- Mise en réseau et diffusion de contenu›
- AWS Transit Gateway›
- Questions fréquentes (FAQ)
FAQ AWS Transit Gateway
Questions d’ordre général
Dans quelles Régions AWS le service AWS Transit Gateway est-il disponible ?
AWS Transit Gateway est disponible dans les Régions AWS suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US, côte est), AWS GovCloud (US, côte ouest), Canada (Centre), Amérique du Sud (São Paulo), Afrique (Le Cap), UE (Irlande), UE (Stockholm), UE (Londres), UE (Francfort), UE (Paris), UE (Milan), Moyen-Orient (Bahreïn), Asie-Pacifique (Hong Kong), Asie-Pacifique (Mumbai), Asie-Pacifique (Osaka), Asie-Pacifique (Tokyo), Asie-Pacifique (Singapour), Asie-Pacifique (Séoul), Asie-Pacifique (Sydney), Asie-Pacifique (Beijing) et Asie-Pacifique (Ningxia), Asie-Pacifique (Jakarta), Moyen-Orient (EAU), Europe (Zurich), Europe (Espagne), Asie-Pacifique (Hyderabad), Asie-Pacifique (Melbourne), Israël (Tel Aviv) et Canada Ouest (Calgary).
La prise en charge de Transit Gateway Peering est disponible dans les Régions AWS suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US, côte est), AWS GovCloud (US, côte ouest), Canada (Centre), EU (Irlande), EU (Francfort), EU (Paris), EU (Londres), EU (Stockholm), EU (Milan), Moyen-Orient (Bahreïn), Afrique (Le Cap), Asie-Pacifique (Hong Kong), Asie-Pacifique (Mumbai), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Osaka), Asie-Pacifique (Beijing), Asie-Pacifique (Ningxia), Amérique du Sud (São Paulo), Asie-Pacifique (Jakarta), Moyen-Orient (EAU), Europe (Zurich), Europe (Espagne), Asie-Pacifique (Hyderabad), Asie-Pacifique (Melbourne) et Israël (Tel Aviv).
La prise en charge de Transit Gateway Multicast est disponible dans les régions AWS suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), AWS GovCloud (US, côte est), AWS GovCloud (US, côte ouest), Canada (centre), EU (Irlande), EU (Londres), EU (Francfort), EU (Stockholm), EU (Paris), EU (Milan), Amérique du Sud (São Paulo), Afrique du Sud (Le Cap), Asie-Pacifique (Tokyo), Asie-Pacifique (Sydney), Asie-Pacifique (Mumbai), Asie-Pacifique (Hong Kong), Asie-Pacifique (Osaka), Asie-Pacifique (Séoul), Asie-Pacifique (Singapour), Moyen-Orient (Bahreïn), Asie-Pacifique (Beijing), Asie-Pacifique (Ningxia), Asie-Pacifique (Jakarta), Moyen-Orient (EAU), Europe (Zurich), Europe (Espagne), Asie-Pacifique (Hyderabad), Asie-Pacifique (Melbourne) et Israël (Tel Aviv).
La prise en charge d'IGMP pour Transit Gateway Multicast est disponible dans les régions AWS suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), Europe (Irlande), Europe (Londres), Europe (Paris), Europe (Francfort), Europe (Stockholm), Europe (Milan), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Mumbai), Asie-Pacifique (Hong Kong), Asie-Pacifique (Beijing), Asie-Pacifique (Ningxia), Asie-Pacifique (Osaka), Asie-Pacifique (Jakarta), Canada (Centre), Amérique du Sud (São Paulo), Afrique (Le Cap), Moyen-Orient (Bahreïn), Moyen-Orient (EAU), Europe (Zurich), Europe (Espagne), Asie-Pacifique (Hyderabad), Asie-Pacifique (Melbourne), Israël (Tel Aviv), GovCloud (US, côte est) et GovCloud (US, Côte ouest).
