Cours compact Amazon Virtual Private Cloud (AWS VPC)

1. Introduction I: Vous souhaitez mieux connaître le VPC AWS, mais vous ne pouvez pas vraiment vous frayer un chemin dans la documentation écrasante. Il fallait regarder d'autres ressources d' apprentissage par attention. Je ne sais pas vraiment s'il est logique pour vous, en tant que débutant passer 40 heures à suivre un cours théorique. Vous vous demandez s'il y a quelqu'un qui peut décomposer tout le sujet détail afin d'en tirer quelque chose au final, vous voudrez peut-être même vous préparer pour les solutions AWS. Architecte associé XM. Et le thème du réseautage est encore écrasant. Félicitations, c'est le bon endroit pour vous. Je suis Philip de bons notes, ingénieur Cloud avec plusieurs années d' expérience professionnelle et associé AWS Solutions Architect. Mon ambition est de vous expliquer tous les composants importants du VPC AWS tous les composants importants du VPC AWS dans les plus brefs délais afin que vous les compreniez bien et puissiez les utiliser pratiquement immédiatement. L'objectif du cours est de construire avec vous un VPC natif cloud prêt à la production à partir de zéro, et de vous fournir les outils théoriques et pratiques nécessaires , le tout est spécialement conçu pour débutants à intermédiaires. Dans ce cours, nous essayons de regarder le plus propre possible le service VPC pur uniquement là où c'est vraiment nécessaire. Nous examinons brièvement les autres services AWS. Ce qui n'est pas inclus dans ce cours. Si vous souhaitez approfondir le routage dynamique avec BGP, si vous souhaitez créer des connexions cloud sur site redondantes à trois voies connexions cloud sur site redondantes sur regradation de 50 pétaoctets de données de votre centre de données sur site vers le Cloud. Ce n'est pas le bon cours pour vous. Nous nous concentrons ici sur le côté pur Cloud. Nous restons appelés natifs pour l'instant, Pure Cloud ou partout où vous voulez l'appeler. Si vous souhaitez apprendre tout ce vous devez savoir tout au long du VPC de production solide dans le cloud AWS en peu de temps. Si vous n'avez pas seulement besoin d'une essence théorique pour apprendre, mais de quelqu'un qui vous montrera tous les éléments essentiels en détail, alors c'est l' endroit idéal pour vous. Inscrivez-vous rapidement et je vous verrai dans une seconde. Faisons un peu de réseautage ensemble. 2. Définition de AWS VPC: Dans cette première conférence, je souhaite vous donner un bref aperçu de ce sujet complet du VPC et de la façon dont il s'intègre au cloud AWS. Le cloud AWS est un réseau partagé. Vous pouvez imaginer qu'il y ait des nœuds physiques, alimentation riche en étoiles et qu'il existe également une colonne vertébrale privée car vous devez connecter tous les différents centres de données du monde entier , est fourni ou fourni par AWS. Et ils doivent être connectés en privé. Et c'est le but de cette colonne vertébrale. Ensuite, vous avez le VPC, et le VPC est alors un réseau privé. Par exemple, uniquement pour vous, votre réseau privé dans ce cloud AWS. Et sur cette diapositive, vous pouvez voir qu'il y a plusieurs VPC dans ce cloud AWS. Par exemple, le client A et le client B peuvent créer leurs propres VPC. Mais vous, en tant que client, vous pouvez également créer plusieurs VPC. Ce n'est donc pas un problème. Et ce qu'il est vraiment important de savoir, c'est qu'il existe certains services mondiaux d'AWS, comme vous pouvez le voir ici à gauche. Par exemple, il s'agit de S3. Il s'agit donc du service de stockage d'AWS ou de SQS ou DynamoDB. Et ces services sont exécutés dans leurs propres VPC, ou il s'agit d'un VPC géré par AWS. Et ce qui est vraiment important de savoir, vous ne pouvez pas faire tourner votre paquet S3 privé , par exemple dans votre VPC. Dans votre VPC privé. Cela est toujours fourni et géré par AWS. Et vous devez vous connecter par nos points de terminaison à ces services. Mais si vous souhaitez lancer uniquement une machine EC2 de base, par exemple, votre propre serveur. C'est quelque chose que vous pouvez faire dans votre VPC privé. Sur cette diapositive, vous pouvez voir une structure plus détaillée concernant le cloud AWS. En gros, il est structuré en plusieurs régions. Une région est une zone géographique plus vaste. Par exemple, USE store US West, Francfort ou ILM. Dans une région, il existe plusieurs zones de disponibilité. Et une zone de disponibilité est un centre de données. Il est égal à un centre de données. Oui. Le nombre de zones de disponibilité dans une région dépend de la région. Il y en a donc parfois trois, parfois six. Si vous souhaitez créer un VPC, vous devez d'abord sélectionner la région. Voulez-vous faire tourner le dos ? Dans l'Est des États-Unis ou en Irlande, en Europe ? Vous devez le sélectionner. Une fois que vous l'avez sélectionné, vous pouvez le créer. Et il est créé par défaut sur toutes ces zones de disponibilité dans cette région. Ensuite, vous pouvez créer un sous-réseau. Sous-réseaux. Par exemple, vous pouvez décider dans quelle zone de disponibilité je souhaite créer mon sous-réseau. Mais essentiellement, les bonnes pratiques à créer un sous-réseau dans chaque zone de disponibilité. Mais par exemple, si vous avez simplement besoin de faire tourner une machine EC2 et d'héberger leur site Web esthétique et leur sécurité n'a pas d'importance. Ensuite, vous pouvez simplement créer un sous-réseau dans une zone de disponibilité, car il est plus logique d' avoir plusieurs sous-réseaux pour cette exigence. 3. Gérer les ressources: Dans cette conférence, je veux simplement résumer pour vous les principales approches, façon dont vous pouvez gérer vos ressources dans AWS. Le premier est la console de gestion. Il s'agit d' interface utilisateur graphique pour gérer vos ressources. Ensuite, vous disposez de l'interface de ligne de commande AWS et, bien sûr, de plusieurs kits SDK. Je veux juste vous montrer cette vie. Vous trouverez également les liens ci-dessous. Et nous allons sur la console de gestion. Comme je l'ai déjà dit, il s'agit l'approche graphique de la gestion de vos ressources. Et je voulais sélectionner ici le VPC car il correspond à notre sujet d'aujourd'hui. Oui, ici, par exemple, je peux sélectionner vos VPC et créer un VPC. Et oui, en gros, c'est la console principale pour gérer vos ressources car vous pouvez presque tout faire dans cette console. L'autre approche consiste à utiliser l' interface de ligne de commande d'AWS. Il vous suffit donc de télécharger cet outil et de gérer vos ressources pendant que le terminal, votre terminal préféré. y a pas non plus de différence entre l'interface de ligne de commande et la console de gestion. Mais parfois, la console de gestion crée des ressources sous le capot. Ensuite, lorsque vous créez vos ressources via l'interface de ligne de commande, vous vous demandez pourquoi cela ne fonctionne pas. Ensuite, vous devez vous plonger un peu plus en profondeur dans la ressource que vous souhaitez configurer. Parce que parfois, il manque d'autres ressources dépendantes, qui sont créées sous le capot par la console de gestion. Et la troisième approche consiste à utiliser des kits SDK. Et comme vous pouvez le voir ici, pour presque tous les langages de programmation, il existe un SDK car ma langue maternelle est Python. Je veux vous montrer cette approche SDK à l'aide de Python. J'ai donc sélectionné ici, puis je peux sélectionner, par exemple ici, le kit SDK AWS pour Python. Et puis, vous savez ici de ce côté-ci qu'on appelle ça la photo trois. Vous avez une instruction sur la façon d'installer, dans ce cas le kit SDK du portail trois et vous avez la documentation ici. Ensuite, vous pouvez simplement consulter la documentation, comment elle est installée et comment l'utiliser. Mais en fin de compte, il faut comprendre quelles ressources vous souhaitez mettre en place. Et ce ne sont que des outils pour y parvenir. Oui, vous pouvez décider si je veux utiliser la console, je veux utiliser l'interface de ligne de commande ou les kits SDK à la fin, peu importe. Et il y a aussi une autre approche. Aws fournit également une API et, fondamentalement, l'interface de ligne de commande est basée sur cette API. Mais il existe également des outils tels que l' infrastructure Terraform en tant que code. Et j'utilise normalement Terraform, donc je ne fais pas beaucoup de choses dans la console de gestion AWS. Mais pour cette heure, nous allons mettre en place un autre cours pour tout ce sujet Terraform. Dans ce cours, nous voulons nous concentrer sur la console de gestion AWS. Faites-le graphiquement parce que nous voulons simplement comprendre comment cela fonctionne. Mais nous allons également installer l'interface de ligne de commande pour savoir comment cela fonctionne. Nous souhaitons également créer des ressources à la fois avec la console de gestion et l'interface de ligne de commande. 4. Tarification: Le thème de la tarification est également très important, surtout dans le monde des affaires. Je voulais donc simplement vous donner un bref aperçu ou quelques règles de base que vous pouvez suivre pour obtenir un aperçu des coûts. En principe, il n'y a pas de coûts supplémentaires pour le VPC. Par exemple, si vous créez une machine EC2 et que vous voulez simplement utiliser ce service, ce service, ce service, service, le réseau est déjà inclus. Mais il existe certains services ou certaines fonctionnalités où il est très probable qu'il y ait des frais supplémentaires. Il s'agit essentiellement de contrôler et de surveiller le VPC. Ainsi, chaque fois qu'il y a quelque chose avec la surveillance, la chance est très élevée d'avoir une pièce supplémentaire. De plus, chaque fois qu'il s' agit d'une mission d'énoncé, par exemple entre différentes régions ou d'une région à Internet et d'Internet vers une région ou une zone de disponibilité, chaque le moment où la connexion se produit et la transmission des données et aussi la sécurité bien sûr, par exemple, si vous souhaitez configurer un pare-feu sophistiqué , oui, vous devez payer des frais supplémentaires pour cela. Donc, toutes les règles de base. Et dans ce cours, je veux aussi parler parfois la tarification lorsque nous créons les différents composants. Mais la plupart des éléments dont nous parlons dans ce cours sont sans frais supplémentaires. Mais ce sont là les règles de base. 5. Créer un utilisateur d'IAM: Dans ce chapitre, nous voulons préparer notre compte AWS. Je ne sais pas si vous possédez déjà un compte AWS. Je suppose donc qu'il existe déjà un compte principal. Si vous n'avez pas de compte AWS actuellement, vous pouvez simplement accéder à la console AWS , puis enregistrer votre compte principal. Ce que nous voulons faire maintenant, c'est créer un utilisateur IAM. Je ne sais pas si vous connaissez déjà le service IAM d'AWS. Il s'appelle Identity Access Management. Et en gros, il s'agit simplement de la gestion des utilisateurs. Passons donc à la console. Vous pouvez le voir déjà ici et là récemment avec les services récemment visités, le service IAM, car je l'ai déjà visité. Et il vous suffit de rechercher ici le service IAM et de le sélectionner. Alors, vous êtes ici. Ensuite, nous allons ici aux utilisateurs, et nous voulons ajouter l'utilisateur. Vous pouvez alors lui donner un nom. Je veux nommer des notes décentes. Ensuite, nous rencontrons l'accès à la console de gestion AWS. Cela est donc nécessaire car nous voulons utiliser la console de gestion. Je veux aussi vous montrer parfois un peu l'interface de ligne de commande. C'est pourquoi je vous sélectionne également la clé d'accès, l'accès programmatique. Mais vous pouvez décider si vous voulez le faire ou si vous voulez simplement regarder. Si je vous montre la méthode CLI, je veux donner ici un mot de passe personnalisé. Et je ne veux pas non plus réinitialiser mon mot de passe. Mais oui, en fin de compte, si vous voulez être vraiment sûr, vous pouvez bien sûr choisir l'option de mot de passe générée automatiquement ou créer un mot de passe WIOA et un gestionnaire de mots de passe. Et vous pouvez cependant cocher ici case à cocher pour réinitialiser le mot de passe. L'étape suivante est celle des autorisations. Je ne veux pas le sauvegarder. C'est quelque chose que nous reportons à la prochaine conférence. Ensuite, vous pouvez créer des textes, attribuant simplement des textes. Par exemple, l'environnement est apporté pour moi ou quelque chose comme ça. Oui. Et puis juste pour examiner le nom d'utilisateur, il y a des notes correctes. Nous souhaitons faciliter l' programmatique et l'accès à la console de gestion. Nous avons créé un mot de passe personnalisé, nous créons l'utilisateur. Vous pouvez ensuite voir ici qu'AWS a créé l'utilisateur et également pour l'accès programmatique, accès et la clé d'accès secrète. Et cette paire de valeurs que je peux télécharger ici avec ce fichier CSV. J'ai déjà téléchargé le fichier CSV. Ensuite, vous n'avez qu'un fichier CSV dans lequel se trouvent les deux valeurs et nous pourrons les utiliser ultérieurement pour configurer l'interface de ligne de commande. Il suffit ensuite de cliquer ici sur le bouton Fermer. Et puis nous avons créé avec succès l'utilisateur, dans mon cas, des notes décentes. 6. Attribuer des autorisations de l'IAM: Nous devons maintenant attribuer les autorisations correctes à l'utilisateur AWS IAM, que nous avons créé lors de la dernière conférence. Parce que cet utilisateur n'a actuellement aucune autorisation pour faire quoi que ce soit. Et nous voulons créer des ressources VPC, certains composants avec l'aide de cet utilisateur. Nous passons donc à nouveau à la console et nous sélectionnons à nouveau le service IAM. Vous y êtes peut-être déjà. Et nous allons vers les utilisateurs et sélectionnons l'utilisateur créé. Ensuite, vous pouvez voir ici le bouton Ajouter des autorisations et nous cliquons sur ce bouton. Vous avez plusieurs possibilités de sélectionner les stratégies ou les autorisations. Nous voulons attacher directement les politiques existantes. Ensuite, nous devons rechercher EC2. Vous pouvez simplement taper ici EC2, puis sélectionner EC2 full xs. Ensuite, nous avons également besoin de VPC, d'excès complet. Il suffit donc de rechercher ici le VPC. Ensuite, je sélectionne Amazon VPC, accès complet. Nous avons également besoin d'autorisations d' administrateur système. Je recherche donc le système, puis je peux sélectionner ici l'administrateur système. Et à la fin, nous pouvons attribuer un accès complet à IAM. Si vous vous demandez pourquoi nous donnons maintenant à cet utilisateur, je suis des promotions imbéclées parce que c'est essentiellement là que nous sommes lourds. Et c'est juste parce que je ne veux pas suivre un cours complet de messagerie instantanée ici. certaines ressources nécessitent des autorisations IAM. Je ne veux pas sélectionner ou restreindre, très spécifique. C'est pourquoi nous utilisons simplement ici un accès complet. Mais oui, bien sûr, je soutiens toujours l'approche du moindre privilège et je vous soutiens toujours si vous vous asseyez et recherchez les politiques IAM très spécifiques sont déclarations selon lesquelles les autorisations sont restreints autant que possible. Oui. Et ensuite, nous pouvons passer ici pour examiner et simplement vérifier quelles autorisations nous attribuons, quelles stratégies nous avons assignées à cet EC2, nous aurions un accès complet C que droits d'administrateur système et je suis plein de x. Et nous pouvons cliquer ici sur Ajouter des autorisations. On y va. Nous attribuons les autorisations correctes. Je pense que c'est suffisant pour faire ce que nous voulons faire. Peut-être que nous avons un peu deux bords à la fin, mais cela suffit principalement à configurer toutes les ressources VPC que nous voulons configurer. 7. AWS L'interface de la ligne de commande (CLI): La dernière étape de préparation consiste à installer l'interface de ligne de commande. Vous pouvez décider si vous souhaitez installer l'interface car nous ne voulons pas l'utiliser si souvent. Je veux simplement mentionner qu'il existe. Mais oui, notre console principale est la console de gestion, l'interface utilisateur graphique, car nous voulons comprendre comment elle fonctionne. Nous voulions comprendre comment construire un VPC. Et nous ne voulons pas le créer avec deux ou trois approches différentes. Mais oui, je veux juste vous montrer comment cela fonctionne et je voulais juste mentionner que l'interface de ligne de commande existe. Donc oui, je passe à nouveau sur mon navigateur. Vous pouvez voir ici la documentation de l' interface de ligne de commande. Vous pouvez simplement Google pour l'interface de ligne de commande AWS, ou vous utilisez le lien qui est également inclus dans nos diapositives. Il vous suffit de cliquer ici pour commencer et installer une mise à jour. Ensuite, vous devez sélectionner votre système d'exploitation. Dans mon cas, c'est macOS. Et puis vous pouvez installer ici, ce fichier d'installation. Je l'ai déjà téléchargé. Ensuite, vous pouvez simplement l'installer, il suffit de double-cliquer et de l'installer. Ensuite, nous pourrons passer au terminal. Et la première chose que nous devons obtenir, c'est les informations d'identification. Si vous vous en souvenez, nous avons créé l'utilisateur, puis nous avons téléchargé le fichier CSV avec la clé d'accès et la clé d'accès secrète. Je pense donc que c'est dans mon dossier de téléchargements. Oui, c'est ici. Je viens de couper ce fichier CSV. Bien sûr, il est une mauvaise pratique de couper les informations d'identification Swift du fichier, car elles sont minces dans l'historique. De plus, vous ne souhaitez pas partager votre clé d'accès secrète avec d'autres utilisateurs. Mais dans ce cas, nous sommes simplement en mode présentation. Je supprimerai cet utilisateur décent fondu par la suite. Pardonnez-moi donc pour la quatrième coupe de ce fichier d'accréditation. Ensuite, je peux vérifier si l'installation de l'AWS CLI a réussi. Et je le fais avec la commande AWS dash, version dash. Et comme vous pouvez le voir ici, cela fonctionne parfaitement. J'ai donc réussi à installer la version 252. ne me reste plus qu' à configurer mon compte AWS. Je le fais avec AWS configure. Et puis je copie ici cette clé d'accès. Ensuite, je copie la clé d'accès secrète AWS. C'est celui-là ici. Coller. Ensuite, je dois sélectionner une région par défaut. Et lorsque nous revenons au navigateur, à la console de gestion, vous pouvez sélectionner, par exemple, le service VPC. Et puis vous pouvez voir ici cette sélection. Ici, toutes les différentes régions, qui sont actuellement disponibles dans Ada dans le cloud AWS. Oui. J'aime bien l'Irlande. C'est pourquoi j'ai décidé d'utiliser la région par défaut, celle de l'Ouest. Fondamentalement, c'est votre décision où vous souhaitez lancer votre VPC avec l'interface de ligne de commande. Bien sûr, avec l'interface de ligne de commande, il suffit de définir une région par défaut. Si vous ne spécifiez pas directement la région , elle génère vos ressources. En vue de cette région par défaut. C'est exactement ce dont il s'agit. Je vais sélectionner cette région d' Irlande ici. Quand je retourne au terminal, je peux simplement taper ici. Vous êtes l'Ouest. Le format de sortie par défaut que vous pouvez laisser vide. Oui. C'est tout ce que nous devons faire pour configurer l'AWS CLI 8. Vue d'hélicoptère par défaut: Maintenant, il s'excite. Nous voulons parler de la rubrique VPC par défaut. Quel est le VPC par défaut ? Aws crée par défaut dans chaque région du Cloud, un VPC par défaut pour vous. Je pense que c'est le cas pour tous les comptes AWS créés après 2014. Je pense. Il est très probable qu'il soit également créé dans votre compte. outre, AWS crée dans chaque région, pour chaque VPC, des sous-réseaux publics dans chaque zone de disponibilité située à l'intérieur de la région. Quel est le but d'un VPC par défaut ? Le but est que vous puissiez, par exemple, lancer très rapidement une machine EC2 où vous pouvez, par exemple, héberger un site Web statique et vous ne voulez pas vous soucier de tous les éléments de mise en réseau. Vous voulez simplement créer très rapidement vos ressources et vous voulez simplement vous concentrer sur la configuration de la machine EC2, alors le VPC par défaut est la solution à suivre pour vous. Oui. Je voulais simplement vous donner un bref aperçu de ce qu' AWS crée par défaut pour vous dans chaque région. Ici, vous pouvez voir à nouveau le cloud AWS et votre VPC. Nous sommes à l'intérieur d'une même région. Et vous y trouverez, bien sûr, les zones de disponibilité. Et dans chaque zone de disponibilité, il y a un sous-réseau public. Vous pouvez le voir ici. Et AWS crée un jeu d'options DHCP, qui réalise la résolution DNS. Ensuite, il crée une liste dite NaCl, qui est une liste de contrôle d'accès réseau. Il crée un routeur, une table de routage. Il crée également un groupe de sécurité, mais c'est essentiellement la même chose que les têtes de poing dans la région de sécurité ici. Il crée une passerelle Internet et oui, c'est tout. Et je modifie ici la machine EC2. Bien sûr, la machine EC2 n' est pas créée par défaut, mais je veux simplement vous montrer comment le flux de trafic peut être vers l'Internet public, que vous pouvez voir ici. C'est la vue de l'hélicoptère. Ce qu'AWS crée par défaut dans chaque région, dans chaque zone de disponibilité. 