWatch qui envoie un message Amazon SNS lorsque l'alarme changed'état. Une alarme surveille une seule métrique sur une durée définie et envoie une notification à unerubrique Amazon SNS en fonction de la valeur de la métrique par rapport à un seuil donné sur un certainnombre de durées.
Par exemple, vous pouvez créer une alarme qui surveille l'état d'un tunnel VPN et envoie une notificationlorsque l'état du tunnel est ARRET pendant 3 périodes de 5 minutes consécutives.
Pour créer une alarme pour l'état de votre tunnel
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.3. Choisissez VPN Tunnel Metrics.4. Sélectionnez l'adresse IP du tunnel VPN et la métrique TunnelState. Choisissez Suivant.5. Configurez l'alarme comme suit et choisissez Create Alarm une fois que vous avez terminé :
• Sous Alarm Threshold, indiquez un nom et une description pour votre alarme. Pour Lorsque,choisissez <= et entrez 0. Entrez 3 pour les périodes consécutives.
• Sous Actions, sélectionnez une liste de notification existante, ou choisissez New list pour en créerune.
• Sous Alarm Preview, sélectionnez une période de 5 minutes et spécifiez la statistique Maximum.
Vous pouvez créer une alarme qui surveille l'état de la connexion Site-to-Site VPN. Par exemple, l'alarmesuivante envoie une notification lorsque le statut des deux tunnels est ARRÊT pendant 1 période de5 minutes consécutives.
Pour créer une alarme pour l'état de votre connexion Site-to-Site VPN
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.3. Choisissez VPN Connection Metrics.4. Sélectionnez votre connexion Site-to-Site VPN et choisissez la métrique TunnelState. Choisissez
Suivant.
32
AWS Site-to-Site VPN Guide de l'utilisateurCréation d'alarmes CloudWatchpour surveiller des tunnels VPN
5. Configurez l'alarme comme suit et choisissez Create Alarm une fois que vous avez terminé :
• Sous Alarm Threshold, indiquez un nom et une description pour votre alarme. Pour Lorsque,choisissez <= et entrez 0. Entrez 1 pour les périodes consécutives.
• Sous Actions, sélectionnez une liste de notification existante, ou choisissez New list pour en créerune.
• Sous Alarm Preview, sélectionnez une période de 5 minutes et spécifiez la statistique Maximum.
Si vous avez configuré votre connexion Site-to-Site VPN de manière à ce que les deux tunnelssoient actifs, vous pouvez aussi spécifier une statistique Minimum pour envoyer une notificationlorsqu'au moins un tunnel ne fonctionne plus.
Vous pouvez aussi créer des alarmes qui surveille la quantité de trafic entrant dans le tunnel VPN ou ensortant. Par exemple, l'alarme suivante surveille la quantité de trafic entrant dans le tunnel VPN à partir devotre réseau et envoie une notification lorsque le nombre d'octets atteint un seuil de 5 000 000 pendant unepériode de 15 minutes.
Pour créer une alarme pour votre trafic réseau entrant
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.3. Choisissez VPN Tunnel Metrics.4. Sélectionnez l'adresse IP du tunnel VPN et la métrique TunnelDataIn. Choisissez Suivant.5. Configurez l'alarme comme suit et choisissez Create Alarm une fois que vous avez terminé :
• Sous Alarm Threshold, indiquez un nom et une description pour votre alarme. Pour Whenever,choisissez >= et entrez 5000000. Entrez 1 pour les périodes consécutives.
• Sous Actions, sélectionnez une liste de notification existante, ou choisissez New list pour en créerune.
• Sous Alarm Preview, sélectionnez une période de 15 minutes et spécifiez la statistique Sum.
Par exemple, l'alarme suivante surveille la quantité de trafic entrant dans le tunnel VPN à partir de votreréseau et envoie une notification lorsque le nombre d'octets atteint un seuil de 1 000 000 pendant unepériode de 15 minutes.
Pour créer une alarme pour votre trafic réseau sortant
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Alarmes, puis Créer une alarme.3. Choisissez VPN Tunnel Metrics.4. Sélectionnez l'adresse IP du tunnel VPN et la métrique TunnelDataOut. Choisissez Suivant.5. Configurez l'alarme comme suit et choisissez Create Alarm une fois que vous avez terminé :
• Sous Alarm Threshold, indiquez un nom et une description pour votre alarme. Pour Lorsque,choisissez <= et entrez 1000000. Entrez 1 pour les périodes consécutives.
• Sous Actions, sélectionnez une liste de notification existante, ou choisissez New list pour en créerune.
• Sous Alarm Preview, sélectionnez une période de 15 minutes et spécifiez la statistique Sum.
Pour plus d'exemples de création d'alarmes, consultez Création d'alarmes Amazon CloudWatch dans lemanuel Guide de l'utilisateur Amazon CloudWatch.
33
AWS Site-to-Site VPN Guide de l'utilisateur
Historique du documentLe tableau suivant décrit les mises à jour du Guide de l’utilisateur AWS Site-to-Site VPN.
Modification Description Date
Vous pouvez modifier lapasserelle cible de la connexionAWS Site-to-Site VPN
Vous pouvez modifier lapasserelle cible de la connexionAWS Site-to-Site VPN Pourplus d'informations, consultezModification d'une passerellecible de connexion Site-to-SiteVPN (p. 22).
18 décembre 2018
Première version Cette version sépare lecontenu AWS Site-to-Site VPN(précédemment connu sous lenom de VPN géré par AWS) ducontenu du Amazon VPC Guidede l'utilisateur.
18 décembre 2018
34