Transit Gateway Connect est disponible dans les régions AWS suivantes : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Oregon), USA Ouest (Californie du Nord), Europe (Irlande), Europe (Londres), Europe (Paris), Europe (Francfort), Europe (Stockholm), Europe (Milan), Asie-Pacifique (Tokyo), Asie-Pacifique (Séoul), Asie-Pacifique (Singapour), Asie-Pacifique (Sydney), Asie-Pacifique (Mumbai), Asie-Pacifique (Hong Kong), Asie-Pacifique (Beijing), Asie-Pacifique (Ningxia), Asie-Pacifique (Osaka), Asie-Pacifique (Jakarta), Canada (Centre), Amérique du Sud (São Paulo), Afrique (Le Cap), Moyen-Orient (Bahreïn), Moyen-Orient (EAU), Europe (Zurich), Europe (Espagne), Asie-Pacifique (Hyderabad), Asie-Pacifique (Melbourne), Israël (Tel Aviv), GovCloud (US, côte est) et GovCloud (US, Côte ouest).
Comment contrôler quels services de cloud privé virtuel (VPC) Amazon peuvent communiquer entre eux ?
Vous pouvez segmenter votre réseau en créant plusieurs tables de routage dans AWS Transit Gateway et en leur associant des VPC et des VPN Amazon. Cela vous permettra de créer des réseaux isolés au sein d'un service AWS Transit Gateway de manière semblable au routage et au transfert virtuels (VRF) dans les réseaux traditionnels. AWS Transit Gateway aura une table de routage par défaut. L'utilisation de plusieurs tables de routage est facultative.
Comment fonctionne le routage dans AWS Transit Gateway ?
AWS Transit Gateway prend en charge le routage dynamique et statique entre les VPC et les VPN Amazon attachés. Par défaut, les VPC et VPN Amazon, les passerelles Direct Connect, Transit Gateway Connect et les passerelles Transit Gateway appairées sont associés à la table de routage par défaut. Vous pouvez créer des tables de routage supplémentaires et y associer des VPC, VPN et passerelles Direct Connect Amazon, Transit Gateway Connect et Transit Gateways appairés.
Les routes décident du saut suivant en fonction de l'adresse IP de destination du paquet. Les routes peuvent pointer vers une connexion Amazon VPC ou VPN, une passerelle Direct Connect, un Transit Gateway Connect ou un Transit Gateway appairé.
Comment les acheminements sont-ils propagés dans AWS Transit Gateway ?
Les acheminements peuvent être propagés de deux façons dans AWS Transit Gateway :
- Acheminements propagés vers/depuis des réseaux sur site : lorsque vous vous connectez à un VPN ou à une passerelle Direct Connect, les acheminements sont propagés entre AWS Transit Gateway et votre routeur sur site à l'aide du protocole de passerelle frontière (BGP).
- Routes propagées vers/à partir d'Amazon VPC : lorsque vous joignez un Amazon VPC à une passerelle AWS Transit ou redimensionnez un Amazon VPC joint, le routage Amazon VPC Classless Inter-Domain (CIDR) se propage dans la table de routage AWS Transit Gateway à l'aide d'API internes (et non de BGP). CIDR est une méthode d'attribution d'adresses IP et de routage IP pour ralentir la croissance des tables de routage sur les routeurs sur Internet et pour aider à ralentir l'épuisement rapide des adresses IPv4. Les acheminements de la table de routage AWS Transit Gateway ne seront pas propagés vers la table de routage d'Amazon VPC. Le propriétaire du VPC doit créer un acheminement statique pour envoyer le trafic vers AWS Transit Gateway.
Les réseaux d'appairage entre les passerelles Transit Gateway ne prennent pas en charge la propagation des acheminements. Vous devez créer des routes statiques dans les tables de routage Transit Gateway pour envoyer du trafic sur les liaisons d'appairage.
Puis-je connecter des VPC Amazon dont le CIDR est identique ?
AWS Transit Gateway ne prend pas en charge le routage entre des VPC Amazon dont le CIDR est identique. Si vous attachez un nouveau VPC Amazon dont le CIDR est identique à celui d'un VPC Amazon déjà attaché, AWS Transit Gateway ne propagera pas l'acheminement du nouveau VPC Amazon dans la table de routage AWS Transit Gateway.