9. Aperçu des composants créés automatiquement dans le VPC par défaut: Oui, nous voulons maintenant passer en revue tous les composants que nous connaissons déjà depuis la vue hélicoptère dans la console de gestion AWS. Par conséquent, je passe à mon navigateur. Et vous pouvez cliquer ici sur le service VPC si vous avez récemment visité le service. Mais bien sûr, vous pouvez également rechercher le service VPC et sélectionner ici. Tout d'abord, vous pouvez sélectionner la région ici. Dans mon cas, je viens de choisir l'Irlande, mais oui, c'est sur vous. Vous pouvez également décider de créer vos ressources dans us-east1-d. over. Je ne sais pas. Vous pouvez donc sélectionner la région ici. Ensuite, nous avons le tableau de bord du VPC. Et comme vous pouvez le voir ici, AWS a créé par défaut un VPC par défaut, puis trois sous-réseaux. Et c'est parce qu'un ILM, trois zones de disponibilité sont disponibles. Ensuite, vous avez une table de routage principale. Vous disposez d'une passerelle Internet, vous disposez d'un ensemble d'options DHCP. Vous disposez d'une liste principale de contrôle d'accès réseau et vous disposez d'un groupe de sécurité principal. Bien sûr, chaque composant que vous pouvez voir ici est entièrement gratuit, donc il n'y a pas de frais supplémentaires. Avoir ici ces ressources par défaut dans chaque région. Je voulais juste passer en revue les composants juste pour vous donner un bref aperçu afin que vous n' ayez pas à tout comprendre car nous allons approfondir tous les différents composants plus tard. Oui. Comme vous pouvez le voir ici, nous avons un VPC par défaut. Il possède un ID VPC. L'état est disponible. Aws configuré par défaut, le bloc CIDR ici. La plage IP est donc déjà corrigée. Et comme vous pouvez le voir ici, un jeu d' options DHCP est déjà attribué et la table de routage principale, une liste ACL réseau principale. La tendance est par défaut. Et bien sûr, l'indicateur ici indique que ce VPC est un VPC par défaut. Ensuite, nous pourrons accéder aux sous-réseaux. Et vous pouvez voir ici qu'il y a trois sous-réseaux. Ils ont différents sous-réseaux, I, ID de sous-réseau, mais ils sont affectés au même VPC, au même VPC par défaut, mais ils ont un ensemble de blocs différent, de sorte qu'ils configurent les verrous ne se chevauchent pas. Et oui, lorsque vous définissez ici le bloc de configuration, vous définissez également les adresses IP maximales disponibles. Dans ce cas ici, il s'agit d'environ 4 000. Vous pouvez ensuite voir ici les zones de disponibilité, C, ABC. Nous pouvons déjà entendre ABC. Et bien sûr, la même table de routage principale est attribuée et la même ACL réseau. Bien sûr, les trois sous-réseaux sont des sous-réseaux par défaut. Ensuite, vous disposez d'une table de routage principale. On peut juste avoir ici. Examinez rapidement les itinéraires. Fondamentalement, c'est le cœur de l'ensemble du routage à partir du trafic réseau. Cela est défini ici. Nous avons maintenant une passerelle Internet. Rien à dire ici, c'est juste vous créez simplement une passerelle Internet, puis elle est assignée à un VPC disponible dans la région. Ensuite, il est prêt à partir. Alors, bien sûr, nous avons une période de sécurité. Il y a donc un réseau principal, ACL. Il est affecté à tous les sous-réseaux. Et ici, vous disposez de règles entrantes, de règles sortantes et de certaines règles que vous pouvez définir ici quel trafic est autorisé à entrer dans notre VPC où le trafic n'est pas le trafic. Et c'est la même chose. Également pour les groupes de sécurité. Il existe un groupe de sécurité principal et vous disposez également de règles entrantes et sortantes. Et nous parlerons des différences plus tard. 10. Limites de l'AWS VPC par défaut: Dans cette dernière section, dans le chapitre VPC par défaut, nous voulons parler des limites du VPC par défaut. Et si vous vous en souvenez, j'ai dit que le VPC par défaut est le VPC approprié pour vous. Si vous voulez simplement faire tourner une machine EC2 et que vous ne voulez pas vous préoccuper de l'ensemble du réseau. Vous souhaitez simplement faire tourner une machine, une machine publique et héberger le site Web Study, par exemple , le VPC par défaut est la solution. Mais les limites sont multiples. Et de mon point de vue, la limite la plus importante est que vous ne pouvez pas contrôler les paramètres réseau. Si vous vous souvenez, quand nous avons fait notre petite visite. Les blocs CIDR sont prédéfinis par AWS dans le VPC par défaut. Aws sélectionne pour vous, par exemple, la plage IP commençant par 172. De plus, ils configurent également votre taille du VPC et des sous-réseaux. Donc, si vous vous souvenez, chaque sous-réseau a une plage d'adresses IP ou une plage d'adresses maximale, qui était disponible là-bas avec 4 091 adresses IP, je pense. Et vous pouvez décider si c' est trop ou est-ce suffisant ? Mais en fin de compte, vous ne pouvez pas le contrôler. C'est la limite principale de mon point de vue. Et bien sûr, il n'y a rien de tel qu' un sous-réseau privé. Ainsi, chaque ressource que vous souhaitez faire tourner dans ce VPC par défaut, à l'intérieur du sous-réseau public par défaut, est bien sûr publique. Le dernier point ici est que la réplication des vitamines n'est pas si facile. Par exemple, si vous avez sourd et Wyoming et l'environnement de mise en scène, environnement proton, lorsque vous l' utilisez avec un VPC autre que par défaut, qui est la rubrique suivante, le chapitre suivant. Ensuite, vous pouvez, par exemple, attribuer simplement un bloc CIDR commençant par dix pour les sourds et commençant par 110 pour mettre en scène quelque chose comme ça et le copier. Relativement facile. Dans ce cas, avec une valeur par défaut , ce n'est pas si facile. Je voulais juste le mentionner. Et ce qui est également très important c'est de ne pas supprimer ce VPC par défaut. Car évidemment, si vous voulez simplement créer une machine EC2 par défaut, nous continuons, qui est publique alors. Oui, d'accord. Mais je pense que vous voulez vous plonger un peu plus en profondeur dans tout le travail de réseautage parce que vous regardez ce cours ici. C'est pourquoi vous créez très probablement votre propre VPC autre que par défaut. Et mais oui, je voulais juste dire que s'il vous plaît laisser la valeur par défaut serait C tel quel, car parfois il y a des problèmes ou des problèmes qui apparaissent lorsque vous supprimez le VPC. Je l'ai fait dans le passé et j'ai eu des problèmes bizarres car AWS fait parfois référence au raide ou au VPC et quand il n'est pas disponible, vous avez un problème. Ma suggestion est de le laisser tel quel , puis de créer votre propre VPC autre que par défaut. Et c'est notre prochain chapitre. 11. Avantages de l'AWS VPC non par défaut: Dans cette conférence, nous voulons parler du sujet principal, le VPC non par défaut. C'est très important. Le premier sujet concerne les avantages du VPC non Depot. Et peut-être que vous pouvez arrêter la vidéo maintenant et réfléchir aux avantages. Quels sont à votre avis les avantages de la non-défaut nous PC. Juste un petit indice. Très probablement. Ces valeurs seront exactement à l'opposé des limites du VPC autre que par défaut. Oui, quels sont les avantages ? Le plus grand avantage est que vous aidiez le contrôle total de tous les paramètres réseau. Cela signifie que vous pouvez, par exemple, définir votre propre taille de bloc CIDR afin que vous puissiez décider de la plage IP qu'elle doit être et du nombre d'adresses IP disponibles dans votre VPC, dans votre sous-réseau. Et bien sûr, vous pouvez également créer vos sous-réseaux privés. Et c'est très important, surtout si vous construisez des architectures commerciales, des architectures de production. Parce que c'est juste une question de sécurité et qu'il est bon de créer autant de ressources que possible dans vos sous-réseaux privés, privés et de n'avoir que quelques connexions au Web mondial. Et bien sûr, dans le VPC non par défaut, il est également plus facile de répliquer vos environnements, par exemple, Dev Staging et Prod. 12. Blocs de CIDR: Nous voulons maintenant parler d' concept clé très important dans l'ensemble de l'espace réseau. Et c'est ce qu'on appelle le routage inter-domaines sans classe. Cette relation est une sitter. Si vous lisez la documentation sur l'ensemble du bloc CIDR, cela devient, je trouve un peu accablant, mais en fin de compte, c'est vraiment facile à comprendre. Comme vous pouvez le voir ici, vous avez quelques chiffres derrière ce coup de fouet. Et ce numéro définit un masque de sous-réseau qui sera appliqué à l'adresse IP, qui se trouve avant la barre oblique ici. Comme 0 ici signifie que vous appliquez votre masque de sous-réseau, qui comporte 32 bits et tous les bits sont des zéros. En décimal, c'est o. Et cela signifie qu'à la fin, vous avez un maximum d' adresses de deux à la puissance de 32. En fin de compte, il s'agit d' environ 4 milliards d' adresses IP que vous pouvez utiliser dans un sous-réseau ou Internet, qui est défini par une barre oblique 0. Ensuite, vous pouvez augmenter ce nombre jusqu'à ce que 3232 signifie que vous avez un masque de sous-réseau avec 32 masques. En fin de compte, cela signifie qu'il ne vous reste qu' une seule adresse IP. Vous pouvez également l'utiliser, par exemple, si vous souhaitez définir dans votre pare-feu ou dans votre groupe de sécurité que seule votre adresse IP est autorisée ou une autre adresse IP. Mais oui, juste si vous voulez définir une seule adresse IP qui est sur le point d'entrer dans votre VPC. Et mon truc, c'est que je me souviens de cette définition de slash 16 sitter ici. Cela signifie que vous avez deux à la puissance de 16 possibilités en tant qu'adresses IP. Quelque chose d'environ 65 000. Et chaque fois que nous diminuons ce nombre ici derrière la barre oblique. Donc, quand il passe à 0, cela augmente ici. Ainsi, les adresses maximales augmentent. Chaque fois que nous passons de la barre oblique 16 à la barre oblique 32. L'IP. Le nombre maximal d' adresses diminue à 1. Ici, au bout du compte. C'est tout le concept que vous devez comprendre lorsque nous parlons d'un ensemble de blocs. Parce que nous voulons définir la taille de notre VPC et c'est pourquoi nous avons besoin de ce concept de configuration ici. 13. Spécifier la taille du réseau: La question est maintenant de savoir comment spécifier la taille du réseau dans AWS ? Et il existe une norme appelée RFC 1980 puis cette norme, c'est la pinte, dont les plages IP sont préférées pour l'utilisation dans les réseaux privés. En gros, il s'agit de trois gammes ici. L'un commence par 101, commençant par 172161, à partir de 192168. Et AWS détermine que la taille minimale d'un VPC ou sous-réseau est définie par une barre oblique 28, ce qui signifie que les adresses minimales disponibles sont 16. Et c'est également très important si vous souhaitez apprendre quelque chose pour la certification associée AWS Solutions Architect. Parce que c'est là que nous sommes en question. Ils demandent, quelle est la taille minimale ? Cela est dû au fait qu' AWS dispose de cinq adresses IP réservées par défaut. La taille maximale est oblique 16, soit environ 65 000 adresses. Il s'agit du maximum que vous pouvez configurer ici dans AWS. Lorsque nous examinons ici l'exemple de blocs, vous pouvez voir, par exemple, si vous souhaitez définir un ensemble de blocs dans la plage IP commençant par dix, et que vous souhaitez avoir un taille maximale de 65 000 adresses. Ensuite, vous pouvez le définir comme ça ici. Donc 100 et ensuite, 16. Cela signifie que la première adresse IP est 100 et que nous aurons 65 000 adresses. C'est également le cas pour toutes les autres plages IP disponibles ici. C'est le concept principal, comment il fonctionne avec les blocs CIDR. Et bien sûr, vous devez décider de la taille de votre réseau. Cela dépend du nombre de ressources que vous souhaitez lancer et de ce qui est également important ici. Nous avons une autre diapositive pour cela. C'est le troisième ici. Vous ne pouvez pas modifier la taille de vos blocs CIDR lorsqu' ils sont créés une fois. Cela signifie que vous devez décider avant de créer votre VPC et vos sous-réseaux, quelle taille ils doivent avoir. Et bien sûr, vous pouvez le modifier en supprimant l'intégralité du VPC et l'ensemble de la construction du sous-réseau et en créant un nouveau. Mais bien sûr, c' est une tâche très difficile, surtout si vous avez déjà lancé certaines ressources dans votre ancien VPC, car vous devez ensuite migrer toutes vos ressources. Vous devez donc créer un nouveau VPC avec un nouvel ensemble de plages de blocs. Ensuite, vous devez migrer toutes vos ressources. Ensuite, vous pouvez supprimer votre ancienne BBC dans votre ancien sous-réseau. Et c'est une tâche très difficile, surtout si vous avez déjà plusieurs ressources dans votre VPC. Il est logique d'en tenir compte avant créer votre architecture réseau de base. Et bien sûr, les blocs CIDR ne peuvent pas non plus se chevaucher. Vous pouvez attribuer plusieurs blocs CIDR par VPC, mais ils ne peuvent pas se chevaucher. C'est très important à dire ici. 14. Créer un VPC non par défaut: Nous voulons maintenant créer un VPC autre que par défaut. Je voulais juste le mentionner. Nous voulons maintenant parcourir tous les composants et les ressources nécessaires à la création votre VPC natif cloud non prêt pour la production par défaut. Et chaque fois que nous créons une nouvelle ressource ou que nous avons besoin d'une nouvelle ressource, je vous expliquerai la partie théorique de cela, puis nous la créerons pratiquement dans le Cloud. C'est donc le plan. Nous pouvons maintenant passer à la console de gestion AWS. Et vous pouvez voir ici, je suis bloqué maintenant pourquoi ces utilisateurs IAM sont-ils ? Je n'utilise donc pas maintenant le compte principal. Et comme je l'ai déjà dit, c'est une bonne idée à chaque fois que vous créez de nouvelles ressources, faites-le avec un utilisateur IAM avec une approche de moindre privilège. Oui, j'ai déjà sélectionné ici la région Europe ILM, celle de l'UE Ouest. Et dans cette région, nous allons créer notre première marche VPC non par défaut. Vous devez le faire, vous devez aller au Service BBC, je pense qu'il est également disponible dans votre liste récemment visitée ici. Et vous allez sur le VPC et vous pouvez voir qu' il s'agit du tableau de bord. Vous allez sur vos VPC. Vous pouvez voir ici la valeur par défaut. Nous serions C, ce que nous avons mentionné quelques leçons auparavant lorsque nous avons parlé la vue par défaut de l'hélicoptère VPC. Nous pouvons maintenant cliquer ici sur le bouton Créer un VPC. Et il y a deux options. Vous pouvez créer le VPC uniquement ou la structure de sous-réseau VPC. Mais nous le voulons, nous voulons comprendre toute l'architecture. C'est pourquoi, à mon avis ou à mon point de vue, c'est une bonne idée que nous le construisons à partir de zéro. Dans cette première zone, vous pouvez définir une étiquette de nom. Je l'appellerai donc prod. Vous pouvez lui donner un meilleur nom. Et puis nous voulons définir ici le menu, menu bloc CIDR. Oui, je pense que c'est une bonne idée de le définir avec 100 en barre oblique 16. Cela signifie que notre gamme p.band commence par 100, et qu'elle possède environ 65 000 adresses IP possibles. Nous ne voulons pas utiliser le jeu de blocs IP version six. Et ensuite, nous pouvons également attribuer ici plusieurs textes. J'aime, par exemple, le fil épais signifié à nouveau, il est apporté. Oui, je pense que c'est tout. Ensuite, vous pouvez simplement créer, créer le VPC ici, cliquer sur le bouton Créer un VPC. Et puis vous pouvez voir ici la balle VPC créée avec succès, nous définissons le bloc de configuration ici. Et nous avons également quelques textes ici, les vitamines et le nom cochent. Et quand nous reviendrons à la liste, vous pouvez voir ici que nous avons la valeur par défaut, nous serions C, et nous avons le Praat sur VPC. Maintenant, je veux vous montrer comment construire ce VPC. Toujours à la CIA, je pense que c'est un bon sujet pour parler de l'interface de ligne de commande car il est relativement facile à créer ici, ce VPC, il n'y a pas beaucoup de paramètres que vous pouvez attribuer ici. C'est pourquoi je veux vous montrer comment cela fonctionne avec l'interface de ligne de commande. Vous pouvez décider si vous le souhaitez. Si vous souhaitez également créer un VPC avec l'interface de ligne de commande ou si vous souhaitez simplement le regarder. Oui, c'est pourquoi nous avons besoin d'abord. Nous voulons d'abord obtenir la commande de l'interface de ligne de commande. C'est pourquoi je viens de chercher, par exemple, AWS CLI et de créer un VPC. Et je pense que c'est la première entrée ici, créer, créer VBC, et maintenant nous sommes ici dans la référence de commande AWS CLI. Ceci ici dans les enregistrements, l'énoncé entre parenthèses est très important car c'est votre préfixe. Ainsi, chaque fois que vous créez une commande dans l'interface de ligne de commande, elle commence par AWS, bien sûr, car il s'agit du binaire. Ensuite, le second est l'espace de noms. Et dans ce cas, ici, c'est ec2. C'est pourquoi, c'est parce que tous les éléments de mise en réseau proviennent EC2 parce qu'AWS a commencé à créer