AWS Virtual Private Gateway vs Direct Connect Gateway vs Transit Gateway
- 2 avril 2025
Dans ce blog, nous comparons les trois passerelles réseau AWS pour vous aider à choisir la meilleure option pour votre entreprise.
En novembre 2018, AWS a lancé la dernière version de son service de routage réseau natif : Transit Gateway (TGW). Cette passerelle réseau basée sur le cloud permet aux clients de connecter des Clouds Privés Virtuels (VPC) à travers différents comptes dans une topologie en étoile, et constitue la troisième évolution de cet ensemble de fonctionnalités.
Cette sortie a été précédée par Direct Connect Gateway (DGW), annoncé en 2017, et avant cela, par Virtual Private Gateway (VGW).
Table des matières
Naviguer parmi ces options et déterminer laquelle correspond à votre cas d’utilisation peut être compliqué. Dans ce blog, nous allons démystifier chaque service afin que vous puissiez facilement déterminer quelle solution est la meilleure pour votre entreprise.
Pour commencer, il est préférable de prendre en compte les exigences de vos environnements, car chaque service offre certaines fonctionnalités, mais pas d’autres. Le tableau ci-dessous fournit un aperçu rapide.
| VGW | DGW | TGW | |
|---|---|---|---|
| Multiple Regions | |||
| Multiple Accounts | |||
| S2S VPN | |||
| Direct Connect | |||
| Transitive Routing | |||
| Globally Available | |||
| Route Segmentation |
Décomposons les avantages spécifiques de chaque passerelle et explorons comment elles ont évolué au fil du temps.
Virtual Private Gateway (VGW)
| VGW | |
|---|---|
| Multiple Regions | |
| Multiple Accounts | |
| S2S VPN | |
| Direct Connect | |
| Transitive Routing | |
| Globally Available | |
| Route Segmentation |
Une Virtual Private Gateway (VGW) offre un moyen efficace pour les clients AWS de connecter plusieurs Clouds Privés Virtuels (VPC) aux ressources locales via AWS Direct Connect ou un VPN Site-à-Site. Elle résout de nombreuses limitations et défis de scalabilité rencontrés précédemment lors de l’utilisation de Direct Connect.
Ci-dessous, voici les avantages et les fonctionnalités de la VGW :
Caractéristiques principales de la Virtual Private Gateway (VGW)
Efficacité des coûts :
Avant la VGW, les clients AWS devaient créer une interface virtuelle privée Direct Connect (VIF) pour chaque VPC, ce qui entraînait une correspondance 1:1 entre les VPC et les circuits Direct Connect. Cette configuration augmentait non seulement les coûts, mais ajoutait aussi de la complexité administrative. La VGW permet à plusieurs VPC dans la même région et le même compte de partager une seule VIF Direct Connect, réduisant considérablement la nécessité de plusieurs circuits.
Gestion simplifiée du réseau :
La VGW minimise la charge administrative en permettant à plusieurs VPC d’être connectés à une seule connexion Direct Connect ou un VPN Site-à-Site. Cela signifie moins de configurations, une gestion plus facile des ressources réseau, et une configuration de connexion simplifiée pour la communication entre régions et entre comptes.
Scalabilité :
L’introduction de la passerelle privée virtuelle permet aux utilisateurs AWS de faire évoluer leurs connexions Direct Connect ou VPN en éliminant la nécessité d’établir une connexion distincte pour chaque VPC. Tant que les VPC sont dans la même région et le même compte, ils peuvent utiliser la connexion partagée, facilitant ainsi l’évolution des ressources réseau pour une infrastructure croissante.
Support des architectures de cloud hybride :
La VGW est un élément clé pour étendre les datacenters clients vers AWS, facilitant les architectures de cloud hybride. Que ce soit en utilisant AWS Direct Connect pour une connexion dédiée à haut débit ou un VPN Site-à-Site pour du trafic crypté sur Internet, la VGW permet une communication fluide entre les ressources locales et les VPC dans AWS.
VGW en action avec Direct Connect et VPN Site-à-Site
Intégration avec Direct Connect :
Lors de l’utilisation de VGW avec AWS Direct Connect, cela permet une connectivité privée entre AWS et son infrastructure, réduisant la latence et offrant une connexion plus stable et fiable. En partageant une seule connexion Direct Connect parmi plusieurs VPC, les organisations peuvent éviter les coûts et la complexité opérationnelle de la gestion de connexions séparées pour chaque VPC.