Qu’est-ce qu’AWS Transit Gateway Connect ?
AWS Transit Gateway Connect est une fonction d'AWS Transit Gateway. Elle simplifie la connexion des succursales par le biais d'une intégration native des appliances réseau virtuelles SD-WAN (Software-Defined Wide Area Network) dans AWS Transit Gateway. AWS Transit Gateway Connect fournit un nouveau type de réseau logique, appelé Connect, qui utilise les réseaux Amazon VPC ou AWS Direct Connect en tant que transport réseau sous-jacent. Il prend en charge les protocoles standards comme Generic Routing Encapsulation (GRE) et le protocole de passerelle frontière (BGP) pour les réseaux Connect.
Quels partenaires AWS prennent en charge AWS Transit Gateway Connect ?
Plusieurs des principaux partenaires SD-WAN et de réseaux prennent en charge AWS Transit Gateway Connect. Veuillez visiter la page Partenaires pour plus d’informations.
Quels types d’appliances fonctionnent avec AWS Transit Gateway Connect ?
Toutes les appliances réseau tierces qui prennent en charge les protocoles standards comme GRE et BGP fonctionnent avec AWS Transit Gateway Connect.
Puis-je créer des réseaux Connect avec une passerelle AWS Transit Gateway existante ?
Oui, vous pouvez créer des réseaux Connect sur une passerelle AWS Transit Gateway existante.
AWS Transit Gateway Connect prend-il en charge les acheminements statiques ?
Non, AWS Transit Gateway Connect ne prend pas en charge les acheminements statiques. BGP constitue une condition minimale requise.
Les sessions BGP sont-elles établies sur le tunnel GRE ?
Oui, les sessions BGP sont établies sur le tunnel GRE.
Puis-je associer une table de routage au réseau Connect ?
Oui. Comme avec les autres réseaux Transit Gateway, vous pouvez associer une table de routage à un réseau Connect. Cette table de routage peut être semblable à la table de routage associée au réseau VPC ou AWS Direct Connect (mécanisme de transport sous-jacent), ou différente de celle-ci.
Performances et limites
Quels sont les limites ou quotas par défaut pour AWS Transit Gateway ?
Vous trouverez des détails sur les limites et les quotas dans notre documentation.
Si vous dépassez ces limites, créez un dossier de support.
Sécurité et conformité
Quels programmes de conformité AWS Transit Gateway respecte-t-il ?
AWS Transit Gateway hérite de la conformité d'Amazon VPC et est conforme aux normes PCI DSS niveau 1, ISO 9001, ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3, FedRAMP Moderate, FedRAMP High et est compatible HIPAA.
Fonctionnalité d'interopérabilité
Puis-je associer ma passerelle AWS Transit Gateway à une passerelle Direct Connect d’un compte différent ?
Oui. Vous pouvez associer votre passerelle AWS Transit Gateway à une passerelle AWS Direct Connect d'un compte AWS différent. Seul le propriétaire de la passerelle AWS Transit Gateway peut créer une association à une passerelle Direct Connect. Vous ne pouvez pas utiliser Resource Access Manager pour associer votre AWS Transit Gateway à une passerelle Direct Connect. Pour en savoir plus, reportez-vous à la section Assistance d’AWS Transit Gateway dans la FAQ de Direct Connect.
Je souhaite associer mes passerelles Transit Gateway à une passerelle Direct Connect. Puis-je utiliser le même numéro de système autonome (ASN) pour la passerelle Transit Gateway et la passerelle Direct Connect ?
Non, vous ne pouvez pas utiliser le même ASN pour la passerelle Transit Gateway et la passerelle Direct Connect.
Quels types de réseaux puis-je utiliser pour acheminer un trafic multicast ?
Vous pouvez acheminer un trafic multidiffusion dans et entre plusieurs réseaux VPC vers une passerelle Transit Gateway. Le routage multicast n'est pas pris en charge sur AWS Direct Connect, AWS Site-to-Site VPN et les réseaux d'appairage.
AWS Transit Gateway Connect prend-il en charge IPv6 ?
