Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connectivité hybride
<a name="hybrid-connectivity"></a>

 Cette section se concentre sur la connexion sécurisée de vos ressources cloud à vos centres de données sur site. Il existe trois approches pour permettre la connectivité hybride : 
+  **One-to-one connectivité** — Dans cette configuration, une connexion VPN et/ou un VIF privé Direct Connect sont créés pour chaque VPC. Cela se fait à l'aide de la passerelle privée virtuelle (VGW). Cette option est idéale pour un petit nombre de clients VPCs, mais la gestion de la connectivité hybride par VPC peut s'avérer difficile à mesure qu'un client fait évoluer son VPCs offre. 
+  **Consolidation des périphériques** : dans cette configuration, les clients consolident la connectivité informatique hybride pour plusieurs utilisateurs VPCs sur un seul point de terminaison. Ils VPCs partagent tous ces connexions hybrides. Ceci est accompli en utilisant AWS Transit Gateway et la Direct Connect passerelle. 
+  **Consolidation hybride entièrement maillée** : dans cette configuration, les clients consolident la connectivité de plusieurs appareils sur AWS Transit Gateway un seul point de terminaison VPCs à l'aide de CloudWAN, une solution intégrée. Il s'agit d'une approche complète basée sur des politiques de mise en réseau dans un ou plusieurs comptes AWS, représentée dans le code. À l'heure actuelle, l'utilisation Direct Connect de la connectivité périphérique nécessite de relier Transit Gateway à CloudWAN. 

# VPN 
<a name="vpn"></a>

 Il existe différentes manières de configurer un VPN pour AWS : 

![\[Schéma illustrant Site-to-Site VPN les options\]](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/aws-vpn-options.png)

+  **Option 1 : consolider la connectivité VPN sur Transit Gateway** — Cette option tire parti de l'attachement VPN Transit Gateway sur Transit Gateway. Transit Gateway prend en charge IPsec la résiliation du site-to-site VPN. Les clients peuvent créer des tunnels VPN vers le Transit Gateway et accéder à ceux qui VPCs y sont connectés. Transit Gateway prend en charge les connexions VPN statiques et dynamiques basées sur le BGP. Transit Gateway prend également en charge le protocole ECMP ([Equal-Cost Multi-Path](https://en.wikipedia.org/wiki/Equal-cost_multi-path_routing)) sur les connexions VPN. Chaque connexion VPN a un débit maximal de 1,25 Gbit/s par tunnel. L'activation de l'ECMP vous permet d'agréger le débit entre les connexions VPN, ce qui permet de le faire évoluer au-delà de la limite maximale par défaut de 1,25 Gbit/s. [Dans cette option, vous payez les tarifs et [les tarifs de Transit Gateway](https://aws.amazon.com/transit-gateway/pricing/).Site-to-Site VPN](https://aws.amazon.com/vpn/pricing/) AWS recommande d'utiliser cette option pour la connectivité VPN. Pour plus d'informations, consultez le billet de blog sur le [dimensionnement du débit VPN à l'aide d'AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/).
+  **Option 2 : mettre fin au VPN sur une EC2 instance Amazon** — Cette option est utilisée par les clients lorsqu'ils souhaitent bénéficier d'un ensemble de fonctionnalités logicielles spécifiques à un fournisseur (tel que [Cisco DMVPN](https://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html) ou Generic Routing Encapsulation (GRE)), ou lorsqu'ils souhaitent une cohérence opérationnelle entre les différents déploiements VPN. Vous pouvez utiliser la conception du VPC de transit pour la consolidation des périphériques, mais il est important de se rappeler que toutes les principales considérations de la [Connectivité VPC à VPC](vpc-to-vpc-connectivity.md) section relative au VPC de transit s'appliquent à la connectivité VPN hybride. Vous êtes responsable de la gestion de la haute disponibilité et vous payez, EC2 par exemple, les frais de licence et de support des logiciels des fournisseurs.
+  **Option 3 : mettre fin au VPN sur une passerelle privée virtuelle** **(VGW)** — Cette option de service Site-to-Site VPN AWS permet une conception de one-to-one connectivité dans laquelle vous créez une connexion VPN (composée d'une paire de tunnels VPN redondants) par VPC. C'est un excellent moyen de démarrer avec la connectivité VPN à AWS, mais à mesure que vous augmentez le nombre de connexions VPN VPCs, la gestion d'un nombre croissant de connexions VPN peut s'avérer difficile. Par conséquent, une conception de consolidation des périphériques utilisant Transit Gateway sera finalement une meilleure option. Le débit VPN vers un VGW est limité à 1,25 Gbit/s par tunnel et l'équilibrage de charge ECMP n'est pas pris en charge. Du point de vue de la tarification, vous ne payez que pour le prix du VPN AWS, l'exploitation d'un VGW est gratuite. Pour plus d'informations, reportez-vous à la section [Site-to-Site VPN Tarification](https://aws.amazon.com/vpn/pricing/) et [Site-to-Site VPN à la passerelle privée virtuelle](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html). 
+ **Option 4 : mettre fin à la connexion VPN sur le point de terminaison VPN** du client — Le VPN client AWS est un service VPN géré basé sur le client qui vous permet d'accéder en toute sécurité à vos ressources AWS et aux ressources de votre réseau sur site. Avec Client VPN, vous pouvez accéder à vos ressources depuis n'importe quel endroit à l'aide d'un client VPN fourni par OpenVPN ou AWS. En configurant un point de terminaison VPN client, les clients et les utilisateurs peuvent se connecter pour établir une connexion VPN TLS (Transport Layer Security). Pour plus d'informations, consultez la [documentation du Client VPN AWS](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html).
+  **Option 5 : consolider la connexion VPN sur AWS Cloud WAN** — Cette option est similaire à la première option de cette liste, mais elle utilise la structure CloudWAN pour configurer les connexions VPN de manière programmatique via le document de politique réseau. 

