Comment configurer des points de terminaison d'interface de VPC interrégionaux pour les services AWS ?

Brève description

Vous pouvez déployer des ressources telles qu'Amazon Elastic Compute Cloud (Amazon EC2), Amazon VPC et Amazon Relational Database Service (Amazon RDS), dans différentes régions AWS. Ce déploiement contribue à la haute disponibilité des ressources et permet aux utilisateurs d'accéder plus rapidement aux données. Vous pouvez également déployer des points de terminaison de passerelle VPC pour accéder à des ressources publiques AWS, telles qu'Amazon Simple Storage Service (Amazon S3), via un lien privé. Toutefois, vous ne pouvez accéder à ces points de terminaison de passerelle VPC qu'à partir de la même région.

Voici un exemple de scénario. Vous déployez un point de terminaison de passerelle Amazon S3 dans la région us-west-2. Vous avez ensuite accès aux compartiments S3 dans us-west-2 via le point de terminaison de passerelle. Le trafic vers des compartiments situés dans d'autres régions passe par la passerelle Internet du VPC. Si votre ressource AWS source se trouve dans un sous-réseau privé doté d'une passerelle NAT, le trafic passe par la passerelle NAT. En raison de ce flux de trafic, la passerelle NAT est facturée plus chère qu'un point de terminaison d'un VPC. Comme l'utilisation des points de terminaison d'un VPC de passerelle n'entraîne aucun traitement ni aucun frais horaire, les points de terminaison de passerelle Amazon S3 sont rentables par défaut.

Remarque : l'exemple suivant utilise des points de terminaison d'interface Amazon S3 pour le trafic entre régions, car les points de terminaison de passerelle ne prennent pas en charge l'accès entre régions. Utilisez la même configuration pour n'importe quel point de terminaison d'interface VPC.

Résolution

Procédez comme suit pour créer un appairage de VPC entre des VPC afin d'accéder aux points de terminaison d'une autre région.

Remarque : pour cet exemple de résolution, les variables suivantes sont utilisées :

• Le VPC1 (10.100.10.0/24) se trouve dans la région us-east-1.
• Le VPC1 possède un point de terminaison d'interface Amazon S3.
• Le VPC2 (172.16.20.0/24) se trouve dans la région us-east-2.
• Les utilisateurs de la région us-east-2 souhaitent accéder au compartiment S3 dans us-east-1. Ils souhaitent utiliser le point de terminaison de l'interface Amazon S3 dans us-east-1.

Configuration de l'appairage entre le VPC1 et le VPC2

1.    Ouvrez la console Amazon VPC. Assurez-vous que vous vous trouvez dans la région us-east-1.

2.    Sélectionnez VPC peering connections (connexions d'appairage de VPC).

3.    Sélectionnez Create peering connection (Créer une connexion d'appairage).

4.    Saisissez un nom pour la connexion d'appairage.

5.    Pour Select a local VPC to peer with (Sélectionnez un VPC local à appairer), saisissez l'ID du VPC (dans cet exemple, il s'agit de l'ID du VPC1).

6.    Dans Select another VPC to peer with (Sélectionner un autre VPC à appairer), dans Account (Compte), sélectionnez l'option appropriée en fonction des éléments suivants :

S'il s'agit d'un VPC distant appartenant au même compte AWS, choisissez My account (Mon compte).

S'il ne s'agit pas d'un VPC distant appartenant au même compte, sélectionnez Another account (Autre compte), puis saisissez l'ID de compte.

7.    Dans Select another VPC to peer with (Sélectionner un autre VPC à appairer), pour Région, sélectionnezAnother Region (Autre région). Saisissez ensuite l'ID du VPC distant que vous souhaitez (dans cet exemple, l'ID du VPC2).

8.    Sélectionnez Create peering connection (Créer une connexion d'appairage). L'état de la connexion d'appairage passe à pending acceptance (en attente d'acceptation).

9.    Remplacez la région par us-east-2.

10.   Ouvrez la console Amazon VPC, puis sélectionnez VPC peering connections (Connexions d'appairage de VPC).

11.   Sélectionnez Actions, puis Accept request (Accepter la demande).

Mise à jour de la table de routage du sous-réseau et de la cible de la table

1.    Ajoutez une route dans la table de routage du sous-réseau pour le point de terminaison us-east-1 pour 172.16.20.0/24 (VPC2).

2.    Ajoutez une route dans la cible de la table de routage de l'utilisateur dans us-east-2 pour 10.100.10.0/24 (VPC1) en tant que connexion d'appairage (pcx-xxxxxxxxxxxxxx).

Accès au compartiment S3

Accédez au compartiment S3 à l'aide du nom de domaine complet (FQDN) du point de terminaison de VPC à partir du VPC distant :

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

Dépannage

• Assurez-vous que les tables de routage des sous-réseaux de VPC locaux et distants comportent des routes qui se ciblent mutuellement en tant que connexions d'appairage.
• La politique d'autorisation du point de terminaison d'un VPC doit autoriser l'ID du VPC distant.
• Les groupes de sécurité appliqués aux points de terminaison du VPC doivent autoriser les sous-réseaux de VPC distants.

---