Guide d’entreprise pour AWS Direct Connect et Transit Gateway

Guide d’entreprise pour AWS Direct Connect et Transit Gateway

Présentation détaillée de Direct Connect et Transit Gateway pour mieux comprendre les fonctionnalités de mise en réseau AWS.

Évolution des options de peering d’AWS Virtual Private Cloud (VPC)

Depuis le lancement d’AWS Direct Connect en 2012, les entreprises bénéficient de connexions dédiées vers leurs services cloud — elles sont ainsi en mesure d’améliorer l’ensemble des transferts de données, d’augmenter la performance réseau et de renforcer la confidentialité des données lors de la connexion à AWS. Avec l’introduction de toute une série de fonctionnalités de service et d’améliorations, les options de peering avec AWS ont fortement évolué. Revenons sur ces évolutions et voyons comment vous pouvez bénéficier de certaines des fonctionnalités disponibles.

Lancement d’AWS Direct Connect

Lors du lancement de Direct Connect en 2012, la connexion à AWS via la couche 2 avec Megaport nécessitait une VXC connectée à une interface virtuelle (VIF) côté AWS. Au niveau de la couche 3, vous deviez connecter le composant L2 à une structure L3, ce qui nécessitait l’établissement d’une passerelle privée virtuelle (VGW). Une VGW est la cible de routage sur AWS qui a connecté la VXC jusqu’à chaque VPC. Chaque VPC AWS et VXC Megaport nécessitait un mappage 1:1 avec des sessions de Border Gateway Protocol (BGP) distinctes et des VXC/VIF vers chaque VGW.

Présentation de la passerelle Direct Connect

En 2017, AWS a publié Direct Connect Gateway (DXGW), qui a permis aux clients d’établir une session BGP pour jusqu’à dix VPC distincts au sein d’un seul compte AWS. Le service a gagné en maturité au fil du temps, passant de dix VPC depuis un seul compte dans une seule région AWS à la prise en charge de la connectivité dans les régions AWS, pour s’étendre récemment à plusieurs régions et à plusieurs comptes AWS. DXGW a également marqué le passage d’un ASN AWS standard unique (7224 dans la plupart des régions) à un ASN défini par le client compris dans la plage des ASN privés (64512 à 65534). Aujourd’hui, les VGW et les DXGW existent toujours comme options pour les clients avec des peerings VIF privés.

Il était toujours possible d’appairer des VPC (même sur l’ensemble des comptes/dans toutes les régions) dans AWS. Toutefois, là où une DXGW était utilisée, l’appairage n’était possible que depuis la VIF vers le « prochain VPC directement connecté », et non entre les VPC qui n’étaient pas appairés de façon adjacente.

Direct-Connect-Gateway

Sur ce diagramme, le VPC « A » est lié directement à une VXC/VIF (via VGW ou DXGW), et bien que les VPC « B » et « C » soient appairés au VPC « A », il se peut qu’ils ne communiquent pas directement avec la VIF. On parle alors de routage transitif. Certains clients exécutent une appliance virtuelle (routeur) dans le VPC A afin de contourner cette restriction (couramment appelée « VPC de transit »). Cependant, la conception générale présente quelques aspects complexes.

Transit Gateway : topologie et aperçu

Transit-Gateway-Topology

Fin 2018, AWS a lancé Transit Gateway (TGW). Une TGW a permis de faire circuler un réseau entièrement maillé de routes entre les VPC et les terminaisons VPN qui ne dépendaient pas du peering VPC (avec ses limites de routage transitif), permettant ainsi de connecter des milliers de VPC (jusqu’à 5 000) à des réseaux sur site, et ce sur plusieurs comptes vers une seule passerelle.

Initialement, une TGW était uniquement accessible par les clients pour se connecter aux VPC associés via le service VPN IPSEC fourni par AWS. Au lancement, l’annonce concernait les régions suivantes : Est des États-Unis (Virginie), Est des États-Unis (Ohio), Ouest des États-Unis (Oregon), Ouest des États-Unis (Californie du Nord), UE (Irlande) et Asie-Pacifique (Mumbai). Les régions suivantes ont ensuite été ajoutées : AWS GovCloud (Ouest des États-Unis), Canada (Centre), Amérique du Sud (São Paulo), Afrique (Le Cap), UE (Stockholm), UE (Londres), UE (Francfort), UE (Paris), UE (Milan), Moyen-Orient (Bahreïn), Asie-Pacifique (Hong Kong), Asie-Pacifique (Tokyo), Asie-Pacifique (Singapour), Asie-Pacifique (Séoul), Asie-Pacifique (Sydney), Asie-Pacifique (Pékin), Asie-Pacifique (Ningxia). Ces informations datent du mois d’août 2020.

Transit Gateway pour Direct Connect

La solution Transit Gateway pour la prise en charge de Direct Connect a été annoncée le 30 avril 2019. Il existe deux modèles que les clients peuvent utiliser via Direct Connect : la connexion dédiée et la connexion hébergée prenant en charge les connexions 1, 2, 5 et 10 Gbits/s pour se connecter à TGW via Direct Connect.

Connexion avec Transit Gateway via Megaport

Lors du lancement de TGW via Direct Connect, les partenaires réseau comme Megaport connectaient les clients à AWS via les modèles suivants : connexions dédiées, connexions hébergées de 50 à 500 Mbits/s et interfaces virtuelles hébergées (VIF). Megaport utilise et prend toujours en charge AWS via le modèle de VIF hébergée. Les VIF hébergées permettent à Megaport d’offrir flexibilité et évolutivité à ses clients lors de la connexion à AWS. Par exemple, la bande passante peut être adaptée par incréments de VXC de 1 Mbit/s à 5 Gbits/s là où, auparavant, les partenaires fournissant des connexions hébergées étaient limités à un maximum de 500 Mbits/s par VIF.

