Hello réponse inline de ce que j'en connais.
On 23/11/2020 15:38, Mickael Hubert wrote:
Interco L2 avec des clients c'est possible ? Si on a du L2 remontant de TH2
par exemple, il y a moyen de remonter ce L2 en cross-co chez AWS ou un
partenaire à eux (j'ai peur de votre réponse ...) ?
Nope. No way. Déjà chez en interne chez AWS il n'y a pas de L2 étendu
entre AZ et encore moins entre région, alors avec l'extérieur.
Peut-on gérer ses accès VPN, ses plages d'IP (Ex: ne gérant pas l'overlap
IP, on a fait le choix de bosser avec la RFC 6598 pour éviter les conflits
avec les subnets de nos clients) peut-on attribuer n'importe quel subnet à
nos VM ?
Coté réseau et vpn oui tu peux/doit créer ton propre plan d'adressage
avec toutes les IPs rfc1918 à disposition. Coté VPN tu peux même faire
un peu de BGP pour échanger tes routes.
A-t-on le choix de son routeur (on bosse pas mal avec FRR), encore faut-il
pouvoir router soi-même ... ?
Auparavant ce n'était pas possible du tout, tu étais obligé d'utiliser
les boites noires AWS, aws-gateway ou aws-nat-gateway. Depuis la
situation a évolué pour permettre d'utiliser tes propres gateway sur une
instance ec2 (principalement pour autoriser la vente d'appliance sur la
market place je dirais). Une nouvelle feature vient même de sortir
permettant de redonder/load balancé ces gw :
https://aws.amazon.com/fr/elasticloadbalancing/gateway-load-balancer/
En revanche pose toi bien la question de pourquoi tu voudrais faire ça.
Généralement la seule bonne raison valable serait de faire de
l'inspection de trafic centrale ou de mettre un firewall centralisé (ce
qui est à l'opposé du modèle de sécurité AWS)
Côté VoIP, j'imagine que ça "marche", car de mémoire twilio sont full AWS.
Mais côté NAT etc... ça marche comment ? Je crois savoir qu'on a jamais
d'IP publique au cul de sa VM, mais que c'est du NAT 1/1. Ça se passe bien ?
Tu peux tout à fait associer une IP publique à une instance. Deux mode
soit tu laisses AWS choisir, le mode par défaut, mais dans ce cas il
s'agit d'une IP aléatoire à chaque ré-initialisation de l'instance, soit
tu attaches une Elastic IP à une instance qui ne changera jamais. Pas
besoin de NAT in sur AWS généralement.
--
Raphael Mazelier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/