Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Étendez votre accès VRFs à AWS en utilisant AWS Transit Gateway Connect *Adam Till, Yashar Araghi, Vikas Dewangan et Mohideen, Amazon Web Services HajaMohideen* ## Résumé Le routage et le transfert virtuels (VRF) sont une fonctionnalité des réseaux traditionnels. Il utilise des domaines de routage logiques isolés, sous forme de tables de routage, pour séparer le trafic réseau au sein d'une même infrastructure physique. Vous pouvez configurer AWS Transit Gateway pour prendre en charge l'isolation VRF lorsque vous connectez votre réseau sur site à AWS. Ce modèle utilise un exemple d'architecture pour se connecter sur site VRFs à différentes tables de routage de passerelles de transit. Ce modèle utilise des interfaces virtuelles de transit (VIFs) dans AWS Direct Connect et des pièces jointes Connect de la passerelle de transit pour étendre le VRFs. Un [VIF de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) est utilisé pour accéder à une ou plusieurs passerelles de transit Amazon VPC associées aux passerelles Direct Connect. Une [pièce jointe Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) connecte une passerelle de transit à un dispositif virtuel tiers exécuté dans un VPC. Une pièce jointe Connect de passerelle de transit prend en charge le protocole de tunnel GRE (Generic Routing Encapsulation) pour des performances élevées, et le protocole BGP (Border Gateway Protocol) pour le routage dynamique. L'approche décrite dans ce modèle présente les avantages suivants : + Grâce à Transit Gateway Connect, vous pouvez annoncer jusqu'à 1 000 itinéraires à l'homologue Transit Gateway Connect et recevoir jusqu'à 5 000 itinéraires de ce dernier. L'utilisation de la fonctionnalité Direct Connect transit VIF sans Transit Gateway Connect est limitée à 20 préfixes par passerelle de transit. + Vous pouvez maintenir l'isolation du trafic et utiliser Transit Gateway Connect pour fournir des services hébergés sur AWS, quels que soient les schémas d'adresses IP utilisés par vos clients. + Le trafic VRF n'a pas besoin de traverser une interface virtuelle publique. Cela facilite le respect des exigences de conformité et de sécurité dans de nombreuses entreprises. + Chaque tunnel GRE prend en charge jusqu'à 5 Gbit/s, et vous pouvez avoir jusqu'à quatre tunnels GRE par pièce jointe Connect de passerelle de transit. Cela est plus rapide que de nombreux autres types de connexion, tels que les connexions Site-to-Site VPN AWS qui prennent en charge jusqu'à 1,25 Gbit/s. ## Conditions préalables et limitations **Conditions préalables** + Les comptes AWS requis ont été créés (voir l'architecture pour plus de détails) + Autorisations permettant d'assumer un rôle AWS Identity and Access Management (IAM) dans chaque compte. + Les rôles IAM de chaque compte doivent être autorisés à fournir des ressources AWS Transit Gateway et AWS Direct Connect. Pour plus d'informations, consultez [Authentification et contrôle d'accès pour vos passerelles de transport](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html) et [gestion des identités et des accès pour Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/security-iam.html). + Les connexions Direct Connect ont été créées avec succès. Pour plus d'informations, voir [Création d'une connexion à l'aide de l'assistant de connexion](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection). **Limites** + Il existe des limites pour les pièces jointes des passerelles de VPCs transit aux comptes de production, d'assurance qualité et de développement. Pour plus d'informations, consultez la section [Pièces jointes d'une passerelle de transit à un VPC](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html). + Il existe des restrictions concernant la création et l'utilisation des passerelles Direct Connect. Pour plus d'informations, consultez la section [Quotas AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html). ## Architecture **Architecture cible** L'exemple d'architecture suivant fournit une solution réutilisable pour déployer le transport en commun VIFs avec les pièces jointes Connect de la passerelle de transit. Cette architecture assure la résilience en utilisant plusieurs emplacements Direct Connect. Pour plus d'informations, consultez la section [Résilience maximale](https://docs.aws.amazon.com/directconnect/latest/UserGuide/maximum_resiliency.html) dans la documentation de Direct Connect. La production, l'assurance qualité et le développement du VRFs réseau sur site sont étendus à AWS et isolés à l'aide de tables de routage dédiées. ![Schéma d'architecture de l'utilisation des ressources AWS Direct Connect et AWS Transit Gateway pour étendre VRFs](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/10be0625-8574-40eb-bc00-bb0a07d0dc26.png) Dans l'environnement AWS, deux comptes sont dédiés à l'extension VRFs : un compte *Direct Connect et un compte* de *hub réseau*. Le compte Direct Connect contient la connexion et le transit VIFs pour chaque routeur. Vous créez le transit VIFs à partir du compte Direct Connect, mais vous le déployez sur le compte du hub réseau afin de pouvoir l'associer à la passerelle Direct Connect dans le compte du hub réseau. Le compte du hub réseau contient la passerelle Direct Connect et la passerelle de transit. Les ressources AWS sont connectées comme suit : 1. VIFs Connectez les routeurs des sites Direct Connect à AWS Direct Connect dans le compte Direct Connect. 