Le 19 mars 2019, AWS a annoncé une capacité plus élevée pour les partenaires Direct Connect utilisant le modèle de connexion hébergée, avec des options de bande passante dépassant 500 Mbits et une prise en charge d’options de débit plus élevé de 1, 2, 5 ou 10 Gbits/s. Si Megaport offre toujours à ses clients la possibilité de déployer des solutions de VIF hébergées prenant en compte les VIF privées et publiques, les clients peuvent également, via le même portail Megaport, mettre en œuvre des connexions hébergées de 50 Mbits/s à 500 Mbits/s et à des niveaux de connexion plus élevés de 1, 2, 5 ou 10 Gbits/s requis pour prendre en charge Transit Gateway. Actuellement, Megaport compte plus de 20 emplacements de type on-ramp dotés d’une connexion hébergée dans le monde entier, offrant aux clients davantage d’options d’accès au réseau AWS avec une faible latence depuis leur centre de données avec des connexions situées dans différentes régions.

Facteurs à prendre en compte

Veuillez noter qu’il y a certains facteurs à prendre en compte pour choisir entre les deux modèles de partenaires AWS Direct Connect de Megaport que sont les VIF hébergées et les connexions hébergées.

  • Les VIF privées via le modèle de VIF hébergée ne prennent pas en charge nativement Transit Gateway via Direct Connect.
  • Les connexions hébergées sont un modèle d’abonnement 1:1 à la capacité dédiée au client entre AWS et Megaport. Ce modèle est recommandé par AWS pour les charges de travail critiques et de production.
  • La prise en charge de TGW dépend des fournisseurs de connexions hébergées prenant en charge une offre de services de 1 Gbit/s au minimum. Pour créer une VIF de transit, un client doit provisionner une connexion hébergée de 1 Gbit/s ou plus. Les connexions hébergées de niveau inférieur (de 50 Mbits/s à 500 Mbits/s) ne prendront pas en charge la création de VIF de transit nécessaires pour prendre en charge Transit Gateway.
  • Les clients déployant une connexion hébergée peuvent créer une VIF par connexion hébergée. Via une connexion de 50 Mbits/s à 500 Mbits/s, les clients peuvent créer une VIF privée ou une VIF publique. En sélectionnant une connexion hébergée de 1 Gbit/s à 10 Gbits/s, les clients peuvent créer une VIF privée, une VIF publique ou une VIF de transit.

Options pour les clients via Direct Connect avec des exigences de moins de 1 Gbit/s

Lorsqu’un client souhaite que sa passerelle TGW soit accessible via une connexion Direct Connect inférieure à 1 Gbit/s, il est possible (dans toutes les régions) d’utiliser une VIF publique (VIF hébergée ou connexion hébergée) via un service VXC Megaport. Avec le service VPN IPSEC AWS via VIF publique, vous devrez soit utiliser votre propre espace IP public pour effectuer le peering public, soit utiliser Megaport Cloud Router (MCR) pour fournir les adresses IP de peering public et effectuer une NAT via une VXC utilisant un espace IP privé/RFC1918. Le trafic sera chiffré de bout en bout et soumis à un débit maximal de 1,25 Gbit/s (limite du VPN AWS). Voici des informations complémentaires d’AWS relatives à cette configuration : VIF publique TGW inférieure à 1 G AWS .

Surveillez les mises à jour ; nous continuons de développer notre réseau d’emplacements de connexions hébergées AWS afin de fournir aux clients des options supplémentaires en termes d’on-ramps réseau AWS. Les clients d’entreprise de Megaport bénéficient ainsi du chemin optimal pour accéder à leurs charges de travail dans le cloud avec une faible latence et une proximité géographique stratégique.

AWS Transit Gateway : qu’est-ce que cette solution et comment fonctionne-t-elle ?

Connexion hébergée : annonce concernant la prise en charge et de nouveaux débits

Contributeurs :

Matt Simpson, Vice-président des produits cloud, Megaport
Jason Bordujenko, Responsable des solutions, APAC, Megaport
Mike Rockwell, Responsable des solutions, Megaport


REMARQUE : ceci est une mise à jour d’un article publié le 12 juin 2019.

Balises:

Articles associés

Comment le filtrage des routes peut améliorer votre infrastructure multicloud

Comment le filtrage des routes peut améliorer votre infrastructure multicloud

Vous voulez optimiser votre réseau multicloud ? Pour cela, vous pourriez passer au filtrage des routes.

Lire la suite
Devez-vous adopter l’architecture d’accès au réseau à confiance zéro ?

Devez-vous adopter l’architecture d’accès au réseau à confiance zéro ?

De sa nature à son fonctionnement, nous explorons l’accès au réseau à confiance zéro (Zero Trust Network Access, ZTNA) et déterminons s’il est temps pour votre entreprise d’adopter une architecture à confiance zéro.

Lire la suite
Quand utiliser ExpressRoute Local pour le peering privé Microsoft Azure

Quand utiliser ExpressRoute Local pour le peering privé Microsoft Azure

L’utilisation d’ExpressRoute Local peut être l’une des options de connectivité privée les plus rentables sur Microsoft Azure.

Lire la suite