Retour au blog
AWSRéseauInfrastructure

AWS VPC : Comprendre et configurer votre réseau cloud

7 min de lecturePar labluetech

Le réseau est la fondation de toute infrastructure cloud. AWS VPC (Virtual Private Cloud) vous donne un réseau privé isolé dans le cloud où vous contrôlez chaque aspect : adressage IP, sous-réseaux, routage et sécurité. Comprendre le VPC est essentiel pour tout architecte cloud.

1. Qu'est-ce qu'un VPC ?

Un VPCest votre réseau privé virtuel dans AWS. C'est un espace réseau logiquement isolé où vous lancez vos ressources AWS (EC2, RDS, Lambda...). Vous choisissez la plage d'adresses IP (CIDR block), et personne d'autre n'a accès à ce réseau sauf si vous l'autorisez explicitement.

Pensez au VPC comme à un datacenter virtuel : vous définissez l'architecture réseau, les règles de sécurité et les chemins de communication. La différence : tout se fait en quelques clics, pas en câblant des routeurs physiques.

2. Les subnets : découper votre réseau

Les subnets (sous-réseaux)divisent votre VPC en segments. On distingue deux types : les subnets publics (accessibles depuis internet) et les subnets privés (isolés d'internet). Une architecture classique place les serveurs web dans les subnets publics et les bases de données dans les subnets privés.

Chaque subnet est lié à une Availability Zone (AZ). Pour la haute disponibilité, déployez vos ressources sur au moins deux AZ avec un subnet dans chacune. Si une AZ tombe, vos services restent disponibles dans l'autre.

3. Route tables : diriger le trafic

Les route tablesdéfinissent où le trafic réseau doit aller. Chaque subnet est associé à une route table. Pour un subnet public, la route table contient une entrée vers l'Internet Gateway. Pour un subnet privé, elle pointe vers un NAT Gateway pour le trafic sortant.

La règle est simple : le trafic local (au sein du VPC) est routé automatiquement. Le trafic vers l'extérieur suit les routes que vous définissez. Pas de route = pas de communication.

4. Internet Gateway et NAT Gateway

L'Internet Gateway (IGW)est la porte d'entrée de votre VPC vers internet. Sans IGW, aucune ressource de votre VPC ne peut communiquer avec l'extérieur. Un seul IGW par VPC suffit.

Le NAT Gatewaypermet aux ressources dans les subnets privés d'accéder à internet (pour télécharger des mises à jour, appeler des APIs externes) sans être accessibles depuis internet. Le trafic sort mais rien ne rentre — c'est la sécurité par design.

Architecture recommandée

Placez vos load balancers et bastions dans les subnets publics. Mettez vos serveurs applicatifs et bases de données dans les subnets privés. Utilisez un NAT Gateway pour le trafic sortant des subnets privés.

5. Security Groups : le pare-feu au niveau instance

Les Security Groupssont des pare-feux virtuels qui contrôlent le trafic entrant et sortant de chaque ressource. Ils fonctionnent en mode "allow only" : vous définissez ce qui est autorisé, tout le reste est bloqué par défaut.

Par exemple, un security group pour un serveur web autorise le port 80 (HTTP) et 443 (HTTPS) depuis n'importe où, mais le port 22 (SSH) uniquement depuis votre IP. Un security group pour une base de données autorise le port 5432 (PostgreSQL) uniquement depuis le security group du serveur applicatif.

6. NACLs : le pare-feu au niveau subnet

Les Network ACLs (NACLs)sont une couche de sécurité supplémentaire au niveau du subnet. Contrairement aux security groups, elles supportent les règles "deny" et sont évaluées dans l'ordre numérique. Elles sont stateless : vous devez définir des règles pour le trafic entrant ET sortant.

En pratique, les security groups suffisent pour la majorité des cas. Les NACLs sont utiles pour bloquer des plages d'IP spécifiques ou ajouter une défense en profondeur sur des subnets sensibles.

7. VPC Peering : connecter vos réseaux

Le VPC Peeringpermet de connecter deux VPC entre eux comme s'ils faisaient partie du même réseau. Le trafic reste sur le réseau privé AWS — il ne passe jamais par internet. C'est idéal pour connecter des environnements (dev/prod) ou des comptes AWS différents.

Le peering est non-transitif : si VPC A est connecté à VPC B et VPC B à VPC C, A ne peut pas communiquer avec C via B. Pour des architectures plus complexes, considérez AWS Transit Gateway.

Besoin d'architecturer votre réseau cloud ?

Chez labluetech, nous concevons des architectures réseau AWS sécurisées et scalables. VPC, subnets, security groups — nous configurons tout pour que votre infrastructure soit solide dès le départ.

Demander un devis gratuit

En résumé

  • Le VPC est votre réseau privé isolé dans le cloud AWS
  • Les subnets publics/privés séparent les couches de votre architecture
  • L'Internet Gateway et le NAT Gateway contrôlent l'accès internet
  • Les security groups et NACLs forment une double couche de sécurité
  • Le VPC Peering connecte des VPC entre eux via le réseau privé AWS