Extend your IT infrastructure with Amazon VPC (FR)

 Étendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 http://aws.amazon.com/vpc Etendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 Comprendre Amazon Virtual Private Cloud Amazon Virtual Private Cloud (Amazon VPC) est un pont sécurisé et continu entre votre infrastructure IT et les services web d’Amazon en nuage. Amazon VPC vous permet de connecter votre infrastructure existante à un ensemble isolé de ressources informatiques sur Amazon Web Services (AWS) grâce à une connexion en réseau privé virtuel (VPN). Avec Amazon VPC, vous pouvez étendre vos capacités de gestion existantes et vos services de sécurité tels que DNS, LDAP, Active Directory, les pare-­‐feux et les systèmes de détection d’intrusion pour inclure vos ressources AWS et protéger vos informations de la même façon que vous le faites actuellement. A ce jour, Amazon VPC intègre Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Block Store (Amazon EBS) et Amazon CloudWatch; il intégrera d'autres services AWS à l'avenir. Comme pour tous les services web Amazon, il n'y a pas de contrats à long-­‐terme, de facturation minimale ou de frais d’entrée nécessaires. Avec Amazon VPC, vous ne payez que pour les ressources que vous utilisez. A bien des égards, pour gérer les ressources d’Amazon VPC, vous suivrez les mêmes pratiques et utiliserez les mêmes outils que vous exploitez actuellement pour gérer vos propres ressources locales. Pour vous aider à comprendre les similitudes et les différences, commençons par une vue d'ensemble de la technologie. Amazon VPC comprend plusieurs objets familiers : •
Un Nuage Privé Virtuel (VPC) : une portion isolée du nuage AWS. •
Sous-­‐réseau : un segment dans la plage d'adresses IP dans lequel vous pouvez affecter des groupes de ressources isolées. •
Connexion VPN : le lien entre votre Amazon VPC et votre data center, votre réseau d'entreprise ou votre installation en colocation. •
Portail VPN : le côté Amazon VPC d'une connexion VPN. •
Portail client : votre côté de la connexion VPN. •
Routeur : interconnecte les sous-­‐réseaux et dirige le trafic entre le portail VPN et les sous-­‐réseaux. La VPC de Amazon vous fournit un nuage et une connexion VPN. A l'intérieur de ce nuage, vous pouvez définir jusqu'à 20 sous-­‐réseaux, suivant la notation CIDR conventionnelle ; les sous-­‐réseaux sont connectés entre eux selon une topologie étoile avec un seul routeur virtuel et peut varier en taille d'un /18 à un /28. (Pour plus d'informations sur la notation CIDR, consultez http://fr.wikipedia.org/wiki/CIDR ; pour les réseaux en étoile, consultez http://fr.wikipedia.org/wiki/Réseau_en_étoile). Vous définissez la plage d'adresses IPv4 de votre nuage (IPv6 n'est pas supporté actuellement). Elle peut faire partie de votre plage existante interne ou publique, une autre plage publique que vous possédez, ou n'importe quelle autre plage privée. AWS ne procède à aucune translation d'adresse entre votre réseau d'entreprise et les instances Amazon EC2 dans Amazon VPC. Les ressources que vous placez dans votre nuage sont directement disponibles sur votre réseau interne une fois que vous avez défini le routage et mis à jour les politiques de sécurité. Aucune des ressources n’est directement exposée internet, bien que vous puissiez le faire si vous le souhaitez, en utilisant les règles appropriées sur le routeur connectant votre réseau d'entreprise à votre fournisseur d'accès internet. La connexion VPN utilise un mode tunnel IPSec, standard dans l'industrie (avec IKE-­‐PSK, AES-­‐128, HMAC-­‐SHA-­‐1, PFS), pour authentifier mutuellement les portails et protéger les données en transit des écoutes secrètes et des tentatives d'altération. Le protocole IPSec augmente légèrement le flux du trafic -­‐ l'opération de chiffrement et d'encapsulation ajoutent à peu près 7 % de bande passante utilisée supplémentaire. La plupart des cartes réseau délestent les fonctions 2 Etendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 de chiffrement vers un processeur spécialisé, ainsi les performances de votre portail client ne devraient pas être affectées. Les ressources que vous définissez dans Amazon VPC n'appartiennent qu'à vous. On ne pas peut accéder à vos ressources en dehors de votre connexion VPN et celles-­‐ci n'ont aucune connexion directe à Internet. Si vos ressources Amazon VPC doivent communiquer vers l’extérieur, ce trafic passe d'abord par le VPN et ensuite par votre infrastructure existante ; le trafic retour suivant la route inverse. Ceci vous permet d'appliquer les politiques d'inspection et les pratiques de gestion que vous utilisez