ses services basés sur EC2. Et l'EC2 a été le premier service qui nécessitait des éléments réseau. C'est pourquoi il s'agit de l'espace de noms EC2. Et ensuite. Comprend la commande Create VPC. Donc, à la fin, il y aura AWS EC2 create VPC, puis vous pourrez entendre, trouver le synopsis. Ici. Voici toutes les options définies que vous pouvez choisir. Et nous utiliserons le bloc CIDR, et nous utiliserons les spécifications techniques ici. C'était donc les seules options que nous avons également définies dans la console de gestion. Commençons. Nous passons au terminal, puis nous pouvons commencer par une commande, AWS EC2, créer un VPC. Et maintenant, revenons au navigateur. Nous avons besoin du drapeau de bloc d'installation ici, donc je vais le copier et je peux le coller ici. Ensuite, nous utilisons cette plage IP ici, et ce n'est qu'un exemple. Nous supprimerons donc le VPC puis ensuite, c'est juste pour vous montrer comment il fonctionne avec l'interface de ligne de commande, puis revenir à la ligne. Encore une fois, nous avons besoin de la définition des spécifications techniques, et ce n'est pas si facile. Donc, si vous allez ici aux spécifications techniques, vous pouvez le voir ici. Il existe une structure sophistiquée et écrasante. Vous devez définir le premier type de ressource. Ensuite, vous pouvez ajouter une liste de textes qui est une paire de valeurs clés à la fin. Mais pour moi, il est un peu difficile de comprendre comment cela fonctionne ici. C'est pourquoi j' utilise toujours quelques exemples. Et je pense que dans l' exemple ici, oui, vous pouvez copier un exemple. Un exemple de fonctionnement pour les spécifications techniques. Et celui-ci que je vais utiliser, je le copie, puis je retourne au terminal et ensuite je peux le coller ici. Et puis, par exemple, nous voulons nommer l' environnement ici, en esclavage parce que nous avons maintenant un environnement proton, nous sommes peut-être une bonne idée de nous aider à mettre en scène VPC et propriétaire dont nous n'avons pas besoin, nous utiliserons alors le nom ici. Le nom met également en scène EUS en mettant en scène un comme nom et le Wyoming ne fait que dire, oui, et ensuite nous pouvons entrer ici. Nous pouvons cliquer sous Fin. Le VPC est ensuite créé avec succès. Comme vous pouvez le voir ici, vous avez la plage de blocs CIDR et vous avez les textes ainsi que le montant y et le nom. Et où nous revenons à la console de gestion du VPC ici. Lorsque nous cliquons ici sur Actualiser, vous pouvez voir que nous avons maintenant apporté un VPC et le transfert un VPC et les différents blocs CIDR ici. Et lorsque nous y allons, vous pouvez voir dans la liste de Flex VPC par défaut il n' y a qu' un seul VPC par défaut. C'est celui qui a été créé par AWS et nous devons connaître ou non les VPC par défaut. Et maintenant, je vais supprimer le VPC de mise en scène car nous voulons procéder à un tracé d'un VPC. C'est peut-être trop déroutant d'avoir deux PC pour l'instant. C'est pourquoi je le supprime ici. Nous pouvons ensuite construire notre VPC produit, avec une structure plus détaillée. 15. Aperçu des sous-réseaux publics: Nous avons la valeur par défaut qui serait C. Et maintenant nous voulons créer des informations, ce VPC autre que par défaut, ce que l' on appelle des sous-réseaux. Je voulais vous donner un bref aperçu des différents types de sous-réseaux existants. Et comme vous pouvez le voir ici dans cet aperçu, un des types est le sous-réseau public. Et comme vous pouvez le voir ici dans son nom, il est appelé sous-réseau public. Toutes les ressources de ce type de sous-réseau sont publiques, disponibles ou disponibles en public. Cela signifie que si votre machine EC2, par exemple, dans le sous-réseau public possède une adresse IP publique , elle est accessible depuis le Web mondial. Et puis un autre type est le sous-réseau privé. Et chaque ressource d'un sous-réseau privé est vraiment privée. Donc, fondamentalement, il n'a pas d'adresse IP publique, et il n'est pas accessible de l'extérieur, n' est pas accessible depuis Internet. Ensuite, il existe un type spécial qui s'appelle sous-réseau VPN uniquement. Et en gros, il s'agit également d'une sorte de sous-réseau privé. Mais ici, vous avez un autre point. Et il s'agit d'une connexion VPN. Dans la table de routage à partir d'un sous-réseau VPN uniquement, il existe une définition et elle est connectée au serveur VPN, mais c'est une sorte de sous-réseau privé. Et les sous-réseaux les plus importants sont le sous-réseau public du sous-réseau privé. Ensuite, il y a un autre concept clé que les utilisateurs AWS et eux font la différence entre IP version quatre uniquement, IP version six uniquement et un sous-réseau dualiste. En fin de compte, vous pouvez combiner ces types ici avec ces types ici. Vous pouvez dire que nous voulions créer un sous-réseau public avec IP version quatre uniquement, ou créer un sous-réseau privé avec double pile, etc. Vous pouvez combiner cela à la fin. Oui, ce sont les types de sous-réseaux les plus importants. 16. Adresses IP publiques: Oui, pour établir un très bon cloud natif que nous voyons avec les sous-réseaux, il est également important de comprendre les différents types d'adresses IP, c'est l'adresse IP publique. Cela signifie qu' AWS fournit un pool d'adresses IP publiques, ce qui est géré par AWS. Il est donc très important de comprendre que ces adresses IP publiques ne sont pas associées à votre compte AWS, votre compte AWS spécifique. Cela signifie que si vous voulez faire tourner une machine EC2, vous pouvez décider, et c'est ici en 0.3. Vous pouvez concevoir, vous pouvez décider avec un indicateur dans chaque sous-réseau, si vous souhaitez attribuer ou non une adresse IP version quatre. Et si vous définissez cet indicateur sur true, il attribue automatiquement adresse IP publique à votre machine EC2. Ensuite, il se soulève, tant que votre machine EC2 se soulève sur votre compte. Et si vous mettez fin à votre machine EC2 , cette adresse IP sera libérée. Il est ensuite remis à nouveau au pool mondial, qui est maintenu par AWS. s'agit donc pas de votre adresse IP personnelle, ni de votre adresse IP personnelle ou publique. Il est juste emprunté à une piscine. 17. Adresses IP élastiques: Dans un autre type d' adresses IP, il y a l'adresse IP Elastic. Et vous pouvez imaginer comme ça. Il s'agit également d'un pool public d'adresses IP élastiques géré par AWS. Et vous pouvez emprunter à ce pool votre adresse IP publique statique, votre adresse IP élastique. Dans ce cas, il sera attribué à votre compte AWS. Vous pouvez décider pendant combien de temps vous souhaitez conserver cette adresse IP dans votre compte, puis vous pouvez la restituer si vous le souhaitez. Mais il n'est pas lié à la machine EC2, par exemple. Cela n'a donc rien à voir avec la création de votre machine EC2. Ensuite, l'adresse API est renvoyée lorsque la machine EC2 est arrêtée. Ce n'est pas le cas. Il est vraiment attribué à votre compte AWS et HEW Health prend la décision lorsque vous souhaitez le rendre. Vous pouvez voir ici et 0.3, il est également possible de mapper plusieurs adresses IP privées à une adresse IP élastique. En gros, l' idée est, par exemple, faire tourner une machine EC2 et que cette machine EC2 possède par défaut une adresse IP publique et une adresse IP privée. Mais cette adresse IP publique n'est pas la vôtre. Donc, si la machine EC2 est arrêtée, alors bien sûr, elle a disparu. Par exemple, ce que vous ferez si la machine EC2 panne ou si vous devez mettre fin à la machine EC2, mais vous devez vous assurer que le service se soulève davantage à la fin. Un concept simple est donc que vous n'empruntez qu'une adresse IP élastique à ce pool. Ensuite, vous avez votre adresse IP publique statique fixe, puis vous lui attribuez la première machine EC2. Et lorsque cette machine EC2 tombe en panne, vous pouvez facilement faire tourner une nouvelle machine EC2, puis passer simplement de l'adresse IP Elastic à la nouvelle machine EC2. Il s'agit donc d'un cas d'utilisation simple. Vous pouvez imaginer comment fonctionne cette adresse IP Elastic. 18. Créer des sous-réseaux publics: Nous voulons maintenant créer les sous-réseaux publics. Tout d'abord, voici un petit aperçu de ce que nous voulons construire dans notre nouveau VPC. Et comme vous pouvez le voir ici, nous avons le VPC et l'installation rock 10016. Ensuite, nous voulons créer deux sous-réseaux publics. Et l'un s'appelle prod sub one, et l'autre est appelé prot sub two. Et les deux se trouvent dans une seule zone de disponibilité. Ce n'est donc qu'un exemple ici. Et oui, c'est pourquoi j'ai décidé de créer dans une seule zone de disponibilité, les sous-réseaux publics. Mais bien sûr, vous pouvez également créer dans toutes les zones de disponibilité de votre région. Sous-réseaux. est également importante La plage de verrouillage de configuration est également importante pour les sous-réseaux, un est 10024, et pour le sous-deux apporté, c'est 1001024. Passons à la console de gestion. Et nous allons ici au service VPC, puis nous sélectionnons les sous-réseaux. Comme vous pouvez le voir ici, nous avons déjà les sous-réseaux par défaut. Nous voulons créer un nouveau sous-réseau. Nous cliquons donc sur Créer un sous-réseau, puis nous sélectionnons l'ID du VPC. Dans notre cas, c'est large. Vous pouvez voir ici le sélecteur associé pour le VPC, c'est 100016. Ensuite, vous pouvez lui donner un nom, par exemple, fier sous-un tel que nous l'avons défini dans l'aperçu. Ensuite, nous pouvons dire que la zone de disponibilité est Test1. Vous pouvez ensuite définir ici le bloc CIDR pour le sous-réseau spécifique. Et dans notre cas, nous avons décidé d'opter pour 10024. Nous allons utiliser celui-ci. Et vous pouvez penser au nombre d'adresses IP disponibles. Si nous définissons ici les 24. Oui, et on peut dire ici que le nom est sous-un en tant que balise. Et nous allons également les balises alpha et Wyoming. Et ce n'est pas dans ce cas. Oui, on peut créer ici le sous-réseau. C'est le premier , puis nous pouvons revenir à la vue d'ensemble et le second sera le sous-deux Praat, et il y a le rocher 1001024. Reconstruisons également ce sous-réseau. Nous cliquons sur le bouton Créer des sous-réseaux. Ensuite, nous choisirons ici cette fière, puis nous le nommerons large cherchant également à attribuer à l'UE Ouest une zone de disponibilité. Et puis nous disons 1001024. Et bien sûr aussi l'homme blanc a apporté. Nous créons ce sous-réseau. Et si je supprime ici, ce filtre, alors vous pouvez le voir ici, je peux le commander un peu que nous ayons environ un et deux sous-réseau. Et ils sont affectés à notre VPC produit, que vous pouvez voir ici. Et nous avons ces deux blocs. Et la disponibilité maximale ou non, les micros disponibles apparaissent comme 251. Il est également important, comme vous pouvez le voir ici, que Fleck attribue automatiquement une adresse IP publique version quatre est définie sur non, et nous voulons modifier celle-ci. C'est pourquoi nous sélectionnons d' abord le sous-réseau Praat et accédons à Actions et modifions les paramètres du sous-réseau. Ensuite, vous pouvez sélectionner ici activé l' attribution automatique de l'adresse IP publique version quatre. C'est ce que nous voulons faire pour le sous-réseau, et nous voulons également le faire pour le sous-réseau Praat. Encore une fois, actions et modifiez les paramètres de sous-réseau, puis activez l'adresse IP publique d'attribution externe de la version quatre de l'adresse IP publique. C'est parce que nous voulons lancer dans les prochaines leçons les machines EC2 dans les deux sous-réseaux. Et bien sûr, nous voulons également atteindre les machines EC2 que nous pouvons examiner, ces deux machines, faire quelques pings et faire des trucs de réseau là-bas. Nous avons donc besoin d'une adresse IP publique , car sinon les instances ne sont pas accessibles. 19. Les instances EC2 du sous-réseau public: Dans cette leçon, nous allons créer des instances ec2 dans nos sous-réseaux publics. Et ici, vous pouvez voir un petit aperçu de ce que nous voulons faire. Nous avons donc les produits sur un sous-réseau et nous avons le processus jusqu'au sous-réseau. Ensuite, chacun des sous-réseaux, nous voulons créer une machine EC2. L'un est appelé EC2 apporté un et L1 est appelé EC2 apporté. Pour cela, nous voulons le faire, nous passons à notre console et nous sélectionnons le service EC2. Si vous ne pouvez pas le voir ici. Sous les services récemment visités, vous pouvez toujours rechercher le service et le sélectionner. Oui. Et comme vous pouvez le voir ici, aucune instance n' est actuellement en cours d'exécution. Et nous voulons lancer notre première machine EC2. Et nous pouvons y parvenir en cliquant ici sur le bouton Launch Instance. Et puis nous avons cherché un 12 parce que nous voulons juste tourner ne fera pas de machine basée. Oui, 2004 est bon pour nous. Nous le sélectionnons. Et ensuite, nous pouvons utiliser ici ce type de micro-instance T2 car il s'agit d' un niveau gratuit reliable. Ensuite, le suivant. Et ici, nous sélectionnons notre VPC de produit, et nous sélectionnons le premier dans nous east1-d. bien sûr, nous voulons modifier l'attribution de l'adresse IP publique car nous voulons atteindre cette instance depuis le Web mondial. Oui, je pense que tous les autres paramètres sont corrects pour l'instant. Nous pouvons ajouter du stockage, mais nous n'en avons pas besoin, nous n'avons pas besoin du stockage, donc c'est très bien d'avoir le stockage racine ici et ensuite nous pouvons ajouter des textes. Et d'habitude, j'assigne la technologie et le Wyoming, qui est fier dans ce cas. Je veux également lui donner un nom. Et cela a amené EC2 un. Ensuite, je configure le groupe de sécurité. Dans ce cas. Pour l'instant, je veux simplement utiliser le groupe de sécurité existant, car nous voulons simplement parler du sujet des groupes de sécurité plus tard, plus tard. C'est pourquoi, pour l'instant, il est normal d'utiliser le groupe de sécurité VPC par défaut. Ensuite, je clique sur Review and Launch, et je peux le lancer. Et puis je peux créer une nouvelle paire de clés car je veux me connecter à la machine EC2 puis à la fin via SSH. J'ai donc besoin d'une paire de clés, et c'est ce que je crée ici. Oui, je pense que comment je veux le nommer, je pense que C2 ou qu'est-ce qu'il a apporté ? Ec 2. Un par exemple. Ensuite, je peux télécharger cette paire de clés, puis lancer l'instance. Ensuite, je peux aller ici sur des instances. Et vous pouvez voir ici les dépenses de l'État. En attendant, nous pouvons créer les autres machines EC2. Nous cliquons à nouveau sur Launch Instance. Nous recherchons la plaie pour sélectionner à nouveau ce 200 pour l'utiliser, la micro instance ici, Configurer l'instance à, dans ce cas, nous sélectionnons également le tracé VPC un, mais maintenant nous pouvons tracer sous deux. L'adresse IP publique Alto San est également activée et le reste est correct. Et le stockage est également correct. Nous voulons ajouter à nouveau quelque chose de taxé, sorte que des hommes bruns sont amenés. Et bien sûr, nous voulons également lui donner un nom. Et dans ce cas, fier EC2 de configurer le groupe de sécurité, nous voulons également créer ou sélectionner le groupe de sécurité existant. C'est celui-là, révision et lancement. Lancement. Et dans ce cas, je dirais que nous pouvons simplement utiliser la paire de clés créée pour le C21. Parce que oui, pour l' instant, nous pouvons utiliser la même paire de clés pour se connecter à toutes les machines EC2 ici. Lancez ensuite l'instance, revenez à la vue d'ensemble de l'instance. Et puis vous pouvez voir ici que le premier est en cours d'exécution et le second est toujours en attente. Nous pouvons essayer de nous connecter maintenant à ce premier EC2, une seule machine. Et donc je peux simplement copier ici mon adresse IP publique, copier, et ensuite nous pouvons aller au terminal. Et si nous regardons ici notre dossier Téléchargements, ici, nous pouvons trouver notre fichier de clé privée. Cela a amené EC2 1. Tout d'abord, nous devons modifier les autorisations car elles sont plutôt erronées à ouvrir. Et nous le changeons à 060 et la foule EC2, 13h. C'est bon. Et puis nous pouvons essayer de connecter le fil est ce H avec la parabole SSH I. Et ensuite nous pouvons sélectionner notre clé privée. Parce que ce n'est pas celui par défaut qui se trouve dans notre dossier SSH à points. Ensuite, nous disons que nous voulons qu'il revienne car Ubuntu ne fera pas d'utilisateur. Et puis j'honore, désolé. Maintenant, je le copie à nouveau. C'est tout ce que je dois revenir à la console et copier nouveau l'adresse IP. Maintenant, nous pourrions travailler. Comme vous pouvez le constater maintenant, il n'est pas possible de se connecter à la machine EC2 à partir du Web mondial. Et pourquoi c'est le cas. Nous voulons parler de ce sujet dans les prochaines leçons. 