abla.adem

Recent Notes

Aws Vpc

4 min read

🌐 La Bible du RĂ©seau : Du MatĂ©riel Physique au Cloud AWS

Ce guide dĂ©taille comment les donnĂ©es circulent, sont protĂ©gĂ©es et routĂ©es, en comparant le monde traditionnel (On-Premise) et l’infrastructure moderne d’AWS.

1. Fondations : Le Matériel vs le Logiciel (SDN)

Pour comprendre AWS, il faut visualiser ce que le Cloud remplace.

L’Internet Gateway (IGW)

  • Hors Cloud : Un Routeur de Bordure physique (Cisco/Juniper) dans une baie. Un cĂąble fibre en sort pour aller chez l’opĂ©rateur. C’est un point de dĂ©faillance unique (si le boĂźtier grille, plus d’Internet).

  • Sur AWS : Un service Software Defined Networking (SDN). C’est une porte logique redondante Ă  l’échelle de la RĂ©gion. Elle ne sature jamais et ne tombe pas en panne physiquement.

La Table de Routage

  • Hors Cloud : Un fichier stockĂ© dans la mĂ©moire vive (RAM) d’un routeur. Le processeur du boĂźtier analyse chaque paquet pour l’envoyer vers le bon cĂąble.

  • Sur AWS : Une base de donnĂ©es de configuration. AWS injecte ces rĂšgles directement dans la carte rĂ©seau Nitro de chaque serveur physique. Le routage est fait Ă  la “source” par le logiciel.

L’ENI (Elastic Network Interface)

C’est la carte rĂ©seau virtuelle. Chaque ressource (EC2, Lambda) en possĂšde une pour avoir une IP privĂ©e, une adresse MAC et des Security Groups. On peut la dĂ©tacher d’une instance pour la mettre sur une autre : l’identitĂ© rĂ©seau “suit” la carte.

2. Le NAT : Masquage et Gestion des Flux Sortants

Le NAT permet Ă  des machines privĂ©es (sans IP publique) d’accĂ©der Ă  Internet.

Le Principe du PAT (Port Address Translation)

C’est le concept du “Plusieurs pour Un”.

  • MĂ©canisme : Le NAT utilise les numĂ©ros de ports pour diffĂ©rencier les requĂȘtes. (Ex: L’instance A utilise le port 10001, l’instance B le port 10002).

  • NAT Instance (Legacy) : Une EC2 classique qui fait le job. LimitĂ©e par sa RAM/CPU. Si elle a trop de demandes, la table de ports sature et le rĂ©seau coupe.

  • NAT Gateway (AWS) : Service managĂ© surpuissant. GĂšre 55 000 connexions simultanĂ©es vers une destination unique. On peut ajouter jusqu’à 8 IPs pour monter Ă  440 000 connexions.

3. Sécurité : La Double Ligne de Défense (SG vs NACL)

CaractéristiqueSecurity Group (SG)Network ACL (NACL)
NiveauL’Instance (ENI).Le Subnet (le quartier).
État (Stateful)OUI : Si le paquet entre, il sort d’office.NON (Stateless) : Il faut autoriser l’aller ET le retour.
Type de rùgleUniquement “Allow” (Autoriser).”Allow” ET “Deny” (Refuser).
ApplicationS’applique Ă  la ressource.S’applique Ă  tout le sous-rĂ©seau.

4. Architectures Multi-VPC : Peering vs Hub & Spoke

VPC Peering (Le Maillage)

  • Routage : Connexion directe 1-Ă -1. Pas de transitivitĂ© (Si A→B et B→C, alors A ne voit pas C).

  • Internet : Chaque VPC possĂšde sa propre IGW (1 sortie Internet par VPC).

Hub & Spoke (Transit Gateway)

  • Routage : Un routeur central (Hub) oĂč l’on branche tous les VPC (Spokes). Supporte la transitivitĂ© totale.

  • Internet : Permet de centraliser la sortie Internet. Une seule IGW dans le Hub sert Ă  tous les Spokes. IdĂ©al pour l’inspection de sĂ©curitĂ© centralisĂ©e.

5. Le VPN Site-to-Site (Hybride)

Connecte ton bureau physique à AWS via un tunnel chiffré sur Internet.

Mise en place technique :

  1. CGW (Customer Gateway) : Tu enregistres l’IP publique de ton routeur de bureau dans AWS.

  2. VGW (Virtual Private Gateway) : Tu crĂ©es cette “prise” VPN et tu l’attaches Ă  ton VPC.

  3. VPN Connection : Tu lies la CGW et la VGW. AWS te donne alors les IPs des tunnels et la clé de sécurité (PSK).

  4. Routage : Tu ajoutes une route dans ton VPC : “Pour 192.168.1.0/24 (Bureau), vise la VGW”.

  5. Configuration Physique : Tu configures ton routeur (Cisco, Fortinet) avec les paramùtres d’AWS.

L’Encapsulation (La double enveloppe) :

Le paquet privĂ© (10.x) est chiffrĂ©, puis mis dans une enveloppe publique adressĂ©e Ă  l’IP de ton routeur. Internet ne voit que le trajet entre les deux routeurs, pas le contenu.

6. VPC Endpoints (AccÚs Privé aux Services AWS)

Pour parler Ă  S3 ou SQS sans passer par Internet ni payer une NAT Gateway.

  • Gateway Endpoint (S3, DynamoDB) : Gratuit. C’est juste une rĂšgle dans la Table de Routage.

  • Interface Endpoint (PrivateLink) : Payant. AWS dĂ©pose une ENI (IP privĂ©e) dans ton subnet. Ton EC2 croit parler Ă  un voisin local, mais elle parle directement au service AWS via le rĂ©seau interne (BackboError uploading file: net::ERR_NAME_NOT_RESOLVEDne).

💡 Aide-mĂ©moire pour l’Architecte

  • L’IGW est pour ce qui doit ĂȘtre vu.

  • Le NAT est pour ce qui doit voir sans ĂȘtre vu.

  • Le VPN est pour fusionner ton bureau et le Cloud.

  • L’Endpoint est pour Ă©conomiser de l’argent et rester 100% privĂ©.

Graph View

Backlinks