Oui, AWS Transit Gateway Connect prend en charge IPv6. Vous pouvez configurer les adresses du tunnel GRE et du protocole de passerelle frontière (BGP) avec des adresses IPv6.
Puis-je utiliser différentes familles d’adresses pour les adresses du tunnel GRE et du BGP ?
Oui, vous pouvez configurer les adresses du tunnel GRE et du BGP comme appartenant à une même famille ou à des familles différentes. Par exemple, vous pouvez configurer le tunnel GRE avec une plage d'adresses IPv4 et les adresses BGP avec une plage d'adresses IPv6 et inversement.
AWS Transit Gateway prend-il en charge l’IGMP pour le multicast ?
Oui, AWS Transit Gateway prend en charge l'IGMPv2 (Internet Group Management Protocol version 2) pour le trafic multidiffusion.
Puis-je avoir des membres IGMP et des membres statiques dans un même domaine multicast ?
Oui, vous pouvez avoir des membres IGMP et des membres statiques dans un même domaine multidiffusion. Les membres compatibles avec IGMP peuvent rejoindre ou quitter dynamiquement un groupe multidiffusion en envoyant des messages IGMPv2. Vous pouvez ajouter ou retirer des membres statiques à un groupe multidiffusion en utilisant la console, l'interface de ligne de commande ou le kit SDK.
Puis-je partager une passerelle Transit Gateway pour le multicast ?
Oui, vous pouvez utiliser AWS Resource Access Manager (RAM) pour partager un domaine multidiffusion de passerelle de transit pour des associations de sous-réseaux VPC entre des comptes ou dans l'ensemble de votre organisation dans AWS Organizations.
Network Manager
Qu’est-ce qu’AWS Transit Gateway Network Manager ?
AWS Transit Gateway Network Manager est une fonction d'AWS Transit Gateway. Elle centralise la gestion et la surveillance des ressources de réseaux, ainsi que les connexions des succursales à distance.
Comment configurer AWS Transit Gateway Network Manager ?
Suivez les étapes suivantes pour configurer et gérer Transit Gateway Network Manager :
- Créez un nouveau « réseau mondial », qui sera d'abord un objet vide.
- Enregistrez vos AWS Transit Gateways depuis n’importe quelle Région AWS.
- Ajoutez des ressources sur site/cloud : informations d'entrée à propos de vos appareils sur site/cloud, de vos sites, de vos liens, des connexions, des pairs Connect et des connexions Site-to-Site VPN avec lesquelles ils sont associés.
- Surveillez votre réseau mondial : par le biais des visualisations, des événements et des métriques de Network Manager.
Quels partenaires AWS prennent en charge AWS Transit Gateway Network Manager ?
Plusieurs des principaux partenaires SD-WAN prennent en charge AWS Transit Gateway Network Manager. Veuillez visiter la page Partenaires pour plus d’informations. L'intégration de Network Manager dans leurs solutions SD-WAN vous permet d'automatiser la connexion succursale-cloud et fournit une surveillance de bout en bout du réseau mondial depuis un tableau de bord unique.
Qu’est-ce qu’un réseau mondial ?
Un « réseau mondial » est un objet du service AWS Transit Gateway Network Manager qui représente votre réseau mondial privé dans AWS. Il comprend les hubs AWS Transit Gateway, leurs réseaux, les appliances réseau virtuelles SD-WAN des partenaires AWS, ainsi que les appareils, sites, liens et connexions sur site.
Quelles ressources sont automatiquement incluses dans le réseau mondial lorsque j’enregistre une passerelle AWS Transit Gateway ?
En ce qui concerne les passerelles AWS Transit Gateway enregistrées, tous les réseaux sont automatiquement inclus. Les réseaux comprennent les VPC, les VPN, les passerelles Direct Connect, AWS Transit Gateway Connect et l'appairage AWS Transit Gateway.
Comment puis-je visualiser les ressources et les connexions de mon réseau mondial ?
Le tableau de bord AWS Transit Gateway Network Manager affiche toutes vos passerelles AWS Transit Gateway dans toutes les Régions AWS et sur site. Il propose une vue logique et une vue géographique de vos ressources et connexions réseau, ainsi que le statut de la connexion.