20. Internet Gateway (IGW): Et maintenant, la première raison pour laquelle nous devons réfléchir à la raison pour laquelle nous ne pouvons pas nous connecter à nos machines EC2 est la passerelle Internet. Et qu'est-ce que la passerelle Internet ? La passerelle Internet est un composant VPC, une instance très évolutive horizontalement, redondante et hautement disponible. En fin de compte, AWS maintient ce service, cette passerelle Internet, et cela ne pose aucun risque en termes de disponibilité ou de limitation de bande passante. Et ce qu'il est important de savoir, il n'y a pas de coûts supplémentaires. Vous vous souvenez peut-être que nous l'avions déjà dans la présentation par défaut du VPC. Il s'agit d'une instance créée automatiquement pour le VPC par défaut. Et le but de cette passerelle Internet, comme son nom l'indique déjà, est que cette instance veille à ce que la connexion à Internet soit disponible. Donc, s'il n'y a pas de passerelle Internet pour votre VPC, vous n'avez certainement pas accès à Internet. Et pour créer cet accès Internet, vous devez d' abord créer la passerelle Internet, puis additionner routage et les tables de routage que nous obtiendrons, nous parlerons des tables de routage dans la prochaine leçon. Ici, vous pouvez voir le petit aperçu. Donc, notre statut actuel est que nous devons tracer des sous-réseaux publics et les deux sont deux machines. Et maintenant, nous ajoutons ici cette passerelle Internet. Par conséquent, nous pouvons passer à nouveau à la console de gestion, et maintenant nous devons passer au service VPC ici. Ensuite, vous pouvez voir ici, sur le côté gauche, les passerelles Internet. Actuellement, nous n'avons que la passerelle par défaut qui est affectée au VPC par défaut. Nous voulons créer une nouvelle passerelle Internet. Je vais appeler ça juste en imprimer un. Ensuite, je peux dire aussi que l' environnement est apporté. Ensuite, je peux simplement créer cette passerelle Internet. n'y a donc rien à dire à ce sujet. Et vous pouvez voir ici que notre statut actuel s'est détaché et qu'il n'y a pas d'ID VPC ici. En fin de compte, cela signifie que cette passerelle Internet n' est actuellement affectée à aucun VPC. C'est pourquoi je dois cliquer ici sur Actions, puis l' attacher à un VPC. Et puis je peux sélectionner ici le tracé d'un VPC et attacher la passerelle Internet au VPC. Et c'est tout ce que nous avons à faire ici dans cette leçon. Nous avons créé la passerelle Internet, et c'est notre porte d'entrée sur le Web mondial à partir de notre VPC. 21. Tableaux de route: Un autre concept important est le concept de table de routage. Comme vous pouvez le voir ici, nous avons créé nos sous-réseaux publics. Nous avons créé ces deux machines et nous avons créé la passerelle Internet ici. Nous ajoutons maintenant une table de routage. Et cette table de routage n'est essentiellement qu'une carte de configuration pour configurer le routeur. Et le routeur est livré par défaut avec tous les VPC. Par conséquent, si vous créez un VPC , un routeur est automatiquement créé ici. Et comme vous pouvez le voir ici, sur le côté gauche, une table de routage se compose principalement de ces deux colonnes. Et une colonne est la destination et une autre cible. Dans ce cas ici, cela signifie simplement que chaque trafic sera acheminé vers la passerelle Internet x, y, z. Si vous le souhaitez. Oui. Si vous souhaitez atteindre le niveau d' associé AWS Solutions Architect , ces règles sont très importantes. C'est donc là que nous des questions dans cet exome. Chaque sous-réseau est affecté à une table de routage exactement. Cela signifie que vous pouvez simplement attribuer une table de routage par sous-réseau, mais vous pouvez attribuer une table de routage à plusieurs sous-réseaux. Si vous vous en souvenez, nous avons cette table de routage principale qui est fournie par défaut avec VPC. Et celui-ci que vous pouvez attribuer à tous vos sous-réseaux. Mais bien sûr, vous pouvez également créer des tables de routage personnalisées. À l'aide de ces tables de rôles personnalisées, vous pouvez définir des paramètres plus détaillés. Par exemple, vous souhaitez distinguer les sous-réseaux privés des sous-réseaux publics. Et c'est la voie à suivre pour vous. Si vous le souhaitez, vous pouvez créer des tables de routage personnalisées. Nous voulons maintenant revenir à notre console de gestion. Et peut-être que vous êtes ici dans la section passerelle Internet et vous pouvez simplement sélectionner ici les tables de routage. Ensuite, vous pouvez voir que nous avons deux tables de routage principales, une pour le VPC par défaut et l'autre pour notre tracé autre que par défaut, l'une pour le VPC. Et je voulais juste sélectionner ici cet ID de table de routage à partir de notre VPC autre que par défaut. Et puis vous pouvez voir ici, nous avons les itinéraires, la table des itinéraires ici, la destination, la cible et le statut. Et en gros, nous n'avons qu'une seule règle ici. Et c'est la règle par défaut. Et chaque table de routage doit avoir un itinéraire local. Cela signifie ici que chaque instance créée dans notre VPC peut atteindre n'importe quelle autre machine EC2 ou toute autre instance de notre VPC. Ainsi, chaque ressource peut atteindre n'importe quelle autre ressource du VPC. Et c'est le principal bloc CIDR du VPC. Vous ne pouvez pas modifier cette règle. Par conséquent, si vous essayez de supprimer une règle locale, cela n'est pas possible. 22. Établir un accès internet: Et maintenant, nous voulons enfin établir l'accès à Internet. Ce qui manque pour accéder à notre machine EC2 à partir du Worldwide Web. Comme vous pouvez le voir ici, nous avons notre passerelle Internet. Nous avons pour routeur avec une table de routage. Et à l'intérieur de cette table de routage, nous n'avons qu'une seule règle. Et cette règle stipule que chaque trafic situé à l'intérieur de notre VPC est redirigé ici dans notre sous-réseau local. Chaque trafic local est autorisé. Ce que nous devons faire maintenant, c'est que nous devons ajouter un autre itinéraire et une autre règle qui dit que chaque trafic si 0000 barre oblique est redirigé vers notre passerelle Internet avec, car c'est notre instance qui assure la connexion à Internet. C'est ce que nous voulons faire. Par conséquent, je reviens à la console de gestion , puis je sélectionne la table de routage donnée ici. Comme vous pouvez le voir ici, nous avons le VPC Praat one, donc je sélectionne l'ID de table associé. Ensuite, nous avons ici les itinéraires. Et comme vous le savez déjà dans la leçon précédente, nous avons ici cette règle d' itinéraire unique, la règle locale, et nous voulons en ajouter une nouvelle ici. Nous allons dans Modifier les itinéraires et ajouter un itinéraire. Ensuite, nous disons chaque trafic et c'est 00000 barre oblique. Ensuite, je clique ici et la proposition est chaleureuse d'avoir une passerelle Internet. Et comme vous pouvez le constater ici, c'est notre passerelle Internet que nous avons créée auparavant. Nous utiliserons celui-ci. Oui, c'est tout. Il suffit de cliquer ici pour enregistrer les modifications. Vous pouvez ensuite voir que nous avons créé un autre itinéraire qui connecte toutes nos instances à la passerelle Internet. Oui. Et maintenant, nous devons nous assurer que cette table de routage est affectée à tous nos sous-réseaux. Nous avons donc nos deux machines EC2 dans les deux sous-réseaux, prot sub un et deux. Et si nous faisons défiler ici vers la droite, vous pouvez voir qu'il s'agit la même table de lignes pour les deux sous-réseaux. Et quand je sélectionne ceci, cet ID, puis je vais ici deux itinéraires, alors vous pouvez voir que c'est celui que nous, nous le modifions. Je pense donc que cela fonctionnera. Maintenant. Nous pouvons vérifier si nous sommes enfin en mesure d'accéder à la machine EC2, c'est pourquoi j' irai à nouveau sur la console EC2 et ensuite je copierai l'adresse IP. Ensuite, nous allons à nouveau au terminal. Ssh. Puis je pense qu'il a été appelé EC2, 13:00 PM, le fichier de clé privée. Et puis nous sommes nés pour ajouter l'adresse IP. Et de toute évidence, cela ne fonctionne pas. Alors, que pourrait-il être ? Oui, la raison pour laquelle cela ne fonctionne pas actuellement est un autre concept, appelé groupes de sécurité. Et je voudrais simplement le mentionner ici très prochainement, car nous aurons un chapitre distinct pour l'ensemble du sujet de la sécurité. Oui. Nous devons revenir à la minute à la console de gestion et revenir sur les machines EC2 ici. Et si nous sélectionnons cette machine EC2, il existe un onglet appelé sécurité. Et ici, vous pouvez voir ici un groupe de sécurité par défaut. Le groupe de sécurité, vous pouvez imaginer que c'est comme un pare-feu. Vous pouvez définir le trafic autorisé ici en tant que règle entrante. Et par défaut, nous avons ici cette règle qui autorise tout le trafic de tous les protocoles et de toutes les plages de ports. Mais la restriction ici est qu'elle autorise tout le trafic provenant d' instances appartenant au même groupe de sécurité. Donc, lors des références au même groupe de sécurité, et évidemment mon PC local ne fait pas partie de ce groupe de sécurité et c'est pourquoi cela ne fonctionne pas. Ce que nous devons faire ici, c'est que nous pouvons simplement cliquer ici sur Modifier les règles entrantes et ajouter une règle qui autorise le trafic SSH. Donc sur le port TCP 22, et nous disons que nous voulons autoriser les x de partout. Et bien sûr, vous pouvez également définir ici votre adresse IP statique si vous en avez une localement. Et puis, faites simplement cette barre oblique 32, et puis c'est votre adresse IP, puis elle est plus restreinte. Mais pour l'instant, il est normal d' attribuer tout le trafic ici à partir de SSH. Nous sauvegardons cette règle. Et puis nous pouvons voir ici, nous avons ajouté une autre règle en tant que règles entrantes. Et c'est le trafic SSH ici. Essayons encore une fois. Nous retournerons au terminal. Et puis j'ai recommencé ici. Comme vous pouvez le voir ici, je peux me connecter maintenant à ma machine EC2. C'est ainsi que cela fonctionne et nous avons parfaitement créé notre première connexion Internet à nos machines EC2. Donc, ce que nous avons fait jusqu'ici, nous avons créé un non-défaut. Nous voyons que nous avons créé deux sous-réseaux publics. Et dans chacun des sous-réseaux publics, nous avons lancé une instance EC2. Nous avons créé une passerelle Internet qui est attachée à notre VPC non par défaut et qui peut être utilisée pour tous les sous-réseaux, Insight one VPC. Ensuite, nous avons créé une table de routage qui nous permet de garantir que chaque trafic de partout puisse se connecter à notre passerelle Internet. Que la passerelle Internet puisse assurer le trafic vers le Web mondial. Ensuite, nous modifions simplement l'enchère, notre groupe de sécurité que nous obtenons l'autorisation d'accéder à nos machines EC2. Et c'est ainsi que cela fonctionne. Nous avons maintenant créé avec succès la connexion Internet. 23. Aperçu des sous-réseaux privés: Dans ce chapitre, nous voulons parler du sous-réseau à section, et il s'agit des sous-réseaux privés. Et juste un bref aperçu de notre situation actuelle, nous avons créé avec succès des sous-réseaux publics. Et chaque sous-réseau possède une machine EC2 qui fonctionne à l'intérieur de ce sous-réseau. Et l'accès Internet est disponible en raison des tables de routage ici, car chaque table de routage ici a un itinéraire vers la passerelle Internet. Dans ce cas, nous n' avons qu'une table de lignes, juste cette table de routage principale du VPC. Nous voulons maintenant basculer le sous-réseau public sub2 en sous-réseau privé. Et comme vous pouvez le constater ici, par défaut, il n'y a aucune différence entre les sous-réseaux publics et les sous-réseaux privés. La seule chose qui est différente sera la définition dans la table de routage. Donc, si vous créez un sous-réseau, vous ne pouvez pas décider s'il s' agit d'un sous-réseau public ou d'un sous-réseau privé ? Vous ne créez qu'un sous-réseau. Ensuite, vous pouvez décider en fonction des règles de cette table de routage. S'il s'agit d'un sous-réseau public d'un sous-réseau privé ou d'un sous-réseau VPN. 24. Adresses IP privées: Lorsque nous parlons de sous-réseaux privés , un concept clé très important est également le concept d'adresses IP privées. Voici un petit aperçu des choses les plus importantes que vous devez savoir sur les adresses IP privées. Les adresses IP privées ne sont pas accessibles via Internet. Le but ou l'objectif des adresses IP privées est qu'elles assurent la communication entre toutes vos instances au sein de votre VPC ou de votre sous-réseau. Lorsque vous démarrez une machine EC2, par exemple, vous ne spécifiez aucune adresse IP fixe, AWS attribue automatiquement une adresse IP disponible dans le poids de votre sous-réseau, dans la plage de votre sous-réseau. N'oubliez pas que cela est basé sur la configuration de votre bloc CIDR. Aws ne choisit qu'une seule adresse IP dans cette plage. Mais vous pouvez également, ou ce que vous pouvez également faire, c'est que vous pouvez spécifier votre adresse IP fixe pour cette machine EC2, mais elle doit également correspondre à votre plage de blocs CIDR. Ce qui est également possible, c'est que vous puissiez attribuer plusieurs adresses IP privées à une instance EC2. 25. Les bases de la passerelle NAT: Le dernier sujet dont nous devons parler avant de passer à la partie pratique est la passerelle NAT. Je veux donc vous donner un bref aperçu des bases d'une passerelle dite NAT. Qu'est-ce que la passerelle NAT ? Ce n'est pas une traduction d' adresse réseau, et cela signifie qu' il y a une traduction entre une adresse P. Dans ce cas, nous remplacons l'adresse IP source d'une instance, par exemple votre machine EC2 dans votre sous-réseau privé. Cette adresse IP est remplacée par l'adresse IP de la passerelle NAT. Cela fonctionne également dans l' inverse. Donc, si vous recevez du trafic, si vous en avez, la réponse du World Wide Web , l'adresse IP de la passerelle NAT est retraduite à votre adresse IP source. Et ce qui est également très important ici, c'est que si vous souhaitez créer une haute disponibilité, il devrait y avoir une passerelle non distincte dans chaque zone de disponibilité. Mais si vous ne voulez pas avoir HA ou si ce n'est pas une exigence , c'est bien sûr suffisant. Si vous créez simplement une passerelle NAT et que vous l'utilisez simplement pour toutes les raisons. De cette façon. Il existe deux types différents de passerelles NAT. L'un est public et l'autre est la passerelle NAT privée. La passerelle NAT publique fonctionne de cette façon que j'ai déjà expliqué. Il autorise donc le trafic sortant d' une instance placée dans un sous-réseau privé. Il traduit ensuite l'adresse IP en adresse IP de la passerelle NAT. Ensuite, le trafic peut aller sur le World Wide Web. La réponse peut également être redirigée vers l'instance EC2 elle-même, et les adresses IP sont retraduites. Pour y parvenir, nous le sommes, pour atteindre cette adresse IP élastique est nécessaire pour la passerelle NAT publique. Vous devez attribuer une adresse IP Elastic à votre passerelle NAT publique. Sinon, cela ne fonctionne pas. Oui. Ensuite, vous disposez de la passerelle NAT privée. Et la passerelle NAT privée fonctionne pour être différente. Vous n'avez donc pas besoin cette adresse IP élastique car la porte privée NOT, nous connectons simplement différents VPC ou d'autres réseaux locaux. Et vous êtes toujours dans votre privé et dans le Wyoming. Ce qui se passe ici, c'est simplement que les adresses IP privées de vos instances sont remplacées par les adresses IP privées de la passerelle NAT. Il n'est donc pas nécessaire d'avoir une adresse IP publique. Et je veux juste mentionner ici aussi les prix car dans ce cas la passerelle NAT nécessite des frais supplémentaires. Vous pouvez simplement Google tarification, pas passerelle. Et puis je pense qu'il est tarifaire toutes les heures et combien de trafic passe par cette passerelle NAT. Mais oui, les leçons apprises. Vous pouvez savoir si vous souhaitez obtenir des x à partir d' une machine EC2 privée, d'une instance privée dans un sous-réseau privé. Si vous souhaitez y avoir accès à Internet. Parce que, par exemple, vous souhaitez peut-être mettre à jour votre système d'exploitation ou quelque chose du genre. Ensuite, vous avez besoin d'une passerelle NAT. En raison de la passerelle Internet elle-même, la passerelle Internet peut simplement traduire des adresses IP publiques, mais pas des adresses IP privées. 26. Créer une passerelle NAT: Maintenant, c'est pratiquement ce que nous voulons faire. Nous voulons créer une passerelle NAT. Par conséquent, je reviens à ma console de gestion et je passe au service VPC. Et oui, maintenant vous pouvez trouver ici les passerelles NAT. Et comme vous pouvez le voir ici, nous avons une île non, pas une passerelle n'est actuellement disponible. Et c'est ce que nous voulons changer. Nous créons ici et non pas passerelle. Et disons, par exemple, le nom est proche. Ensuite, nous devons sélectionner un sous-réseau approprié pour cela. C'est ici, très important à comprendre. Nous avons besoin d'un sous-réseau public pour la passerelle NAT car elle peut simplement traduire les adresses IP de l' privé vers l'espace public, si c'est le cas, si elle est placée dans un sous-réseau public. C'est pourquoi nous devons nous assurer qu'il est public. Et parce que nous voulons modifier l'intrigue sous-deux en sous-réseau privé. Il ne reste plus que cette option pour mettre dans le sous-réseau sève one. Et comme vous pouvez le constater ici, nous avons les deux types de connectivité que nous avons déjà appris. Il existe donc un type de connectivité publique et privée. Nous voulons utiliser le public parce que nous voulons avoir un accès public à partir de nos instances privées. Ensuite, nous avons besoin d'une adresse IP élastique. Je peux donc dire ici, allouez-moi une adresse IP élastique et AWS l'alloue sous le capot dans votre compte ou, dans ce cas, à mon compte. Nous avons cela fonctionne très bien. Et puis il y a déjà ici, déjà une étiquette avec protonate. Et nous voulons simplement ajouter N Y, une balise principale, appelée prod. Et nous pouvons simplement créer cette passerelle NAT. Et c'est ça, c'est tout. C'est tout ce que nous devons faire. Si nous voulons créer une passerelle NAT, nous devons attendre un peu car l'état ici est en attente. Et si c'est fini, nous obtiendrons également une adresse IP privée. Et puis dans l'adresse IP Elastic ici. Ce que je voulais également mentionner, c'est qu'il existe également quelque chose appelé instance NAT. C'est une sorte d'héritage. Et c'est une autre option pour réaliser cette traduction d'adresses réseau. Dans ce cas, vous allez faire tourner une machine comme une machine EC2 avec des fonctionnalités de passerelle NAT. Et probablement, dans la plupart des cas, vous utiliserez simplement la passerelle NAT. Mais oui, parfois, si vous souhaitez effectuer des configurations complètes, certaines si vous souhaitez effectuer des configurations plus détaillées, vous pouvez peut-être envisager de lancer une instance NAT. Mais je pense que dans 95 % des cas, la passerelle NAT est la voie à suivre. 