1. Un VIF de transit connecte Direct Connect à la passerelle Direct Connect dans le compte du hub réseau. 1. Une [association de passerelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) connecte la passerelle Direct Connect à la passerelle de transit dans le compte du hub réseau. 1. Les [pièces jointes Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) connectent la passerelle de transit VPCs aux comptes de production, d'assurance qualité et de développement. *Architecture Transit VIF* Le schéma suivant montre les détails de configuration du transit VIFs. Cet exemple d'architecture utilise un VLAN pour la source du tunnel, mais vous pouvez également utiliser un loopback. ![Détails de configuration pour les connexions VIF de transit entre les routeurs et AWS Direct Connect](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/e88d2546-61ef-4531-972b-089cdf44ed67.png) Vous trouverez ci-dessous les détails de configuration, tels que les numéros de système autonomes (ASNs), pour le transit VIFs. | | | Ressource | Élément | Détail | | --- |--- |--- | | routeur-01 | ASN | 65534 | | routeur-02 | ASN | 65534 | | routeur-03 | ASN | 65534 | | routeur-04 | ASN | 65534 | | Passerelle Direct Connect | ASN | 64601 | | Passerelle de transit | ASN | 64600 | | Bloc d'adresse CIDR | 10,10,254,0/24 | *Architecture Connect de Transit Gateway* Le diagramme et les tableaux suivants décrivent comment configurer un seul VRF via une pièce jointe Connect de passerelle de transit. En outre VRFs, attribuez des adresses IP GRE uniques à un tunnel IDs, à une passerelle de transit et à un BGP dans des blocs CIDR. L'adresse IP GRE de l'homologue correspond à l'adresse IP de l'homologue du routeur indiquée dans le VIF de transit. ![Détails de configuration des tunnels GRE entre les routeurs et la passerelle de transit](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/e58278e1-f3b4-442d-95d9-1dafab4aa5ac.png) Le tableau suivant contient les détails de configuration du routeur. | | | Routeur | Tunnel | Adresse IP | Source | Destination | | --- |--- |--- |--- |--- | | routeur-01 | Tunnel 1 | 169,254,101,17 | VLAN 60
169,254,100,1 | 10,10,254,1 | | routeur-02 | Tunnel 11 | 169,254,101,81 | VLAN 61
169,254,100,5 | 10,10.254,11 | | routeur-03 | Tunnel 21 | 169,254,101,145 | VLAN 62
169,254,100,9 | 10,10.254,21 | | routeur-04 | Tunnel 31 | 169,254,101,209 | VLAN 63
169,254,100,13 | 10,10.254,31 | Le tableau suivant contient les détails de configuration de la passerelle de transit. | | | Tunnel | Adresse IP GRE de la passerelle de transit | Adresse IP GRE homologue | BGP à l'intérieur de blocs CIDR | | --- |--- |--- |--- | | Tunnel 1 | 10,10,254,1 | VLAN 60
169,254,100,1 | 169,254,106,16/29 | | Tunnel 11 | 10,10.254,11 | VLAN 61
169,254,100,5 | 169,254,101,80/29 | | Tunnel 21 | 10,10.254,21 | VLAN 62
169,254,100,9 | 169,254,101,144/29 | | Tunnel 31 | 10,10.254,31 | VLAN 63
169,254,100,13 | 169,254,101,208/29 | **Déploiement** La section [Epics](#extend-vrfs-to-aws-by-using-aws-transit-gateway-connect-epics) décrit comment déployer un exemple de configuration pour un**** seul VRF sur plusieurs routeurs clients. Une fois les étapes 1 à 5 terminées, vous pouvez créer de nouvelles pièces jointes Connect pour la passerelle de transit en suivant les étapes 6 à 7 pour chaque nouveau VRF que vous étendez à AWS : 1. Créez la passerelle de transit. 1. Créez une table de routage Transit Gateway pour chaque VRF. 1. Créez les interfaces virtuelles de transport en commun. 1. Créez la passerelle Direct Connect. 1. Créez l'interface virtuelle de la passerelle Direct Connect et les associations de passerelle avec les préfixes autorisés. 1. Créez la pièce jointe Connect pour la passerelle de transit. 1. Créez les homologues de Transit Gateway Connect. 1. Associez la pièce jointe Connect de la passerelle de transit à la table de routage. 1. Annoncez les itinéraires aux routeurs. ## Outils **Services AWS** + [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) relie votre réseau interne à un emplacement Direct Connect via un câble Ethernet à fibre optique standard. Grâce à cette connexion, vous pouvez créer des interfaces virtuelles directement vers les services AWS publics tout en contournant les fournisseurs de services Internet sur votre chemin réseau. + [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) est un hub central qui connecte des clouds privés virtuels (VPCs) et des réseaux sur site. + [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) vous aide à lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous exploiteriez dans votre propre centre de données, avec les avantages liés à l'utilisation de l'infrastructure évolutive d'AWS. ## Épopées ### Planifier l'architecture | Sous-tâche | Description | Compétences requises | | --- | --- | --- | | Créez des diagrammes d'architecture personnalisés. