Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Arquitectura 3: AWS Transit Gateway
AWS Transit Gateway es un servicio de enrutamiento administrado que conecta las VPC y redes en las instalaciones. La puerta de enlace de tránsito puede ayudarlo a simplificar la topología de la red y evitar relaciones de intercambio de tráfico complejas entre un gran número de VPC.
Transit Gateway funciona como un enrutador en la nube. Cada nueva conexión solo se realiza una vez entre una VPC y la puerta de enlace de tránsito. Al usar la puerta de enlace de tránsito como un centro que admite el enrutamiento transitivo, no necesita agregar relaciones de interconexión entre cada una de las VPC de una topología de malla. Para obtener más información sobre Transit Gateway y sus cuotas, consulte Cuotas de las puertas de enlace de tránsito.
El uso de Transit Gateway para integrar un servicio de terceros tiene las siguientes ventajas:
-
Admite tráfico bidireccional entre sus VPC y la red de terceros
-
Admite todos los tipos de tráfico IP (tanto TCP como UDP)
-
Implementa un punto de inspección de tráfico centralizado entre sus VPC y la red de terceros
-
Se escala fácilmente a medida que cambia la cantidad de VPC involucradas en la integración
Las desventajas de usar una solución de Transit Gateway incluyen:
-
Esta opción suele ser más costosa que las opciones de interconexión directa.
-
No se admiten bloques de CIDR superpuestos.
-
Muchos proveedores externos no admiten esta solución porque quieren mantener un control total y minimizar el uso compartido de componentes con sus clientes.
En el siguiente diagrama de arquitectura, se muestra una representación simplificada del uso de Transit Gateway para conectar sus VPC a las de un proveedor externo. Cada VPC se conecta a la puerta de enlace de tránsito y la puerta de enlace admite el enrutamiento transitivo entre todas las VPC conectadas.
Sin embargo, la configuración real tiene más matices y esta arquitectura se divide en diferentes consideraciones y opciones de implementación.
Centralizar la inspección de la red
Si usa Transit Gateway, puede implementar un punto de inspección de tráfico de red centralizado, una VPC de inspección dedicada. Al utilizar rutas estáticas en la tabla de enrutamiento asociada a la interconexión entre regiones, puede dirigir el tráfico procedente de la red de terceros a la VPC de inspección. Para inspeccionar el tráfico, puede utilizar AWS Network Firewall o un Equilibrador de carga de puerta de enlace de AWS combinado con dispositivos de seguridad virtual implementados en instancias de Amazon Elastic Compute Cloud (Amazon EC2). Para obtener más información, consulte Modelo de implementación centralizado en Modelos de implementación para AWS Network Firewall
La puerta de enlace de tránsito debe estar en el modo dispositivo para que el accesorio de VPC de inspección enrute el tráfico bidireccional simétricamente. Como se muestra en el siguiente diagrama de arquitectura, la puerta de enlace de tránsito dirige el tráfico desde las VPC conectadas a una interfaz de red elástica en la VPC de inspección.
Selección de una opción de implementación
Lo primero que debe tener en cuenta es si utilizará una puerta de enlace de tránsito existente en su red o si va a crear una nueva puerta de enlace de tránsito dedicada. Recomendamos implementar una nueva puerta de enlace de tránsito dedicada porque demuestra que ofrece más control y separación de la red de terceros. Los ejemplos de arquitecturas de esta guía crean una nueva puerta de enlace de tránsito y usted puede crear interconexiones entre la puerta de enlace existente y la nueva.
Lo segundo que debe tener en cuenta es qué arquitectura es la mejor para su caso de uso:
-
Arquitectura 3.1: Puerta de enlace de tránsito con AWS RAM: en esta opción de implementación, comparte una única puerta de enlace de tránsito con la cuenta de terceros. Usted usa AWS Resource Access Manager (AWS RAM) para configurar la relación de uso compartido.
-
Arquitectura 3.2: interconexión de la puerta de enlace de tránsito: en esta opción de implementación, crea una interconexión entre dos puertas de enlace de tránsito, una en su cuenta y otra en la cuenta de terceros.
Al seleccionar una de estas opciones, tenga en cuenta los siguientes beneficios y desventajas de cada una de ellas.
| Arquitectura 3.1: Puerta de enlace de tránsito con AWS RAM | Arquitectura 3.2: interconexión de la puerta de enlace de tránsito | |
|---|---|---|
| Beneficios | No se requiere una puerta de enlace de tránsito en la cuenta de terceros, lo que permite una arquitectura más optimizada. | Un tercero podría considerar que esta solución es más aceptable porque le brinda un mayor control de la configuración de la red. |
| Como propietario de la puerta de enlace de tránsito compartido, tiene un control y una visibilidad mejorados. | Ha reducido el esfuerzo operativo porque el tercero mantiene sus propias conexiones de VPC. | |
| Desventajas | Es posible que el tercero se muestre reacio porque reduce su control sobre la configuración de la red. | La arquitectura de red es más compleja. |
| Usted es responsable de configurar las conexiones de puerta de enlace de tránsito a las VPC de la cuenta de terceros. | Esta arquitectura crea un salto adicional en la ruta de tráfico. |
Consideraciones sobre costos
Tenga en cuenta también las siguientes implicaciones de costo al decidir entre estas opciones:
-
La tarifa por hora de la conexión de puerta de enlace de tránsito se cobra al propietario de la cuenta de la conexión (o VPC). Algunos costos serán de su propiedad y otros serán propiedad de un tercero.
-
El procesamiento de datos se carga al propietario de la VPC que envía el tráfico a través de la puerta de enlace de tránsito. La recepción de datos de puerta de enlace de tránsito es gratuita.
-
No se cobran cargos por procesamiento de datos para los datos enviados entre dos puertas de enlace de tránsito interconectadas.
Para obtener más información, consulte Precios de Transit Gateway