27. Sous-réseaux publics ou privés: Oui, et maintenant, nous voulons enfin traduire nos deuxièmes sous-réseaux publics en sous-réseau privé. Voici le petit aperçu. Nous voulons modifier ici cette table de routage. De cette façon le sous-réseau public de l'intrigue sous deux devient un sous-réseau privé. La première chose que nous devons faire est de créer une autre table de routage, car vous savez déjà que nous utilisons simplement la table de routage principale. Et la table de routage principale est utilisée pour chaque sous-réseau ici. Lorsque nous supprimons cette route de passerelle Internet ici , elle est également supprimée pour le sous-réseau public, et ce n'est pas ce que nous voulons faire. C'est pourquoi nous devons créer une autre table de routage. Et nous voulons le faire, mais avant de le faire, je vais simplement vous montrer que la connexion fonctionne actuellement pour la deuxième machine EC2. Cette machine EC2 se trouve donc actuellement dans notre deuxième sous-réseau public. C'est pourquoi je copie ici. Il s'agit d'une adresse IP associée. Puis je retourne au terminal et je dis SSH dish. La clé est appelée EC2 apportée, un fichier PEM. Et nous voulons nous connecter, voulons mettre fin à cette adresse IP. Comme vous pouvez le voir ici, cela fonctionne actuellement, donc je peux actuellement me connecter à la deuxième machine EC2 car elle se trouve toujours dans un sous-réseau public. C'est très bien. Je vais quitter ça ici et revenir à la console de gestion. Nous passons maintenant au service VPC. Ensuite, nous pourrons accéder aux tables de routage. Il n'y a que ces deux tables de routage principales pour les deux VPC. Et je veux créer ici une nouvelle table de routage qui s'appelle Proud Private One. Je souhaite sélectionner le VPC produit car cette table de routage est liée à notre VPC proton. Je vais attribuer ici la balise d'élément y et y, qui est également fière. Et je crée cette table de routage. Comme vous pouvez le voir ici, nous n'avons qu'un seul itinéraire ici, juste l'itinéraire local. Je l'ai déjà expliqué. Ce que nous devons faire maintenant, c'est que nous devons attribuer cette table de routage au deuxième sous-réseau ici. Par conséquent, nous sélectionnons simplement ici des sous-réseaux, puis accédons aux actions sous-deux et modifions l'association de table de routage. Ensuite, vous pouvez simplement sélectionner ici l'ID de la table de routage. Et nous ne voulons pas utiliser la table de lignes principales, nous voulons utiliser la table de routage privée Praat. Ensuite, ici les entrées qui se sont réduites juste à l' entrée locale ici. Et puis je peux dire « Sauver ». Maintenant, le deuxième sous-réseau présente une autre table de routage. Comme vous pouvez le voir ici, l' ID est différent de cet ID de table de routage de l' autre sous-réseau de notre VPC. Maintenant, nous pouvons vérifier cela. Nous pouvons retourner au terminal et essayer de nous connecter à nouveau. Et comme vous pouvez le voir ici, cela ne fonctionne plus car nous n'avons pas le fil de connexion, la passerelle Internet, c'est le, cette route est supprimée. C'est très bien. Cela fonctionne comme prévu. Et maintenant, nous pouvons ajouter ici. Nous pouvons revenir à la table de routage et à la table de routage privée. Maintenant, nous pouvons ajouter ici Internet, le truc de route de la passerelle NAT. Avant de vouloir le faire, nous pouvons jeter un coup d'œil ici, ce petit aperçu, comment cela fonctionne. Ce que nous voulons atteindre, que est que cette instance EC2 privée ait accès à Internet, mais le trafic provenant du World Wide Web n' a pas l' autorisation d'accéder à la machine C22 du produit. C'est pourquoi nous avons déjà créé cette passerelle NAT ici dans le sous-réseau public. Mais nous n' avons actuellement aucune connexion à cette passerelle NAT depuis les ressources privées de ce sous-réseau privé ici. C'est pourquoi nous devons définir un autre itinéraire dans cette table de routage privée, définie comme une barre oblique o vers la passerelle NAT, ce qui signifie que chaque trafic sera acheminé vers la passerelle NAT. Et puis cela fonctionne de cette façon. Vous avez votre instance EC2 ici, et il s'agit d'une instance privée. Et à l'aide de cet itinéraire, il peut se connecter via le routeur depuis le VPC à notre passerelle NAT. Et cette passerelle NAT se trouve ici à l'intérieur ou au VPC public de notre sous-réseau public. Désolé. Cela signifie qu'il peut utiliser cette entrée de route ici. Il possède une adresse IP, une adresse IP publique. Et à l'aide de cette adresse IP publique, il peut utiliser la route laquelle chaque trafic est redirigé vers la passerelle Internet. Il peut transmettre le trafic via le routeur à la passerelle Internet. Et via la passerelle Internet, il s'agit de x vers le Web mondial. Et c'est ainsi que cela fonctionne. Mais encore une fois, il fonctionne juste dans une direction et dans l'autre, juste avec les réponses. Cela signifie que l'instance EC2 peut demander certaines choses via Internet et qu'elle peut également récupérer les réponses. Mais personne ne peut atteindre cette machine EC2 depuis le Web mondial si la machine EC2 elle-même ne le veut pas. Donc, s'il n'y a pas de demande de la machine EC2 elle-même. C'est donc la théorie qui sous-tend cela. Et maintenant, nous pouvons enfin revenir à la console et ajouter ici cet itinéraire. Si vous allez modifier l' itinéraire sur l'itinéraire, et à nouveau les zéros 00. Ensuite, nous choisissons ici plutôt que la passerelle Internet, la passerelle NAT, nous avons ici notre tracé, pas une seule passerelle et sauvegardons les modifications. Et c'est ainsi que cela fonctionne. C'est tout ce que nous avons à faire pour l'instant. Quand nous retournons au terminal. Bien sûr, nous ne pouvons pas non plus nous connecter à notre machine EC2 car, comme nous l'avons déjà appris, ce n'est qu'une direction et nous ne pouvons pas demander maintenant notre machine EC2 privée et le sous-réseau privé. du World Wide Web. Mais c'est un comportement attendu. 28. Hôte de bastion: Oui. Maintenant, une fois l'étape manquante, nous voulons nous connecter à notre machine EC2 privée et à notre sous-réseau privé. Et nous voulons vérifier le fonctionnement de la connexion au Web mondial. Donc, au fond, nous voulions simplement faire un ping à Google pour nous assurer que nos paramètres sont corrects. Et pour ce faire, nous devons introduire un concept appelé bastion host. Et ce qui fait le mieux dans l'hôte, le mieux le sait, c'est juste vous pouvez imaginer comme un serveur public accessible depuis le Web mondial et qui a également les autorisations nécessaires pour se connecter le serveur privé. En fin de compte, si vous vous en souvenez, nous avons comme groupe de sécurité pour la machine EC2 publique et pour la machine EC2 privée à laquelle l'accès SSH est autorisé. Donc, c'est bon. Et également les tables de routage de chaque assureur de sous-réseau que chaque instance exécutée dans notre tracé un VPC peut se connecter à toutes les autres instances de ce VPC. Donc, ça devrait être très bien. Et ce que nous devons faire maintenant, c'est que je n' ai fourni ici que peu de commandement. Et il s'agit d'une commande qui fait essentiellement le tunneling IP. Tunnel portuaire, désolé. Oui, vous pouvez juste copier celui-ci ici. Ensuite, nous passons à notre terminal. J'ai déjà préparé ici juste le commandement. Et comme vous pouvez le voir ici, s'agit que de la commande copier de la diapositive. Nous devons remplacer ici cette adresse IP de ressource privée, et nous devons remplacer l'API hôte vétéran. Par conséquent, nous devons à nouveau passer à notre console de gestion. Allez au service EC2, puis notre machine de parcelle EC2 one. C'est notre hôte de bastion d'accessoires. Nous avons donc besoin de l'adresse IP publique. Et cela, dans ce cas, commence ici avec 54. Et je vais le copier. Ensuite, je reviendrai au terminal, puis je peux le coller ici. Et je le ferai également pour l'adresse IP privée. Revenons donc à la console de gestion. Et ensuite, je vais copier ici. Et l'important est que nous ayons ici l'adresse IP privée. Il doit donc s'agir de l'adresse IP privée, non de l'adresse IP publique, car la machine EC2 publique doit atteindre l'instance privée via la plage d'adresses IP privée. Oui, alors copiez ça ici, puis collez-le, et ensuite ça devrait fonctionner. Maintenant, ce que nous devons évidemment, c'est nos PEM car nous n'utilisons pas le fichier par défaut et notre dossier SSH à points. Oui, maintenant cela devrait fonctionner et comme vous pouvez le constater, l'empreinte digitale est requise, et maintenant nous sommes connectés sur notre machine publique. Comme vous pouvez le voir ici, il s'agit la machine EC2 publique car elle n'est pas égale à cette adresse IP ici, qui est l'adresse IP privée de la machine EC2 privée. Ce n'est que la première étape. Dans ce cas, nous avons maintenant mis en tunnel le port 22 de notre machine EC2 privée vers notre hôte local sur le port 20202020. Cette machine EC2 est donc maintenant disponible ici, ces 22 ports maintenant disponibles sur mon hôte local. Un autre port, 2222. Maintenant, je peux ouvrir un autre terminal où il est important que cela soit ouvert tout le temps. Vous ne pouvez donc pas fermer ce terminal ici car sinon vous fermerez également cette session. Ensuite, le port n'est pas envoyé en tunnel vers notre hôte local. Cela signifie que vous pouvez vous connecter à votre machine EC2 privée. Cela sera donc ouvert tout le temps ici. Ensuite, je peux simplement me connecter à ma machine EC2 privée et je le ferai avec SSH là-bas. Et puis nous remarquons le mauvais feu de camp. Nous utilisons les protéines c2, un fichier PEM. Ensuite, nous utilisons également l' utilisateur qui ne règle pas. Et maintenant, l'hôte local au lieu de l'adresse IP de la machine EC2 privée, car comme je l'ai déjà dit, il est mappé à notre hôte local. Et puis il suffit de spécifier ce port 2222 parce qu'il est assez défectueux car H utilise la puissance de 22. Mais c'est notre port local 22. C'est pourquoi nous devons le préciser ici. Et puis je viens d'exécuter cette commande. Empreinte digitale. Oui. Et maintenant, nous sommes sur notre machine EC2 privée et que vous pouvez vérifier en vérifiant ici cette adresse IP privée EC2. Et c'est dans ce cas 1001228. Nous pouvons également le vérifier dans notre console de gestion. Donc, si vous sélectionnez ici cet EC2 dans la machine et que vous regardez cette adresse IP privée ici, il s'agit en effet de l'adresse IP 1001228. Nous sommes donc sur notre machine. La dernière étape consiste à nous assurer que nos paramètres ne fonctionnent pas. C'est pourquoi nous exécutons simplement un petit ping vers Google par exemple. Et comme vous pouvez le voir ici, cela fonctionne parfaitement. Alors, qu'est-ce que nous avons fait ? Nous avons créé un sous-réseau public. Nous avons créé le sous-réseau privé et la table de routage a été modifiée. Nous ne pouvons donc pas avoir excès du Web mondial à notre machine EC2 privée, mais la machine EC2 peut avoir accès au Web mondial. Par exemple, si nous voulons installer juste une petite mise à jour sur cette machine EC2 privée, cela est possible avec le fil de guidage réseau, la passerelle NAT, mais ce n'est pas possible dans l' inverse. C'est donc là encore une étape importante. Et ce que nous devons faire maintenant, c'est simplement supprimer et arrêter toutes les ressources qui nécessitent des coûts supplémentaires. C'est pourquoi j'ai arrêté ici maintenant le service, puis je retourne à la console de gestion et puis je dis, je veux juste arrêter ici ces deux machines EC2 parce que nous en avons peut-être besoin. Ensuite, dans les conférences et les chapitres suivants. Ce que nous voulons également faire, c'est d'aller au service VPC. Nous voulons supprimer la passerelle NAT. Le voilà. Actions Supprimer, passerelle NAT, Supprimer. Et maintenant, vous pouvez voir ici que l'état est en train de supprimer. Ici, nous pouvons juste avoir un dernier aperçu, le tableau de bord du VPC. Et je pense qu'il n'y a pas d'autres ressources nécessitant des frais ou qui entraînent des coûts ou des coûts supplémentaires ? Non, je ne pense pas. J'ai presque oublié l'adresse IP Elastic. Si vous vous souvenez, lorsque nous avons créé notre passerelle NAT, nous avons également dû allouer une adresse IP élastique. Et cette adresse IP ne sera pas supprimée lorsque vous supprimez la passerelle NAT. C'est pourquoi je reviens au service EC2 ici. Et puis vous pouvez trouver sous Elastic IP adresse ici, sous le chapitre premier réseau et sécurité , Elastic IP address. Et je dois juste passer ici aux actions et ensuite je peux libérer l'adresse IP Elastic. Je vais le faire relâcher. Et ensuite, c'est également fait. 29. Groupes de sécurité: Dans ce chapitre, nous voulons parler de la sécurité. J'ai beaucoup réfléchi à la bonne façon de le faire. Placez le sujet de sécurité devant tout ce cours ou non ici. Mais j'ai ensuite décidé d'utiliser pour créer d'abord l'architecture VPC et tous les éléments fonctionnels et m'assurer que tout fonctionne. Et maintenant, nous pouvons ajouter la couche de sécurité. Voici un petit aperçu. abord, j'ai un indice pour vous, et l'indice se voit attribuer une priorité élevée à la sécurité dès le début. D'après mon expérience, vous vous perdez. Si vous ne commencez pas à ajouter la couche de sécurité dès le début, votre infrastructure ou votre architecture croît, augmente et se développe. Ensuite, vous arrivez au point où vous ne pouvez pas rattraper tout ce que vous avez manqué dans le passé. Juste comme indice. La sécurité, une priorité très élevée. Ensuite, vous devez utiliser deux types de sécurité différents dans le Cloud. La première est la sécurité du Cloud, et c'est la partie d'AWS dans ce cas. Ainsi, par exemple, AWS et les tâches liées aux pare-feu matériels que le Cloud est sécurisé ou qu'il fournit des serveurs redondants, quelque chose comme ça. Principalement au niveau matériel mais aussi au niveau logiciel. Ensuite, il y a la sécurité dans le Cloud et c'est l'utilisateur. Comme vous pouvez le voir ci-dessous. Vous pouvez augmenter le niveau de sécurité avec une aide, par exemple des listes de contrôle d'accès réseau. Vous pouvez utiliser des groupes de sécurité, vous pouvez utiliser des pare-feu. Et ces trois points ne sont essentiellement que quelques pare-feu logiciels. Au final. Vous pouvez également augmenter votre niveau de sécurité. Just Bye l'enroulage de votre VPC dans sous-réseaux appropriés et simplement en utilisant des sous-réseaux privés. Ainsi, chaque instance EC2 qui ne peut pas être atteinte par défaut depuis Worldwide Web n'a pas besoin d'une liste de contrôle d'accès ou quelque chose du genre car elle est séparée. Et bien sûr, vous avez besoin de groupes de sécurité et listes de contrôle d' accès pour d'autres raisons. Mais il s'agit d'un niveau de sécurité accru. Si vous créez ici des sous-réseaux appropriés. Et bien sûr, la surveillance est également une chose dans laquelle vous pouvez augmenter votre niveau de sécurité, car lorsque vous ne savez pas ce qui se passe dans votre VPC et votre sous-réseau, vous ne pouvez pas sécuriser votre sous-réseau. Il est également possible d' utiliser les autorisations IAM. Par exemple, il y a une chose avec notre utilisateur IAM. Nous avons créé un utilisateur IAM pour créer nos ressources VPC, ce qui est fortement recommandé. N'utilisez donc pas votre compte AWS principal pour cela. La dernière chose ici, c' est le chiffrement. Par exemple, vous avez la possibilité de chiffrer vos données en transit. Et il s'agit également une autre couche de sécurité que vous pouvez appliquer ici. C'est la petite introduction de la sécurité. Et la prochaine conférence, nous parlerons des listes de contrôle d'accès au réseau. 30. Liste de contrôle de l'accès au réseau (NACL): Dans cette conférence, nous voulons parler de listes de contrôle d'accès réseau appelées « knock-offs ». Qu'est-ce que le NaCl ? Nacl est une couche de sécurité supplémentaire et vous pouvez imaginer qu'elle fonctionne comme un pare-feu au niveau du sous-réseau. Et lorsque vous vous souvenez, par défaut, chaque VPC créé, dispose d'une liste de contrôle d' accès réseau principale qui autorise par défaut tout le trafic. Nous nous sommes donc dirigés vers le VPC par défaut et également vers le VPC non par défaut, nous avons créé uniquement le VPC, puis, par défaut, il y a eu un nœud et le trafic a également été interrompu. Mais vous pouvez également créer votre liste de contrôle d'accès réseau personnalisée et l'attribuer au sous-réseau de votre choix. Toutefois, lorsque vous créez une liste de contrôle d'accès réseau personnalisée , aucune règle n'est spécifiée. Cela signifie donc que vous devez autoriser explicitement le trafic. Sinon, chaque circulation est la nuit. Ce qu'il est très important de savoir ici, surtout si vous souhaitez certifier la liste de AWS Solutions Architect contrôle d' accès réseau associé est sans état. Qu'est-ce qui signifie ici qu'il est apatride ? Cela signifie que vous devez définir une règle entrante , puis une règle sortante pour réussir la transmission des données. Par exemple, si vous effectuez la demande et que vous définissez une règle entrante, cela fonctionne. Mais vous ne pouvez pas récupérer la réponse car vous n'avez aucune définition de la règle sortante. Et la liste de contrôle d'accès réseau n'est pas en mesure de se souvenir de qui a fait la demande. Cela signifie donc que vous devez également définir la règle sortante. n'y a pas de stockage, il n'y a pas d'état. est également important que l'ordre des règles soit important dans ce cas ici. Vous avez la possibilité de créer des règles allant de 1 à 32 766. AWS RECOMB vous recommande également de créer vos règles par incréments de dix. Par exemple, vous créez 10203040, des trucs comme ça. Et c'est parce que si vous le faites de cette façon, vous pouvez vous assurer que vous voulez ajouter des règles, puis un peu plus tard, vous avez la possibilité, alors vous avez la possibilité d' ajouter quelques règles au milieu. Sinon, vous devez ensuite restructurer l'ensemble du fichier de règles. est également très important qu' une règle au sein d'une telle liste de contrôle d'accès réseau puisse autoriser ou refuser le trafic. C'est une marche que nous voulons vérifier maintenant dans la console AWS, nous allons d'abord, nous voulons démarrer la machine EC2 dans le sous-réseau car nous voulons vérifier si cela fonctionne vraiment. C'est pourquoi je redémarre ici notre machine EC2. Et bien sûr, nous voulons utiliser la machine EC2 et le prod arrêter cela parce que nous voulons simplement nous connecter directement à cette machine. Nous ne voulons pas utiliser le meilleur et l'héberger. Donc, si je rafraîchis l'état ici, il est en attente. En attendant, nous pouvons accéder à notre service VPC. Ensuite, vous pouvez vous rendre ici pour accéder aux ACL réseau. Vous pouvez voir ici que nous n'avons toujours que les deux principales ACL réseau. Et nous voulons en créer un nouveau, appelé sous-réseau prod un car je veux l'attribuer au sous-réseau. Je sélectionne ici le VPC Praat one, puis je crée ici Tech et crée une ACL réseau. Vous pouvez maintenant voir ici qu'il n'est associé à aucun composant de sous-réseau. Nous avons un nouvel ID ACL et je peux cliquer ici, et vous pouvez voir par défaut que nous avons une règle entrante, qui est agréable tout le trafic et nous avons une règle sortante par défaut qui refuse également tout le trafic. Et ce que nous voulons réaliser, c'est que nous pouvons nous connecter à nouveau à notre machine EC2 lorsque nous utilisons ici cette ACL réseau. Et nous devons d'abord attribuer cette ACL réseau à notre sous-réseau de sous-réseau. C'est pourquoi nous pouvons simplement le sélectionner ici. Ensuite, allez dans Actions et modifiez l'association ACL réseau, puis nous la basculons ici sur le sous-réseau et en toute sécurité. Oui. Et maintenant, nous pouvons revenir à la section EC2 et peut-être qu'elle est en cours d'exécution. Oui, ça semble bien ici. Nous pouvons copier notre adresse IP ici , puis passer au terminal. Oui, maintenant nous pouvons faire ici et SSH avec E et utiliser à nouveau notre fichier PEM EC2 one, nous le voulons, et nous utilisons ici cette adresse IP Enter. Et nous voyons que cela ne fonctionne pas. Et nous nous attendions à ce comportement. Parce que lorsque nous revenons à notre service VPC, revenez à la liste ACL réseau. Nous pouvons voir que tout est refusé ici Nous devons donc ajouter des règles entrantes et sortantes pour garantir que ce trafic SSH atteindra notre machine EC2. La première chose que nous voulons faire ici, c'est que nous voulons modifier une règle entrante. Je vais lui attribuer le numéro dix ici et sélectionner SSH de partout. Et je veux l'autoriser ici dans la première étape, sauvegarder les modifications. Ensuite, je vais le vérifier à nouveau. Je retournerai au terminal de la console. Et comme vous pouvez le voir ici, cela ne fonctionne pas. Et c'est parce que nous ne pouvons pas récupérer la réponse de la machine EC2. Ici encore, dans la console AWS. Et maintenant, nous voulons ajouter également une règle sortante, modifier une règle sortante. Et j'ajoute également ici le numéro dix, ainsi que le trafic SSH de partout. Et je veux lui permettre de sauvegarder les modifications. Et nous retournons également à notre terminal. Et comme vous pouvez le voir ici, cela ne fonctionne pas non plus. Et pourquoi cela ne fonctionne pas. Il s'agit d'un comportement spécifique du protocole SSH, car le protocole SSH nécessite des plages de ports élevées lorsqu'il s'agit de réponses, cependant, nous devons définir pour les règles