Configuration d'un VPC
Présentation de l'atelier
Amazon Virtual Private Cloud (Amazon VPC) vous permet de mettre en service une section du cloud Amazon Web Services (AWS) qui a été isolée de manière logique, dans laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez. Vous conservez la totale maîtrise de votre environnement de mise en réseau virtuel, y compris pour la sélection de vos plages d'adresses IP, la création de sous-réseaux et la configuration de tables de routage et de passerelles réseau.
Au cours de cet atelier, vous créez un cloud privé virtuel (VPC) et d'autres composants réseau nécessaires au déploiement de ressources, telles qu'une instance Amazon Elastic Compute Cloud (Amazon EC2).
Objectifs
À la fin de cet atelier, vous saurez :
Créer un VPC avec un sous-réseau privé, un sous-réseau public, une passerelle Internet et une passerelle NAT.
Configurer les tables de routage associées aux sous-réseaux pour le trafic local et Internet en utilisant une passerelle Internet et une passerelle NAT.
Tâche 1 : création d'un VPC
Au cours de cette tâche, vous allez créer un VPC.
Dans la barre de recherche de la Console de gestion AWS, saisissez et sélectionnez VPC pour accéder à la Console de gestion VPC.
Dans le volet de navigation de gauche, pour Cloud privé virtuel, choisissez Vos VPC.
Dans chaque région, un VPC par défaut avec le bloc d'adresse CIDR (Classless Inter-Domain Routing) 172.31.0.0/16 a déjà été créé pour vous. Même si vous n'avez encore rien créé dans votre compte, vous allez voir certaines ressources de VPC préexistantes.
Choisissez Créer un VPC et configurez les options suivantes :
Ressources à créer : choisissez VPC uniquement.
Identification de nom : entrez Lab VPC.
IPv4 CIDR block (Bloc d'adresse CIDR IPv4) : choisissez IPv4 CIDR manual input (Saisie manuelle du CIDR IPv4).
IPv4 CIDR (CIDR IPv4) : entrez 10.0.0.0/16.
IPv6 CIDR block (Bloc d'adresse CIDR IPv6) : choisissez No IPv6 CIDR block (Aucun bloc d'adresse CIDR IPv6).
Location : choisissez Par défaut.
Balises : conservez les balises suggérées.
Choisissez Créer un VPC.
En haut de la page, un message similaire à ce qui suit s'affiche : « Vous avez créé avec succès vpc-NNNNNNNNNNN / Lab VPC. »
Choisissez Actions, puis Modifier les paramètres VPC.
Dans la section Paramètres DNS, sélectionnez Activer les noms d'hôte DNS.
Sélectionnez Enregistrer.
Les instances EC2 lancées dans le VPC reçoivent désormais automatiquement un nom d'hôte DNS IPv4 public.
Tâche 2 : création de sous-réseaux
Au cours de cette tâche, vous allez créer un sous-réseau public et un sous-réseau privé.
Tâche 2.1 : création d'un sous-réseau public
Dans le volet de navigation de gauche, pour Cloud privé virtuel, choisissez Sous-réseaux.
Choisissez Créer un sous-réseau et configurez les options suivantes :
ID de VPC : choisissez Lab VPC.
Nom du sous-réseau : entrez Public Subnet.
Zone de disponibilité : choisissez la première zone de disponibilité de la liste. Ne choisissez pas Aucune préférence.
IPv4 CIDR block (Bloc d'adresse CIDR IPv4) : entrez 10.0.0.0/24.
Choisissez Créer un sous-réseau.
Vous allez à présent configurer le sous-réseau public de sorte à attribuer automatiquement une adresse IP publique à toutes les instances EC2 lancées dans celui-ci.
Sélectionnez Sous-réseau public.
Choisissez Actions, puis Modifier les paramètres de sous-réseau.
Dans la section Paramètres d'attribution automatique d'une adresse IP, sélectionnez Enable auto-assign public IPv4 address (Activer l'attribution automatique d'une adresse IPv4 publique).
Sélectionnez Enregistrer.
Bien que ce sous-réseau ait été nommé Public Subnet, il n'est pas encore public. Un sous-réseau public doit avoir une passerelle Internet, que vous attacherez au cours d'une tâche ultérieure de l'atelier.
Tâche 2.2 : création d'un sous-réseau privé
Au cours de cette tâche, vous créez le sous-réseau privé qui est utilisé pour les ressources qui doivent rester isolées d'Internet.
Pour créer le sous-réseau privé, répétez les étapes de la tâche précédente, puis choisissez les options suivantes :
ID de VPC : choisissez Lab VPC.
