AWS PrefixList - Une solution centralisée pour gérer vos plages réseaux
AWS PrefixList - Une solution centralisée pour gérer vos plages réseaux

AWS PrefixList - Une solution centralisée pour gérer vos plages réseaux

Connaissez-vous les “PrefixList” ? Une fonctionnalité VPC méconnue et pourtant d’une grande valeur ajoutée en termes de simplification du routage réseau et d'administration de la sécurité des VPC au quotidien.

Une liste de préfixes est un ensemble d'un ou plusieurs blocs CIDR IPv4 ou IPv6. Elles permettent d’utiliser des listes de préfixes pour faciliter la configuration et la maintenance de vos groupes de sécurité et de vos tables de routage.

Mais qu’est-ce qu’une PrefixList en détails ?

Ces objets sont positionnés au niveau de la région et peuvent être ensuite utilisés dans les tables de routage des VPC, TGW ainsi que dans les groupes de sécurité.

De cette façon, la mise à jour d’une PrefixList sur des modifications est immédiatement et automatiquement répercutée sur l’ensemble des ressources qui y font référence.

De plus, il est possible de partager les PrefixList entre plusieurs comptes grâce au service RAM (Resource Access Manager) ce qui peut être utilisé pour mettre en place une gestion centralisée des CIDR. De cette façon, vous pouvez mettre à jour l’ensemble de vos groupes de sécurité et tables de routage en modifiant une PrefixList dans votre compte Shared Services ou Network par exemple.

En utilisant globalement les PrefixList vous ajoutez également une couche d’abstraction sur votre infrastructure réseau. En effet, les PrefixList sont référencés par leur ID et n’affiche donc pas les CIDR associés.

Le nombre maximum d'entrées dans une PrefixList peut être modifié après sa création via la CLI et le SDK uniquement.

image

Point important, lorsque vous utilisez une PrefixList dans un groupe de sécurité par exemple, le PrefixList compte pour autant de règles qu’il contient de CIDR. Plus concrètement, si votre PrefixList contient 20 CIDR, il compte comme 20 règles dans le groupe de sécurité. Attention donc à ne pas dépasser le quota de 60 règles (entrante ou sortante) du groupe de sécurité.

Résumé

Alors, quels sont les avantages ?

Simplicité de mise à jour :

Si vous devez modifier un range IP pour l’agrandir par exemple, ou si le range de l’un de vos bureaux change, il sera d’autant plus simple de mettre à jour une seule PrefixList que de passer sur l’ensemble de vos tables de routage et groupe de sécurité pour répercuter cette modification.

Gestion centralisé :

En utilisant la RAM, vous pouvez créer les PrefixList dans un compte AWS centralisé (Shared Services ou Network par exemple) et y administrer l’ensemble de vos CIDR.

Abstraction du découpage réseau :

En utilisant ces objets dans les différentes ressources de routage et de sécurité, on a la possibilité de masquer le découpage du réseau en évitant d’afficher les différents CIDR.

Point d’attention

Comptage du nombre d’entrée :

Lorsque vous référencez une PrefixList dans un groupe de sécurité ou une table de routage, garder en tête qu’il compte pour autant de règles qu’il comporte de CIDR. Ainsi une PrefixList de 30 CIDR compte pour 30 routes dans une table de routage ou 30 règles dans un groupe de sécurité. Attention à ne pas atteindre les quotas associés.

image

Références

https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html

https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-quotas-managed-prefix-lists

Timothée participe activement au programme d’innovation

image

Merci pour votre lecture. Si cet article vous a plu, merci de le partager sur vos réseaux 😉

Timothée Taron - Janvier, 2022

image