Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Site-to-Site VPN scénarios architecturaux
Voici des scénarios dans lesquels vous pouvez créer plusieurs connexions VPN avec un ou plusieurs périphériques de passerelle client.
**Plusieurs connexions VPN utilisant le même périphérique de passerelle client**
Vous pouvez créer des connexions VPN supplémentaires entre votre site local et d'autres sites VPCs en utilisant le même dispositif de passerelle client. De plus, vous pouvez réutiliser la même adresse IP de passerelle client pour chacune de ces connexions VPN.
**Plusieurs dispositifs de passerelle client vers une seule passerelle privée virtuelle (Site-to-Site VPN CloudHub)**
Vous pouvez établir plusieurs connexions VPN sur une passerelle réseau privé virtuel à partir de plusieurs passerelles client. Cela vous permet d'avoir plusieurs sites connectés au AWS VPN CloudHub. Pour de plus amples informations, veuillez consulter [Communication sécurisée entre les AWS Site-to-Site VPN connexions à l'aide d'un VPN CloudHub](VPN_CloudHub.md). Lorsque vous disposez de passerelles client dans plusieurs sites géographiques, chacune d'entre elles doit publier un ensemble unique de plages d'adresses IP propres à chaque emplacement.
**Connexion VPN redondante utilisant un deuxième périphérique de passerelle client**
Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre périphérique de passerelle client, vous pouvez configurer une seconde connexion VPN vers votre VPC en utilisant un second périphérique de passerelle client. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN Connexions redondantes pour le basculement](vpn-redundant-connection.md). Lorsque vous établissez des passerelles client redondantes dans un même emplacement, ces dernières doivent publier les mêmes plages d'adresses IP.
Les architectures Site-to-Site VPN les plus courantes sont les suivantes :
+ [Connexions VPN uniques et multiples](Examples.md)
+ [AWS Site-to-Site VPN Connexions redondantes pour le basculement](vpn-redundant-connection.md)
+ [Communications sécurisées entre les connexions VPN à l'aide du VPN CloudHub](VPN_CloudHub.md)
# AWS Site-to-Site VPN exemples de connexions VPN uniques et multiples
Les diagrammes suivants illustrent les connexions Site-to-Site VPN uniques et multiples.
**Topics**
+ [Connexion Site-to-Site VPN unique](#SingleVPN)
+ [Connexion Site-to-Site VPN unique avec passerelle de transit](#SingleVPN-transit-gateway)
+ [Connexions Site-to-Site VPN multiples](#MultipleVPN)
+ [Connexions Site-to-Site VPN multiples avec une passerelle de transit](#MultipleVPN-transit-gateway)
+ [Site-to-Site Connexion VPN avec Direct Connect](#vpn-direct-connect)
+ [Connexion Site-to-Site VPN IP privée avec Direct Connect](#private-ip-direct-connect)
## Connexion Site-to-Site VPN unique
Le VPC a une passerelle réseau privé virtuel attachée et votre réseau sur site (distant) comprend un périphérique de passerelle client que vous devez configurer pour activer la connexion VPN. Vous devez mettre à jour les tables de routage de VPC afin que le trafic de votre VPC lié à votre réseau soit acheminé vers la passerelle réseau privé virtuel.
![\[Un VPC avec une passerelle réseau privé virtuel attachée et une connexion VPN à votre réseau sur site.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Pour connaître la procédure à suivre pour configurer ce scénario, consultez [Commencez avec AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Connexion Site-to-Site VPN unique avec passerelle de transit
Le VPC a une passerelle de transit attachée et votre réseau sur site (distant) comprend un périphérique de passerelle client que vous devez configurer pour permettre la connexion VPN. Vous devez mettre à jour les tables de routage de VPC afin que le trafic de votre VPC lié à votre réseau soit acheminé vers la passerelle de transit.
![\[Une connexion Site-to-Site VPN unique avec une passerelle de transit.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Pour connaître la procédure à suivre pour configurer ce scénario, consultez [Commencez avec AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Connexions Site-to-Site VPN multiples
Le VPC est associé à une passerelle privée virtuelle, et vous disposez de plusieurs connexions Site-to-Site VPN vers plusieurs sites sur site. Vous configurez le routage afin que le trafic de votre VPC lié à votre réseau soit acheminé vers la passerelle réseau privé virtuel.
![\[Disposition Site-to-Site VPN multiple\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/branch-offices-vgw.png)
Lorsque vous créez plusieurs connexions Site-to-Site VPN vers un seul VPC, vous pouvez configurer une deuxième passerelle client pour créer une connexion redondante vers le même emplacement externe. Pour de plus amples informations, veuillez consulter [AWS Site-to-Site VPN Connexions redondantes pour le basculement](vpn-redundant-connection.md).
Vous pouvez également utiliser ce scénario pour créer des connexions Site-to-Site VPN vers plusieurs sites géographiques et garantir une communication sécurisée entre les sites. Pour de plus amples informations, veuillez consulter [Communication sécurisée entre les AWS Site-to-Site VPN connexions à l'aide d'un VPN CloudHub](VPN_CloudHub.md).