déjà. Tout comme les instances publiques d’Amazon EC2, vous pouvez surveiller les performances des instances qui fonctionnent dans votre VPC avec Amazon CloudWatch. Ce service web vous donne une visibilité sur l'utilisation de vos ressources, les performances d'exploitation et les tendances générales d’utilisation – comprenant la charge CPU, les lectures et écritures sur disque et le trafic réseau. Les informations sont affichées sur la console d’administration AWS sont également disponibles à partir des APIs. Avec quelques simples scripts, vous pouvez intégrer Amazon CloudWach dans vos outils de gestion existants. Le service maintient un historique de données sur deux semaines, même après que vous ayez terminé une instance. Si vous souhaitez conserver plus de deux semaines pendant que les instances sont en fonctionnement, ou au-­‐delà de deux semaines après avoir terminé une instance, un outil en ligne de commande vous permet d'enregistrer les données dans Amazon S3 ou Amazon Simple DB. Dans une prochaine version, Amazon VPC supportera Elastic Load Balancing et Auto Scaling pour les instances Amazon EC2. (Dans la version initiale d’Amazon VPC, les services Elastic Load Balancing et Auto Scaling ne sont pas disponibles.) Scénarii d'utilisation d’Amazon VPC Que pouvez-­‐vous faire avec Amazon VPC? Imaginez un data center qui s’adapte instantanément à la demande, qui ne coute pas d'argent en étant inactif, que vous n'avez pas à maintenir, et qui permet à votre organisation de fournir rapidement de nouvelles solutions en fonction des besoins de votre activité. Amazon VPC peut apporter ces qualités à votre infrastructure actuelle, sans que vous ayez à sacrifier la sécurité ou modifier vos procédures de gestion. Pour vous aider à démarrer, nous avons décrit quelques exemples que vous pouvez adopter dès aujourd'hui. Ces scénarii sont essentiellement des variations sur le même thème. Ces idées de déploiement tirent parti des capacités d’Amazon VPC de séparer les ressources de façon logique tout en leur permettant de communiquer les unes avec les autres et avec les ressources de votre réseau d'entreprise. Ces scenarii devraient vous donner quelques idées sur la façon d'utiliser Amazon VPC pour satisfaire vos propres besoins. Souvenez-­‐vous également que vos ressources Amazon VPC se comportent comme des instances Amazon EC2. Vos serveurs physiques peuvent être éteints puis rallumés et reprendront à partir de leur état précédent. Une fois terminées, les instances Amazon EC2 ne peuvent pas être reprises (bien que vous puissiez les réinitialiser si nécessaire). Vous pouvez utiliser des instances réservées avec Amazon VPC et vous recevrez la remise sur le taux horaire standard bien que pendant la beta nous ne puissions garantir la disponibilité de l'instance. Dans quelques-­‐uns des scénarii ci-­‐
dessous, nous décrivons comment vous pouvez enregistrer des images d'instances en fonctionnement et reprendre à partir de celles-­‐ci si nécessaire. Elaborer un environnement test Les environnements logiciels sont en constante activité, avec de nouvelles versions, des fonctionnalités ajoutées, des correctifs et des mises à jour. Les changements de logiciels doivent souvent être déployés rapidement, avec peu de temps pour tester l'impact sur ce qui est déjà en production. Dans une situation idéale, vous auriez un environnement de test qui reflète votre environnement de production, dans lequel installeriez et mettriez en application les mises à jour 3 Etendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 de logiciels sur une charge type. Une fois la mise à jour ou la nouvelle version validée, vous pouvez la déployer production en toute confiance. Amazon VPC peut vous aider à élaborer un environnement de test économique et fonctionnel. Des laboratoires de test internes nécessitent du matériel qui est inutilisé la plupart du temps. Souvent, un matériel de test dédié qui reste inactif est réemployé comme matériel de production et votre laboratoire finit par disparaître malgré les meilleures intentions. En élaborant votre laboratoire dans Amazon VPC, vous n'avez pas besoin de budget pour le matériel supplémentaire et vous pouvez facilement modifier votre laboratoire afin de rester en phase avec votre environnement de production. Amazon EC2 propose des Amazon Machine Images (AMIs) préconfigurées que vous pouvez adapter pour vous rapprocher de votre environnement. Une fois que vous avez terminé la création de l'image initiale, vous empaquetez vos images personnalisées et vous les enregistrez sur Amazon Simple Storage Service (Amazon S3). Quand vient le moment de procéder à un test, vous