Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Automatice la configuración del emparejamiento entre regiones con AWS Transit Gateway
Creado por Ram Kandaswamy (AWS)
Entorno: producción | Tecnologías: redes; nube híbrida | Servicios de AWS: AWS Transit Gateway; AWS Step Functions; AWS Lambda |
Resumen
AWS Transit Gateway conecta las nubes privadas virtuales (VPC) y redes en las instalaciones mediante un núcleo central. El tráfico de Transit Gateway siempre permanece en la red troncal global de Amazon Web Services (AWS) y no atraviesa la Internet pública, lo que reduce los vectores de amenazas, como las vulnerabilidades más comunes y los ataques de denegación de servicio distribuido (DDoS).
Si usted necesita comunicarse entre dos o más regiones de AWS, puede utilizar el emparejamiento entre regiones de Transit Gateway para establecer conexiones de interconexión entre las puertas de enlace de tránsito de distintas regiones. Sin embargo, configurar manualmente el emparejamiento entre regiones con Transit Gateway puede ser un proceso lento que consta de varios pasos. Este patrón proporciona un proceso automatizado para eliminar estos pasos manuales mediante el uso de código para realizar el emparejamiento. Usted puede utilizar este enfoque si tiene que configurar varias regiones y cuentas de AWS de forma repetida durante la configuración de una organización multirregional.
Este patrón utiliza una CloudFormation pila de AWS que incluye el flujo de trabajo de AWS Step Functions, las funciones de AWS Lambda, las funciones de AWS Identity and Access Management (IAM) y los grupos de registros en Amazon Logs. CloudWatch A continuación, puede iniciar una ejecución de Step Functions y crear el emparejamiento entre regiones para sus puertas de enlace de tránsito.
Requisitos previos y limitaciones
Requisitos previos
Una cuenta de AWS activa.
Un bucket existente de Amazon Simple Storage Service (Amazon S3)
Puertas de enlace de tránsito, creadas y configuradas en la región solicitante y en las regiones receptoras. La región solicitante es el lugar donde se origina una solicitud de emparejamiento y las regiones receptoras aceptan la solicitud de interconexión. Para obtener más información al respecto, consulte Creación y aceptación de conexiones de emparejamiento de VPC en la documentación de Amazon VPC.
VPC, instaladas y configuradas en las regiones receptora y solicitante. Para ver los pasos para crear una VPC, consulte Creación de VPC desde Introducción a Amazon VPC en la documentación de Amazon VPC.
Las VPC deben usar la etiqueta
addToTransitGatewayy el valortrue.Grupos de seguridad y listas de control de acceso (ACL) de red para sus VPC, configurados de acuerdo con sus requisitos. Para obtener más información al respecto, consulte Grupos de seguridad de su VPC y las ACL de red en la documentación de Amazon VPC.
Regiones y limitaciones de AWS
Solo algunas regiones de AWS son compatibles con el emparejamiento entre regiones. Para obtener una lista completa de las regiones que admiten el emparejamiento entre regiones, consulte las preguntas frecuentes sobre AWS Transit Gateway
. En el código de ejemplo adjunto, se supone que la región solicitante es
us-east-2y que la región receptoraus-west-2. Si desea configurar diferentes regiones, debe editar estos valores en todos los archivos de Python. Para implementar una configuración más compleja que incluya más de dos regiones, puede cambiar la función Step para pasar las regiones como parámetro a la función de Lambda y ejecutar la función para cada combinación.
Arquitectura
El diagrama muestra un flujo de trabajo con los siguientes pasos:
El usuario crea una CloudFormation pila de AWS.
AWS CloudFormation crea una máquina de estados Step Functions que utiliza una función Lambda. Para obtener más información al respecto, consulte Creación de una máquina de estados de Step Functions que utilice Lambda en la documentación de AWS Step Functions.
Step Functions llama a una función de Lambda para el emparejamiento.
