Patrones de acceso para acceder a una ElastiCache caché en una Amazon VPC - Amazon ElastiCache
Acceso a una ElastiCache caché cuando ésta y la instancia de Amazon EC2 se encuentran en la misma Amazon VPCAcceso a una ElastiCache memoria caché cuando ésta y la instancia de Amazon EC2 se encuentran en distintas Amazon VPCAcceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Patrones de acceso para acceder a una ElastiCache caché en una Amazon VPC

Amazon ElastiCache admite los siguientes escenarios para acceder a una caché en una Amazon VPC:

Acceso a una ElastiCache caché cuando ésta y la instancia de Amazon EC2 se encuentran en la misma Amazon VPC

El caso de uso más común es cuando una aplicación implementada en una instancia EC2 debe conectarse a una caché en la misma VPC.

En el siguiente diagrama se ilustra este escenario.

Imagen: diagrama que muestra la aplicación y ElastiCache en la misma VPC

La forma más sencilla de administrar el acceso entre instancias EC2 y cachés de la misma VPC es hacer lo siguiente:

  1. Crear un grupo de seguridad VPC para la caché. Este grupo de seguridad se puede utilizar para restringir el acceso a la caché. Por ejemplo, puede crear una regla personalizada para este grupo de seguridad que permita el acceso mediante TCP utilizando el puerto que asignó a la caché cuando la creó y una dirección IP que se utilizará para obtener acceso a la caché.

    El puerto predeterminado para las cachés de Memcached es 11211.

  2. Cree un grupo de seguridad de VPC para sus instancias EC2 (servidores web y de aplicaciones). Si es necesario, este grupo de seguridad puede permitir el acceso a la instancia EC2 desde Internet a través de la tabla de enrutamiento de la VPC. Por ejemplo, puede establecer reglas en este grupo de seguridad para permitir el acceso mediante TCP a la instancia EC2 a través del puerto 22.

  3. Crear reglas personalizadas en el grupo de seguridad para la caché que permitan las conexiones desde el grupo de seguridad que ha creado para las instancias EC2. Esto permitirá a cualquier miembro del grupo de seguridad obtener acceso a las cachés.

nota

Si planea utilizar Local Zones, asegúrese de que las ha habilitado. Cuando crea un grupo de subredes en esa zona local, la VPC se amplía a dicha zona local y la VPC tratará la subred como cualquier subred de cualquier otra zona de disponibilidad. Todas las gateways y tablas de enrutamiento relevantes se ajustarán de forma automática.

Para crear una regla en un grupo de seguridad de VPC que permita establecer conexiones desde otro grupo de seguridad

  1. Inicie sesión en la consola AWS de administración y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

  2. En el panel de navegación, elija Grupos de seguridad.

  3. Seleccione o cree un grupo de seguridad que utilizará para la caché En Inbound Rules (Reglas de entrada), seleccione Edit Inbound Rules (Editar reglas de entrada) y, a continuación, seleccione Add Rule (Agregar regla). Este grupo de seguridad permitirá el acceso a los miembros de otro grupo de seguridad.

  4. En Type (Tipo), elija Custom TCP Rule (Personalizar regla de TCP).

    1. En Rango de puerto, especifique el puerto que utilizó al crear la caché.

      El puerto predeterminado para las cachés de Memcached es 11211.

    2. En el cuadro Source (Fuente), comience a escribir el ID del grupo de seguridad. Desde la lista, seleccione el grupo de seguridad que utilizará para sus instancias de Amazon EC2.

  5. Cuando haya terminado, elija Save (Guardar).

    Imagen: pantalla para editar una regla de VPC de entrada

Acceso a una ElastiCache memoria caché cuando ésta y la instancia de Amazon EC2 se encuentran en distintas Amazon VPC

Cuando una caché está en una VPC que no coincide con la de la instancia EC2 que se está utilizando para acceder a ella, hay varias formas de obtener acceso a la caché. Si la caché y la instancia EC2 están en VPC distintas, pero en la misma región, puede utilizar la conexión de emparejamiento de VPC. Si la caché y la instancia EC2 se encuentran en distintas regiones, puede crear conectividad de VPN entre regiones.

