À propos des VPC peering connections

Une VPC peering connection permet à deux Virtual Private Clouds (VPC) de communiquer l’un avec l’autre par une connexion privée. Les instances des VPC pairs peuvent accéder les unes aux autres.

Informations générales

Les VPC pairs peuvent appartenir au même compte ou à des comptes différents. Vous pouvez créer plusieurs connexions pour chacun de vos VPC. Cependant, vous ne pouvez pas créer plus d’une connexion entre deux mêmes VPC au même moment.

Une VPC peering connexion est une connexion privée utilisant des IP privées. Les blocs CIDR des VPC pairs ne doivent pas se chevaucher. Les VPC pairs doivent être situés dans la même Région. Cependant, leurs subnets peuvent être situés dans des Availability Zones différentes. Pour en savoir plus, voir À propos des Régions, endpoints et Availability Zones.

Les VPC pairs doivent contenir au moins une instance chacun avant la création de la VPC peering connection.

Lorsque vous créez une connexion, une requête est envoyée au VPC auquel vous voulez vous connecter. Le propriétaire de ce VPC doit accepter cette requête pour que la connexion soit établie. Pour en savoir plus, voir la section Cycle de vie ci-dessous.

  • Si vous utilisez Cockpit v1 pour créer une VPC peering connection entre deux VPC qui appartiennent à votre compte, la requête est automatiquement acceptée.

  • Une peering connection entre deux VPC se fait dans les deux sens. Ainsi, une connexion de B vers A n’est pas nécessaire si une connexion de A vers B a déjà été créée et acceptée.

Une fois la connexion créée, le trafic réseau entre les VPC pairs est possible. Vous devez mettre à jour leurs route tables et leurs security groups pour autoriser le trafic. Pour en savoir plus, voir la section Configuration réseau ci-dessous.

Une VPC peering connection est une connexion directe, individuelle et non transitive. Ainsi, des VPC pairs ne peuvent pas communiquer avec d’autres VPC auxquels ils ne sont pas directement connectés. Deux VPC chacun connecté au même troisième VPC ne peuvent pas utiliser celui-ci comme point de transit pour accéder l’un à l’autre.

Connexion non transitive à travers une VPC peering connection

FR sch General VPCPeeringConnection

Pour assurer redondance et haute disponibilité, vous pouvez connecter deux VPC dont les subnets sont situés dans des Availability Zones différentes.

Cycle de vie

Une fois demandée, une VPC peering connection peut passer par plusieurs états. À chaque état, différentes actions sont possibles.

Cycle de vie d’une VPC peering connection

FR sch General VPCPeeringConnectionLifecycle

  • failed : La création de la VPC peering connection a échoué. Cela se produit, par exemple, si les VPC sont situés dans des Régions différentes, ou si leurs blocs CIDR se chevauchent. Une connexion à l’état failed ne peut être ni acceptée, ni rejetée, ni supprimée.

  • pending-acceptance : La connexion est en attente d’une action du propriétaire du VPC accepteur, qui peut l’accepter ou la rejeter. Entre-temps, le propriétaire du VPC requêteur peut toujours supprimer sa requête. Si aucune action n’est effectuée, la requête expire après 7 jours.

  • expired : La requête a expiré. La connexion ne peut plus être acceptée, ni rejetée, ni supprimée.

  • rejected : La connexion a été rejetée par le propriétaire du VPC accepteur. Aucune connexion n’est créée entre les VPC. La connexion ne peut plus être acceptée ni supprimée.

  • active : La connexion a été acceptée par le propriétaire du VPC accepteur. Une connexion est créée entre les VPC. L’un ou l’autre des propriétaires des VPC pairs peut la supprimer.

  • deleted : La connexion a été supprimée par l’un ou l’autre des propriétaires des VPC pairs.

Les connexions dont l’état est failed, expired ou deleted restent visibles pendant 1 heure.

Configuration réseau

Route tables

Pour autoriser le trafic entre des VPC pairs, vous devez mettre à jour les route tables associées à leurs subnets.

Chacun des propriétaires des VPC doit créer une nouvelle route avec le bloc CIDR de l’autre VPC en destination, et l’ID de la VPC peering connection en target. Cela permet aux instances de diriger le trafic entre les deux VPC.

Nous vous recommandons d’attendre que la VPC peering connection devienne active avant de créer une route.

Architecture d’une VPC peering connection

FR sch General VPCPeeringConnectionArchitecture

Security groups

Pour autoriser le trafic entre les instances des VPC pairs, vous devez mettre à jour les security groups associés à leurs instances.

Chacun des propriétaires des VPC doit ajouter les règles appropriées autorisant les flux sortants et entrants depuis et vers le subnet de l’autre VPC. Pour en savoir plus, voir À propos des security groups et Tutoriel : Configurer une VPC peering connection.

Pages connexes