# Direct Connect 
<a name="direct-connect"></a>

Bien que le VPN sur Internet soit une excellente option pour démarrer, la connectivité Internet peut ne pas être fiable pour le trafic de production. En raison de ce manque de fiabilité, de nombreux clients choisissent [Direct Connect](https://aws.amazon.com/directconnect/). Direct Connect est un service réseau qui fournit une alternative à l'utilisation d'Internet pour se connecter à AWS. En utilisant Direct Connect, les données qui auraient été auparavant transportées sur Internet sont transmises via une connexion réseau privée entre vos installations et AWS. Dans de nombreuses circonstances, les connexions réseau privées peuvent réduire les coûts, augmenter la bande passante et fournir une expérience réseau plus cohérente que les connexions basées sur Internet. Vous pouvez utiliser plusieurs méthodes Direct Connect pour vous connecter à VPCs :

![\[Schéma illustrant les méthodes de connexion de vos centres de données sur site à l'aide de Direct Connect\]](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/connect-on-premises.png)

+  **Option 1 : créer une interface virtuelle privée (VIF) pour un VGW connecté à un VPC** — Vous pouvez en créer 50 par connexion VIFs Direct Connect, ce qui vous permet de vous connecter à un maximum de 50 VPCs (un VIF fournit une connectivité à un VPC). Il existe un peering BGP par VPC. Dans cette configuration, la connectivité est limitée à la région AWS dans laquelle le site Direct Connect est hébergé. Le one-to-one mappage du VIF au VPC (et l'absence d'accès global) en font le moyen le moins préféré d'accès VPCs dans la zone d'atterrissage. 
+ **Option 2 : créer un VIF privé vers une passerelle Direct Connect associée à plusieurs VGWs (chaque VGW est attachée à un VPC)** — Une passerelle Direct Connect est une ressource disponible dans le monde entier. Vous pouvez créer la passerelle Direct Connect dans n'importe quelle région et y accéder depuis toutes les autres régions, y compris GovCloud (à l'exception de la Chine). Une passerelle Direct Connect peut se connecter à un maximum de 20 VPCs (via VGWs) dans le monde entier via n'importe quel compte AWS via un seul VIF privé. C'est une excellente option si une zone d'atterrissage se compose d'un petit nombre de flux de and/or you need global access. There is one BGP peering session per Direct Connect Gateway per Direct Connect connection. Direct Connect gateway is only for north/south trafic VPCs (dix ou moins VPCs) et ne permet pas la VPC-to-VPC connectivité. Reportez-vous à la section [Associations de passerelles privées virtuelles](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html) dans la Direct Connect documentation pour plus de détails. Avec cette option, la connectivité n'est pas limitée à la région AWS dans laquelle le site Direct Connect est hébergé. Direct Connect la passerelle est uniquement destinée au flux de trafic nord/sud et ne permet pas la connectivité. VPC-to-VPC Il existe une exception à cette règle lorsqu'un superréseau est annoncé sur deux réseaux ou plus VPCs dont les connexions sont VGWs associées à la même Direct Connect passerelle et à la même interface virtuelle. Dans ce cas, ils VPCs peuvent communiquer entre eux via le Direct Connect point de terminaison. Reportez-vous à la [documentation Direct Connect des passerelles](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html) pour plus de détails. 