sortantes, plus les règles sortantes élevées parce qu'il choisit au hasard certains ports deux, renvoyez la réponse. C'est spécifique à SSH. Et c'est pourquoi je reviens ici aux règles sortantes. Et puis je dis, je veux modifier à nouveau la règle sortante, ne pas permettre tout comme son âge, je veux connaître tout le trafic. Ensuite, je peux enregistrer à nouveau mes modifications sur la console. Et maintenant, ça devrait fonctionner. Et comme vous pouvez le voir ici, cela fonctionne vraiment. Maintenant. Je vais quitter cette connexion. Ensuite, je vais vous montrer, ou je veux vous montrer comment l'ordre des fichiers fonctionne l'ordre des fichiers de règles ici. Dans ce cas, nous modifions à nouveau la règle entrante. Et maintenant, je peux dire que je veux ajouter une autre règle avec un numéro 20 et dire aussi SSH. Et je veux le nier. Et maintenant, vous pouvez réfléchir à ce qui va se passer maintenant. Est-il possible d'atteindre l'instance EC2 ou non avec cette configuration ici ? J'ai sauvegardé ce changement. Ensuite, je retourne à mon terminal. Et comme vous pouvez le voir ici, cela fonctionne donc je suis capable de me connecter à ma machine EC2. C'est pourquoi nous avons d' abord défini la règle d'autorisation. Cette règle ici n'a pas d'importance car l'ordre est important. Si nous passons à nouveau aux règles entrantes et disons que cette règle est par exemple, non ou t. et ce sera 30. Cela signifie que lorsque nous le commandons ici, nous refusons d'abord nos yeux en tant que trafic H, puis nous autorisons notre trafic SSH. Et lorsque nous allons à nouveau déterminer et vérifier la connexion, nous voyons que cela ne fonctionne pas. Il s'agit d'un comportement attendu. Nous avons modifié la commande ici. Et maintenant cette règle ici n'a pas d'importance car nous avons déjà défini que nous voulions refuser tout le trafic SSH ici. Oui, je veux dire, c' est comme ça que ça marche. C'est ainsi que fonctionne l'ensemble du personnel avec ACS réseau. Et le but est, par exemple, si vous voulez vous assurer de régler votre adresse IP à partir de votre meilleur ami hôte ou de votre PC local. Si vous possédez un service DNS ou quelque chose du genre, si vous possédez une adresse IP statique, vous pouvez, par exemple, ici pour constater que votre adresse IP barre oblique 32 est autorisée à accéder à votre réseau SSH de VPC pour exemple. Donc oui, vous avez un contrôle très détaillé ici car vous pouvez utiliser des adresses IP, des plages IP, et vous pouvez également définir un refus explicite ou une LLC. 31. Groupe de sécurité: Dans cette leçon, nous allons parler du groupe de sécurité. Qu'est-ce qu'un groupe de sécurité ? C'est aussi comme un pare-feu virtuel. Mais dans ce cas, nous opérons au niveau des ressources. Cela signifie que vous pouvez attribuer un groupe de sécurité, une machine EC2 par exemple. Et bien sûr, chaque VPC et chaque sous-réseau, la moitié d'un groupe de sécurité par défaut. Et ce qui est vraiment important c'est que les groupes de sécurité soient avec état. Cela signifie, par exemple, si vous effectuez une demande SSH à une machine EC2 , la réponse est également autorisée automatiquement. Vous pouvez donc imaginer qu'il y ait un peu de stockage au milieu et que le groupe de sécurité se souvienne de qui a demandé quelque chose et que la réponse est automatiquement chargée. Puis, à la fin. Pour les groupes de sécurité, nous ne pouvons définir que des affectations faibles. Ces deux énoncés sont également très importants pour l' associé Solutions Architect. Excellent. Les groupes de sécurité ont un état et seuls les attributions sont disponibles. Dans ce tableau, vous pouvez voir à nouveau la différence entre les groupes de sécurité et les listes de contrôle d'accès réseau. Comme nous l'avons déjà dit, pour le groupe de sécurité, il fonctionne au niveau de l'instance et prend en charge les règles d'autorisation. Il est avec état, ce qui signifie que le trafic de retour est automatiquement autorisé. Vous n'avez donc pas besoin de créer des règles sortantes supplémentaires si vous souhaitez simplement autoriser le trafic SSH entrant. les règles sont toutes évaluées avant qu'AWS décide d'autoriser ou de refuser le trafic ou de le refuser. Vous devez également attribuer explicitement le groupe de sécurité à l'instance. Donc, si c'est le problème, vous avez la liste de contrôle d'accès au réseau. Et le contrôle d'accès au réseau. Cela fonctionne au niveau du sous-réseau. Ici, comme nous l'avons déjà dit, vous autorisez des règles et niez les règles. Le NaCl est apatride et l'ordre compte la façon dont vous définissez vos règles. Donc, si vous vous souvenez quand vous créez certaines ou deux règles égales, mais une juste avec autorisation, une avec le naïf, alors c'est important, ce qui vient en premier. Et si vous attribuez cette liste de contrôle d'accès réseau à un sous-réseau ou à un VPC , elle est automatiquement appliquée à toutes les machines EC2 pour toutes les instances de ce sous-réseau ou de ce VPC. C'est la différence. Oui, faisons des choses pratiques. Je passerai à nouveau sur notre console. Et d'abord, je vais à nouveau au service VPC. Je vais vérifier comment cela fonctionne ici avec une liste ACL réseau car nous voulons nous assurer que nous autorisons tout le trafic pendant vos ACL réseau, que nous puissions vérifier la fonctionnalité des groupes de sécurité. C'est pourquoi je retourne ici sur les sous-réseaux. Et je pense que nous attribuons au sous-réseau notre liste de contrôle d'accès réseau personnalisée. C'est pourquoi je reviens ici pour Edit. Et puis je le remplacerai ici par la liste ACL par défaut. Que nous puissions nous assurer que tout le trafic est autorisé. Câblez ces ACL ici. Je vais donc ici, économise, puis je peux choisir ici les groupes de sécurité. Comme vous pouvez le voir ici, nous avons simplement commandé les groupes de sécurité par défaut pour les deux ou deux VPC. Et mon cas ici, je clique sur créer le groupe de sécurité, puis je peux lui donner un nom. Je le nomme également fier de sous-réseau un et d'un faible accès SSH, SSH. Ensuite, je peux m'asseoir ici, je veux l'utiliser avec un tracé VPC 1. Ensuite, je peux définir, par exemple, une règle SSH pour le protocole TCP et la plage de ports 22. Et puis je peux dire de partout ici et la description est SSH. Et je vais supprimer toutes les règles sortantes ici. fin de compte, nous n'avons qu' une seule règle entrante avec le trafic SSH autorisé. Créez le groupe de sécurité. Maintenant, je peux accéder à la console de gestion EC2 ici. Et nous avons lancé ici notre produit EC2 une machine que j'ai sélectionné. Cheville ici pour le groupe de sécurité. Et comme vous pouvez le voir ici, nous affectons ce groupe de sécurité par défaut. Nous voulons changer celle-ci. C'est pourquoi je vais ici pour agir en sécurité et changer les groupes de sécurité. Oui, je peux maintenant sélectionner ici notre groupe de sécurité sous-réseau un, le groupe de sécurité. Et je peux supprimer ici celui par défaut. Et comme vous le voyez déjà ici, vous pouvez également attribuer plusieurs groupes de sécurité à une seule machine. Dans ce cas. Dans notre cas, nous voulons simplement avoir ce groupe de sécurité obligataire de sous-réseaux. Je clique sur Enregistrer, puis je retourne au groupe de sécurité. Et comme vous pouvez le voir ici, elle a été modifiée par AWS, mais vous ne pouvez pas voir de règle entrante et je pense que c'est un dollar dans la console ici. Donc je le ferai, je vais me rafraîchir de ce côté et revenir à la sécurité. Et ensuite, vous pouvez voir ici notre règle entrante affichée ici. Et maintenant, nous pouvons vérifier si cela fonctionne vraiment. Je vais copier l' adresse IP publique de cette machine EC2. Ensuite, je retournerai à mon terminal. Je dis SSH dish, puis le fichier PEM et né à notre adresse IP. Comme vous pouvez le voir ici, il fonctionne parfaitement. Et juste pour s'assurer qu'il s' agit vraiment de cette règle SSH, nous pouvons également revenir ici au groupe de sécurité. Cliquez sur le groupe de sécurité et Modifier les règles entrantes, puis dites que nous voulons supprimer ici cette règle entrante et nous cliquons sur Enregistrer. Ensuite, il faut attendre quelques secondes qu'il se propage, je pense. Oui, en quelques secondes, mais probablement pas en temps réel. Oui. Maintenant, je reviens, quitte ici, puis je réessaie. Et comme vous pouvez le voir ici, cela ne fonctionne pas. C'était donc vraiment cette règle SSH entrante. Et aussi important, nous venons de définir une règle entrante. Nous venons donc de définir la règle SSH entrant et nous sommes en mesure de nous connecter à cette machine EC2. C'est pourquoi le groupe de sécurité est impeccable. Je me suis interrompu ici. Et oui, je pense que c'est presque ça. Et je veux juste mentionner ici une autre chose. Lorsque nous allons à nouveau dans Modifier les règles entrantes et la règle eta , nous pouvons également attribuer comme source un groupe de sécurité ici. Si vous vous en souvenez, nous l'avons également fait pour notre principal groupe de sécurité VPC pour le VPC autre que celui par défaut et également pour le VPC par défaut. Il y avait donc une règle selon laquelle tout le trafic était autorisé à Forum toutes les instances affectées au même groupe de sécurité. Mais oui, euh, je ne sais pas très bien quelle est la meilleure pratique ici. Certaines personnes l'utilisent et d'autres non. Je pense qu'il est très proche de la dépendance****, car par exemple, si vous créez un groupe de sécurité de base et que vous créez un autre groupe de sécurité. Et un autre groupe de sécurité est lié à ce groupe de sécurité de base. Et puis vous décidez, je veux supprimer ce groupe critique de base. Vous ne pouvez pas supprimer cela essentiellement le groupe avant l'autre groupe de sécurité. La règle assignée au groupe de sécurité n'est pas nécessaire . Et si vous faites cela dans de nombreux cas avec de nombreux groupes de sécurité, alors oui, vous êtes dans la colline des dépendances. C'est pourquoi, de ma personne avec quelques-uns, je suggère simplement, par exemple, créer un groupe de sécurité qui autorise le trafic SSH, par exemple, depuis, n'importe où ou depuis le VPC, à partir de toutes les adresses IP du sous-réseau VPC. Ensuite, vous pouvez simplement attribuer ce groupe de sécurité à la machine EC2. Ensuite, vous en créez un autre, par exemple, pour le port Postgres 5432. Ensuite, vous pouvez également attribuer cela à toutes les machines EC2 lesquelles une instance Postgres est en cours d'exécution. Par exemple. Je pense que c'est la meilleure approche, mais faites-moi savoir si vous avez une opinion là-dessus et faites-le tomber dans les commentaires. 32. Pare-feu de réseau: Pour être cohérent, je voudrais mentionner très prochainement dans cette leçon le pare-feu réseau. Le pare-feu réseau est l'état qui le fera, et il peut essentiellement filtrer le trafic d'un VPC, par exemple, le trafic vers ou depuis une passerelle Internet ou non une passerelle ou MPN est terminé. Et il utilise le système de prévention des intrusions open source, IPS, avec un nom. Cliquez donc sur hada. Fondamentalement, vous pouvez imaginer comme si c'était intelligent par un mur qui peut empêcher certaines sortes d'attaques. Et il s'agit d'une deuxième ou d'une troisième couche, d'une troisième couche de sécurité. Mais de mon point de vue, si vous le faites correctement avec tout ce que nous avons appris auparavant avec une liste de contrôle d'accès réseau avec les groupes de sécurité. Et si vous structurez votre VPC avec des sous-réseaux privés et des sous-réseaux publics et la moitié de toutes les instances importantes votre sous-réseau privé et quelques connexions au monde entier, expliquez pourquoi votre sous-réseau public. Cela est également très sécurisé, avez donc pas besoin de ce pare-feu réseau. Ensuite, cela entraîne également des coûts supplémentaires liés à AWS pour vous offrir une autre couche de sécurité. Et de mon point de vue, vous pouvez en considérer deux sur ce pare-feu réseau. En fin de compte, si vous avez vraiment besoin de cela, je voulais simplement mentionner que ce pare-feu réseau existe ici. Lorsque nous allons sur la console et le service VPC ici. Ensuite, vous pouvez trouver le pare-feu réseau ici, puis le pare-feu réseau. Mais nous n'avons pas d'excès actuellement avec notre utilisateur IAM car nous ne voulions pas créer ici ni créer une vie de pare-feu réseau. Je voulais simplement mentionner que des pare-feu réseau existent également ici dans la console VPC. 33. AWS VPC - Flux: Dans ce chapitre, nous voulons parler de surveillance. De mon point de vue, le suivi est également très étroitement lié au sujet de la sécurité. Parce que si vous ne pouvez pas surveiller ou si vous ne savez pas ce qui se passe dans votre VPC, dans votre sous-réseau, il est également difficile de faire du personnel de sécurité, ils sont très importants ici la surveillance est le service, les blocs de flux de service. Et ce que nos journaux de flux. Vous pouvez voir cette petite image ici, donc elle va bouger ma photo. Verrous de flux. Peut verrouiller tout le trafic entrant et sortant de votre VPC. Fondamentalement, il est basé sur le trafic qui est, qui vient d'une interface réseau ou d' une interface réseau. Et c'est ici, l'interface réseau Elastic. Et tels. Une interface réseau élastique est essentiellement, vous pouvez imaginer comme une carte réseau dans votre ordinateur matériel, donc chaque fois qu'AWS attribue une adresse IP à votre machine EC2, il y a un interface réseau élastique impliquée. Il s'agit du logiciel équivalent à votre carte réseau. Les journaux de flux peuvent vous aider à diagnostiquer et à surveiller le trafic. Et ce qui est important de savoir ici qu'il s'agit d'un service séparé et que cela n' affecte pas la bande passante sur la latence du trafic. C'est comme un observateur. Oups, désolé. Vous pouvez créer des journaux de flux pour l'ensemble de votre EPC, pour des sous-réseaux ou même pour des interfaces réseau individuelles. Ainsi, pour les interfaces réseau Elastic individuelles, est également important de savoir que les journaux de flux n' agissent pas en temps réel, il y a donc un peu de retard et où vous pouvez stocker vos journaux de flux. Il existe deux possibilités. Un est trois, ce qui vous permet de définir un compartiment S3 dans lequel les journaux de flux peuvent être stockés ou de les pousser vers CloudWatch. Et nous voulons le faire avec CloudWatch. Nous allons donc passer à notre partie pratique. Dans la console. Une fois encore. Je vais encore déplacer ma photo ici. Et maintenant, nous pouvons aller ici deux sous-réseaux pour désélectionner le sous-réseau Praat. Et c'est très important car nous voulons absorber et absorber le trafic de notre machine EC2 publique. Et notre machine EC2 publique est évidemment placée dans notre sous-réseau de produits . Et puis je peux aller ici pour faire circuler les bûches. Et j'en ai déjà créé un, donc je vais le supprimer rapidement. Ensuite, vous pouvez vous rendre ici pour créer un journal de flux. Comme vous pouvez le constater ici, il existe de nombreuses options. Le premier est le domaine que nous voulons appliquer. Vous pouvez décider, par exemple, que vous souhaitez simplement suivre tout le trafic accepté. Ou vous pouvez simplement suivre tout le trafic qui a été rejeté, ou bien filtrer tout le trafic. Dans ce cas, nous voulons utiliser uniquement tous les filtres et nous voulons utiliser ici l' agrégation d'une minute et le mur. Ensuite, nous pouvons décider quel lac de données nous voulons utiliser CloudWatch ou ce paquet. Dans notre cas, nous voulons utiliser la solution CloudWatch. Par conséquent, comme vous pouvez le voir ici, nous avons besoin d'un groupe de verrous de destination où nous pouvons écrire ou où nous pouvons pousser nos journaux de flux. Et nous avons bien sûr besoin d' un rôle IAM, car maintenant ce service de journal de flux agit comme un utilisateur. Le service lui-même a donc besoin des autorisations nécessaires pour transférer les journaux de flux dans notre grand groupe dans un flux de verrouillage. C'est pourquoi nous devons d'abord créer ce groupe de journaux et créer ce rôle IAM ici. C'est pourquoi je recherche CloudWatch ici. Accédez au service CloudWatch, puis verrouillez les groupes. Et je crée ici un nouveau groupe de journaux. Je vais le nommer sous-réseau un, serrures basses. Et oui, je vais attribuer ici une période de rétention de sept jours. Vous ne pouvez pas le faire, mais pour vous, ce n'est pas vraiment nécessaire. Cela signifie simplement qu'il stocke les verrous des sept derniers jours , puis qu'il supprime tous les verrous plus de sept jours. Oui. Ensuite, je peux créer ici ce groupe de journaux. Ensuite, nous avons terminé notre première partie. Ensuite. Je peux accéder au service IAM, puis nous devons créer une stratégie et le rôle que nous pouvons attribuer à la fin au service de journal de flux. Par conséquent, je modifie ici pour vous dans les diapositives, l'URL, afin que vous puissiez simplement la copier, copier et la coller dans votre navigateur. Ensuite, vous venez sur ce site, publiez des journaux de flux dans CloudWatch logs. Ensuite, nous avons besoin de cette politique IAM. Cette stratégie IAM signifie qu'il s'agit d'une stratégie qui permet à chaque ressource de créer un grand groupe, créer un flux de journaux et de placer également des événements de verrouillage dans les flux. C'est ce que nous voulons faire. Nous avons donc copié celui-ci ici. Retournez à la console de gestion et nous allons créer une stratégie. D'abord. Créez cette stratégie. Ensuite, choisissez ici Jason et nous, puis nous pouvons simplement coller nos contenus JSON ici dans les deux textes suivants. Je n'ajouterai aucune technologie pour l'instant. Ensuite, nous pourrons lui donner un nom. Ainsi, par exemple, les produits se verrouillent, créent la stratégie. Ensuite, cela prend un peu de temps. Et comme vous pouvez le constater ici, la stratégie fière de Flow Logs a été créée. Maintenant, si vous vous en souvenez, nous avons besoin d'un rôle IAM pour que nous puissions attribuer à nos journaux de flux. Nous créons donc ici un rôle, créons la ligne. Ensuite, nous choisissons ici la politique de confiance personnalisée. Revenez à la documentation AWS ici, puis nous pouvons copier la deuxième déclaration. Va par ici et je peux le coller. Et qu'est-ce que cela signifie ici ? Cela signifie simplement que nous attribuons au rôle que seul le service VPC Flow Logs peut utiliser ce rôle. Il s'agit là d'une autre restriction de sécurité. Et je peux cliquer ici sur Suivant. Ensuite, je peux ajouter les stratégies et nous avons juste besoin de notre stratégie de journaux de flux prot créée. Je vais donc le sélectionner ici. Ensuite, je peux passer le bouton suivant. Et je lui donne aussi un nom, apporté un rôle de blocs bas. Je peux ensuite créer ce rôle ici. Maintenant, le rôle Prot Flow Logs a été créé avec succès. Nous pouvons utiliser cette ligne maintenant. Joli. Nous pouvons donc revenir à notre service VPC. C'est celui-ci ici, inclinez BAC deux sous-réseaux, puis nous sélectionnons le sous-réseau ici, puis les journaux de flux. Créez un journal de flux. Et maintenant, nous pouvons le nommer, par exemple, un sous-réseau, un coup ou toute