Garantir a segurança da comunicação entre os sites, usando o VPN CloudHub

Caso haja várias conexões AWS Site-to-Site VPN, é possível fornecer uma comunicação segura entre os sites, usando o AWS VPN CloudHub. Isso permite que os sites comuniquem-se entre si e não somente com os recursos na VPC. O VPN CloudHub opera em um modelo simples de hub e spoke que pode ser usado com ou sem uma VPC. Esse design é adequado quando você tem várias filiais e conexões de internet e deseja implementar um modelo hub e spoke conveniente e possivelmente de baixo custo para a conectividade principal ou de backup entre os sites.

Visão geral

O diagrama a seguir mostra a arquitetura do VPN CloudHub. As linhas tracejadas mostram o tráfego de rede entre sites remotos roteado pelas conexões VPN. Os sites não devem ter intervalos de IP sobrepostos.

Para este cenário, faça o seguinte:

1. Crie um único gateway privado virtual.

2. Crie vários gateways do cliente, cada um com o endereço IP público do gateway. Você deve usar um número de sistema autônomo (ASN) do Border Gateway Protocol (BGP) exclusivo para cada gateway do cliente.

3. Crie uma conexão do Site-to-Site VPN encaminhada dinamicamente de cada gateway do cliente com um gateway privado virtual comum.

4. Configure cada dispositivo de gateway do cliente para anunciar um prefixo específico do site (como 10.0.0.0/24, 10.0.1.0/24) para o gateway privado virtual. Esses anúncios de roteamento são recebidos e novamente anunciados para cada ponto BGP, permitindo o envio e o recebimento de dados entre os sites. Isso é feito por meio das instruções da rede, localizadas nos arquivos de configuração para a conexão do Site-to-Site VPN. As instruções da rede diferem ligeiramente, dependendo do tipo de roteador usado.

5. Configure as rotas em suas tabelas de rotas de sub-rede para permitir que as instâncias em sua VPC se comuniquem com seus sites. Para obter mais informações, consulte (Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas. É possível configurar uma rota agregada na tabela de rotas (por exemplo, 10.0.0.0/16). Use prefixos mais específicos entre os dispositivos de gateway do cliente e o gateway privado virtual.

Sites que usam as conexões AWS Direct Connect para o gateway privado virtual também podem fazer parte do AWS VPN CloudHub. Por exemplo, a sede corporativa em Nova York pode ter uma conexão AWS Direct Connect com a VPC, enquanto as filiais usam as conexões Site-to-Site VPN para a VPC. A sede corporativa e as filiais em Los Angeles e Miami podem enviar e receber dados entre si, todas usando o AWS VPN CloudHub.

Preços

Ao usar o AWS VPN CloudHub, as taxas usuais de conexão do Site-to-Site VPN típicas da Amazon VPC são cobradas. A quantia devida pela taxa de conexão é calculada pelo total de horas em que cada VPN esteve conectada ao gateway privado virtual. Usando o AWS VPN CloudHub, os dados do seu site são enviados para o gateway privado virtual sem nenhum custo, de um site para outro. Pague somente as taxas de transferência de dados da AWS padrão em função da retransmissão dos dados do gateway privado virtual para o endpoint.

Por exemplo, se você tiver um site em Los Angeles e um segundo site em Nova York, e ambos os sites tiverem uma conexão do Site-to-Site VPN com o gateway privado virtual, você pagará a taxa por hora para cada conexão do Site-to-Site VPN (portanto, se a taxa fosse de 0,05 USD por hora, a cobrança total será de 0,10 USD por hora). Você também paga as taxas de transferência de dados padrão da AWS para todos os dados enviados de Los Angeles para Nova York (e vice-versa) que atravessam cada conexão do Site-to-Site VPN. O tráfego de rede enviado pela conexão do Site-to-Site VPN ao gateway privado virtual é gratuito, mas o tráfego de rede enviado pela conexão do Site-to-Site VPN do gateway privado virtual para o endpoint é cobrado pela taxa de transferência de dados padrão da AWS.

Para obter mais informações, consulte Definição de preço da conexão do Site-to-Site VPN.