 

Acceso a una ElastiCache caché cuando ésta y la instancia de Amazon EC2 se encuentran en distintas Amazon VPC en la misma región

En el siguiente diagrama, se ilustra el acceso a una caché por parte de una instancia de Amazon EC2 en una Amazon VPC diferente y en la misma región a través de una conexión de emparejamiento de VPC.

Imagen: diagrama que muestra la aplicación y ElastiCache las diferentes VPC de la misma región

Acceso a caché de una instancia de Amazon EC2 en una Amazon VPC diferente dentro de la misma región: conexión de emparejamiento de VPC

Una conexión de emparejamiento de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entre ellas mediante direcciones IP privadas. Las instancias de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red. Puede crear una conexión de emparejamiento de VPC entre sus propias Amazon VPC o con una Amazon VPC de otra AWS cuenta de una sola región. Para obtener más información sobre la conexión de emparejamiento de Amazon VPC, consulte la documentación de VPC.

nota

La resolución de nombres DNS puede fallar en las VPC emparejadas, según las configuraciones aplicadas a la ElastiCache VPC. Para solucionar esto, ambas VPC deben tener habilitados los nombres de host DNS y la resolución de DNS. Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.

Para obtener acceso a una caché en una Amazon VPC diferente a través de emparejamiento

  1. Asegúrese de que las dos VPC no tengan rangos de IP solapados o no podrá interconectarlas.

  2. Coloque las dos VPC al mismo nivel. Para obtener más información, consulte Creación y aceptación de interconexiones de Amazon VPC.

  3. Actualice su tabla de ruteo. Para obtener más información, consulte Actualización de las tablas de ruteo para interconexiones de VPC

    A continuación, se muestra el aspecto que tienen las tablas de ruteo para el ejemplo del diagrama anterior. Tenga en cuenta que pcx-a894f1c1 es la conexión de emparejamiento.

    Imagen: captura de pantalla de una tabla de enrutamiento de VPC

    Tabla de enrutamiento de VPC

  4. Modifique el grupo de seguridad de la ElastiCache memoria caché para permitir la conexión entrante desde el grupo de seguridad de la aplicación en la VPC interconectada. Para obtener más información, consulte Actualización de los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivel.

El acceso a una caché a través de una conexión de emparejamiento generará costos de transferencia de datos adicionales.

Uso de Transit Gateway

Una puerta de enlace de tránsito le permite conectar VPC y conexiones VPN en la misma AWS región y enrutar el tráfico entre ellas. Una pasarela de transporte público funciona en todas AWS las cuentas y puedes usar AWS Resource Access Manager para compartir tu pasarela de transporte público con otras cuentas. Después de compartir una pasarela de transporte público con otra AWS cuenta, el propietario de la cuenta puede adjuntar sus VPC a la pasarela de transporte público. Un usuario de cualquiera de las cuentas puede eliminar la vinculación en cualquier momento.

Puede habilitar la multidifusión en una puerta de enlace de tránsito y, a continuación, crear un dominio de multidifusión de transit puerta de enlace que permita que el tráfico de multidifusión se envíe desde el origen de multidifusión a los miembros del grupo de multidifusión a través de conexiones de la VPC que asocie con el dominio.

También puedes crear un adjunto de conexión entre pasarelas de tránsito de distintas regiones. AWS Esto le permite dirigir el tráfico entre las vinculaciones de las transit gateways a través de diferentes regiones.

Para obtener más información, consulte Transit gateways.