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Architecte cloud, administrateur réseau | ### Création des ressources Transit Gateway | Sous-tâche | Description | Compétences requises | | --- | --- | --- | | Créez la passerelle de transit. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Administrateur réseau, architecte cloud | | Créez la table de routage de la passerelle de transit. | Suivez les instructions de la section [Créer une table de routage pour une passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#create-tgw-route-table). Notez ce qui suit pour ce modèle :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Architecte cloud, administrateur réseau | ### Création des interfaces virtuelles de transport | Sous-tâche | Description | Compétences requises | | --- | --- | --- | | Créez les interfaces virtuelles de transport en commun. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Architecte cloud, administrateur réseau | ### Création des ressources Direct Connect | Sous-tâche | Description | Compétences requises | | --- | --- | --- | | Créez une passerelle Direct Connect. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Architecte cloud, administrateur réseau | | Connectez la passerelle Direct Connect au transport en commun VIFs. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Architecte cloud, administrateur réseau | | Créez les associations de passerelle Direct Connect avec les préfixes autorisés. | Dans le compte du hub réseau, suivez les instructions de la section [Pour associer une passerelle de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html#associate-tgw-with-direct-connect-gateway). Notez ce qui suit pour ce modèle :[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)
La création de cette association crée automatiquement une pièce jointe Transit Gateway dotée d'un type de ressource Direct Connect Gateway. Il n'est pas nécessaire que cette pièce jointe soit associée à une table de routage de passerelle de transit. | Architecte cloud, administrateur réseau | | Créez la pièce jointe Connect pour la passerelle de transit. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Architecte cloud, administrateur réseau | | Créez les homologues de Transit Gateway Connect. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | | ### Annoncer les itinéraires aux routeurs | Sous-tâche | Description | Compétences requises | | --- | --- | --- | | Faites de la publicité pour les itinéraires. | Associez la nouvelle pièce jointe Connect de la passerelle de transit à la table de routage que vous avez créée précédemment pour ce VRF. Par exemple, associez la pièce jointe Connect de la passerelle de transit de production à la table de `Production-VRF` routage.
Créez un itinéraire statique pour le préfixe annoncé aux routeurs.[See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | Administrateur réseau, architecte cloud | ## Ressources connexes **Documentation AWS** + Documentation sur Direct Connect + [Utilisation des passerelles Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html) + [Associations de passerelles de transit](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) + [Interfaces virtuelles AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) + Documentation sur Transit Gateway + [Travailler avec les passerelles de transport](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html) + [Pièces jointes d'une passerelle de transit à une passerelle Direct Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html) + [Pièces jointes Transit Gateway Connect et homologues de Transit Gateway Connect](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) + [Création d'une pièce jointe Connect pour une passerelle de transit](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html#create-tgw-connect-attachment) **Articles de blog AWS** + [Segmentation des réseaux hybrides avec AWS Transit Gateway connect](https://aws.amazon.com/blogs/networking-and-content-delivery/segmenting-hybrid-networks-with-aws-transit-gateway-connect/) + [Utilisation d'AWS Transit Gateway connect pour étendre VRFs et augmenter la publicité sur les préfixes IP](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-transit-gateway-connect-to-extend-vrfs-and-increase-ip-prefix-advertisement/) ## Pièces jointes [Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip](samples/p-attach/db17e177-6c94-4d81-ab39-0923ecab2f1b/attachments/attachment.zip)