La función de Lambda crea una conexión de emparejamiento entre puertas de enlace de tránsito.
Step Functions llama a una función de Lambda para modificar la tabla de enrutamiento.
La función de Lambda modifica las tablas de enrutamiento al agregar el bloque de enrutamiento entre dominios sin clases (CIDR) de las VPC.
Flujo de trabajo de Step Functions
El diagrama muestra el siguiente flujo de trabajo de Step Functions:
El flujo de trabajo de Step Functions llama a la función de Lambda para el emparejamiento de la puerta de enlace de tránsito.
Hay una llamada en el temporizador para esperar un minuto.
El estado de emparejamiento se recupera y se envía al bloque de condiciones. El bloque es responsable del bucle.
Si no se cumple la condición de éxito, el flujo de trabajo se codifica para entrar en la fase de temporización.
Si se cumple la condición de éxito, se llama a una función de Lambda para modificar las tablas de enrutamiento. Tras esta llamada, finaliza el flujo de trabajo de Step Functions.
Herramientas
AWS CloudFormation: AWS CloudFormation es un servicio que le ayuda a modelar y configurar sus recursos de AWS.
Amazon CloudWatch Logs: CloudWatch Logs le ayuda a centralizar los registros de todos los sistemas, aplicaciones y servicios de AWS que utilice.
AWS Identity and Access Management (IAM): IAM es un servicio web que le ayuda a controlar el acceso seguro a los servicios de AWS.
AWS Lambda: Lambda ejecuta el código en una infraestructura informática de alta disponibilidad y realiza todas las tareas de administración de los recursos informáticos.
AWS Step Functions: Step Functions facilita la organización de los componentes de sus aplicaciones distribuidas en una serie de pasos en un flujo de trabajo visual.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cargue los archivos adjuntos en el bucket de S3. | Inicie sesión en la consola de administración de AWS, abra la consola de Amazon S3 y, a continuación cargue los archivos | AWS general |
Cree la CloudFormation pila de AWS. | Ejecute el siguiente comando para crear una CloudFormation pila de AWS mediante el
La CloudFormation pila de AWS crea el flujo de trabajo de Step Functions, las funciones de Lambda, las funciones de IAM y CloudWatch los grupos de registros. Asegúrese de que la CloudFormation plantilla de AWS haga referencia al depósito de S3 que contiene los archivos que cargó anteriormente. Nota: También puede crear una pila mediante la CloudFormation consola de AWS. Para obtener más información al respecto, consulte Crear una pila en la CloudFormation consola de AWS en la CloudFormation documentación de AWS. | DevOps ingeniero |
Inicie una nueva ejecución en Step Functions. | Abra la consola Step Functions e inicie una nueva ejecución. Step Functions llama a la función de Lambda y crea la conexión de emparejamiento para las puertas de enlace de tránsito. No es necesario introducir un archivo JSON. Compruebe que haya un archivo adjunto disponible y que el tipo de conexión sea Peering (Emparejamiento). Para obtener más información al respecto, consulte Iniciar una nueva ejecución desde Cómo empezar con AWS Step Functions en la documentación de AWS Steps Functions. | DevOps ingeniero, AWS general |
Verifique las rutas en las tablas de enrutamiento. | El emparejamiento entre regiones se establece entre las puertas de enlace de tránsito. Las tablas de enrutamiento se actualizan con el rango de bloques CIDR de IPv4 de la VPC de la región homóloga. Abra la consola de Amazon VPC y elija la pestaña Associations (Asociaciones) en la tabla de enrutamiento que corresponde a la conexión de puerta de enlace de tránsito. Verifique el rango de bloques CIDR de VPC de las regiones emparejadas. Para obtener instrucciones y pasos detallados, consulte la tabla de enrutamiento Asociar una puerta de enlace de tránsito en la documentación de Amazon VPC. | Administrador de red |
Recursos relacionados
Conexiones
Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip
