Formation DevOps | Formation AWS Services : 4- Service VPC
AMAZON VIRTUAL PRIVATE CLOUD (VPC)
Architecture d’un VPC Distribution des sous-réseaux sur deuxzones
Interconnexions
- Passerelles variées en mode « service »
» Peering avec d’autres VPCs (autres comptes AWS possible)
» Internet bi-directionnel : Internet Gateway(IGW)
» Internet uni-directionnel :NAT-GATEWAY
» VPN via Virtual Private Gateway(VGW)
» Liaison dédiée au datacenter :DirectConnect
Interconnexions possibles d’un VPC avec le reste dumonde
« Default VPC » et « nondefault VPC »
-
Dans chaque compte AWS, un VPC par défaut dans chaque région
» Sans instructions particulières, les ressources démarrent dans ce VPC -
Possibilité d’utiliser des VPCs « customs »
» A privilégier notamment dans le cas des clouds hybrides
Adressage dans le VPC : DHCP
- Adressage IP dynamique par DHCP dans tous les sous- réseaux
- Les instances possèdent des interfaces réseaux virtuelles qui peuvent mixer des adressages statiques et dynamiques
VPC : adresses réservées
- Dans chaque VPC, 5 adresses réservées AWS
- Exemple pour un block CIDR en 10.0.0.0/16
»10.0.0.0: adresse du réseau
»10.0.0.1: passerelle deroutage
»10.0.0.2: adresse du DNSAWS
»10.0.0.3: réservée pour un futurusage
»10.0.0.255: adresse de broadcast (nonutilisée)
2 types de sous-réseaux
- Publiques
» Routage par défaut vers l’Internet Gateway
» Les instances et load balancers sont exposable ssur
Internet (IPs publiques)
» Usage typique : ressources frontales(Web)
2 types de sous-réseaux
- Privés
» Instances non accessibles directement depuis Internet
» Routage par défaut vers une machine ou service de NAT
○ Sert essentiellement aux mises à jours OS et autres requêtes Web
» Usage : les instances de back-end (BDD,serveurs d’application, …)
Architecture d’unVPC
Routages des sous-réseaux publiques etprivés
Sécurité du réseau
-
SecurityGroups
» Règles de sécurité affectées à des instances, load balancers, BDD
» Fonctionnent comme unfirewall
○ Par défaut ne laisse rien entrer et laisse tout sortir
» Permet de whitelister des sources (adresses IPs) -
NACLs : Network Access Control Lists
» Règles de sécurité affectées à dessous-réseaux
» Fonctionne comme un firewallstateless
» Par défaut laisse tout entrer et toutsortir
» Permet de blacklister des sources (adressesIps)
Sécurité du réseau Routage et filtrage des paquets
Security Group
- Obligatoire pour une instance
» A préciser lors la création d’uneinstance
○ Créer un Security Group par avance
○ Eviter l’attribution du security group par défaut duVPC
○ Eviter la création automatique du security group (wizard-…) - Un panneau « règles entrantes »
» Par défaut, tout est fermé - Un panneau « règles sortantes »
» Par défaut, tout est ouvert
Security Group
- Règles « Allow » mais pas « Deny »
- Toutes les règles sont évaluées pour le filtrage
- Associé à une network interface
» Changement à chaud, effets immédiats - Jusqu’à 50 règles par security group
- Jusqu’à 5 security group par instance
Security Group
- Un seul type de règle (Allow) :
+ + - Protocole : TCP / UDP / ICMP
- Port : 0 -> 65535
- Cible
» Soit un CIDR : 10.0.0.0/16,10.1.0.35/32
» Soit un autre securitygroup
○ Désigne les instances qui font partie de cet autre securitygroup
○ N’ajoute pas les règles de l’autre securitygroup
Security Group
- Exemple : instances web avec des instances de
bases de données MySQL en backend
Security Group : instances web front
- Inbound
» Accès HTTP à l’application pour tout le monde
TCP 80 Anywhere
» Accès HTTPS à l’application pour tout le monde
TCP 443 Anywhere
» Accès en management pour les Sysadmins
TCP 22 <@ IPsysadmin> - Outbound
All AllAnywhere
Security Group : instances MySQL
- Inbound
» Accès port BDD depuis les instances Web
TCP 3306
○ Donne accès aux instances du security group web
○ Même si les IPs des instances web change, la règlefonctionne
» Accès en management pour les DBAs
TCP 3306 <@ IPDBAs> - Outbound
All AllAnywhere
NACLs
- Couche de sécurité optionnelle
» Seconde ligne de défense en renfort des SGs - Associé à un sous-réseau
» Changement à chaud, effetsimmédiats - Règles « Allow » et « Deny »
- Par défaut « Allow All »
- Les règles sont évaluées dans l’ordre
» Si aucun match, règle de Deny par défaut - Firewall STATELESS
Decouvrez plus d’Offres de la plateform ItGalaxy.io :
Découvrez notre gamme complète de services et formations pour accélérer votre carrière.
1. Nous contactez
- Description: Besoin de Formation et des Solutions cloud complètes pour vos applications
- Links:
2. Infra as a Service
- Description: Infrastructure cloud évolutive et sécurisée
- Links:
3. Projets Développeurs
- Description: Découvrez des opportunités passionnantes pour les développeurs
- Links:
4. Développeurs
- Description: Rejoignez notre communauté de développeurs
- Links:
5. Formations Complètes
- Description: Accédez à des formations professionnelles de haute qualité
- Links:
6. Marketplace
- Description: Découvrez notre place de marché de services
- Links:
7. Blogs
- Description: Découvrez nos blogs
- Links:
- comment creer une application mobile ?
- Comment monitorer un site web ?
- Command Checkout in git ?
- Comment git checkout to commit ?
- supprimer une branche git
- dockercoin
- kubernetes c est quoi
- architecture kubernetes
- Installer Gitlab Runner ?
- .gitlab-ci.yml exemples
- CI/CD
- svelte 5 vs solid
- svelte vs lit
- solidjs vs qwik
- alpine vs vue
- Plateform Freelance 2025
- Creation d’un site Web gratuitement
This website is powered by ItGalaxy.io