Je considère différentes options de VPN. Je ne suis pas particulièrement fan des options du marché de masse et je pensais à mettre en place un VPN client AWS, par exemple en utilisant ce module terraform. Le problème est bien sûr que je paie alors l’association au point de terminaison du VPN client AWS à 0,10$/heure, que je l’utilise ou non. Tous les autres coûts, passerelle NAT, connexion cliente, etc., semblent liés à l’utilisation. Est-il pratique/possible de configurer un VPN client mais n’associer le point de terminaison qu’au moment de l’utiliser, puis de le désassocier par la suite ? Cela signifie-t-il démonter et recréer tout le VPN ou est-ce un attribut, qui si le même à chaque fois peut simplement être recréé ou détruit sans perturber le reste ?
merci
Mise à jour :
Merci à tous pour vos réponses. Clairement, ce n’est pas une option pratique.
Vous pouvez supprimer simplement les associations de sous-réseaux, cela stoppera la facturation à l’heure.
L’endroit cvpn ne sera pas réellement supprimé, donc vous n’avez pas à recréer tout l’endroit. Il sera en statut ‘association en attente’, comme juste après la création.
Lorsque vous en avez besoin, associez un sous-réseau et ajoutez des routes si nécessaire.
Le seul inconvénient est que l’association de sous-réseau prend environ 10 minutes ou plus, donc cela peut être galère si vous êtes pressé, mais vous pouvez planifier à l’avance.
Une autre option est d’utiliser OpenVPN du marketplace et maintenant les coûts de licence si vous n’utilisez que deux appareils. Vous ne payez que lorsque l’instance fonctionne. Je vous suggère d’obtenir une Elastic si vous ne voulez pas reconfigurer tous les jours. Je fais fonctionner plusieurs instances t3 sans aucun problème.
Le niveau gratuit permet deux connexions, sans coûts de licence.
L’autre chose que vous pouvez faire est d’utiliser un groupe de sécurité qui autorise l’accès à votre VPN en utilisant une liste de préfixes pour vos adresses IP entrantes.
Vous ne pouvez pas désactiver un VPN client, donc vous devrez le supprimer et le recréer.
Si le coût est une préoccupation, l’option la plus économique est une instance EC2 en tant qu’hôte bastion, que vous pouvez simplement arrêter/démarrer selon vos besoins.
Vous devrez reconfigurer votre client VPN chaque fois que vous recréez le Point de Terminaison VPN. J’ai travaillé beaucoup avec cela et je ne le recommande honnêtement pas pour votre cas d’usage.
Je recommanderais le module terraform de cloud posse. Vous pourriez probablement l’activer ou le désactiver en fournissant une liste vide de sous-réseaux à ce module.
Et pour le coût, rien ne vous oblige à une association dans chaque sous-réseau du VPC.
C’est très cher. J’ai fini par utiliser une instance bastion. J’ai un script qui la démarre quand j’en ai besoin et se connecte via SSM, donc toujours pas d’IP publique.
Juste pour vous prévenir que les passerelles NAT coûtent aussi. Elles coûtent environ 25-30 $ par mois, mais vous pouvez utiliser le calculateur de prix AWS pour obtenir la meilleure estimation.
Une EC2 avec une EIP coûtera également lorsque vous ne l’utilisez pas, en raison des changements de prix EIP, mais c’est toujours moins cher qu’un VPN client.