Acceso a una ElastiCache caché cuando ésta y la instancia de Amazon EC2 se encuentran en distintas Amazon VPC en distintas regiones

Uso de la VPC de tránsito

Una alternativa a la utilización de la conexión de emparejamiento de VPC, otra estrategia común para conectar varias VPC y redes remotas dispersas geográficamente es crear una VPC de tránsito que sirva como un centro de tránsito de red global. Una VPC de tránsito simplifica la administración de la red y minimiza el número de conexiones necesarias para conectar varias VPC y redes remotas. Este diseño puede ahorrar tiempo y esfuerzo, además de reducir los costos, ya que se implementa prácticamente sin los gastos tradicionales de establecer una presencia física en un hub de tránsito de coubicación o de implementar un equipo de red física.

Imagen: diagrama que muestra la conexión entre VPC diferentes en distintas regiones

Conexión entre VPC diferentes en distintas regiones

Una vez establecida la VPC Amazon de Transit, una aplicación desplegada en una VPC «radial» de una región puede conectarse a una ElastiCache caché de una VPC «radial» de otra región.

Para acceder a una caché en una VPC diferente dentro de una región diferente AWS

  1. Implemente una solución de VPC de tránsito. Para obtener más información, consulte AWS Transit Gateway.

  2. Actualice las tablas de enrutamiento de la VPC en la aplicación y las VPC de la caché para direccionar el tráfico a través de la VGW (gateway privada virtual) y el dispositivo de VPN. En caso de que se produzca el enrutamiento dinámico con el protocolo de gateway fronteriza (BGP), las rutas se pueden propagar automáticamente.

  3. Modifique el grupo de seguridad de su ElastiCache caché para permitir la conexión entrante desde el rango de IP de las instancias de aplicación. Tenga en cuenta que no podrá remitirse al grupo de seguridad de servidor de la aplicación en este caso.

El acceso a una caché entre regiones conllevará latencias de red y costos adicionales de transferencia de datos entre regiones.

Acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente

Otro escenario posible es una arquitectura híbrida en la que los clientes o las aplicaciones del centro de datos del cliente puedan necesitar acceder a una ElastiCache memoria caché en la VPC. Esta situación también se admite, siempre que haya conectividad entre la VPC del cliente y el centro de datos, ya sea a través de la VPN como de Direct Connect.

 

Acceder a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente mediante la conectividad VPN

El siguiente diagrama ilustra el acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en la red corporativa mediante conexiones VPN.

Imagen: diagrama que muestra la conexión ElastiCache desde su centro de datos a través de una VPN

Conexión ElastiCache desde su centro de datos a través de una VPN

Para obtener acceso a una caché en una VPC desde una aplicación local a través de una conexión de VPN

  1. Para establecer la conectividad de VPN, agregue una gateway privada virtual de hardware a su VPC. Para obtener más información, consulte Adición de una gateway privada virtual de hardware a la VPC.

  2. Actualice la tabla de enrutamiento de VPC de la subred en la que se implementa la ElastiCache caché para permitir el tráfico desde el servidor de aplicaciones local. En caso de que se produzca el enrutamiento dinámico con BGP, las rutas se pueden propagar automáticamente.

  3. Modifique el grupo de seguridad de su ElastiCache caché para permitir la conexión entrante desde los servidores de aplicaciones locales.

El acceso a una caché a través de una conexión de VPN conllevará latencias de red y costos adicionales de transferencia de datos.

 

Acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente mediante Direct Connect

El siguiente diagrama ilustra el acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en la red corporativa mediante Direct Connect.

Imagen: diagrama que muestra la conexión ElastiCache desde su centro de datos a través de Direct Connect

Conexión ElastiCache desde su centro de datos a través de Direct Connect

Para acceder a una ElastiCache memoria caché desde una aplicación que se ejecuta en la red mediante Direct Connect

  1. Establezca la conectividad de Direct Connect. Para obtener más información, consulte Introducción a AWS Direct Connect.

  2. Modifique el grupo de seguridad de la ElastiCache memoria caché para permitir la conexión entrante desde los servidores de aplicaciones locales.

El acceso a una caché a través de una conexión de DX puede conllevar latencias de red y cargos adicionales por transferencia de datos.