Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Centralice la conectividad de red con AWS Transit Gateway
Creado por Mydhili Palagummi () y Nikhil Marrapu () AWS AWS
Entorno: producción | Tecnologías: redes | AWSservicios: AWS Transit Gateway; Amazon VPC |
Resumen
Este patrón describe la configuración más sencilla en la que AWS Transit Gateway se puede utilizar para conectar una red local a nubes privadas virtuales (VPCs) en varias AWS cuentas de una AWS región. Con esta configuración, puede establecer una red híbrida que conecte varias VPC redes de una región y una red local. Esto se logra mediante una puerta de enlace de tránsito y una conexión de red privada virtual (VPN) a la red local.
Requisitos previos y limitaciones
Requisitos previos
Una cuenta para alojar servicios de red, administrada como una cuenta de miembro de una organización en AWS Organizations
VPCsen varias AWS cuentas, sin superponer los bloques de Classless Inter-Domain Routing () CIDR
Limitaciones
Este patrón no admite el aislamiento del tráfico entre una red determinada VPCs o una red local. Todas las redes conectadas a la puerta de enlace de tránsito podrán comunicarse entre sí. Para aislar el tráfico, debe usar tablas de enrutamiento personalizadas en la puerta de enlace de tránsito. Este patrón solo conecta la VPCs red local con una única tabla de rutas de Transit Gateway predeterminada, que es la configuración más sencilla.
Arquitectura
Pila de tecnología de destino
AWS Transit Gateway
AWS Site-to-Site VPN
VPC
AWSResource Access Manager (AWSRAM)
Arquitectura de destino
Herramientas
AWSservicios
AWSResource Access Manager (AWSRAM) le ayuda a compartir de forma segura sus recursos entre sus AWS cuentas, unidades organizativas o toda la organización desde AWS Organizations.
AWSTransit Gateway es un centro central que conecta nubes privadas virtuales (VPCs) y redes locales.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Crear una puerta de enlace de tránsito | En la AWS cuenta en la que desee alojar los servicios de red, cree una puerta de enlace de tránsito en la AWS región de destino. Para obtener instrucciones, consulte Creación de una puerta de enlace de tránsito. Tenga en cuenta lo siguiente:
| Administrador de red |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Configure un dispositivo de pasarela de cliente para la VPN conexión. | El dispositivo de puerta de enlace del cliente está conectado al lado local de la Site-to-Site VPN conexión entre la puerta de enlace de tránsito y la red local. Para obtener más información, consulte Su dispositivo de pasarela de clientes en la AWS Site-to-Site VPN documentación. Identifique o inicie un dispositivo de cliente en las instalaciones compatible y anote su dirección IP pública. VPNla configuración se completa más adelante en esta epopeya. | Administrador de red |
En la cuenta de servicios de red, cree un VPN adjunto a la puerta de enlace de tránsito. | Para configurar una conexión, cree un VPN adjunto para la pasarela de tránsito. Para obtener instrucciones, consulta los VPNarchivos adjuntos de la pasarela de tránsito. | Administrador de red |
Configure VPN el dispositivo de puerta de enlace del cliente en su red local. | Descargue el archivo de configuración de la Site-to-Site VPN conexión asociada a la pasarela de tránsito y configure los VPN ajustes en el dispositivo de pasarela del cliente. Para obtener las instrucciones, consulte Descargar el archivo de configuración. | Administrador de red |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
En la AWS cuenta de administración de Organizations, activa el uso compartido. | Para compartir la pasarela de transporte con tu organización o con determinadas unidades organizativas, activa el uso compartido en AWS Organizations. De lo contrario, tendrá que compartir la puerta de enlace de tránsito de cada cuenta de forma individual. Para obtener instrucciones, consulte Habilitar el uso compartido de recursos en AWS Organizations. | AWSadministrador de sistemas |
Cree el recurso compartido de la puerta de enlace de tránsito en la cuenta de servicios de red. | Para permitir que otras AWS cuentas de su organización se VPCs conecten a la pasarela de tránsito, en la cuenta de servicios de red, utilice la AWS RAM consola para compartir el recurso de la pasarela de tránsito. Para obtener instrucciones, consulte Crear un recurso compartido. | AWSadministrador de sistemas |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Crea VPC archivos adjuntos en cuentas individuales. | En las cuentas con las que se ha compartido la pasarela de transporte, cree VPC archivos adjuntos a la pasarela de transporte. Para obtener instrucciones, consulte Crear una pasarela de transporte adjunta a un VPC. | Administrador de red |
Acepte las solicitudes de VPC archivos adjuntos. | En la cuenta de servicios de red, acepte las solicitudes de VPC adjuntos de Transit Gateway. Para obtener instrucciones, consulte Aceptar un archivo adjunto compartido. | Administrador de red |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Configure las rutas en una cuenta individualVPCs. | En cada cuenta individualVPC, agrega rutas a la red local y a otras VPC redes, utilizando la puerta de enlace de tránsito como destino. Para obtener instrucciones, consulte Agregar y eliminar rutas de una tabla de enrutamiento. | Administrador de red |
Configure la ruta a la tabla de enrutamiento de la puerta de enlace de tránsito. | Las rutas de VPCs origen y la VPN conexión se deben propagar y deben aparecer en la tabla de rutas predeterminada de la pasarela de tránsito. Si es necesario, cree cualquier ruta estática (un ejemplo son las rutas estáticas para la VPN conexión estática) en la tabla de rutas predeterminada de la pasarela de tránsito. Para obtener instrucciones, consulte Crear una ruta estática. | Administrador de red |
Agregue reglas de grupos de seguridad y listas de control de acceso a la red (ACL). | Para las EC2 instancias y otros recursos de laVPC, asegúrese de que las reglas del grupo de seguridad y las ACL reglas de red permitan el tráfico entre VPCs la red local y la red local. Para obtener instrucciones, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad y Agregar y eliminar reglas de un ACL. | Administrador de red |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Pruebe la conectividad entreVPCs. | Asegúrese de que los grupos de red ACL y seguridad permitan el tráfico del Protocolo de mensajes de control de Internet (Internet Control Message ProtocolICMP) y, a continuación, haga ping desde las instancias de una instancia VPC a otra VPC que también esté conectada a la puerta de enlace de tránsito. | Administrador de red |
Pruebe la conectividad entre la red local VPCs y la red local. | Asegúrese de que ACL las reglas de la red, las reglas de los grupos de seguridad y los firewalls permiten ICMP el tráfico y, a continuación, haga ping entre la red local y las EC2 instancias de la. VPCs La comunicación de red debe iniciarse primero desde la red local para que la VPN conexión recupere el estado. | Administrador de red |
Recursos relacionados
Creación de una infraestructura VPC AWS multired escalable y segura
(documento AWS técnico) Trabajar con pasarelas de tránsito (documentación de AWS Transit Gateway)
