Cours Aws

3.23 Introduction le rappel sur le réseau AWS

Cette leçon est un rappel sur le réseau, les IP privées et les Elastic IP sur AWS. Il existe deux types d'adresses : les IPv4 (4 octets de 0 à 255, soit ~4 milliards d'adresses) et les IPv6 en hexadécimal, plus récentes et adaptées aux objets connectés. Cette formation utilise principalement l'IPv4, encore le standard chez la plupart des entreprises.

Les adresses publiques sont joignables depuis Internet, uniques sur le web, attribuées à une seule machine à la fois et géolocalisables. Les adresses privées ne sont joignables qu'à l'intérieur de réseaux locaux ; deux réseaux différents peuvent partager les mêmes plages privées (10.0.0.0/16, 172.16.0.0/12, 192.168.0.0/16). Pour faire communiquer deux réseaux privés distants entre eux, on utilise un VPN ou du routage spécifique.

Elastic IP et bonnes pratiques DNS

Quand on arrête une instance EC2 et qu'on la redémarre, son IP publique change. Pour conserver une IP fixe, AWS propose les Elastic IP : une IP qu'on possède et qu'on réserve. Une Elastic IP est payante, ne peut être attribuée qu'à une machine à la fois, et permet de pallier la défaillance d'une instance en l'attachant rapidement à une autre. La limite est de 5 Elastic IP par compte (au-delà, il faut consulter la grille tarifaire).

  • IP privée par défaut pour la communication intra-VPC.
  • IP publique changeante pour les accès Internet à l'instance.
  • Elastic IP pour conserver la même IP publique entre redémarrages — utile mais à utiliser avec parcimonie.

Cela dit, AWS recommande fortement de ne pas dépendre d'IP fixes. Utiliser des Elastic IP comme architecture est souvent le signe d'une mauvaise décision : il vaut mieux acheter un nom de domaine et utiliser Route 53 (DNS managé d'AWS) pour pointer vers vos instances. On peut aussi placer un Elastic Load Balancer en amont pour avoir un point d'entrée unique et router le trafic vers plusieurs instances. Note importante : on ne se connecte en SSH qu'à l'IP publique (sauf VPN) — l'IP privée n'est accessible que depuis l'intérieur du VPC.