démarrez de nouvelles instances a partir de vos AMI personnalisées. Vous avez à présent un laboratoire de test qui ressemble à votre environnement de production, mais isolé de celui-­‐ci. Vous installez le logiciel sur ces instances et effectuez vos tests. Une fois que le comportement vous satisfait et que vous vous êtes assuré qu'aucune autre modification aux logiciels existants n'affecte les performances ou ne fait preuve de comportement inattendu, vous installez les mises à jour dans votre environnement de production et répétez toutes les modifications faites sur l'environnement de test. Finalement, vous empaquetez les instances mises à jour dans une nouvelle AMI et terminez les instances. Lors prochain cycle de test, vous répétez simplement la procédure. Modéliser un environnement sur des nouvelles installations Le jour viendra où quelques-­‐unes ou toutes vos activités nécessiteront une évolution fondamentale des technologies utilisées et des façons de l'utiliser. Tandis que la volonté de «tout jeter et à recommencer» peut être très forte, les opportunités réelles de le faire sont rares. Construire un environnement sur de nouvelles installations près d'un environnement existant est risqué. Des dépendances inconnues pourraient être introduites et de nouveaux services pourraient être découverts et utilisés avant qu'ils ne soient prêts. Une meilleure alternative serait de construire les nouvelles installations séparément de l'environnement actuel, d'incorporer uniquement les applications et les fonctions prévues, et de déplacer proprement les utilisateurs après que l'environnement sur les nouvelles installations ait été testé en profondeur. Amazon VPC peut simplifier cette transition. Commencez avec des images de machines Amazon standard et construisez votre nouvel environnement. A travers la connexion VPN, vous pouvez contrôler la façon dont les ressources VPC « locales » apparaissent vis à vis de votre environnement existant. Vous pouvez les exposer à des utilisateurs internes, les authentifier avec le registre actuel de votre entreprise et les gérer avec les outils et les pratiques que vous avez déjà. Vous devriez publier un calendrier permettant aux utilisateurs de savoir quand les données seront migrées et proposer des instructions leur permettant de passer sur le nouvel environnement. Puisque votre infrastructure existante reste en place, vous pouvez facilement revenir sur votre déploiement sur Amazon VPC si cela était nécessaire. Créer une filiale et des réseaux d'unité fonctionnelle. Si vous avez des filiales qui nécessitent des réseaux locaux distincts mais interconnectés, vous pouvez envisagez de déployer les ressources dans Amazon VPC et affecter un sous-­‐réseau à chaque bureau. Les applications à l'intérieur d'un sous-­‐réseau peuvent communiquer librement entre elles, et communiquer à travers les sous-­‐réseaux par l'intermédiaire du routeur virtuel. Puisque les instances dans Amazon VPC sont déjà protégées par la VPN, le pare-­‐feu virtuel qu’est le groupe de sécurité n’est pas nécessaire, contrairement aux instances standards Amazon EC2 exposées sur Internet. Si vous avez besoin de limiter les flux à l'intérieur ou à travers les sous-­‐réseaux, vous pouvez configurer des logiciels pare-­‐
feu ou créer des associations IPSec en mode transport sécurisé au sein des instances pour définir quels sont les serveurs 4 Etendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 autorisés à communiquer entre eux. (Note : ceci est distinct de l'association IPSec en mode tunnel que vous créez entre votre portail client et le portail de connexion VPN d’Amazon VPC.) Vous pourriez également utiliser la même idée pour regrouper des applications métier par unité fonctionnelle. Des applications spécifiques à des unités métier particulières peuvent être installées dans des sous-­‐réseaux distincts, un pour chaque unité. De même que pour le scénario des filiales, vous pouvez ajouter des logiciels pare-­‐feu ou des associations sécurisées IPSec si vous avez besoin de contrôler les communications inter et intra sous-­‐réseau. A l'avenir, Amazon VPC vous permettra de définir plusieurs nuages privés, de configurer plus d'une connexion VPN et portail client, et de fournir un mécanisme pour définir les groupes de sécurité sur le routeur virtuel. Ceci vous donnera encore plus de flexibilité pour contrôler le trafic entre votre réseau et vos nuages, aussi bien que le trafic parmi vos nuages. Il faut reconnaître que la différence entre l'utilisation d’Amazon VPC pour les filiales et les ressources des unités métier peut sembler mince lorsqu'elle est comparée à l'installation