Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funcionan las puertas de enlace de tránsito
Una puerta de enlace de tránsito actúa como un enrutador virtual regional del flujo de tráfico entre las nubes virtuales privadas (VPC) y las redes en las instalaciones. Una puerta de enlace de tránsito se escala de manera elástica en función del volumen de tráfico de red. El enrutamiento a través de una puerta de enlace de tránsito funciona en la capa 3, donde los paquetes se envían a una conexión específica del siguiente salto en función de las direcciones IP de destino.
Contenido
Diagrama de arquitectura
El diagrama siguiente muestra una puerta de enlace de tránsito con tres VPC adjuntas. La tabla de enrutamiento de cada una de estas VPC incluye la ruta local y las rutas que envían tráfico destinado a las otras dos VPC a la puerta de enlace de tránsito.
A continuación, se muestra un ejemplo de una tabla de enrutamiento de puerta de enlace de tránsito predeterminada para los adjuntos que aparecen en el diagrama anterior. Los bloques de CIDR de cada VPC se propagan a la tabla de enrutamiento. Por lo tanto, cada adjunto puede dirigir paquetes a los otros dos adjuntos.
| Destino | Objetivo | Tipo de ruta |
|---|---|---|
CIDR de VPC A |
Vinculación de la VPC A |
propagada |
CIDR de VPC B |
Vinculación de la VPC B |
propagada |
CIDR de VPC C |
Vinculación de la VPC C |
propagada |
Vinculaciones de recursos
Una conexión de puerta de enlace de tránsito es origen y destino de paquetes. Puede asociar los siguientes recursos a la puerta de enlace de tránsito:
-
Una o más VPC. AWS Transit Gateway implementa una interfaz de red elástica en las subredes de VPC, que luego utiliza la puerta de enlace de tránsito para enrutar el tráfico hacia y desde las subredes elegidas. Debe tener al menos una subred para cada zona de disponibilidad, lo que permite que el tráfico llegue a los recursos de todas las subredes de dicha zona. Durante la creación de una conexión, los recursos de una zona de disponibilidad determinada solo pueden llegar a una puerta de enlace de tránsito si una subred está habilitada dentro de la misma zona. Si una tabla de enrutamiento de subred incluye una ruta a la puerta de enlace de tránsito, el tráfico solo se reenvía a la puerta de enlace de tránsito cuando la gateway de tránsito tenga una conexión en una subred en la misma zona de disponibilidad.
-
Una o varias conexiones de VPN
-
Una o más puertas de enlace AWS Direct Connect
-
Una o varias vinculaciones de Transit Gateway Connect
-
Una o más interconexiones de puerta de enlace de tránsito
-
Una conexión de puerta de enlace de tránsito puede ser a la vez origen y destino de paquetes
Enrutamiento multiruta de igual costo
AWS Transit Gateway admite el enrutamiento de rutas múltiples de igual costo (ECMP) para la mayoría de los accesorios. Para una conexión de VPN, puede habilitar o deshabilitar la compatibilidad con ECMP mediante la consola al crear o modificar una puerta de enlace de tránsito. Para todos los demás tipos de conexiones, se aplican las siguientes restricciones de ECMP:
-
VPC: la VPC no admite ECMP, ya que los bloques CIDR no se pueden superponer. Por ejemplo, no puede vincular una VPC con un CIDR 10.1.0.0/16 a una segunda VPC que utilice el mismo CIDR a una puerta de enlace de tránsito, y a continuación, configurar el enrutamiento para equilibrar la carga del tráfico entre ellas.
-
VPN: cuando la opción de compatibilidad con ECMP de VPN está deshabilitada, una puerta de enlace de tránsito utiliza métricas internas para determinar la ruta preferida en caso de que haya prefijos iguales en varias rutas. Para obtener más información sobre cómo habilitar o deshabilitar el ECMP para una conexión de VPN, consulte Puertas de enlace de tránsito.
-
AWS Transit Gateway Connect: los accesorios AWS Transit Gateway Connect admiten automáticamente el ECMP.
