PowerPoint PresentationS U M M I T P A R I S
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Réseau dans un environnement multi- comptes : bonnes pratiques et
nouveautés
Nicolas Malaval Senior Solution Architect Amazon Web Services
N E T 3 0 1
Adrien Geniller Lead Architect Network Engie
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Compte AWS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Pourquoi avoir besoin de plusieurs comptes AWS ?
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates.
All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Comment structurer ses VPC ?
Subnets 1 Large Subnets
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Comment structurer ses VPC ?
Compte AWS
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
VPC Sharing
Limitations actuelles Services non supportés : Amazon Aurora
Serverless, AWS CloudHSM, AWS Glue, Amazon EMR, Network Load
Balancer
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates.
All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Interconnecter les VPC
VPC peering • Connexion point à point
entre deux VPC d’une même région ou de deux régions
différentes
• Pas de limitation de bande passante
• Possibilité de référencer des security groups d’un autre
VPC
VPC
Compte
VPC peering
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Les connecter au réseau d’entreprise – VPN
VPC
Compte
VPC
Compte
• Deux tunnels, 1.25 Gbps maximum par connexion VPN
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Les connecter au réseau d’entreprise – Direct Connect
VPC
Compte
Client
VPC
Compte
Shared • 50 VPC par port • 1 - 40 Gbps • Ou direct ou via un
partenaire
Support du multi-comptes par Direct Connect Gateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Les connecter au réseau d’entreprise – Client VPN
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Compte
Récapitulons
VPC
Compte
VPC
Compte
VPC
Compte
VPC
Connect
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Solution Transit VPC
Routeurs virtuels
• Connexion VPN AWS entre chaque VPC et les instances du Transit
VPC
• 1.25 Gbps maximum par connexion VPN
• En général ~1-3 Gbps par instance pour les familles m4 et
c4
Data center
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
AWS Transit Gateway
Limitations actuelles Support natif de Direct Connect Multi-région
Référence à des groupes de sécurité dans d’autres VPC
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Compte partagéCompte
AWS Transit Gateway
Direct Connect gateway
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
AWS Transit Gateway – Exemple 1
VPC A (10.1.0.0/16)
Att VPC A Att VPC B
Att VPN
Apprentissage de 10.1.0.0/16 et 10.2.0.0/16 BGP
10.1.0.0/16 Att VPC A 10.2.0.0/16 Att VPC B 10.0.0.0/8 Att
VPN10.99.1.2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
AWS Transit Gateway – Exemple 2
VPC Prod A VPC Prod B
Datacenter
VPC Prod A Att VPC Prod A VPC Prod B Att VPC Prod B 10.0.0.0/8 Att
VPN
VPC Dev A VPC Dev B
VPC Dev A Att VPC Dev A VPC Dev B Att VPC Dev B 10.0.0.0/8 Att
VPN
VPC Prod A Att VPC Prod A VPC Prod B Att VPC Prod B VPC Dev A Att
VPC Dev A VPC Dev B Att VPC Dev B
10.99.1.2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
AWS Transit Gateway – Exemple 3 NAT Gateway centralisée
VPC A (10.1.0.0/16)
Att VPC S
CIDR Local 10.0.0.0/8 Transit GW 0.0.0.0/0 IGW
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
AWS Transit Gateway – Architecte de référence
VPC App 1 VPC App 1 VPC App 1 VPC Shared
Coupure
Sortie
Entrée
• Scaling horizontal via VPN et BGP
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Transit Gateway ou VPC Sharing ?
Data center
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
AWS PrivateLink
Fournit une connexion à des services privés sans passer par
Internet
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
VPC Endpoints
Contrôle d’accès aux Endpoints
• Endpoint Policies (S3, DynamoDB, CodeBuild) • Utilisation des
conditions IAM aws:sourceVpc ou aws:sourceVpce
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates.
All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Résolution DNS avant novembre 2018
Compte App
Configuration DHCP Options Set
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
Amazon Route 53 Resolver
prédéfinies
© 2019, Amazon Web Services, Inc. or its affiliates. All rights
reserved.S U M M I T
A retenir
• Les services réseau évoluent en permanence. Pas de boule de
cristal !
• Pensez simplicité ! Réduire la complexité à des périmètres
restreints
• Expérimentez, testez et innovez
02 Avril 2019
ENGIE : la stratégie
Transition zéro carbone
Hi-tech Financée
RENOUVELABLES RÉSEAUX
PRODUCTION & FOURNITURE
SOLUTIONS CLIENTS
ENGIE entame la deuxième vague de sa transition énergétique,
poussée par les entreprises et les collectivités
ENGIE est le mieux positionné pour être le leader mondial de la
transition zéro carbone « as a service »
AWS Summit 2019
20 pays
30 zones
ENGIE : une vue globale simplifiée du réseau
Le backbone Engie est un réseau international qui connecte
directement toutes les plaques domestiques des BUs d’Engie via leur
Hubs, dont celles autour de la France et de la Belgique via les
Data Centers du groupe.