de ressources dédiées dans chaque bureau. Dans les deux cas, les services informatiques auront besoin d'utiliser des outils de gestion à distance pour configurer et maintenir les ressources. Les principaux avantages d’Amazon VPC par rapport à l’utilisation de matériel dédié dérive des mêmes avantages qu'Amazon EC2 offre par ailleurs : vous pouvez étendre les ressources utilisées pour satisfaire la demande, de façon a ne pas sous-­‐ ou sur-­‐provisionner des ressources. Ajouter de la capacité est facile : démarrez des instances supplémentaires en utilisant vos images personnalisées. Quand vient le moment de diminuer la capacité, éteignez simplement les instances qui ne sont plus nécessaires. Alors que les processus opérationnels peuvent être les mêmes pour maintenir les actifs en fonctionnement dans une filiale VPC en comparaison avec une filiale orientée matériel, vous n'aurez plus besoin de personnel dédié sur place. Vous apprécierez les économies venant du mode facturation à l'usage et vous n'aurez pas à expliquer pourquoi vous avez investi dans des ressources qui ne fonctionnent pas à pleine capacité la plupart du temps. Isoler les explications historiques et expérimentales du réseau d'entreprise La plupart des scénarii décrits ici font allusion à l'utilisation d’Amazon VPC pour de nouvelles applications et pour l'ajout de capacité à votre environnement IT. Chaque organisation a également des applications plus anciennes qui ont été conçues pour une époque antérieure. Celles-­‐ci pourraient nécessiter l'utilisation d'un système d'exploitation duquel vous migrez ou d'une configuration serveur qui n'est plus compatible avec vos déploiements standard. Plutôt que d'assurer la maintenance de cet équipement vous-­‐même et gérer les exceptions aux politiques correspondantes, vou pouvez envisagez de créer un sous-­‐réseau à l'intérieur d'un VPC et y héberger vos applications historiques. Vous pouvez isoler ce sous-­‐réseau du reste de votre réseau d'entreprise avec des règles que vous créez soit sur le portail client de votre côté de la connexion VPN ou ailleurs dans votre propre infrastructure de sécurité (peut-­‐être le pare-­‐feu derrière votre portail). Même si les images serveur individuelles fonctionnant dans ce sous-­‐réseau ont des adresses affectées automatiquement, n'oubliez pas que vous définissez les plages d'adresses. Grâce aux règles configurées dans votre portail et dans votre infrastructure, vous pouvez limiter quel trafic est autorisé à passer entre le bloc CIDR du réseau historique et votre réseau d'entreprise. La même logique s'applique aux applications expérimentales. Peut-­‐être évaluez-­‐vous un progiciel que vous aimeriez garder isolé de votre environnement pendant que vous examinez ses fonctions et son comportement. Vous pouvez conduire vos évaluations sur quelques instances Amazon EC2 à l'intérieur de votre VPC. Si tout fonctionne correctement, vous pourrez alors envisager d'effectuer une transition de ces images en production et d’en réserver l'accès à des 5 Etendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 utilisateurs autorisés par l'intermédiaire de votre portail client. Ceci vous épargnera le coût d'achat, d'installation et de maintenance du matériel supplémentaire dans votre propre data center. Établir un plan de reprise après sinistre et de continuité d’activité Personne n'aime passer du temps à planifier des événements désagréables. Hélas, les événements arrivent et sans planification préalable, les conséquences peuvent être désastreuses. Les démarches traditionnelles des plans de secours exigent habituellement du personnel dédié aux sauvegardes et un équipement de secours onéreux dont la capacité est gaspillée. Envisagez plutôt d'introduire Amazon VPC dans votre plan de reprise après sinistre. La nature dynamique et élastique d‘AWS est idéale pour des scénarii catastrophes dans lesquels se produisent pics de demandes de ressources. Commencez par identifier le capital en IT qui est le plus important pour votre activité. Comme dans cas du scénario de l’environnement de test, vous pouvez concevoir dans votre VPC une AMI Amazon EC2 personnalisée pour dupliquer les fonctions de vos ressources critiques. En utilisant les processus automatisés, vous pouvez assurer la sauvegarde de vos données de production dans des volumes Amazon EBS supplémentaires. Dans l’éventualité d’un désastre, vous pouvez rapidement effectuer une transition de votre activité vers votre VPC en démarrant les nouvelles instances à partir de vos AMIS personnalisées, en attachant les volumes de données et en redirigeant l'accès vers ces serveurs. Si votre problème