Intégration avec Site-à-Site VPN :
La VGW peut également être utilisée avec un VPN Site-à-Site pour connecter de manière sécurisée son infrastructure à AWS. Cette option est bénéfique pour les organisations qui n’ont pas besoin de la bande passante dédiée de Direct Connect, mais qui nécessitent tout de même un lien sécurisé et crypté vers les ressources AWS.
Cas d’usage de VGW
Migrations cloud d’entreprise :
VGW est idéal pour les entreprises qui migrent leurs workloads vers AWS, car il simplifie le processus de connexion de plusieurs VPC aux infrastructures locales sans avoir besoin de configurations redondantes de Direct Connect ou VPN.
Environnements de cloud hybride :
Pour les entreprises qui utilisent des configurations de cloud hybride, VGW offre un moyen économique d’interconnecter plusieurs VPC AWS avec des ressources locales via une seule connexion Direct Connect ou VPN.
Optimisation des coûts réseau :
Les organisations cherchant à optimiser leurs coûts peuvent tirer parti de VGW pour réduire le nombre de connexions nécessaires pour des environnements multi-VPC, minimisant ainsi les dépenses associées aux circuits Direct Connect.
Direct Connect Gateway (DGW)
| DGW | |
|---|---|
| Multiple Regions | |
| Multiple Accounts | |
| S2S VPN | |
| Direct Connect | |
| Transitive Routing | |
| Globally Available | |
| Route Segmentation |
AWS Direct Connect Gateway (DGW) étend les fonctionnalités de la Virtual Private Gateway (VGW) en offrant une plus grande flexibilité grâce à une connectivité possible entre différentes régions AWS. Avec une DGW, vous pouvez connecter des Virtual Private Clouds (VPC) situés dans une région AWS à une connexion Direct Connect qui se termine dans une autre région. Cela permet de simplifier la mise en réseau interrégionale tout en maîtrisant les coûts et la complexité.
Caractéristiques principales de la Direct Connect Gateway (DGW)
Connectivité inter-région :
Une DGW permet aux VPC situés dans plusieurs régions AWS de partager la même connexion Direct Connect. Il s’agit d’une avancée majeure par rapport au VGW, qui limite la connectivité aux VPC d’une seule région. Grâce à DGW, les entreprises peuvent interconnecter leurs workloads AWS réparties sur plusieurs régions en utilisant une seule connexion Direct Connect, ce qui améliore l’efficacité et réduit la charge opérationnelle.
Blocs CIDR non superposés :
Une exigence clé lors de l’utilisation d’une DGW est que les blocs CIDR des VPC connectés ne doivent pas se chevaucher. En cas de chevauchement, des conflits de routage peuvent survenir, entraînant des problèmes de communication réseau. Il est donc essentiel de garantir des espaces d’adresses uniques entre les VPC pour assurer le bon fonctionnement d’une DGW.
Modèle de routage en étoile (Hub-and-Spoke) :
Contrairement au routage traditionnel où le trafic peut circuler directement entre les VPC, une DGW impose un modèle de routage en étoile. Ainsi, le trafic d’un VPC (VPC-A) ne sera pas acheminé directement vers un autre VPC (VPC-B) via une DGW. À la place, le trafic suit ce chemin :
VPC-A > Direct Connect > Votre infrastructure (routeur ou firewall) > Direct Connect > VPC-B.
Ce modèle garantit que la communication entre VPC via un Direct Connect est contrôlée par votre infrastructure, offrant ainsi une couche supplémentaire de sécurité et un meilleur contrôle du routage.
Avantages de l’utilisation d’une DGW
Simplification du réseau inter-région :
Une DGW supprime la nécessité de configurer et de gérer plusieurs connexions Direct Connect dans chaque région AWS où vous avez des VPC. Au lieu de cela, une seule connexion Direct Connect peut desservir plusieurs VPC répartis sur différentes régions, simplifiant ainsi l’architecture tout en réduisant les coûts.