l'agrégation dans CloudWatch Logs d'une minute. Et puis je peux choisir ici maintenant sont des produits créés à un seul flux. Groupe de verrouillage. Et je peux choisir le rôle de verrouillage de flux de tracé de rôle IAM. Cela signifie que les journaux de flux de service ont désormais le fil de x, ce rôle IAM permettant de créer des flux Fox dans le groupe de journaux afin de placer également les événements de journal dans ce flux de journaux. La dernière sélection ici consiste à décider si vous souhaitez disposer d'un format AWS par défaut pour les flux de blocs ou le format personnalisé. Oui, au final, c'est juste une formule personnalisée que vous pouvez utiliser. Mais pour l'instant, le format par défaut d'AWS est correct. Ensuite, nous pourrons ajouter de la technologie. Et pourquoi suis-je fier ? Je peux créer le prologue. Et comme vous pouvez le voir ici, notre journal de flux a été créé avec succès. Il a une pièce d'identité. Le filtre est tout. Cloudwatch Logs est le type de destination. Et ici, vous pouvez également voir la destination, qui est le groupe CloudWatch Log. Ensuite, nous pouvons pousser du trafic vers notre sous-réseau. Et c'est ce que nous voulons faire avec l'aide de nos fières machines EC2. C'est pourquoi je reviens à la console EC2. Ensuite, je peux copier ici notre adresse IP publique, celle-ci. Et puis je peux retourner au terminal et commander SH le fichier PEM de mon client. Et nous ne ferons pas cette adresse IP. Et comme vous pouvez le voir ici, cela ne fonctionne pas. Pourquoi cela ne fonctionne pas ? Parce que nous devons ajouter à nouveau la règle SSH dans le groupe de sécurité. Si vous vous en souvenez, nous l'avons supprimé. La fin de la section groupe de sécurité. Il n'y a pas de règle à afficher ici. Et c'est pourquoi nous devons revenir ici au fière sous-réseau du groupe de sécurité. Je vais aller dans Modifier la règle entrante, puis nous devons ajouter à nouveau cette règle SSH de partout où la description est h. et enregistrer cette règle. Maintenant, nous pouvons retourner au terminal. Je vais l'interrompre à nouveau ici. Et puis nous y voilà. Nous sommes sur la machine EC2 et je peux faire deux ou trois fois que vous vous connectez juste pour créer du trafic. Oui, c'est comme ça que ça marche. Et maintenant, nous pouvons revenir à notre service VPC. Et quelque chose qui est encore un sous-réseau large est celui-ci ici, les journaux de flux, puis nous pouvons accéder au service CloudWatch vers le groupe de journaux. Et comme vous pouvez le voir ici, nous avons déjà un flux de journaux créé automatiquement par l'un ou l'autre des services de journaux de flux. Je peux aller ici et comme vous pouvez le voir ici, nous avons du trafic. Je pense que cette adresse IP commençant par 79 est actuellement mon adresse IP. Et c'est ainsi que cela fonctionne. Bien sûr. Maintenant, vous pouvez dire que je veux créer des métriques ici dans CloudWatch. Et si un événement spécial se produit , je veux faire beaucoup d'alarme. Mais oui, c'est encore un autre sujet, tout le contenu de CloudWatch. Je vais peut-être aussi créer un cours distinct pour cela. Mais je pense que c'est suffisant pour l'instant parce que c'est là les connaissances de base. Et oui, c'est tout pour la section Flow Logs. Ce que j'ai oublié de dire, c'est que si vous êtes prêt, vous pouvez supprimer vos journaux de flux et votre groupe CloudWatch Log et même votre rôle IAM dans la stratégie que nous avons créée. Mais seuls les journaux de flux coûtent de l'argent supplémentaire. Ce n'est pas grave si vous quittez votre rôle IAM là. 34. Les points de fin de l'interface: Nous voulons maintenant parler du sujet de connectivité, et en particulier dans ce cas ici des points de terminaison VPC. Ce que nos terminaux VPC en fin de compte, ils résolvent le problème suivant. Imaginez donc que vous ayez votre machine EC2 dans votre sous-réseau privé. Et le sous-réseau privé n'a pas de passerelle NAT ni connexion à la passerelle Internet via cette passerelle NAT. Mais vous avez besoin, par exemple, sur vos machines EC2, de données de S3. Et si vous vous souvenez bien, j'ai dit au début de ce cours que certains services AWS mondiaux sont gérés dans différents VPC et que vous ne pouvez pas décider de mettre ces trois compartiments, par exemple, dans votre VPC privé. Il ne s'agit donc que d'une référence à un autre espace de noms du côté AWS. C'est précisément pour cette raison que nous devons utiliser des points de terminaison VPC. Dans ce cas, nous voulons nous connecter depuis notre machine EC2 , privée, à un autre VPC géré par AWS. Et nous ne voulons pas utiliser le Web mondial pour cela. C'est important. Si nous voulons le faire ici avec une machine EC2 publique, ce n'est pas un problème car la machine EC2 publique peut, par exemple, des x qui ont trois points de terminaison via le World Wide Web. Il n'a donc pas besoin de tunnel privé pour cela. Mais bien sûr, il est préférable acheminer votre trafic à l'intérieur d'AWS, dans le cloud AWS, car il est beaucoup plus sûr. De toute évidence. Je pense que c'est le cas. Il réduit également les coûts car le trafic n'est pas en dehors de votre VPC ou du cloud AWS, mais reste dans le cloud lui-même. Le premier sujet concerne les points de terminaison de l'interface. Et les points de terminaison de l'interface. Il s'agit d'un type de points de terminaison que vous pouvez configurer ici dans le cloud AWS. Et il y a deux points de terminaison les plus importants. L'un est le point de terminaison de l'interface et l'autre est la passerelle. Le point de terminaison de la passerelle, qui vient ensuite. Quel est donc le point de terminaison de l'interface ? Lorsque vous créez un point de terminaison d' interface, vous créez essentiellement une interface réseau Elastic. Et cela est géré par un service AWS , appelé lien privé AWS. Mais oui, vous n'avez pas à vous en occuper. Vous pouvez juste oui. Je voulais simplement mentionner qu'il s' appelle AWS Private Link. Mais ce service crée pour vous sous le capot et l'interface réseau élastique. Et cette interface réseau élastique que vous pouvez ensuite utiliser pour fournir cette connexion à partir de votre sous-réseau privé aux services globaux tels que trois ou SQS ou quelque chose du genre. Et bien sûr, parce que nous ajoutons ici un matériel supplémentaire, dans ce cas, cette interface réseau élastique. Il y a des frais supplémentaires pour cela et vous pouvez les consulter ici sous ce lien. Combien cela coûtera pour vous. Nous voulons créer maintenant ce point de terminaison d'interface et nous voulons nous connecter depuis notre machine EC2 privée au service S3. Dans notre cas, nous voulons simplement lister les godets S3. Et surtout dans mon cas, je n'ai pas de godets S3 en Irlande. C'est pourquoi je m' attends à une liste vide. Oui, je passe au bord du VPC ici et je vais aux sous-réseaux. La première chose que nous pouvons vérifier, nous vous sélectionnons le sous-réseau SAP Praat vers sous-réseau. Ensuite, je vais mettre à la table des itinéraires ici. Et comme vous pouvez le voir ici, nous avons notre itinéraire local et nous avons toujours la route de la passerelle NAT ici, car elle n'a pas été supprimée automatiquement. Je peux donc me rendre ici pour modifier l' itinéraire et la table de routage. Non, c'est relatable, désolé, désolé. Je dois sélectionner ici cette table de routage elle-même. Puis les itinéraires, puis ici il y a des itinéraires. Et comme vous pouvez le voir ici, il s'agit d'un trou noir car cette passerelle NAT n'existe plus. Je peux donc aller ici à Edit et ensuite I. Vous pouvez simplement supprimer cette ligne ici. Cela signifie que dans notre cas, nous n' avons plus d'accès à Internet. Seules les ressources, seules les autres instances EC2 qui se trouvent dans le même sous-réseau et le même VPC peuvent atteindre cette machine EC2. Maintenant, nous voulons nous connecter à nouveau via le meilleur câble de votre hôte, la machine EC2 séparée et notre sous-réseau public à notre machine privée. C'est pourquoi je passe au service EC2. Je dois d'abord démarrer la deuxième machine EC2 ici. Je vais donc ici à l'état de l'instance et au démarrage de l'instance. Ensuite, il faut un certain temps avant que cet état de l' instance soit en cours d'exécution. Mais entre-temps, nous pouvons préparer le commandement à tunnel de nos ports. Vous pouvez donc revenir à la diapositive où je vous ai présenté le meilleur concept et l'hôte. Et vous pouvez simplement copier cette commande à nouveau. Je vais aller au terminal et ensuite je copierai exactement cette commande, la coller ici. Nous devons maintenant remplir à nouveau nos adresses IP. Le premier est l'IP des ressources privées. C'est donc celui de notre instance privée. C'est celui-ci ici, l'EC2 pour usiner. Et je peux simplement copier ici l'adresse IP privée version quatre. Copiez, retournez au terminal, collez-le ici, puis nous n'avons besoin que de l'adresse IP de l'hôte bastion. Donc, l'API, l'IP publique de notre fière instance EC2 one, voici celle-ci ici. Je peux cliquer ici et copier l'adresse IP publique version quatre. Oui. Et puis, bien sûr, nous avons besoin de notre fichier PEM. C'est ainsi que cela fonctionne ici. Ensuite, je peux me connecter à mon instance. Oui. Nous sommes donc maintenant sur notre hôte bastion et nous avons tunnelisé le port 2220 pour être transféré en tunnel de la partie 22 de notre instance privée au port 2322 de notre machine locale. Et maintenant, nous devons nous connecter à l'instance privée. Et c'est pourquoi je vais ici. Ensuite, j'utilise à nouveau ou le fichier PEM. Ensuite, je me connecte pour vouloir un hôte local. Et le port est évidemment la partie 2 mille. Oui. Maintenant, je peux cliquer ici sur Accepter. Et comme vous pouvez le constater, cela ne fonctionne pas. Et maintenant, vous pouvez arrêter la vidéo et réfléchir à la raison pour laquelle elle ne fonctionne pas. Donc, en guise de petit indice, il y a des possibilités pour lesquelles cela ne fonctionne pas. Par exemple, tout le matériel de sécurité. Ainsi, les listes de contrôle d'accès ou les groupes de sécurité, ou également la configuration du sous-réseau sur la configuration du VPC elle-même. La raison pour laquelle cela ne fonctionne pas est lorsque nous revenons ici à la machine EC2. Donc, à notre, à la première machine, désolé. Là, nous allons ici à l'EC2, une machine ici, la sécurité. Et comme vous pouvez le voir ici, nous n'avons qu'une seule règle entrante qui autorise l'accès SSH. Mais ce que nous voulons faire maintenant, c'est que nous sommes déjà dans la meilleure salle de divertissement. Nous sommes déjà sur cette machine ici. Et nous voulons avoir du trafic sortant car nous faisons la demande SSH à la machine EC2. Il s'agit donc du trafic sortant de cette machine EC2, de la machine EC2 one à la machine EC2. C'est pourquoi nous avons besoin ici des règles sortantes. C'est un bon cas d'utilisation ici pour vous expliquer pourquoi nous avons besoin de règles sortantes dans la section groupe de sécurité. Donc, si nous demandons au World Wide Web cette machine EC2 , la règle entrante ici est suffisante. Mais lorsque nous allons plus loin, nous voulons faire la demande du meilleur hôte vers une autre machine EC2 ou vers une autre cible, puis nous devons utiliser les règles sortantes. C'est pourquoi j'ai choisi le groupe de sécurité ici. Et puis je vais dans Modifier les règles entrantes, non, règle entrante, désolé. Les règles sortantes, bien sûr, modifient les règles sortantes et ensuite je peux sélectionner ici ce H et de partout et peut-être apporter description SSH et sécuriser la pièce. Maintenant, cela devrait fonctionner. Ensuite. Je peux réessayer. Et maintenant, nous savons que nous obtenons une petite erreur d'empreinte digitale. J'ai donc aidé à accéder à mon dossier SSH et ensuite il peut jeter un coup d'œil dans mon fichier d'hôtes connu. Et je pense qu'il y a une entrée ici, c'est un hôte local. Je vais supprimer celui-ci. Ensuite, je reviendrai aux téléchargements. Ensuite, je lancerai encore cette commande ici. Et maintenant, ça devrait fonctionner. Maintenant, nous sommes sur notre machine. Quelle est la prochaine chose que nous devons faire ? Nous voulons installer l' AWS CLI sur cette machine. Et pourquoi nous voulons le faire. Si vous vous en souvenez, nous voulons nous connecter à trois et nous voulons nous connecter à SQL via des points de terminaison. Pourquoi sommes-nous des points de terminaison EPC ? Et il existe de nombreuses possibilités de le faire. Vous pouvez, par exemple, rechercher les points de terminaison de l'API, puis exécuter les commandes curl post par exemple, ou couper ou obtenir des commandes. Et oui, il suffit de faire la demande aux points de terminaison de l'API. Mais oui, de mon point de vue, il est beaucoup plus facile à utiliser, seulement l'AWS CLI et l'AWS CLI sous le capot utilisent également les points de terminaison de l'API. Oui, c'est pourquoi je veux installer ici aussi sur cette machine l'AWS CLI et nous l'avons déjà fait sur notre machine locale, donc peut-être pas de problème. Tout d'abord, je souhaite mettre à jour ma machine. Et comme vous pouvez le constater ici, la mise à jour ne fonctionne pas. Une fois encore. Vous pouvez arrêter la vidéo et y réfléchir. Pourquoi cette application à mettre à jour ne fonctionne pas. Je me suis interrompu ici. Il s'agit maintenant d'un problème de réseau car dans notre ancienne table, il n'y a qu'une seule règle. Et juste le trafic à l'intérieur de mon sous-réseau, à l'intérieur de mon VPC est autorisé ici. n'y a donc pas de connexion à Internet car nous avons également supprimé notre passerelle NAT. Le meilleur moyen ou le plus sûr est donc créer à nouveau la passerelle NAT, puis de créer à nouveau la règle de table de routage. Ensuite, nous pouvons mettre à jour et installer l'interface de ligne de commande. Ensuite, nous pouvons supprimer la règle et la table de routage. Ensuite, nous pouvons également supprimer la passerelle NAT et l'IP Elastic, qui est créée avec la passerelle NAT. Mais c'est trop compliqué pour moi maintenant parce que je veux juste vous montrer comment cela fonctionne. C'est pourquoi j'ai choisi le moyen le plus simple. Et quel est le moyen le plus simple ? Le moyen le plus simple consiste simplement à revenir au service VPC. Et je sélectionne le sous-réseau et le processus jusqu'ici. Et puis je viens de faire la table de routage, et j'utilise ici la table de routage principale. Et avec cela ici, je repasse le sous-réseau privé au sous-réseau public. Comme vous pouvez le voir ici, nous avons à nouveau cette table de routage de passerelle Internet, ici, cette règle. C'est pourquoi nous avons accès à Internet. Je peux revenir en arrière et ensuite je peux faire avec la mise à jour ici. Et maintenant, ça fonctionne. C'est très bien. Et puis je peux, si c'est prêt ici, je peux installer l'AWS CLI. Tout à fait cette commande ici, sudo apt installe l'AWS CLI. Je vais donc l'installer, oui. Ensuite, il faut attendre un peu. Et lorsque ce processus d'installation est terminé, nous pouvons changer de table de routage à nouveau. C'était juste intimidé ici, juste pour installer l'AWS CLI. Maintenant, c'est fini. Je retournerai ici et ensuite j' assignerai à nouveau la table de route privée et privée. Et quand je refais une mise à jour, ça ne fonctionne pas. C'est donc à nouveau en mode privé. Oui. Et maintenant, il existe un autre concept, comment nous pouvons acheminer les x vers nos ressources AWS. Et si vous vous en souvenez, nous avons établi nos informations d'identification lorsque nous les avons installées sur notre machine locale. Nous y avons créé la clé d'accès AWS et la clé secrète. Nous avons donc configuré AWS lorsque nous avons installé l'AWS CLI sur notre machine locale. C'est l'une des approches que vous pouvez faire. Mais le meilleur moyen consiste à attribuer à votre machine EC2 et à votre rôle IAM. Ce rôle IAM donne à la machine EC2, les autorisations de connexion à trois ou deux SQS ou autre. C'est le meilleur moyen. C'est pourquoi nous allons maintenant créer un rôle IAM pour ce faire. Si vous n'êtes pas familier avec moi. C'est la même chose. Nous avons également suivi les journaux de flux. Les journaux de flux étaient également un service et nous devons attacher une stratégie IAM selon laquelle les journaux de flux peuvent transmettre les flux de journaux vers CloudWatch. Ce n'est donc qu'une autorisation. Par conséquent, je vais ici à l'objet. Ensuite, je dis ici que je veux aller à l'objet. Je veux créer ici un rôle. C'est pourquoi je peux créer ici une ligne. Et nous utilisons le service AWS ici. Nous n'avons pas à utiliser, dans ce cas, la politique de confiance personnalisée car AWS a déjà préparé pour vous ici. Les cas d'utilisation courants et un cas d'utilisation très, très courant comme EC2. C'est pourquoi nous pouvons le sélectionner ici avec une boîte radio. Ensuite, je clique ici sur Next. Ensuite, je dois joindre les autorisations via les stratégies ici. Et je viens de chercher ici trois et joindre un accès complet à Amazon S3. Et puis je recherche à nouveau, ou SQS. Ensuite, je sélectionne toute la politique d'accès complet d'Amazon SQS. Ensuite, je clique sur Suivant. Et puis je veux lui donner un nom, dans ce cas, fier EC2, T2 car nous voulons attribuer cette politique à la deuxième machine EC2. Et comme vous pouvez le voir ici, AWS modifie automatiquement ici cette entité de confiance, EC2. Et maintenant, je peux cliquer sur Créer un rôle et créer le rôle. Et c'est un succès. Nous pouvons maintenant utiliser ce rôle IAM ici. C'est pourquoi nous pouvons revenir à la machine EC2. Et puis nous pouvons assigner à cette machine EC2 ici je clique ici. Et les actions et la sécurité modifient le rôle IAM. Et puis je peux assigner ici cela a amené EC2 au rôle IAM et enregistrer. Nous sommes maintenant parvenus à ce que notre interface de ligne de commande AWS, qui entoure cette machine EC2 privée, dispose des autorisations nécessaires pour accéder à S3 et SQS. Il s'agit donc d'une autre approche que celle d' un plan d'identification, comme la clé d'accès et la clé secrète excédentaire. Oui. Je retourne ici au terminal. Et maintenant, je veux essayer, par exemple, de demander ici les listes SQS. En d'autres termes, je veux simplement recevoir une liste des files d'attente SQS qui existent actuellement dans ma région. Je dois passer ici pour en gaspiller un. Je dois sélectionner une région ici. Je peux exécuter cette commande, et comme vous pouvez le voir ici, cela ne fonctionne pas. Et oui, ce n'est pas une surprise car nous n'avons qu'une seule route, la règle d'itinéraire Signal, ce qui signifie que seules les ressources de notre sous-réseau privé dans le VPC peuvent s'atteindre unes les autres et il n'y a pas d'accès Internet actuellement. Nous voulons maintenant créer le point de terminaison de l'interface. Et par conséquent, nous retournons ici sur VPC, sélectionnons le service VPC et nous allons ici deux points de terminaison. Maintenant, nous pouvons créer un point de terminaison, nommerons le terminal fier SQS pour l'instant et le service AWS, c'est le cas. Ensuite, je peux chercher SQS ici. Et je sélectionne le nom du service. Vous n'étiez qu'un seul SQS. Ensuite, je peux cliquer ici sur cette boîte radio. Et comme