implique uniquement la perte de données sur vos serveurs internes existants, vous pouvez facilement les récupérer à partir des volumes Amazon EBS que vous avez utilisés comme stockage de sauvegarde (bien que les volumes EBS ne devraient pas être votre seul mécanisme de sauvegarde de données). Si les dégâts incluent votre emplacement physique, alors l'accès aux ressources Amazon VPC n'est plus possible parce que votre portail client est indisponible. Dans un tel scénario, vous avez plusieurs options. Si vous avez plus d'un site, nous pouvons travailler avec vous afin de rétablir rapidement une connectivité vers votre VPC à partir d'un autre emplacement. Aussitôt que les données de routage reconnectent votre réseau, les utilisateurs des sites non affectés pourront récupérer l'accès à votre VPC. Si vous avez seulement un site, alors tout n'est pas perdu : vous travaillerez plutôt avec le côté public d’AWS, en utilisant les instances Amazon EC2 accessibles par internet. Vous pouvez ouvrir une session avec votre compte AWS sur internet à partir de n'importe quel emplacement et créer un data center temporaire, complètement sur le nuage, en utilisant vos AMIs personnalisées et les volumes de données EBS existants. La seule chose que vous avez besoin de faire est de démarrer les nouvelles instances à partir de vos AMIs et d’attacher les volumes de données. Souvenez-­‐vous que dans ce cas, vous devez définir des groupes de sécurité pour protéger vos instances en fonctionnement parce qu'elles ne sont pas couvertes par les politiques de sécurité normalement définies dans votre réseau d'entreprise. Applications en streaming et bureaux virtuels Plusieurs partenaires d'Amazon, y compris Citrix, AppZero, InstallFree et Nasstar ont construit des clients virtuels et des applications en streaming pouvant être hébergées dans des instances Amazon EC2. Vous pouvez faire plusieurs choses quand vous hébergez des bureaux virtuels ou quand vous utilisez des clients en streaming à partir de votre VPC. Par exemple, vous pouvez diffuser des formations qui nécessitent des images spécifiques, autoriser des prestataires sur site à démarrer des bureaux virtuels qui suivent les standards de l'entreprise et fournir aux employés distants et aux utilisateurs à domicile connectés à votre VPN d'entreprise, le même environnement qu'ils ont au bureau. Si vous hébergez un séminaire interne et que vous avez besoin de déployer plusieurs postes client pour les participants, vous pouvez réduire vos coûts en optant pour des postes client léger et les configurer d’exécuter un bureau virtuel à partir de votre VPC. Tout projet ou programme qui nécessitant des postes de travail pour une période de temps limitée est un bon candidat pour les bureaux virtuels ou l’utilisation d’applications en streaming. Par exemple, vous pouvez utiliser un Virtual Desktop Infrastructure (VDI) pour tester de nouvelles applications client ou des mises à jour avant leur 6 Etendre Votre infrastructure IT avec Amazon Virtual Private Cloud janvier 2010 déploiement. Si vous avez des besoins métier pour démarrer une application spécifique que vous voulez garder isolée du reste de votre environnement, un VDI peut fournir un environnement protégé efficace. Considérez également les avantages dont vous pouvez bénéficier en déployant une infrastructure de bureau virtuel également pour des utilisations fixes. En déplaçant la charge de traitement vers Amazon VPC, vous pouvez retarder l'achat de nouveaux postes de travail et allonger la durée de vie du matériel client existant. Une VDI centralisée vous permet de maintenir facilement les systèmes d'exploitation avec les applications à jour, et fournit un moyen simple de déployer de nouvelles applications client. De plus, dans les industries hautement contrôlées dont les employés ne sont pas mobiles, une VDI peut réduire considérablement les risques de pertes de données et les infections de logiciels malveillants. Une VDI peut vous aider à réduire la consommation énergétique de votre organisation en vous permettant de couper l'électricité la nuit et durant les weekends : quand les utilisateurs reviennent chaque matin, leurs ordinateurs seront allumés et leurs sessions reprises à partir d’Amazon VPC. <Ajoutez votre idée ici> Nous espérons que ce court exposé a provoqué des idées de votre part. Nous pensons que ces scénarii sont d’excellentes façons pour commencer à explorer les opportunités offertes par Amazon VPC. Nous sommes impatients d'avoir de vos nouvelles et de savoir comment Amazon VPC a amélioré la capacité de votre organisation à mieux intégrer les technologies de l'information à votre métier. 7