abla.adem

Recent Notes

aws reseau

7 min read

🌐 La Bible du RĂ©seau AWS : Du MatĂ©riel Physique au Cloud Global

Ce guide dĂ©taille comment les donnĂ©es circulent, sont protĂ©gĂ©es, routĂ©es et accĂ©lĂ©rĂ©es, en comparant le monde traditionnel (On-Premise) et l’infrastructure moderne d’AWS.

1. Fondations : Le Matériel vs le Logiciel (SDN)

Pour comprendre AWS, il faut visualiser ce que le Cloud remplace.

L’Internet Gateway (IGW)

  • Hors Cloud : Un Routeur de Bordure physique (Cisco/Juniper) dans une baie. Un cĂąble fibre en sort pour aller chez l’opĂ©rateur. C’est un point de dĂ©faillance unique (si le boĂźtier grille, plus d’Internet).
  • Sur AWS : Un service Software Defined Networking (SDN). C’est une porte logique redondante Ă  l’échelle de la RĂ©gion. Elle ne sature jamais et ne tombe pas en panne physiquement.

La Table de Routage

  • Hors Cloud : Un fichier stockĂ© dans la mĂ©moire vive (RAM) d’un routeur. Le processeur du boĂźtier analyse chaque paquet pour l’envoyer vers le bon cĂąble.
  • Sur AWS : Une base de donnĂ©es de configuration. AWS injecte ces rĂšgles directement dans la carte rĂ©seau Nitro de chaque serveur physique. Le routage est fait Ă  la “source” par le logiciel.

L’ENI (Elastic Network Interface) C’est la carte rĂ©seau virtuelle. Chaque ressource (EC2, Lambda) en possĂšde une pour avoir une IP privĂ©e, une adresse MAC et des Security Groups. On peut la dĂ©tacher d’une instance pour la mettre sur une autre : l’identitĂ© rĂ©seau “suit” la carte.

2. Le NAT : Masquage et Gestion des Flux Sortants

Le NAT permet Ă  des machines privĂ©es (sans IP publique) d’accĂ©der Ă  Internet.

Le Principe du PAT (Port Address Translation) C’est le concept du “Plusieurs pour Un”.

  • MĂ©canisme : Le NAT utilise les numĂ©ros de ports pour diffĂ©rencier les requĂȘtes. (Ex: L’instance A utilise le port 10001, l’instance B le port 10002).
  • NAT Instance (Legacy) : Une EC2 classique qui fait le job. LimitĂ©e par sa RAM/CPU. Si elle a trop de demandes, la table de ports sature et le rĂ©seau coupe.
  • NAT Gateway (AWS) : Service managĂ© surpuissant. GĂšre 55 000 connexions simultanĂ©es vers une destination unique. On peut ajouter jusqu’à 8 IPs pour monter Ă  440 000 connexions.

3. Sécurité : La Double Ligne de Défense (SG vs NACL)

CaractéristiqueSecurity Group (SG)Network ACL (NACL)
NiveauL’Instance (ENI).Le Subnet (le quartier).
État (Stateful)OUI : Si le paquet entre, il sort d’office.NON (Stateless) : Il faut autoriser l’aller ET le retour.
Type de rùgleUniquement “Allow” (Autoriser).”Allow” ET “Deny” (Refuser).
ApplicationS’applique Ă  la ressource.S’applique Ă  tout le sous-rĂ©seau.

4. Architectures Multi-VPC : Peering vs Hub & Spoke

VPC Peering (Le Maillage)

  • Routage : Connexion directe 1-Ă -1. Pas de transitivitĂ© (Si A→B et B→C, alors A ne voit pas C).
  • Internet : Chaque VPC possĂšde sa propre IGW (1 sortie Internet par VPC).

Hub & Spoke (Transit Gateway)

  • Routage : Un routeur central (Hub) oĂč l’on branche tous les VPC (Spokes). Supporte la transitivitĂ© totale.
  • Internet : Permet de centraliser la sortie Internet. Une seule IGW dans le Hub sert Ă  tous les Spokes. IdĂ©al pour l’inspection de sĂ©curitĂ© centralisĂ©e.

5. Connectivité Hybride & Privée (Relier son bureau au Cloud)

Le VPN Site-to-Site (Hybride via Internet) Connecte ton bureau physique à AWS via un tunnel chiffré sur Internet.

  • Mise en place : Tu lies la CGW (Customer Gateway - ton IP publique de bureau) Ă  la VGW (Virtual Private Gateway - la prise cĂŽtĂ© AWS). AWS te donne les IPs des tunnels et la clĂ© (PSK).
  • L’Encapsulation : Le paquet privĂ© (10.x) est chiffrĂ©, puis mis dans une enveloppe publique. Internet ne voit que le trajet entre les routeurs, pas le contenu.

AWS Direct Connect - DX(La Ligne Fibre DĂ©diĂ©e) Un cĂąble physique privĂ© tirĂ© entre ton entreprise et AWS. Pas d’Internet public.

  • VPN vs DX : Le VPN est rapide Ă  monter mais limitĂ© en bande passante (~1.25 Gbps) et passe par Internet. DX prend des mois Ă  installer, coĂ»te trĂšs cher, mais offre une fibre privĂ©e massive (jusqu’à 100 Gbps).
  • Virtual Interfaces (VIF) : Dans ce cĂąble physique, on crĂ©e des tuyaux virtuels : Private VIF (pour ton VPC), Public VIF (pour S3/DynamoDB) ou Transit VIF (pour la Transit Gateway).

VPC Endpoints (L’AccĂšs 100% PrivĂ© aux Services AWS) Pour parler Ă  S3 ou SQS sans passer par Internet ni payer une NAT Gateway.