vous pouvez le voir ici, il s'agit d'un type d'interface. Ensuite, je dois sélectionner le VPC. Ensuite, j'utilise simplement tous les groupes de sécurité disponibles et je donne à ce point de terminaison plein x afin qu'il n'y ait pas d'autres restrictions. Et puis je peux ajouter à nouveau la tique et le fil signifiés. Et puis je peux créer ce point de terminaison. Comme vous pouvez le voir ici, cela ne fonctionne pas car notre VPC n'est pas préparé. Ippc doit activer la prise en charge DNS et également le nom d'hôte DNS. C'est pourquoi nous devons y retourner. Je fais défiler ici et ensuite je vais au VPC. Sélectionnez nos actions de traçage d'un VPC , puis modifiez les noms d'hôtes DNS. Ici, vous pouvez voir que c'est désactivé, cette case à cocher, donc je dois l'activer et enregistrer les modifications. Et puis je peux revenir en arrière deux points de terminaison et refaire la même chose. Si larges services SQS et AWS, puis boîte radio SQS vérifient la fraude. Ensuite, voici les sous-réseaux. Oh, nous avons oublié la dernière fois que vous devez bien sûr sélectionner le bon sous-réseau ici. Je clique ici sur la zone de disponibilité. Et puis, bien sûr, j'ai aidé à sélectionner le sous-réseau car notre instance privée, qui doit être sortie, nous voulons avoir accès à S3 ou SQS. Il est placé dans notre sous-réseau Sub-deux. C'est pourquoi nous devons le sélectionner ici. Et encore une fois, j' utiliserai tous les groupes de sécurité disponibles complets, encore une fois, Wyman Tech. Et maintenant, ça devrait fonctionner. J'espère que oui. Maintenant, il est créé avec succès le point de terminaison VPC. Et comme vous pouvez le constater ici, le statut est en attente. Il faut donc un certain temps avant que cela soit prêt. Et ce qui se passe maintenant sous le capot et dans un autre capot, AWS Private Link crée pour vous l'interface réseau élastique. Donc, lorsque nous allons ici, vous pouvez le voir déjà créé et à moins d'une interface réseau épaisse. Nous pouvons donc cliquer ici. Ensuite, nous revenons à la console EC2. Et évidemment, vous pouvez voir ici qu'il existe une autre interface réseau Aztec distincte. Lorsque je supprime cette photo ici, vous pouvez voir que nous avons maintenant trois de ces interfaces. Comme je l'ai déjà dit, lorsque vous créez une machine EC2 et que l'interface réseau Elastic est automatiquement créée, car sinon, la machine EC2 ne peut pas avoir d'adresses IP, le adresses IP privées et publiques. Il s'agit donc de l' interface réseau des machines EC2. Et puis nous avons ici le troisième, notre interface de point de terminaison VPC. Nous pouvons également tenir compte ici la description et il existe une interface de point de terminaison VPC. C'est ce qui se passe sous le capot. Oui, Private Link et Church puis la connexion de la connexion privée de notre sous-réseau privé aux services AWS, aux services mondiaux câblées cette interface réseau élastique. Nous pouvons retourner ici et nous rafraîchir et peut-être non, c'est toujours en attente, donc nous devons attendre un peu avant que celui-ci soit prêt. Oui. Maintenant, comme vous pouvez le voir ici, le statut est disponible. Nous pouvons donc essayer d'utiliser notre nouveau point de terminaison VPC fraîchement créé et récemment créé. Et je reviendrai oui ou non. Je peux réexécuter cette commande. Et maintenant, j'ai reçu une liste vide. La réponse est vide. Pour m'assurer que cela fonctionne vraiment, je ne peux pas revenir à la console , puis choisir le service SQS. Ainsi, le service Simple Queue, par exemple, et créez une nouvelle file d'attente. Et je voulais juste le nommer, le tester et tout le reste. Je pars tel quel. Ensuite, je crée la file d'attente. Maintenant, lorsque je regarde ici dans ma liste, je n'ai qu'un test Q. Et puis ça peut revenir ici. Et puis parfois, il faut un peu de temps avant qu'il soit disponible ici. Nous pouvons être exécutés à nouveau. Et comme vous pouvez le constater ici, nous avons la file d'attente SQS. Nous appelons juste test dans notre liste ici. La connexion fonctionne donc. Si cela ne fonctionne pas, il est fort probable que vous ayez installé et que la version de l'AWS CLI soit liée. Et cela peut se produire si vous vous demandez que la version contient le package d'application inclus pour la version AWS CLI, un point X. Mais comme vous pouvez le voir ici dans ce petit tutoriel, envoyer un message à un Amazon SQS file d'attente depuis Amazon VPC. Il existe des points de terminaison hérités et les points de terminaison hérités du ligand sont, par exemple, q point Amazon AWS.com ou USA East vers la région point Q dot Amazon AWS.com. Et la version, la version one point X de l'interface de ligne de commande AWS implémente ces points de terminaison hérités afin qu'elle ne puisse pas atteindre le nouveau point de terminaison qui se trouve ici dans ce format, SQS point puis région, puis point Amazon AWS.com. Nous avons besoin de la longue histoire, nous avons besoin de la version deux points x de l'AWS CLI. Si cette commande ne fonctionne pas pour vous, si vous ne pouvez pas voir votre liste SQS, vous pouvez simplement le faire. Par exemple, AWS dash, version dash. Vous pouvez voir la version de votre interface de ligne de commande AWS. Et s'il y a un nombre inférieur à deux, c'est la raison pour laquelle cela ne fonctionne pas. Que pouvez-vous faire ? Vous pouvez simplement revenir à ce didacticiel sur l'interface de ligne de commande AWS ici, où AWS explique comment installer une mise à jour de votre version AWS CLI. Et ils recommandent d'abord de désinstaller l'ancienne version. cas contraire, il ne peut pas faire la distinction entre la version que vous souhaitez exécuter et il est très probable qu'elle exécutera la première version que vous avez installée. Et c'est encore votre version à un point X. C'est peut-être une bonne idée de l' installer ou de le désinstaller d'abord puis d'installer une nouvelle interface de ligne de commande AWS, je le souhaite ici. Et vous pouvez simplement copier ces trois commandes. Il suffit de boucler ce fichier zip et vous devez le décompresser. Ensuite, vous pouvez l' installer via Sudo. Ensuite, votre AWS installe une commande ici. Alors, ça devrait fonctionner. Parce que ce nouvel AWS ici, j'aimerais, comme je l'ai déjà dit, avoir implémenté le nouveau format d'URL ici. 35. Les points de fin de Gateway: Nous voulons maintenant parler des points de terminaison Gateway. Les points de terminaison Gateway. Lorsque nous parlons des points de terminaison Gateway, nous parlons de créer uniquement des itinéraires dans une table de routage. y aura donc pas de configuration matérielle supplémentaire. Nous n'avons pas besoin de le faire. Dans certaines interfaces réseau Aztec, nous voulons simplement créer une entrée de table de routage. Et ce type de point de terminaison de passerelle n'est actuellement disponible que pour le service AWS et pour le service AWS DynamoDB. Parce qu'il ne s'agit que d'une seule règle et de la table de routage. Il n'entraîne aucun coût supplémentaire. Il s'agit donc d'un service gratuit d'AWS, mais juste une table d'ondes transmet cela aux services a three et DynamoDB. Et maintenant, nous voulons l'établir. Pratiquement. Nous revenons à nos points de terminaison de console VPC et nous créons maintenant un autre type. Nous créons le point de terminaison de passerelle. Nous allons donc appeler celui-ci. Voici trois. Et puis je pourrai chercher S3 dans ce cas. Et nous prendrons le premier, juste le service S3 simple ici. Comme vous pouvez le voir ici, pour S3, il existe deux types de terminaux disponibles. Interface de passerelle. Et dans notre cas, nous voulons utiliser l'interface de la passerelle car elle n'a pas de frais supplémentaires ni d'historique. La meilleure façon de faire pour nous. Et puis je vais sélectionner le sous-réseau Praat one, le VPC problématique, désolé, puis je dois l' affecter à la table de routage correcte. Cela signifie donc ici cette sélection qu' AWS va ajouter à la table de routage privée. Cette entrée. Encore une fois aussi Fool x et je veux créer aussi le prot Reimann. Ensuite, je vais créer le point de terminaison. Et comme vous pouvez le voir ici, c'est le cas. C'est maintenant un niveau large, donc nous sommes très rapides. C'est pourquoi les oranges, car nous ajoutons simplement cette entrée de règle de table de routage. Nous pouvons maintenant essayer comment cela fonctionne. Nous retournons donc au terminal et nous pouvons ensuite utiliser une commande comme celle-ci ici. Encore une fois, nous sommes toujours sur notre machine EC2 privée ici. Je ne me suis pas déconnecté. Je n'utilise donc que la même session ici. Nous pouvons nous connecter à S3 avec cette commande ici, AWS ou trois poches RP et liste. Cela vient uniquement de la documentation AWS, de la documentation. Ensuite, nous devons ajouter à nouveau la région, qui est dans notre cas la pire. Ensuite, je clique sur Entrée ici. Et puis on peut voir qu' il y a une liste vide de paquets S3 dans cette région II plein ouest. C'est ainsi que cela fonctionne et nous pouvons maintenant revenir arrière pour nous assurer qu'il s' agit vraiment de ce point final. Ensuite, nous pourrons supprimer à nouveau ce point de terminaison. Je vais supprimer parfaitement. Nous pouvons retourner ici au terminal et exécuter à nouveau. Et comme vous pouvez le voir ici, cela ne fonctionne pas. C'est donc vraiment ce point de terminaison EPC Gateway qui nous a permis cette connexion. C'est relativement facile comment cela fonctionne, oui, et j'ai oublié de vous montrer comment cela fonctionne dans la table de routage. Lorsque nous allons ici à la grande table de routage privée, sélectionnez celle-ci ici. Nous n'avons actuellement aucun itinéraire ici le week-end. À la fin, encore une fois, je vais créer ce point de terminaison. S3 et S3, celui-ci, passerelle, problème de VPC. Cette table de routage. Créez ce point de terminaison. Quand je retourne ici pour sélectionner la table de routage. Ensuite, nous pouvons voir ici l'autre entrée, il s'agit de trois points de terminaison. Nous pouvons donc nous rendre ici, par exemple, à la destination PL six et ainsi de suite. Et puis le nom de la liste de préfixes ici. Et c'est exactement le service S3. C'est ainsi que cela fonctionne en fin de compte. Nous pouvons donc maintenant supprimer à nouveau. Ce point de terminaison S3 se déplace ici pour le lire, puis c' est comme ça qu'il fonctionne. Si vous n'avez pas encore supprimé votre point de terminaison SQS large, vous pouvez également le faire. Non. 36. AWS VPC: Oui, maintenant nous sommes prêts à utiliser notre partie pratique, je voulais simplement mentionner des éléments de connectivité plus sophistiqués et avancés que vous pourriez devoir savoir si vous voulez faire, en particulier l' architecte de solutions AWS examen associé. Mais oui, ce ne sont pas des questions si courantes. Mais je voulais juste le mentionner ici. Le premier est ce que l' on appelle l'appairage WPC. Et lorsque vous effectuez l'appairage de VPC, vous connectez essentiellement différents VPC entre eux. Ainsi, lorsque vous effectuez cette opération, aucune ressource matérielle supplémentaire n'est requise. Vous pouvez le faire uniquement par une table de routage SU, comme nous le faisons également pour les points de terminaison Gateway, si vous vous en souvenez. Ce qu'il est important de savoir ici, c'est qu'on ne peut pas faire quelque chose comme la topologie des étoiles. y a donc rien de tel que le hub central. Si vous avez plusieurs VPC, par exemple, trois, quatre ou cinq, et que chaque VPC doit avoir des x l'un par rapport à l'autre. Ensuite, vous devez connecter chaque VPC à tous les autres VPC. y a donc pas de plaque tournante centrale. Vous devez le connecter manuellement. En fin de compte, vous avez plusieurs connexions là-bas. Si vous souhaitez en savoir plus sur l'appairage de VPC, vous pouvez le faire. J'ai créé ici, je modifie ici ce lien. Si vous souhaitez créer un appairage de VPC, vous pouvez également le faire. Vous pouvez simplement passer à la console de votre VPC. Ensuite, il y a l'appairage de Section VPC. Ensuite, vous pouvez décider quelle est la source la plus riche, VPC, qui est un VPC ciblé, puis vous le connectez. Ensuite, il vous suffit d'autoriser cette connexion , car il arrive parfois que l' autre VPC se trouve dans un autre compte AWS et l'autre compte AWS doit autoriser cette connexion. C'est pourquoi il y a une étape de sécurité supplémentaire. C'est le problème de l'appairage de VPC. 37. AWS VPC Transit: Oui, et une autre ressource très intéressante est celle des tendances VPC chez Gateway. Lorsque vous créez une passerelle de transit, il s'agit d'une véritable ressource supplémentaire. Vous devez donc créer une passerelle. Ce n'est pas comme l'appairage du VPC, mais simplement une entrée dans la table de routage. Il s'agit d'une ressource distincte. Ce que vous pouvez faire avec cette passerelle de transit, vous pouvez connecter vos VPC, qui se trouvent déjà dans le cloud AWS. Vous pouvez également connecter des passerelles VPN et connecter des points de terminaison AWS Direct Connect. Cela signifie qu'avec l'aide des tendances de Gateway, vous pouvez connecter vos réseaux locaux au cloud AWS. De plus, cette passerelle de transit est ce que l' on appelle le routeur transitif, ce qui signifie que vous pouvez créer à l'aide de la passerelle de transit, appelées topologies hub et en rayon. Et c'est maintenant quelque chose comme une topologie stellaire. Si vous n'avez pas besoin d'établir les connexions entre tous les VPC, vous pouvez simplement créer une connexion entre chaque VPC et cette passerelle de transit. Et bien sûr, vous pouvez également vous connecter aux passerelles VPN et à vos réseaux locaux. Mais il n'y a qu' une seule connexion entre chaque VPC et votre passerelle de transit. Et c'est tout ce que vous devez savoir sur les tendances. C'est des passerelles. 38. Subnet: Enfin, enfin, le BPM. Et il n'y a pas grand-chose à dire sur ce sujet. Vous pouvez simplement créer votre passerelle VPN ici dans votre VPC, puis établir une connexion VPN avec votre client. Vous pouvez également remplacer cette passerelle VPN par une passerelle de transit. Comme nous l'avons déjà appris, vous pouvez vous connecter à la passerelle de transit, VPC et aux connexions VPN ainsi qu'aux connexions AWS Direct Connect. Il s'agit également d'une approche pour le faire. Nous pouvons simplement revenir à notre console VPC. Et ici, vous pouvez les trouver dans cette section. Votre passerelle privée virtuelle, par exemple, vous pouvez en lancer une si vous le souhaitez, puis créer une connexion VPN de site à site à vos réseaux sur site, par exemple. Oui, c'est comme ça que cela fonctionne et c'est tout ce que vous devez savoir concernant tout ce sujet de connexion, surtout si vous voulez simplement le faire, AWS Solutions Architect, Associate, Exome. Et comme je l'ai déjà dit, si vous voulez approfondir ce sujet, dans toute cette rubrique de connexion aux réseaux sur site. Ensuite, oui, vous pouvez en lire plus dans la documentation ou suivre un autre cours avancé pour le faire. 39. Outro: Malheureusement, c'est la fin de notre cours VPC. Félicitations. Je pense que vous avez appris beaucoup de choses. Pour le résumer, nous avons créé un sous-réseau public. Nous avons créé un sous-réseau privé et nous avons placé des machines EC2 dans chacun des sous-réseaux. Ensuite, nous avons créé un accès Internet pour le sous-réseau public, nous avons également créé pourquoi votre passerelle NAT. Accès Internet à sens unique. Nous avons également parlé de groupes de sécurité et de listes de contrôle d'accès réseau. Nous avons parlé de la surveillance et quelques éléments de connexion avancés. Oui, en fin de compte, c'est ainsi que vous pouvez créer votre cloud natif, AWS, VPC prêt pour la production. Et j'espère que vous avez appris beaucoup de choses. J'espère que vous pourrez connaître vos propres choses dans le Cloud. Vous pouvez jouer là-bas et vous comprenez comment fonctionnent les bases. Ce que nous voulons faire maintenant, c'est que nous voulons revoir toutes nos ressources et supprimer tous les éléments qui restent ici. abord, je veux revoir ce tableau de bord VPC. Et bien sûr, nous pouvons voir ici que nous avons deux instances en cours d'exécution. Donc, d'abord, je vais mettre fin ces deux instances ici, les mettre fin. Ensuite, nous avons à l'intérieur de ce service EC2 ici, je ne pense rien de plus. Nous avons un élastique chacun. Nous avons déjà supprimé. Je pense que c'est tout. Nous pouvons donc revenir à la console de gestion VPC, puis accéder à vos VPC, puis supprimer le VPC Praat one. Supprimez donc le VPC et il n' est pas en mesure de le faire. C'est pourquoi nous devons attendre que la machine EC2 soit ici , car une interface réseau élastique est affectée à cette machine, et c'est pourquoi la copie est actuellement supprimée. Nous pouvons donc revenir au tableau de bord EC2. Maintenant, les États sont terminés, tous les deux. Nous pouvons donc réessayer. Supprimez le VPC, OK, maintenant ça fonctionne. Comme vous pouvez le voir ici. Nous supprimons maintenant également la passerelle Internet dirigera la table de routage ainsi que les sous-réseaux, l'ACL et un groupe de sécurité. Maintenant, cela est supprimé et nous n'avons plus que notre VPC par défaut ici. Et lorsque nous allons aux sous-réseaux, nous avons uniquement le sous-réseau par défaut ou les sous-réseaux du VPC par défaut. Nous avons une table de routage, nous avons ici une passerelle Internet. Aucune adresse élastique ne connaît plus les points de terminaison. Nous n'avons pas d'espace, pas de passerelle NAT. Et je pense que c'est tout. Les groupes de sécurité, un seul groupe de sécurité et ACL n'est qu'une seule ACL. Oui. Ensuite, nous pouvons passer au service VPC que nous avons ici. Nous pouvons maintenant jeter un coup d'œil au service CloudWatch car nous avons également créé un groupe de journaux, mais je pense que nous l' avons déjà supprimé. Oui, il est supprimé, donc rien de plus à faire ici. Et peut-être que vous avez créé également la file d'attente SQS. Oui, c'est toujours là pour que je puisse supprimer cette file d'attente SQS. C'était dans notre section Endpoint d'interface. Si vous vous en souvenez. époque, nous pouvons également nettoyer un peu notre console IAM. Donc je pense que notre, je ne sais pas. Je ne sais pas si je n'en ai pas déjà eu besoin. Oui, j'ai déjà supprimé. Mais peut-être avez-vous ici votre rôle pour la machine EC2 car nous avons attribué à la machine EC2 privée le rôle qu'elle possède, les autorisations de connexion à S3, SQS dans notre section points de terminaison VPC. Vous devrez peut-être supprimer votre rôle IAM ici. Je pense que nous n'avons pas non plus de politiques créées par nous. Oui, je pense que c'est tout. Nous avons tout nettoyé et oui, c'est tout. Nous apprécions que vous ayez suivi ce cours et j'espère que cela vous a beaucoup aidé. Surtout si vous voulez faire cela AWS Solutions Architect, associer XM, alors vous êtes bien préparé au sens de l'ensemble du réseau. Je pense que c'est une bonne base pour le faire. Oui, encore une fois, félicitations. Peut-être nous verrons-nous dans un autre cours et passerons un très bon moment. Les meilleurs disques de votre film.