Actuellement, la connexion principale vers AWS est réalisée depuis
le Data Center de Paris.
Connectivité : historique
Engie DC 1
Engie DC 2
Challenges • 1 VIF = 1 VPC • Délai de 4– 6 semaines • Coûts de
build et run relativement élevés • Pas de capacité de burst (50-500
Mbps)
• Raccordement de chaque VPC via une Hosted Connection au MPLS
d’entreprise, comme un site distant
• 1 VIF = 1 VPC • Délai de 4– 6 semaines • Coûts de build et run
relativement élevés • Pas de capacité de burst (50-500 Mbps)
• Service d’interconnexion au cloud fourni par l’hébergeur
• Portail self-service, multi-cloud
• 1 VIF = 1 DX Gateway = N VPC • Coûts de run relativement élevés •
Pas de capacité de burst (50-500 Mbps)
• 10 Gbps, jusqu’à 50 VIF par connexion • Résilience via un autre
point de
présence Direct Connect
Connexion dédiée + Direct Connect Gateway
DX Location Paris 1
Connectivité : cible pour H1 2019
Transit Gateway pour la connexion vers le réseau interne et
inter-VPC en remplacement du VPC peering
August 2018 AWS Summit 2019
Engie Paris DC1
Engie Paris DC2
DX Location Paris 2
Compte
VPC
10G
10G
Design à bande passante partagée non contrainte, « Highway to the
Cloud »
La fonction IDS / IPS en coupure migre sur AWS. Le réseau privé sur
AWS devient partie intégrante du réseau privé Engie.
Connectivité : les prochaines étapes
Dupliquer le modèle de la Transit Gateway sur d’autres régions
Accélérer les besoins d’hybridation locales partout dans le
monde…
…Puis connecter les régions entre elles, et faire converger le
pattern d’hybridation
Nouvelles perspectives : Utilisation du backbone AWS en complément
du backbone opérateur existant
Basculer le centre de gravité du SI vers le cloud Accostage direct
du SD-WAN sur AWS
Développer des services transverses à valeur ajoutée, conformes aux
exigences de la sécurité
Accélérer le trafic vers les services AWS publics (AppStream, S3,
DMS…)
August 2018 Introduction to ENGIE and ENSEMBLE
Continuer à itérer Evolutions constantes pour intégrer les
nouvelles fonctionnalités (≠ Build and Forget) Besoins d’avoir des
profils multi-compétences (Infra as a Code / Devops ET
Réseau)
August 2018 AWS Summit 2019
Appliances Infoblox Route 53 Resolver • Appliances InfoBlox sur AWS
synchronisées avec les appliances
on-premise. Zones privées Route 53 rattachées au VPC Shared.
Engie AWS VPC
Requêtes DNS
VPC Peering
Blockers: VPC peering avec le VPC shared nécessaire Difficulté pour
consommer des VPC Endpoints
Engie AWS VPC
puis retransmises si
besoin .2
• Remplacement des appliances InfoBlox par des endpoints inbound /
outbound Route 53 Resolver.
Service managé Disponibilité Evolutivité Conserve les
réponses
spécifiques au VPC
Passage à l’échelle de la résolution de domaines inter-VPC, trois
options :
- Full-meshed VPC peering avec règle Forward - Full-meshed
association des Zones privées - Forward vers les Inbound
Endpoints
Responsabilisation des entités sur leur usage DNS
Evolution du DNS
Evolution du DNS : les prochaines étapes
Migration et industrialisation de la gestion des zones publiques
avec Route 53 (plus de 3000 zones dont engie.com)
Résolution DNS privé dans les autres régions
— Namespace à régionaliser
Merci !
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates.
All rights reserved.
Nicolas Malaval
[email protected]
Adrien Geniller
[email protected]
Slide Number 1
Compte AWS
Créer et configurer ses réseaux privés virtuels (VPC)
Comment structurer ses VPC ?
Comment structurer ses VPC ?
Connecter les VPC entre eux et au réseau d’entreprise
Interconnecter les VPC
Les connecter au réseau d’entreprise – Direct Connect
Les connecter au réseau d’entreprise – Client VPN
Récapitulons
AWS Transit Gateway – Exemple 3NAT Gateway centralisée
AWS Transit Gateway – Architecte de référence
Transit Gateway ou VPC Sharing ?
AWS PrivateLink
VPC Endpoints
Résolution DNS avant novembre 2018
Amazon Route 53 Resolver
ENGIE : une organisation décentralisée
Connectivité : historique
Connectivité : les prochaines étapes
Slide Number 39