  • Gateway Endpoint (S3, DynamoDB) : Gratuit. C’est juste une rĂšgle dans la Table de Routage.
  • Interface Endpoint (PrivateLink) : Payant. AWS dĂ©pose une ENI (IP privĂ©e) dans ton subnet. Ton EC2 croit parler Ă  un voisin local, mais elle parle au service AWS via le rĂ©seau interne (Backbone).

6. Diffusion Globale et RĂ©partition de Charge

CloudFront : Le Réseau de Distribution (CDN) Rapproche ton contenu des utilisateurs finaux pour réduire la latence.

  • Le MĂ©canisme : Utilise des Edge Locations (400+ mini-data centers dans le monde). Si l’image est en cache (Hit), elle est servie instantanĂ©ment. Sinon (Miss), CloudFront va la chercher Ă  l’Origine (S3, EC2).
  • SĂ©curitĂ© (OAC) : Origin Access Control permet de verrouiller ton bucket S3 pour qu’il n’accepte que les requĂȘtes venant de CloudFront (empĂȘche le contournement).

Global Accelerator (L’Autoroute Globale)

  • Contrairement Ă  CloudFront (conçu pour le HTTP/cache), Global Accelerator fonctionne au niveau rĂ©seau (TCP/UDP) et ne met rien en cache.
  • Il te donne 2 IPs fixes Anycast. Ton trafic entre sur le rĂ©seau AWS au plus prĂšs de chez toi et fonce vers ton application via le rĂ©seau privĂ© ultra-rapide d’AWS (Backbone). IdĂ©al pour le jeu en ligne ou l’IoT.

Elastic Load Balancing (ELB) : Les Aiguilleurs locaux

  • ALB (Application Load Balancer - Couche 7) : L’intelligent. Il lit le HTTP et route selon l’URL (ex: /images vs /api).
  • NLB (Network Load Balancer - Couche 4) : La brute de performance. Il gĂšre du TCP/UDP brut, encaisse des millions de requĂȘtes avec une latence ultra-faible, et fournit une IP statique.

7. L’Intelligence du Routage : DNS vs Load Balancer

C’est une confusion classique : les deux font du “routage”, mais pas Ă  la mĂȘme Ă©chelle.

  • Route 53 (Le GPS Global) : Intervient avant la connexion. Il donne l’adresse IP de destination. Niveau DNS (Macro).
  • Load Balancer (Le Vigile Local) : Intervient aprĂšs. Il reçoit la connexion sur l’IP donnĂ©e par Route 53 et distribue les paquets aux serveurs en arriĂšre-plan. Niveau Connexion/Applicatif (Micro).

L’Intelligence “Aveugle” de Route 53

Le DNS est “stateless” (sans Ă©tat). Route 53 ne voit ni le CPU, ni la RAM de tes serveurs. Il prend ses dĂ©cisions grĂące Ă  des bases de donnĂ©es et des probabilitĂ©s :

  1. Routing Simple & Alias : Fait pointer un nom vers une IP. L’Alias (spĂ©cifique AWS) permet de pointer gratuitement vers une ressource AWS dont l’IP change (comme un Load Balancer).
  2. Weighted (PondĂ©rĂ©) : La loi des probabilitĂ©s. Pour un ratio 80/20, Route 53 lance un “dĂ© virtuel”. Sur 10 000 requĂȘtes, la rĂ©partition sera exactement de 80% pour A et 20% pour B.
  3. Latency (Latence) : AWS cartographie en permanence la vitesse entre ses RĂ©gions et les fournisseurs d’accĂšs (FAI) mondiaux. Route 53 regarde le FAI de l’utilisateur et renvoie l’IP de la RĂ©gion AWS la plus rapide historiquement.
  4. Geolocation : Route 53 utilise un annuaire GeoIP gĂ©ant. Il regarde l’IP de l’utilisateur, dĂ©duit son pays, et le route selon tes rĂšgles (ex: l’Europe va sur le serveur de Francfort).
  5. Failover (Basculement) & Health Checks : AWS dĂ©ploie des “sondes” mondiales qui testent ton serveur principal toutes les 10-30 secondes. Si trop de sondes Ă©chouent, Route 53 dĂ©clare la cible “Unhealthy” et bascule le trafic DNS sur l’IP de secours.

⚠ Le PiĂšge Ultime : Route 53 ne gĂšre jamais la charge serveur. Si le Serveur A est Ă  100% de CPU mais rĂ©pond toujours “OK” aux Health Checks, Route 53 continuera de lui envoyer du trafic. C’est le rĂŽle du Load Balancer (placĂ© derriĂšre) de vĂ©rifier la charge locale rĂ©elle.

💡 L’Aide-mĂ©moire Ultime de l’Architecte

  • L’IGW est pour ce qui doit ĂȘtre vu.
  • Le NAT est pour ce qui doit voir sans ĂȘtre vu.
  • Le VPN fusionne ton bureau et le Cloud Ă  moindre coĂ»t via Internet.
  • Direct Connect est pour une connexion fibre 100% privĂ©e, stable et dĂ©diĂ©e.
  • L’Endpoint permet d’accĂ©der aux services AWS en restant 100% privĂ© (sans NAT ni IGW).
  • Route 53 rĂ©pond Ă  : “OĂč dois-je aller ?” (L’Aiguilleur).
  • CloudFront rĂ©pond Ă  : “Donne-moi ce fichier le plus vite possible.” (Le Cache).
  • Global Accelerator rĂ©pond Ă  : “Je veux accĂ©lĂ©rer du trafic TCP/UDP sans cache.” (L’Autoroute).
  • L’ALB route en fonction du contenu (URL), le NLB route en fonction de la vitesse pure (IP/Port).

Graph View

Backlinks