-
AWS Direct Connect Puerta de enlace: los adjuntos de la AWS Direct Connect puerta de enlace admiten automáticamente el ECMP en varios archivos adjuntos de Direct Connect Gateway cuando el prefijo de red, la longitud del prefijo y AS_PATH son exactamente iguales.
-
Interconexión de puertas de enlace de tránsito: la interconexión de puertas de enlace de tránsito no admite ECMP, ya que no admite el enrutamiento dinámico ni puede configurar la misma ruta estática para dos destinos diferentes.
nota
-
No se admite BGP Multipath AS-Path Relax, por lo que no puede usar ECMP en diferentes números de sistema autónomo (ASN).
-
El ECMP no se admite entre diferentes tipos de conexiones. Por ejemplo, no puede habilitar el ECMP entre una VPN y una conexión de VPC. En su lugar, las rutas de puerta de enlace de tránsito se evalúan y el tráfico se enruta de acuerdo con la ruta evaluada. Para obtener más información, consulte Orden de evaluación de rutas.
-
Una única puerta de enlace de Direct Connect admite ECMP en varias interfaces virtuales de tránsito. Por lo tanto, le recomendamos que configure y utilice solo una puerta de enlace de Direct Connect y que no configure ni utilice varias puertas de enlace para aprovechar el ECMP. Para obtener más información sobre las puertas de enlace Direct Connect y las interfaces virtuales públicas, consulte ¿Cómo se configura una conexión AWS de Direct Connect activa/activa o activa/pasiva desde
una interfaz virtual pública? .
Zonas de disponibilidad
Al asociar una VPC a una puerta de enlace de tránsito, debe habilitar una o varias zonas de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico a los recursos de las subredes de VPC. Para habilitar cada una de las zonas de disponibilidad, solo debe especificar una subred. La puerta de enlace de tránsito ubica una interfaz de red en esa subred con una dirección IP de la subred. Una vez que haya habilitado una zona de disponibilidad, el tráfico se puede dirigir a todas las subredes en la VPC, no solo a la subred especificada o la zona de disponibilidad. Sin embargo, solo los recursos que residen en zonas de disponibilidad donde hay una conexión de puerta de enlace de tránsito pueden llegar a la puerta de enlace de tránsito.
Si el tráfico proviene de una zona de disponibilidad en la que el adjunto de destino no está presente, AWS Transit Gateway enrutará internamente ese tráfico a una zona de disponibilidad aleatoria en la que esté presente el adjunto. No se aplica ningún cargo adicional a la puerta de enlace de tránsito para este tipo de tráfico entre zonas de disponibilidad.
Se recomienda habilitar varias zonas de disponibilidad para garantizar la disponibilidad.
Uso de la compatibilidad del modo dispositivo
Si piensa configurar un dispositivo de red con estado en la VPC, puede habilitar la compatibilidad en modo dispositivo para la conexión de VPC en la que se encuentra la aplicación. Esto garantiza que la puerta de enlace de tránsito utilice la misma zona de disponibilidad para esa conexión de VPC durante la vida útil de un flujo de tráfico entre el origen y el destino. También permite que la puerta de enlace de tránsito envíe tráfico a cualquier zona de disponibilidad de la VPC, siempre y cuando exista una asociación de subred en esa zona. Para obtener más información, consulte Ejemplo: Dispositivo en una VPC de servicios compartidos.
Enrutamiento
La puerta de enlace de tránsito enruta paquetes de IPv4 e IPv6 entre conexiones mediante tablas de enrutamiento de puerta de enlace de tránsito. Puede configurar dichas tablas para propagar rutas desde las tablas de enrutamiento para las VPC, las conexiones VPN y las puertas de enlace de Direct Connect. También puede agregar rutas estáticas a las tablas de enrutamiento de la puerta de enlace de tránsito. Cuando un paquete proviene de una vinculación, se enruta a otra distinta mediante la ruta que coincide con la dirección IP de destino.