Contrôle centralisé du réseau :
En acheminant le trafic via votre infrastructure sur site, une DGW vous permet de maintenir un contrôle centralisé sur le routage et la sécurité de votre réseau. Cela offre une gestion plus fine des flux de trafic et des politiques de sécurité pour les workloads distribués sur plusieurs régions AWS.
Réduction des coûts :
La possibilité de connecter plusieurs VPC situés dans différentes régions à une seule connexion Direct Connect réduit le besoin d’infrastructures réseau redondantes. Cela entraîne des économies significatives, en particulier pour les entreprises ayant une présence mondiale sur AWS.
Cas d’usage d’une DGW
Architectures multi-régions :
Une DGW est idéale pour les organisations exécutant des workloads dans plusieurs régions AWS et souhaitant rationaliser leur infrastructure réseau. Avec DGW, vous pouvez concevoir une architecture réseau unifiée et plus économique, où tous vos VPC répartis sur plusieurs régions sont connectés à une seule connexion Direct Connect.
Environnements cloud hybrides :
Dans les environnements hybrides, une DGW permet aux entreprises d’étendre leur infrastructure en datacenter à plusieurs régions AWS à l’aide d’une seule connexion. Cela garantit des performances constantes et une sécurité renforcée tout en réduisant la complexité liée à la gestion des connexions dans chaque région.
Plan de reprise d’activité (PRA) et bascule :
Une DGW est également utile pour les architectures de reprise après sinistre. En ayant des VPC dans différentes régions, vous pouvez facilement basculer vos workloads entre régions tout en maintenant une connexion fiable à votre infrastructure sur site via une DGW.
Flux de trafic avec une DGW
Dans une configuration DGW, le trafic suit un itinéraire spécifique lorsqu’il connecte des VPC entre différentes régions :
Étape 1 : Le trafic provenant du VPC-A transite via le Direct Connect jusqu’au routeur de l’infrastructure cliente.
Étape 2 : Le routeur client achemine ensuite le trafic à nouveau via le Direct Connect vers le VPC-B dans la région cible.
Ce modèle de routage en étoile (hub-and-spoke) permet un contrôle centralisé de la communication entre VPC et garantit que le routage du trafic est géré de manière sécurisée via votre réseau sur site.
La DGW joue un rôle essentiel dans la simplification du réseau multi-régions et l’optimisation des coûts, ce qui en fait une solution précieuse pour les entreprises avec des workloads réparties sur plusieurs régions AWS.
Transit Gateway (TGW)
| DGW | |
|---|---|
| Multiple Regions | |
| Multiple Accounts | |
| S2S VPN | |
| Direct Connect | |
| Transitive Routing | |
| Globally Available | |
| Route Segmentation |
Une AWS Transit Gateway (TGW) est une solution réseau hautement évolutive et flexible qui simplifie la connexion de plusieurs VPC et réseaux sur site. Une TGW s’appuie sur les capacités des solutions AWS précédentes, comme la Virtual Private Gateway (VGW) et la Direct Connect Gateway (DGW), en offrant un routage centralisé et une gestion réseau améliorée. Cela en fait une solution idéale pour les environnements AWS à grande échelle.
Caractéristiques principales d’une AWS Transit Gateway (TGW)
Hub de routage centralisé :
Une TGW agit comme un hub central pour acheminer le trafic entre plusieurs VPC et environnements sur site. Plutôt que de gérer des connexions de peering entre chaque VPC, la TGW permet de créer un modèle en étoile (hub-and-spoke) où les VPC se connectent à une seule Transit Gateway. Cela simplifie le routage et réduit la complexité du réseau.
Bande passante évolutive avec les connexions VPN :
Chaque connexion Site-to-Site VPN avec une TGW est limitée à 1,25 Gbps de débit. Si votre trafic dépasse cette limite, la TGW permet de faire évoluer votre réseau en ajoutant plusieurs connexions VPN. Grâce au routage Equal-Cost Multi-Path (ECMP), la TGW peut distribuer le trafic sur plusieurs connexions VPN, offrant ainsi une bande passante agrégée supérieure à 1,25 Gbps et améliorant les performances globales du réseau.
Prise en charge d’AWS Direct Connect :
À l’origine, la TGW ne prenait pas en charge l’AWS Direct Connect, mais cette limitation a été levée. Désormais, la TGW peut s’intégrer à un Direct Connect, permettant des connexions à faible latence et haut débit entre les réseaux sur site et AWS, tout en bénéficiant du routage centralisé de la TGW.