Nom du sous-réseau : entrez Private Subnet.
Zone de disponibilité : choisissez la première zone de disponibilité de la liste. Ne choisissez pas Aucune préférence.
IPv4 CIDR block (Bloc d'adresse CIDR IPv4) : entrez 10.0.2.0/23.
Choisissez Créer un sous-réseau.
Le bloc d'adresse CIDR 10.0.2.0/23 inclut toutes les adresses IP qui commencent par 10.0.2.x et 10.0.3.x. Cette plage est deux fois plus grande que le sous-réseau public, car la plupart des ressources doivent être conservées dans des sous-réseaux privés, sauf si elles doivent être spécifiquement accessibles depuis Internet.
Votre VPC possède désormais deux sous-réseaux. Toutefois, le VPC est totalement isolé et ne peut pas communiquer avec des ressources en dehors du VPC.
Vous allez ensuite configurer le sous-réseau public pour vous connecter à Internet par le biais d'une passerelle Internet.
Tâche 3 : création d'une passerelle Internet
Au cours de cette tâche, vous allez créer une passerelle Internet pour votre VPC. Une passerelle Internet est nécessaire pour établir une connectivité externe aux instances EC2 dans les VPC.
Dans le volet de navigation de gauche, pour Cloud privé virtuel, choisissez Passerelles Internet.
Choisissez Créer une passerelle Internet et pour Identification de nom, entrez Lab IGW.
Choisissez Créer une passerelle Internet.
Choisissez Actions, puis Attacher à un VPC.
Votre sous-réseau public dispose désormais d'une connexion à Internet. Cependant, pour acheminer le trafic vers Internet, vous devez également configurer la table de routage du sous-réseau public afin qu'elle utilise la passerelle Internet.
Tâche 4 : configuration des tables de routage
Au cours de cette tâche, vous allez effectuer les actions suivantes :
Créer une table de routage publique pour le trafic Internet.
Ajouter un acheminement à la table de routage pour diriger le trafic Internet vers la passerelle Internet.
Associer le sous-réseau public à la nouvelle table de routage.
Dans le volet de navigation de gauche, pour Cloud privé virtuel, choisissez Tables de routage.
Plusieurs tables de routage sont répertoriées.
Sélectionnez la table de routage qui indique Lab VPC dans la colonne VPC.
Astuce : si vous ne voyez pas la colonne VPC, faites défiler l'écran vers la droite.
Dans la colonne Nom, cliquez sur l'icône de modification, entrez Private Route Table pour Edit Name (Modifier le nom), puis choisissez Enregistrer.
Cliquez sur l'onglet Routes.
Il n'y a actuellement qu'un seul acheminement. Cela indique que l'ensemble du trafic destiné à 10.0.0.0/16 (qui est la plage de Lab VPC) sera acheminé localement. Cette option permet à tous les sous-réseaux au sein d'un VPC de communiquer entre eux.
Vous allez maintenant créer une table de routage publique pour envoyer le trafic public vers la passerelle Internet.
Choisissez Créer une table de routage et configurez les options suivantes :
Nom - facultatif : entrez Public Route Table.
VPC : choisissez Lab VPC.
Choisissez Créer une table de routage.
Une fois la table de routage créée, dans l'onglet Routes, choisissez Modifier des routes.
Remarque : vous allez à présent ajouter un acheminement pour diriger le trafic Internet (0.0.0.0/0) vers la passerelle Internet.
Choisissez Ajouter une route et configurez les options suivantes :
Destination : entrez 0.0.0.0/0.
Cible : choisissez Passerelle Internet, puis Lab IGW dans la liste.
Sélectionnez Enregistrer les modifications.
La dernière étape consiste à associer cette nouvelle table de routage au sous-réseau public.
Cliquez sur l'onglet Associations de sous-réseau.
Choisissez Modifier des associations de sous-réseau.
Sélectionnez Sous-réseau public.
Choisissez Enregistrer les associations.
Le sous-réseau public est désormais public, car il possède une entrée de table de routage qui envoie le trafic vers Internet par le biais de la passerelle Internet.
Au cours des tâches précédentes, vous avez créé un VPC et attaché une passerelle Internet. Vous avez ensuite créé des sous-réseaux et une table de routage, puis vous avez associé une table de routage publique au sous-réseau public. Vous allez maintenant lancer des ressources dans les sous-réseaux, comme requis.
Tâche 5 : lancement d'un serveur Bastion dans le sous-réseau public
Un serveur Bastion (également connu sous le nom de « serveur intermédiaire ») est une instance EC2 dans un sous-réseau public, configuré de manière sécurisée pour fournir un accès aux ressources d'un sous-réseau privé. Les opérateurs système peuvent se connecter au serveur Bastion, puis accéder aux ressources du sous-réseau privé.