Solo las rutas estáticas son compatibles para las vinculaciones de interconexión de puerta de enlace de tránsito.
Contenido
Tablas de enrutamiento
La puerta de enlace de tránsito viene automáticamente con una tabla de enrutamiento predeterminada. Esta es la tabla de enrutamiento de asociación y de propagación predeterminada. Asimismo, si desactiva la propagación de rutas y la asociación de tablas de enrutamiento, AWS no crea una tabla de enrutamiento predeterminada para la puerta de enlace de tránsito.
Puede crear tablas de enrutamiento adicionales para la puerta de enlace de tránsito. Esto le permite aislar los subconjuntos de las vinculaciones. Cada vinculación se puede asociar con una tabla de enrutamiento. Una vinculación puede propagar sus rutas a una o más tablas de enrutamiento.
Puede crear una ruta de agujero negro en la tabla de enrutamiento de puerta de enlace de tránsito que reduce el tráfico que coincide con la ruta.
Al vincular una VPC a una puerta de enlace de tránsito, debe agregar una ruta a la tabla de enrutamiento de subred para que el tráfico se enrute a través de la puerta de enlace de tránsito. Para obtener más información, consulte Enrutamiento para una Transit Gateway en la Guía del usuario de Amazon VPC.
Asociación de tabla de enrutamiento
Puede asociar una puerta de enlaces de tránsito con una sola tabla de enrutamiento. Cada tabla de este tipo se puede asociar a un número variable de cero a varias vinculaciones y puede reenviar los paquetes a otras vinculaciones.
Propagación de rutas
Cada conexión incluye rutas que se pueden instalar en una o más tablas de enrutamiento de puerta de enlace de tránsito. Al propagarse una conexión a una tabla de enrutamiento de puerta de enlace de tránsito, estas rutas se instalan en la tabla. No es posible filtrar rutas anunciadas.
Para una vinculación de VPC, los bloques de CIDR de la VPC se propagan a la tabla de enrutamiento de la puerta de enlace de tránsito.
Cuando se utiliza el enrutamiento dinámico con una conexión de VPN o una vinculación de puerta de enlace de Direct Connect, puede propagar las rutas aprendidas desde el enrutador en las instalaciones mediante BGP a cualquiera de las tablas de enrutamiento de Transit Gateway.
Cuando se utiliza el enrutamiento dinámico con una conexión de VPN, las rutas de la tabla de enrutamiento asociadas con la conexión de VPN se anuncian en la puerta de enlace de cliente a través de BGP.
Para una conexión de Connect, las rutas de la tabla de enrutamiento asociada a la conexión de Connect se anuncian a los dispositivos virtuales de terceros, como dispositivos SD-WAN, que se ejecutan en una VPC a través de BGP.
En el caso de un adjunto a una pasarela Direct Connect, las interacciones con los prefijos permitidos controlan las rutas desde las que se anuncian en la red del cliente. AWS
Cuando una ruta estática y una ruta propagada tienen el mismo destino, la ruta estática tiene la prioridad más alta, por lo que la ruta propagada no se incluye en la tabla de enrutamiento. Si elimina la ruta estática, la ruta propagada superpuesta se incluirá en la tabla de enrutamiento.
Rutas para las vinculaciones de interconexiones
Puede unir dos puertas de enlace de tránsito y dirigir el tráfico entre ellas. Para ello, se debe crear una conexión de interconexión en la puerta de enlace de tránsito y especificar la puerta de enlace de tránsito de interconexión con la que crear la interconexión. A continuación, se crea una ruta estática en la tabla de enrutamiento de la gateway de tránsito para enrutar el tráfico a la conexión de la gateway de tránsito. El tráfico que se enruta a la gateway de tránsito de interconexión se puede enrutar a las conexiones de VPN y VPC para la puerta de enlace de tránsito de interconexión.
Para obtener más información, consulte Ejemplo: gateways de tránsito interconectadas.