Intégration avec AWS Resource Access Manager (RAM) :
La TGW peut être partagée entre plusieurs comptes AWS grâce à AWS Resource Access Manager (RAM). Cela est particulièrement utile pour les entreprises adoptant une stratégie multi-comptes, car cela permet une gestion centralisée du routage tout en maintenant une segmentation et une sécurité adaptées.
Peering inter-région :
La TGW prend désormais en charge le peering inter-région, permettant aux VPC situés dans différentes régions AWS de communiquer directement sans passer par l’Internet public ou une infrastructure en datacenter ou sur site. Cette fonctionnalité est idéale pour les déploiements multi-régions, car elle réduit la latence et améliore les performances du trafic interrégional.
Fonctionnalités avancées de routage
Prise en charge du chevauchement des CIDR :
Contrairement aux solutions précédentes comme la VGW et la DGW, la TGW permet le chevauchement des blocs CIDR. Cela est possible grâce à l’utilisation de plusieurs tables de routage. Chaque VPC connecté à la TGW peut être associé à sa propre table de routage, permettant ainsi d’isoler et de segmenter le trafic entre les VPC. Cette fonctionnalité offre une capacité similaire à du Virtual Routing and Forwarding (VRF), ce qui est particulièrement utile pour la création de domaines de routage isolés, améliorant ainsi la sécurité et la gestion du trafic.
Élimination de l’effet trombone (Hairpin Routing) :
L’un des principaux avantages de la TGW par rapport à la VGW et la DGW est l’élimination de l’effet trombone dans le routage du trafic. Avec la VGW et la DGW, le trafic entre les VPC devait souvent transiter par une infrastructure en datacenter ou sur site avant de revenir vers AWS, ce qui augmentait la latence et la complexité. Avec la TGW, les VPC peuvent communiquer directement entre eux via la Transit Gateway, sans avoir besoin de rediriger le trafic vers un routeur sur site. Cela permet de réduire considérablement la latence et d’améliorer la performance des communications VPC-à-VPC.
Cas d’usage d’AWS Transit Gateway (TGW)
Environnements multi-VPC :
La TGW est idéale pour les entreprises ayant un grand nombre de VPC répartis sur plusieurs comptes AWS. Il simplifie l’architecture réseau en agissant comme un hub centralisé, éliminant ainsi la nécessité de configurations complexes de peering entre VPC et réduisant la charge de gestion réseau.
Architectures cloud hybrides :
Pour les organisations adoptant une approche hybride, la TGW facilite l’intégration transparente entre les centres de données sur site et les environnements AWS. Grâce à la prise en charge des services Direct Connect et VPN, la TGW permet des connexions sécurisées et évolutives entre l’infrastructure sur site et les VPC AWS.
Charges de travail mondiales avec trafic inter-régions :
La fonctionnalité de peering interrégional de la TGW en fait un excellent choix pour les entreprises exécutant des workloads dans plusieurs régions AWS. En permettant une communication directe et sécurisée entre régions, la TGW assure une connectivité à faible latence et améliore la performance des applications globales.
Segmentation et isolation du trafic :
Grâce à la gestion de plusieurs tables de routage, la TGW est parfaitement adaptée aux cas où la segmentation du trafic est essentielle. Par exemple, il est possible de créer des domaines de routage isolés pour différentes unités commerciales ou équipes au sein de l’entreprise, garantissant ainsi une séparation sécurisée et un meilleur contrôle du trafic.
AWS et Megaport
En utilisant le réseau SDN (Software Defined Network) de Megaport, vous pouvez optimiser votre connectivité AWS grâce à un déploiement à la demande, une sécurité renforcée et de meilleures performances réseau.
Avec le SDN de Megaport, vous pouvez également connecter vos instances AWS à d’autres fournisseurs cloud via une Megaport Cloud Router (MCR) et établir une connectivité branch-to-cloud avec AWS en intégrant une solution SD-WAN via Megaport Virtual Edge (MVE).
Besoin de conseils sur la conception de votre architecture réseau avec AWS et Megaport ? Contactez notre équipe pour plus d’informations.