Au cours de cette tâche, vous allez lancer un serveur Bastion d'instance EC2 dans le sous-réseau public que vous avez créé précédemment.
Dans la barre de recherche de la Console de gestion AWS, saisissez et sélectionnez EC2 pour accéder à la Console de gestion EC2.
Dans le volet de navigation de gauche, choisissez Instances.
Choisissez Lancer des instances et configurez les options suivantes :
Dans la section Nom et balises, entrez Bastion Server.
Dans la section Application and OS Images (Amazon Machine Image) (Images d'application et de système d'exploitation (Amazon Machine Image)), configurez les options suivantes :
Démarrage rapide : choisissez Amazon Linux.
Amazon Machine Image (AMI) : choisissez Amazon Linux 2023 AMI.
Dans la section Type d'instance, choisissez t3.micro.
Dans la section Paire de clés (connexion), choisissez Continuer sans paire de clés (déconseillé).
Vous allez utiliser EC2 Instance Connect pour accéder au shell s'exécutant sur l'instance EC2. Une paire de clés n'est donc pas nécessaire pour cet atelier.
Dans la section Paramètres réseau, choisissez Modifier et configurez les options suivantes :
VPC – obligatoire : choisissez Lab VPC.
Sous-réseau : choisissez Public Subnet.
Attribuer automatiquement l'adresse IP publique : choisissez Activer.
Pare-feu (groupes de sécurité) : choisissez Créer un groupe de sécurité.
Nom du groupe de sécurité - obligatoire : entrez Bastion Security Group.
Description - obligatoire : entrez Allow SSH.
Règles des groupes de sécurité pour le trafic entrant :
Type : choisissez ssh.
Type de source : choisissez N'importe où.
Choisissez Lancer l'instance.
Pour afficher l'instance lancée, choisissez Afficher toutes les instances.
Au départ, l'instance EC2 nommée Bastion Server est à l'état En attente. Le champ État de l'instance prend ensuite la valeur En cours d'exécution, ce qui indique que le démarrage de l'instance est terminé.
Le serveur Bastion va être lancé dans le sous-réseau public.
Passez à la tâche suivante. Vous n'avez pas besoin d'attendre que l'instance soit exécutée.
Tâche 6 : création d'une passerelle NAT
Au cours de cette tâche, vous allez lancer une passerelle NAT dans le sous-réseau public et configurer la table de routage privée de sorte à faciliter la communication entre les ressources du sous-réseau privé et Internet.
Dans la barre de recherche de la console de gestion AWS, entrez NAT gateways, cliquez sur la liste Fonctionnalités, puis choisissez NAT gateways (Passerelles NAT).
Choisissez Créer une passerelle NAT et configurez les options suivantes :
Nom : entrez Lab NAT gateway.
Sous-réseau : choisissez Public Subnet dans la liste déroulante.
Choisissez Allouer une adresse IP Elastic.
Choisissez Créer une passerelle NAT.
Vous allez à présent configurer le sous-réseau privé pour envoyer le trafic Internet vers la passerelle NAT.
Dans le volet de navigation de gauche, choisissez Tables de routage, puis sélectionnez Table de routage privée.
Cliquez sur l'onglet Routes.
La table de routage affiche actuellement une seule entrée qui achemine le trafic localement au sein du VPC. Vous allez ajouter un acheminement supplémentaire pour envoyer le trafic Internet via la passerelle NAT.
Choisissez Modifier des routes.
Choisissez Ajouter une route et configurez les options suivantes :
Destination : entrez 0.0.0.0/0.
Cible : choisissez Passerelle NAT, puis nat- dans la liste.
Sélectionnez Enregistrer les modifications.
Le trafic réseau des ressources du sous-réseau privé qui souhaitent communiquer avec Internet est désormais dirigé vers la passerelle NAT, qui transmet la demande à Internet. Les réponses transitent par la passerelle NAT vers le sous-réseau privé.
Conclusion
Félicitations ! Vous avez réussi à effectuer les tâches suivantes :
Créer un VPC avec un sous-réseau privé, un sous-réseau public, une passerelle Internet et une passerelle NAT
Configurer les tables de routage associées aux sous-réseaux pour le trafic local et Internet en utilisant une passerelle Internet et une passerelle NAT
Lancer un serveur Bastion dans un sous-réseau public
Utiliser un serveur Bastion pour vous connecter à une instance dans un sous-réseau privé
Fin de l'atelier
Félicitations ! Vous avez terminé l'atelier.
Top comments (0)