Comunicaciones seguras entre sitios mediante VPN CloudHub - AWS Site-to-Site VPN

Comunicaciones seguras entre sitios mediante VPN CloudHub

Si tiene varias conexiones de AWS Site-to-Site VPN, puede proporcionar seguridad en la comunicación entre sitios gracias a AWS VPN CloudHub. Esto permite que los sitios remotos puedan comunicarse entre sí y no solo con la VPC. VPN CloudHub funciona con un modelo radial sencillo que puede utilizar con o sin VPC. Este diseño es perfecto si tiene varias sucursales y conexiones a Internet existentes y desea implementar un sistema radial cómodo y potencialmente de bajo costo para la conectividad principal o auxiliar entre sus sucursales remotas.

Los sitios no pueden tener rangos de IP solapados.

Información general

El diagrama siguiente muestra la arquitectura de VPN CloudHub. Las líneas discontinuas azules indican el tráfico de red entre los sitios que se direcciona a través de sus conexiones de Site-to-Site VPN.


              Diagrama de CloudHub

En esta situación, haga lo siguiente:

  1. Cree una única gateway privada virtual.

  2. Cree varias gateway de cliente, cada una con la dirección IP pública de la gateway. Debe utilizar un Número de sistema autónomo (ASN) para protocolo de gateway fronteriza (BGP) único para cada gateway de cliente.

  3. Cree una conexión de Site-to-Site VPN desde cada gateway de cliente a una gateway privada virtual común.

  4. Configure los dispositivos de gateway de cliente para que indiquen un prefijo específico del sitio (como 10.0.0.0/24, 10.0.1.0/24) a la gateway privada virtual. Estos anuncios de direccionamiento se reciben y se vuelven a anunciar a cada parte de BGP, lo que permite que cada sitio pueda enviar y recibir datos de otros sitios. Esto se realiza utilizando las instrucciones de red de los archivos de configuración de la conexión de Site-to-Site VPN. Las instrucciones de red varían en función del tipo de router que utilice.

  5. Configure las rutas en las tablas de enrutamiento de subred para permitir que las instancias de la VPC se comuniquen con los sitios. Para obtener más información, consulte (Gateway privada virtual) Habilitar la propagación de rutas en la tabla de enrutamiento. Puede configurar una ruta agregada en la tabla de enrutamiento (por ejemplo, 10.0.0.0/16). Utilice prefijos más específicos entre los dispositivos de gateway de cliente y la gateway privada virtual.

Los sitios que utilizan las conexiones de AWS Direct Connect a la gateway privada virtual también pueden ser parte de AWS VPN CloudHub. Por ejemplo, su sede corporativa de Nueva York puede tener una conexión de AWS Direct Connect a la VPC y sus sucursales pueden utilizar las conexiones de Site-to-Site VPN a la VPC. De este modo, las sucursales de Los Ángeles y Miami podrán enviar y recibir datos a la sede corporativa y entre ellas mismas gracias a AWS VPN CloudHub.

Precios

Cuando utilice AWS VPN CloudHub, deberá pagar las tarifas de conexión normales de Amazon VPCSite-to-Site VPN. De este modo, se le facturará las tasas de conexión por cada hora que cada VPN permanezca conectada a la gateway privada virtual. Al enviar datos de un sitio a otro mediante AWS VPN CloudHub, no incurrirá en ningún costo para el envío de datos desde su sitio a la gateway privada virtual. Solo pagará tasas de transferencia de datos de AWS estándar de los datos que se reenvíen desde la gateway privada virtual al punto de conexión.

Por ejemplo, si tiene un sitio en Los Ángeles y un segundo sitio en Nueva York y ambos sitios tienen una conexión de Site-to-Site VPN a la gateway privada virtual, debe pagar la tarifa por hora por cada conexión de Site-to-Site VPN (por lo que si la tarifa fuera de 0,05 USD por hora, equivaldría a un total de 0,10 USD por hora). También paga las tarifas estándar de transferencia de datos de AWS para todos los datos que envíe de Los Ángeles a Nueva York (y viceversa) que atraviesan cada conexión de Site-to-Site VPN. El tráfico de red que se envía a través de la conexión de Site-to-Site VPN a la gateway privada virtual es gratuito, pero el tráfico de red que se envía a través de la conexión de Site-to-Site VPN desde la gateway privada virtual al punto de enlace se factura según la tarifa de transferencia de datos estándar de AWS.

Para obtener más información, consulte Precios de las conexiones de Site-to-Site VPN.