Depuis le mois d’août, la solution Virtual Private Cloud (VPC) d’Amazon Web Services (AWS) est sortie de sa phase béta.

Virtual Private Cloud ?

VPC est la promesse d’Amazon de fournir l’équivalent des possibilités réseau d’un datacenter physique dans son cloud. En clair, le but est de pouvoir créer une topologie réseau virtuelle dans laquelle vous avez un contrôle total : du choix de l’adressage IP à la création de sous-réseau privé ou public, en passant par la configuration des tables de routages et des passerelles. Pour les utilisateurs d’AWS, cela répond au problème de pouvoir spécifier une adresse IP en dur pour une instance serveur : ce qui n’est pas possible en dehors de VPC.


Au niveau sécurité, VPC apporte une nouvelle couche avec les listes de contrôle d’accès (ou Access Control List, ACL) que les personnes du réseau connaissent bien. Les groupes de sécurité AWS (security groups) sont également présents, et permettent de gérer au niveau des instances aussi bien les accès sortants que les accès entrants. En effet, il n’était pas possible jusqu’ alors de gérer les accès sortant dans EC2 (sauf à déployer son IPTABLE ou autre Firewall sur une instance de sortie de plateforme).
Mais le principal atout est de pouvoir connecter son datacenter à son VPC via une connexion VPN et ainsi étendre son infrastructure physique dans le cloud. Pour autant, la chose n’est pas si aisée et les compétences d’un administrateur réseau seront utiles (Amazon met à disposition un Guide de l’administrateur réseau en anglais) pour un déploiement sérieux et sécurisé. Il est en effet nécessaire pour ce lien d’avoir une appliance physique ou logique répondant à plusieurs critères dont la gestion du protocole de routage Border Gateway Protocol (BGP) :

  • Association IKE en utilisant des Pre-Shared Keys
  • IPsec Security Association (SA)
  • Supporter le cryptage AES 128-bit
  • Supporter la fonction de hashage SHA-1
  • Utiliser Diffie-Hellman Perfect Forward Secrecy dans le mode « groupe 2 »

Cependant, Amazon publie une liste d’équipements compatibles avec VPC; liste dont CISCO et JUNIPER tiennent le haut du pavé.

 

 

VPC : pour quoi faire ?

VPC permet de répondre à une large gamme de problématiques auxquelles EC2 ne pouvait pas répondre. Dans les faits, vous pouvez configurer VPC pour répondre à vos propres besoins. Le prix à payer pour cette flexibilité est l’augmentation des compétences réseaux nécéssaires pour la mise en place. En effet, il est nécéssaire de disposer d’un administrateur réseau disposant de compétences sur IPsec et sur le protocole de routage de réseaux BGP. – Par ailleurs, nous vous invitons à vous renseigner sur BGP qui constitue un élément essentiel du fonctionnement d’internet –. Afin de faciliter le déploiement de VPC, Amazon met à disposition un assistant (wizard) sur sa console de gestion AWS, pour créer facilement un VPC selon 4 scénarios possibles. Ces 4 scénarios répondent aux cas d’utilisation les plus standards :

Ces différents scénarios permettent de couvrir de l’hébergement du site web le plus simple jusqu’au déploiement d’ applications multi-tiers connectées à votre datacenter.

Il est aujourd’hui en 2011 tout à fait possible d’utiliser les fonctionnalités de VPC et d’AWS (ex : snapshot EBS) pour créer un site de récupération d’urgence à moindre coût, vous permettant une reprise en cas de sinistre (PRA : Plan de Reprise D’Activité / PCA : Plan de Continuité d’Activité).

 

Du côté des Nouveautés

VPC est dorénavant disponible pour les 5 régions AWS existantes (Europe, Est des États Unis, Ouest des États Unis, Singapour et Tokyo) et apporte quelques nouveautés par rapport à la béta :

  • Il est possible de créer un VPC qui s’étend sur de multiples zones de disponibilités (Availability Zones, AZ) au sein d’une même région. Comme chaque VPC peut avoir plusieurs sous-réseaux, il est possible soit de mettre chaque sous-réseau dans des AZ différentes, soit de mettre un sous-réseau qui s’étend sur de multiple AZ (pour des raisons de robustesse par exemple)
  • Il est possible d’avoir plusieurs connexions VPN sur un seul VPC. Ceci est utile pour les entreprises qui ont plusieurs bureaux séparés géographiquement dans plusieurs villes
  • Il est dorénavant aussi possible d’avoir plusieurs VPC par région pour un seul compte AWS. Cela permet de créer des réseaux de production, de développement, de test, etc. Chaque VPC sera complètement isolé l’un de l’autre et pourra donc contenir les mêmes adresses IP.

Quelles sont les limites ?

VPC ne répond pas (encore ?) à tous les cas de figure et il reste certaines limites. Une des principales limitation est l’absence de trois services AWS très pratiques, et non disponibles à ce jour sur le VPC : Elastic Beanstalk, Elastic Load Balancing et Relational Database Service (RDS). Il reste cependant possible de palier à ces limites avec des solutions tiers. Néanmoins au vu de la vitesse de croisière élevée d’Amazon sur sa Roadmap de nouveaux services, nous gageons voir ces limites comblées rapidement.

Les limites les plus contraignantes nous apparaissent être celles liées à l‘impossibilité de réaliser des broadcast ou du multicast sur le réseau. En effet, de nombreux mécanismes de clustering utilisent des paquets multicast pour gérer les noeuds de leur cluster. Par ailleurs, une fois le sous-réseau créé, il n’est pas possible de changer son adressage IP.
Concernant les types d’instances utilisables, le choix est plus limité que sous EC2, car les instances Spot, Cluster, et Micro ne sont pas (à ce jour) disponibles. De plus, les AMI Amazon DevPay payées ne sont pas prises en charge.
Comme souvent chez Amazon, certains quota peuvent être dépassés sur simple demande auprès d’Amazon via un formulaire sur le site aws.amazon.com. Ce sont les valeurs par défaut de VPC :

  • Limitation à 5 VPC par compte AWS par région.
  • Limitation à 20 sous-réseaux par VPC.
  • Limitation à 5 adresses IP Elastic Amazon VPC par compte AWS par région.
  • Limitation à 10 connections VPN hardware par VPC.

 

 

Perspectives ?

VPC est pour moi une très belle avancée sur les possibilités offertes par le cloud pour les entreprises. Malgré les limites actuelles du produit, il répond néanmoins à des problématiques qui n’étaient pas adressées dans AWS. Ces nouveautés permettent réellement de penser autrement son datacenter afin d’en améliorer sa performance, sa sécurité et sa flexibilité.

Loin du brouillard hyper-médiatique sur le cloud, Amazon sort concrètement les nouveautés qu’attendent les entreprises pour pouvoir étendre leur infrastructure de manière sécurisée et intégrée.