Comment AWS Transit Gateway Network Manager m’aide-t-il à surveiller mon réseau mondial ?
Le tableau de bord d'AWS Transit Gateway Network Manager affiche également les évènements et les métriques, comme les octets entrants/sortants, les paquets entrants/sortants et les paquets supprimés. Le statut de connexion est intégré dans les vues topologique et géographique de votre réseau mondial. AWS Transit Gateway Network Manager offre aussi des évènements et des métriques réseau en temps réel pour votre réseau global par le biais d'AWS CloudWatch. Ces événements, métriques et visualisations vous aident à surveiller votre réseau et à prendre des mesures si nécessaire.
Quelles métriques sont disponibles dans AWS Transit Gateway Network Manager ?
Depuis le tableau de bord de Network Manager, vous pouvez visualiser les métriques de disponibilité et de performance de Transit Gateway, comme les octets entrants/sortants, les paquets entrants/sortants et les paquets supprimés. Les métriques montantes/descendantes AWS Site-to-Site VPN peuvent également être visualisées pour vos appareils sur site et pour vos liens.
Quels évènements réseau sont disponibles dans AWS Transit Gateway Network Manager ?
AWS Transit Gateway Network Manager offre des notifications d'évènements intégrées pour les changements de topologie réseau, les mises à jour de routage et les mises à jour du statut de connexion. Ces évènements sont livrés via CloudWatch Events.
Comment les partenaires AWS prennent-ils en charge AWS Transit Gateway Network Manager ?
Les fournisseurs SD-WAN offrent une intégration avec AWS Transit Gateway Network Manager. L'intégration de Network Manager dans leurs solutions SD-WAN leur permet d'automatiser la connexion succursale-cloud et fournit une surveillance de bout en bout du réseau mondial depuis un seul volet, le tableau de bord de Network Manager.
Comment puis-je me connecter automatiquement en utilisant un appareil SD-WAN partenaire ?
La solution SD-WAN du partenaire utilise des interfaces de programme d'application (API) AWS en votre nom pour enregistrer automatiquement l'appareil de succursale, créer une connexion VPN, puis appliquer les configurations VPN à l'appareil de succursale afin d'établir la connexion.
Qu’est-ce que Route Analyzer ?
Route Analyzer est une fonction d'AWS Transit Gateway Network Manager. Celle-ci vous aide à vérifier les configurations de routage des passerelles Transit Gateway sur votre réseau mondial.
Route Analyzer envoie-t-il des paquets de données pour analyser l’acheminement ?
Non, Route Analyzer n'envoie pas de paquets de données, mais il vérifie la configuration de la table de routage Transit Gateway associée en comparant la source et la destination.
Puis-je utiliser Route Analyzer sur mes passerelles Transit Gateway existantes ?
Oui, à condition que vos passerelles Transit Gateway soient enregistrées sur votre réseau mondial. Si vous possédez plusieurs passerelles Transit Gateway sur le chemin vers votre destination, chacune d'entre elles doit être enregistrée sur le réseau mondial.
Puis-je utiliser Route Analyzer pour analyser les acheminements des tables de routage de VPC ?
Non, Route Analyzer ne vérifie que les tables de routage Transit Gateway. Les tables de routage de VPC et les appareils de passerelle client ne sont pas inclus dans l'analyse.
Puis-je utiliser Route Analyzer pour analyser les règles des groupes de sécurité et des listes ACL réseau dans un VPC ?
Non, Route Analyzer ne vérifie que les tables de routage Transit Gateway. Les règles des groupes de sécurité et de listes ACL réseau se sont pas incluses dans l'analyse.
Une appliance réseau est associée à ma passerelle de transit. Cette fonction sera-t-elle compatible avec ce type d’architecture réseau ?
Oui, vous pouvez utiliser cette fonction avec une architecture d'appliance réseau configurée sur votre passerelle Transit Gateway. Au lancement de l'analyse, Route Analyzer vous invitera à confirmer la présence d'une appliance réseau entre la source et la destination.