## Connexions Site-to-Site VPN multiples avec une passerelle de transit
Le VPC possède une passerelle de transit attachée, et vous disposez de plusieurs connexions Site-to-Site VPN vers plusieurs sites sur site. Vous configurez le routage afin que le trafic de votre VPC lié à vos réseaux soit acheminé vers la passerelle de transit.
![\[Connexions Site-to-Site VPN multiples avec une passerelle de transit\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/branch-offices-tgw.png)
Lorsque vous créez plusieurs connexions Site-to-Site VPN vers une seule passerelle de transit, vous pouvez configurer une deuxième passerelle client pour créer une connexion redondante vers le même emplacement externe.
Vous pouvez également utiliser ce scénario pour créer des connexions Site-to-Site VPN vers plusieurs sites géographiques et garantir une communication sécurisée entre les sites.
## Site-to-Site Connexion VPN avec Direct Connect
Le VPC possède une passerelle privée virtuelle attachée et se connecte à votre réseau sur site (distant) via. AWS Direct Connect Vous pouvez configurer une interface virtuelle Direct Connect publique pour établir une connexion réseau dédiée entre votre réseau et les AWS ressources publiques via une passerelle privée virtuelle. Vous configurez le routage de telle sorte que tout trafic provenant du VPC à destination de votre réseau soit acheminé vers la passerelle privée virtuelle et la Direct Connect connexion.
![\[Site-to-Site Connexion VPN avec Direct Connect\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/vpn-direct-connect.png)
Lorsque les deux connexions Direct Connect et la connexion VPN sont configurées sur la même passerelle privée virtuelle, l'ajout ou la suppression d'objets peut faire passer la passerelle privée virtuelle à l'état « attache ». Cela indique qu'une modification est apportée au routage interne qui basculera entre Direct Connect et la connexion VPN afin de minimiser les interruptions et les pertes de paquets. Après cela, la passerelle réseau privé virtuel revient à l'état « attachée ».
## Connexion Site-to-Site VPN IP privée avec Direct Connect
Avec un Site-to-Site VPN IP privé, vous pouvez chiffrer Direct Connect le trafic entre votre réseau local AWS sans utiliser d'adresses IP publiques. Le VPN IP privé Direct Connect garantit que le trafic entre les réseaux locaux AWS et sur site est à la fois sécurisé et privé, ce qui permet aux clients de se conformer aux obligations réglementaires et de sécurité.
![\[Connexion Site-to-Site VPN IP privée avec Direct Connect\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/private-ip-dx.png)
Pour plus d'informations, consultez le billet de blog suivant : [Présentation de la propriété intellectuelle AWS Site-to-Site VPN privée VPNs](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/).
# Communication sécurisée entre les AWS Site-to-Site VPN connexions à l'aide d'un VPN CloudHub
Si vous disposez de plusieurs AWS Site-to-Site VPN connexions, vous pouvez assurer une communication sécurisée entre les sites à l'aide du AWS VPN CloudHub. Cela permet à vos sites de communiquer entre eux et pas uniquement avec les ressources dans votre VPC. Le VPN CloudHub fonctionne selon un hub-and-spoke modèle simple que vous pouvez utiliser avec ou sans VPC. Cette conception convient si vous avez plusieurs succursales et des connexions Internet existantes et que vous souhaitez mettre en œuvre un hub-and-spoke modèle pratique et potentiellement peu coûteux pour la connectivité principale ou de secours entre ces sites.
## Présentation de
Le schéma suivant montre l' CloudHub architecture du VPN. Les lignes pointillées indiquent le trafic réseau entre des sites distants acheminé via les connexions VPN. Les sites ne doivent pas avoir de plages d'adresses IP qui se chevauchent.
![\[CloudHub schéma d'architecture\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)
Pour ce scénario, procédez comme suit :
1. Créez une passerelle réseau privé virtuel unique.
1. Créez plusieurs passerelles client, chacune avec l'adresse IP publique de la passerelle. Vous devez utiliser un numéro d'ASN (Autonomous System Number) BGP (Border Gateway Protocol) unique pour chaque passerelle client.
1. Créez une connexion Site-to-Site VPN routée dynamiquement entre chaque passerelle client et la passerelle privée virtuelle commune.
1. Configurez chaque passerelle client pour publier un préfixe propre à un site (tel que 10.0.0.0/24, 10.0.1.0/24) sur la passerelle réseau privé virtuel. Ces annonces de routage sont reçues et ré-publiées pour chaque BGP pair, pour permettre à chaque site d'envoyer des données vers les autres sites et d'en recevoir. Cela se fait à l'aide des instructions réseau contenues dans les fichiers de configuration VPN pour la connexion Site-to-Site VPN. Les relevés du réseau sont légèrement différents en fonction du type de routeur que vous utilisez.