+  **Option 3 : créer un VIF de transit vers une passerelle Direct Connect associée à Transit Gateway** — Vous pouvez associer une instance de Transit Gateway à une passerelle Direct Connect à l'aide d'un VIF de transit. Direct Connect prend désormais en charge les connexions à Transit Gateway pour toutes les vitesses de port, offrant ainsi un choix plus rentable aux utilisateurs de Transit Gateway lorsque des connexions haut débit (supérieures à 1 Gbit/s) ne sont pas requises. Cela vous permet d'utiliser Direct Connect à des vitesses de 50, 100, 200, 300, 400 et 500 Mbits/s en vous connectant à Transit Gateway. Transit VIF vous permet de connecter votre centre de données sur site à un maximum de six instances de Transit Direct Connect Gateway par passerelle (qui peuvent se connecter à des milliers VPCs) dans différentes régions AWS et comptes AWS via un seul VIF de transit et un peering BGP. Il s'agit de la configuration la plus simple parmi les options permettant de connecter plusieurs personnes VPCs à grande échelle, mais vous devez tenir compte des [quotas de Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-limits.html). L'une des principales limites à noter est que vous ne pouvez publier que [200 préfixes](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html) d'un Transit Gateway vers un routeur local via le VIF de transit. Avec les options précédentes, vous payez la tarification Direct Connect. Pour cette option, vous payez également les frais de connexion et de traitement des données de Transit Gateway. Pour plus d'informations, reportez-vous à la [documentation de Transit Gateway Associations on Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
+  **Option 4 : créer une connexion VPN à Transit Gateway via le VIF public Direct Connect — Un VIF** public vous permet d'accéder à tous les services publics et points de terminaison AWS à l'aide des adresses IP publiques. Lorsque vous créez une pièce jointe VPN sur un Transit Gateway, vous obtenez deux adresses IP publiques pour les points de terminaison VPN du côté AWS. Ces publics IPs sont joignables via le VIF public. Vous pouvez créer autant de connexions VPN vers autant d'instances de Transit Gateway que vous le souhaitez via Public VIF. Lorsque vous créez un peering BGP sur le VIF public, AWS annonce la totalité de la [plage d'adresses IP publiques AWS](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html) à votre routeur. Pour garantir que vous n'autorisez qu'une partie du trafic (par exemple, autoriser le trafic uniquement vers les points de terminaison du VPN), il est conseillé d'utiliser un pare-feu sur site. Cette option peut être utilisée pour chiffrer votre Direct Connect au niveau de la couche réseau.
+  **Option 5 : créer une connexion VPN à Transit Gateway à Direct Connect l'aide d'un VPN IP privé** — Le VPN IP privé est une fonctionnalité qui permet aux clients de déployer des connexions Site-to-Site VPN AWS via Direct Connect à l'aide d'adresses IP privées. Grâce à cette fonctionnalité, vous pouvez chiffrer le trafic entre vos réseaux sur site et AWS via des connexions Direct Connect sans avoir besoin d'adresses IP publiques, ce qui améliore à la fois la sécurité et la confidentialité du réseau. Le VPN IP privé est déployé au-dessus de Transit VIFs. Il vous permet donc d'utiliser Transit Gateway pour une gestion centralisée des clients VPCs et des connexions aux réseaux locaux de manière plus sécurisée, privée et évolutive. 
+ **Option 6 : créer des tunnels GRE vers Transit Gateway via un VIF de transit** — Le type de pièce jointe Transit Gateway Connect prend en charge le GRE. Avec Transit Gateway Connect, l'infrastructure SD-WAN peut être connectée nativement à AWS sans avoir à configurer IPsec VPNs entre les appliances virtuelles du réseau SD-WAN et Transit Gateway. Les tunnels GRE peuvent être établis via un VIF de transit, avec Transit Gateway Connect comme type de pièce jointe, ce qui permet d'obtenir des performances de bande passante supérieures à celles d'une connexion VPN. Pour plus d'informations, consultez le billet de blog [Simplifier la connectivité SD-WAN AWS Transit Gateway avec Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/).