Orden de evaluación de rutas
Las rutas de puerta de enlace de tránsito se evalúan en el siguiente orden:
-
La ruta más específica para la dirección de destino.
-
Para las rutas con el mismo CIDR, pero con diferentes tipos de conexiones, la prioridad de la ruta es la siguiente:
-
Rutas estáticas (por ejemplo, rutas estáticas de Site-to-Site VPN)
-
rutas de lista de prefijos de referencia
-
Rutas propagadas por VPC
-
Rutas propagadas por la puerta de enlace Direct Connect
-
Rutas propagadas por Transit Gateway Connect
-
VPN de sitio a sitio a través de rutas privadas propagadas por Direct Connect
-
Rutas propagadas por VPN de sitio a sitio
-
Rutas propagadas por emparejamiento de Transit Gateway (WAN en la nube)
-
Algunos archivos adjuntos admiten la publicidad de rutas a través de BGP. En el caso de las rutas con el mismo CIDR y desde el mismo tipo de adjunto, la prioridad de la ruta se controla mediante los atributos del BGP:
-
Longitud de ruta AS más corta
-
Valor MED más bajo
-
Se prefieren las rutas eBGP sobre las iBGP, si el adjunto lo admite
importante
AWS no se puede garantizar un orden de priorización de rutas coherente para las rutas BGP con el mismo CIDR, tipo de adjunto y atributos de BGP que los enumerados anteriormente.
AWS Transit Gateway solo muestra una ruta preferida. Una ruta de respaldo solo aparecerá en la tabla de rutas de Transit Gateway si esa ruta ya no se anuncia, por ejemplo, si anuncias las mismas rutas a través de la puerta de enlace Direct Connect y de Site-to-Site VPN. AWS Transit Gateway solo mostrará las rutas recibidas desde la ruta de puerta de enlace Direct Connect, que es la ruta preferida. La Site-to-Site VPN, que es la ruta de copia de seguridad, solo se mostrará cuando la puerta de enlace de Direct Connect ya no se anuncie.
Diferencias en la tabla de rutas de VPC y Transit Gateway
La evaluación de la tabla de rutas difiere entre si se utiliza una tabla de enrutamiento de VPC o una tabla de enrutamiento de una puerta de enlace de tránsito.
El siguiente ejemplo muestra una tabla de enrutamiento de VPC. La ruta local de VPC tiene la prioridad más alta, seguida por las rutas más específicas. Cuando una ruta estática y una ruta propagada tienen el mismo destino, la ruta estadística tiene una prioridad más elevada.
| Destino | Objetivo | Prioridad |
|---|---|---|
| 10.0.0.0/16 |
local |
1 |
| 192.168.0.0/16 | pcx-12345 | 2 |
| 172.31.0.0/16 | vgw-12345 (estática) o tgw-12345 (estática) |
2 |
| 172.31.0.0/16 | vgw-12345 (propagada) | 3 |
| 0.0.0.0/0 | igw-12345 | 4 |
El siguiente ejemplo muestra una tabla de rutas de una puerta de enlace de tránsito. Si prefiere utilizar la conexión de la puerta de enlace de AWS Direct Connect en la vinculación de la VPN, utilice una conexión de VPN del BGP y propague las rutas en la tabla de enrutamiento de puerta de enlace de tránsito.
| Destino | Vinculación (objetivo) | Tipo de recurso | Tipo de ruta | Prioridad |
|---|---|---|---|---|
| 10.0.0.0/16 | tgw-attach-123 | vpc-1234 | VPC | Estático o propagado | 1 |
| 192.168.0.0/16 | tgw-attach-789 | vpn-5678 | VPN | Estático | 2 |
| 172.31.0.0/16 | tgw-attach-456 | dxgw_id | AWS Direct Connect gateway | Propagado | 3 |
| 172.31.0.0/16 | tgw-attach-789 | -123 tgw-connect-peer | Conectar | Propagado | 4 |
| 172.31.0.0/16 | tgw-attach-789 | vpn-5678 | VPN | Propagado | 5 |