1. Configurez les routes dans vos tables de routage de sous-réseau pour permettre aux instances de votre VPC de communiquer avec vos sites. Pour de plus amples informations, veuillez consulter [(Passerelle réseau privé virtuel) Activer la propagation de route dans votre table de routage](SetUpVPNConnections.md#vpn-configure-routing). Vous pouvez configurer une route agrégée dans votre table de routage (par exemple, 10.0.0.0/16). Utilisez des préfixes plus spécifiques entre les passerelles client et la passerelle réseau privé virtuel.
Les sites qui utilisent Direct Connect des connexions à la passerelle privée virtuelle peuvent également faire partie du AWS VPN CloudHub. Par exemple, le siège social de votre entreprise à New York peut être Direct Connect connecté au VPC et vos succursales peuvent utiliser des connexions Site-to-Site VPN avec le VPC. Les succursales de Los Angeles et de Miami peuvent envoyer et recevoir des données entre elles et avec le siège de votre entreprise, le tout à l'aide du AWS VPN CloudHub.
## Tarification
Pour utiliser AWS un VPN CloudHub, vous payez les tarifs habituels de connexion Site-to-Site VPN Amazon VPC. Le tarif de la connexion vous est facturé pour chaque heure de connexion de chaque VPN à la passerelle réseau privé virtuel. Lorsque vous envoyez des données d'un site à un autre à l'aide du AWS VPN CloudHub, l'envoi de données de votre site vers la passerelle privée virtuelle est gratuit. Vous payez uniquement les tarifs de transfert de données AWS standard pour les données qui sont transmises de la passerelle réseau privé virtuel vers votre point de terminaison.
Par exemple, si vous avez un site à Los Angeles et un deuxième site à New York et que les deux sites disposent d'une connexion Site-to-Site VPN à la passerelle privée virtuelle, vous payez le tarif horaire pour chaque connexion Site-to-Site VPN (donc si le tarif était de 0,05 dollar de l'heure, ce serait un total de 0,10 dollar de l'heure). Vous payez également les tarifs de transfert de AWS données standard pour toutes les données que vous envoyez de Los Angeles à New York (et vice versa) Site-to-Site via chaque connexion VPN. Le trafic réseau envoyé via la connexion Site-to-Site VPN à la passerelle privée virtuelle est gratuit, mais le trafic réseau envoyé via la connexion Site-to-Site VPN de la passerelle privée virtuelle au point de terminaison est facturé au taux de transfert de AWS données standard.
Pour en savoir plus, consultez [Site-to-Site Tarification de connexion VPN](https://aws.amazon.com/vpn/pricing/).
# AWS Site-to-Site VPN Connexions redondantes pour le basculement
Pour vous protéger contre une perte de connectivité en cas d'indisponibilité de votre dispositif de passerelle client, vous pouvez configurer une deuxième connexion Site-to-Site VPN vers votre VPC et votre passerelle privée virtuelle en ajoutant un deuxième dispositif de passerelle client. En utilisant des connexions VPN et des périphériques de passerelle client redondantes, vous pouvez effectuer une opération de maintenance sur l'un de vos périphériques pendant que le trafic continue d'être acheminé via la seconde connexion VPN.
Le schéma suivant illustre deux connexions VPN. Chaque connexion VPN possède ses propres tunnels et sa propre passerelle client.
![\[Connexions VPN redondantes vers deux passerelles client pour le même réseau local.\]](http://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)
Pour ce scénario, procédez comme suit :
+ Configurez une deuxième connexion Site-to-Site VPN en utilisant la même passerelle privée virtuelle et en créant une nouvelle passerelle client. L'adresse IP de la passerelle client pour la deuxième connexion Site-to-Site VPN doit être accessible au public.
+ Configurez un second périphérique de passerelle client. Les deux appareils doivent annoncer les mêmes plages IP sur la passerelle réseau privé virtuel. Nous utilisons le routage BGP pour déterminer le chemin pour le trafic. En cas de défaillance d'une des passerelles client, la passerelle réseau privé virtuel dirige tout le trafic vers celle qui est opérationnelle.
Les connexions Site-to-Site VPN routées dynamiquement utilisent le Border Gateway Protocol (BGP) pour échanger des informations de routage entre les passerelles de vos clients et les passerelles privées virtuelles. Les connexions Site-to-Site VPN à routage statique nécessitent que vous saisissiez des itinéraires statiques pour le réseau distant situé de votre côté de la passerelle client. Les informations de route saisies statiquement et publiées par BGP permettent aux passerelles de chaque côté de déterminer quels tunnels sont disponibles et de rediriger le trafic en cas de panne. Nous vous recommandons de configurer votre réseau pour utiliser les informations de routage fournies par BGP (si disponible) pour sélectionner un chemin disponible. La configuration exacte dépend de l'architecture de votre réseau.
Pour plus d'informations sur la création et la configuration d'une passerelle client et d'une connexion Site-to-Site VPN, consultez[Commencez avec AWS Site-to-Site VPN](SetUpVPNConnections.md).