L'option « transiter le VIF vers la passerelle Direct Connect » peut sembler être la meilleure option car elle vous permet de consolider toute votre connectivité sur site pour un point donné Région AWS (Transit Gateway) en utilisant une seule session BGP par connexion Direct Connect ; toutefois, certaines des limites et considérations liées à cette option peuvent vous amener à utiliser à la fois le privé et le transit VIFs pour répondre à vos exigences de connectivité de zone d'atterrissage.

La figure suivante illustre un exemple de configuration dans lequel Transit VIF est utilisé comme méthode de connexion par défaut VPCs et un VIF privé est utilisé dans un cas d'utilisation périphérique où des quantités exceptionnellement importantes de données doivent être transférées d'un centre de données sur site vers le VPC multimédia. Le VIF privé est utilisé pour éviter les frais de traitement des données de Transit Gateway. La meilleure pratique consiste à disposer d'au moins deux connexions à deux emplacements Direct Connect différents pour une [redondance maximale](https://aws.amazon.com/directconnect/resiliency-recommendation/), soit un total de quatre connexions. Vous créez un VIF par connexion pour un total de quatre communications privées VIFs et quatre de transit VIFs. Vous pouvez également créer un VPN comme connectivité de sauvegarde pour Direct Connect les connexions.

Avec l'option « Create GRE tunnels to Transit Gateway over a transit VIF », vous pouvez connecter nativement votre infrastructure SD-WAN à AWS. Il élimine le besoin de configuration IPsec VPNs entre les appliances virtuelles du réseau SD-WAN et Transit Gateway. 

![\[Schéma illustrant un exemple d'architecture de référence pour la connectivité hybride\]](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/hybrid-connectivity-ra.png)


Utilisez le compte Network Services pour créer des ressources Direct Connect permettant de délimiter les limites administratives du réseau. Les connexions Direct Connect, les passerelles Direct Connect et les passerelles de transit peuvent toutes résider dans un compte Network Services. Pour partager la Direct Connect connectivité avec votre Landing Zone, il vous suffit de partager le Transit Gateway AWS RAM avec d'autres comptes.

## MACsec sécurité sur les connexions Direct Connect
<a name="macsec-security-dc"></a>



[Les clients peuvent utiliser le chiffrement MAC Security Standard (MACsec) (IEEE 802.1AE) avec leurs connexions Direct Connect pour des connexions dédiées à 10 Gbit/s et à 100 Gbit/s sur certains sites.](https://aws.amazon.com/directconnect/locations/) Grâce à [cette fonctionnalité](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html), les clients peuvent sécuriser leurs données au niveau de la couche 2, et Direct Connect assure point-to-point le chiffrement. Pour activer la MACsec fonctionnalité Direct Connect, assurez-vous que les [MACsec conditions préalables sont remplies](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-mac-sec-getting-started.html#mac-sec-prerequisites). Parce que MACsec les liens sont protégés sur une hop-by-hop base, votre appareil doit avoir une contiguïté directe de couche 2 avec notre appareil Direct Connect. Votre fournisseur du dernier kilomètre peut vous aider à vérifier que votre connexion fonctionnera avec. MACsec Pour plus d'informations, reportez-vous à la [section MACsec Renforcement de la sécurité des connexions AWS Direct Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/adding-macsec-security-to-aws-direct-connect-connections/).

## Direct Connect recommandations en matière de résilience
<a name="resiliency-recommendations"></a>

Les clients peuvent ainsi bénéficier d'une connectivité hautement résiliente avec Direct Connect leurs ressources Amazon VPCs et AWS à partir de leurs réseaux sur site. Il est recommandé que les clients se connectent à partir de plusieurs centres de données afin d'éliminer toute défaillance d'un point de localisation physique unique. Il est également recommandé que, selon le type de charge de travail, les clients utilisent plusieurs connexions Direct Connect à des fins de redondance. 

AWS propose également le Direct Connect Resiliency Toolkit, qui fournit aux clients un assistant de connexion doté de plusieurs modèles de redondance, afin de les aider à déterminer le modèle le mieux adapté aux exigences de leur contrat de niveau de service (SLA) et à concevoir leur connectivité hybride à l'aide de connexions Direct Connect en conséquence. Pour plus d'informations, reportez-vous aux [recommandations en Direct Connect matière de résilience](https://aws.amazon.com/directconnect/resiliency-recommendation/).

## Direct Connect SiteLink
<a name="direct-connect-sitelink"></a>

 Auparavant, la configuration site-to-site des liaisons pour vos réseaux locaux n'était possible qu'en utilisant la construction directe de circuits via la fibre noire ou d'autres technologies, IPSEC VPNs, ou en faisant appel à des fournisseurs de circuits tiers utilisant des technologies telles que le MPLS ou les anciens circuits T1 MetroEthernet. Avec l'avènement de SiteLink, les clients peuvent désormais activer la site-to-site connectivité directe pour leur site sur site qui se termine à un Direct Connect emplacement. Utilisez votre circuit Direct Connect pour fournir une site-to-site connectivité sans avoir à acheminer le trafic via votre circuit VPCs, en contournant complètement la région AWS. 

 Vous pouvez désormais créer des pay-as-you-go connexions globales et fiables entre les bureaux et les centres de données de votre réseau mondial en envoyant des données sur le chemin le plus rapide entre les Direct Connect sites. 

![\[Un schéma Direct Connect SiteLink\]](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/direct-connect-sitelink.png)


 Lors de l'utilisation SiteLink, vous connectez d'abord vos réseaux sur site à AWS sur l'un des plus de 100 Direct Connect sites dans le monde entier. Ensuite, vous créez des interfaces virtuelles (VIFs) sur ces connexions et vous les activez SiteLink. Une fois que tous VIFs sont connectés à la même Direct Connect passerelle (DXGW), vous pouvez commencer à envoyer des données entre eux. Vos données suivent le chemin le plus court entre les Direct Connect sites et leur destination, en utilisant le réseau mondial AWS rapide, sécurisé et fiable. Vous n'avez pas besoin de ressources Région AWS pour les utiliser SiteLink. 

 Avec SiteLink, le DXGW apprend IPv4 les IPv6 préfixes de vos routeurs SiteLink suractivés VIFs, exécute l'algorithme du meilleur chemin BGP, met à jour des attributs tels que as\$1Path NextHop et republie ces préfixes BGP sur le reste de vos préfixes BGP associés à ce DXGW. SiteLink VIFs Si vous SiteLink le désactivez sur un VIF, le DXGW ne communiquera pas les préfixes locaux appris sur ce VIF à l'autre préfixe activé. SiteLink VIFs Les préfixes locaux d'un VIF SiteLink désactivé ne sont communiqués qu'aux associations DXGW Gateway, telles que les instances AWS Virtual Private Gateways () ou VGWs Transit Gateway (TGW) associées au DXGW. 

![\[Schéma illustrant des exemples de flux de trafic Sitelink\]](http://docs.aws.amazon.com/fr_fr/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/full-mesh-connectivity.png)


 SiteLink permet aux clients d'utiliser le réseau mondial AWS comme connexion principale ou secondaire/de secours entre leurs sites distants, avec une bande passante élevée et une faible latence, avec un routage dynamique pour contrôler les sites autorisés à communiquer entre eux et avec vos ressources régionales AWS. 

 Pour plus d'informations, reportez-vous à la section [Présentation Direct Connect SiteLink](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-direct-connect-sitelink/).