Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Direct Connect
Si bien la VPN a través de Internet es una excelente opción para empezar, es posible que la conectividad a Internet no sea fiable para el tráfico de producción. Debido a esta falta de fiabilidad, muchos clientes se AWS Direct Connect
Formas de conectar sus centros de datos locales mediante AWS Direct Connect
-
Opción 1: Crear una interfaz virtual privada (VIF) para una VGW conectada a una VPC: puede crear 50 VIF por conexión Direct Connect, lo que le permite conectarse a un máximo de 50 VPC (una VIF proporciona conectividad a una VPC). Hay un emparejamiento de BGP por VPC. La conectividad en esta configuración está restringida a la región de AWS a la que se encuentra la ubicación de Direct Connect. La one-to-one asignación de VIF a VPC (y la falta de acceso global) hacen que esta sea la forma menos preferida de acceder a las VPC en la zona de aterrizaje.
-
Opción 2: Crear un VIF privado en una puerta de enlace de Direct Connect asociada a varias VGW (cada VGW está conectada a una VPC): una puerta de enlace de Direct Connect es un recurso disponible en todo el mundo. Puede crear la puerta de enlace Direct Connect en cualquier región y acceder a ella desde todas las demás regiones, incluida GovCloud (excepto China). Una puerta de enlace Direct Connect puede conectarse a hasta 20 VPC (mediante VGWs) de todo el mundo en cualquier cuenta de AWS a través de un único VIF privado. Esta es una excelente opción si una zona de destino consta de un número reducido de VPC (diez o menos VPC) o si necesita acceso global. Hay una sesión de emparejamiento BGP por puerta de enlace de Direct Connect por conexión de Direct Connect. La puerta de enlace Direct Connect es solo para el flujo de tráfico norte/sur y no permite la conectividad de VPC a VPC. Consulte la sección sobre las asociaciones de pasarelas privadas virtuales en la documentación para obtener más información. AWS Direct Connect Con esta opción, la conectividad no se limita a la región de AWS en la que se encuentra la ubicación de Direct Connect. AWS Direct Connect la puerta de enlace es solo para el flujo de tráfico norte/sur y no permite la conectividad de VPC a VPC. Una excepción a esta regla es cuando se anuncia una superred en dos o más VPC que tienen sus VGW conectadas asociadas a la misma puerta de enlace y en la misma interfaz virtual. AWS Direct Connect En este caso, las VPC pueden comunicarse entre sí a través del punto final. AWS Direct Connect Consulte la documentación de AWS Direct Connect las pasarelas para obtener más información.
-
Opción 3: Crear un VIF de tránsito a una puerta de enlace de Direct Connect asociada a Transit Gateway: puede asociar una instancia de Transit Gateway a una puerta de enlace de Direct Connect mediante un VIF de tránsito. AWS Direct Connect ahora admite conexiones a Transit Gateway para todas las velocidades de puerto, lo que ofrece una opción más rentable para los usuarios de Transit Gateway cuando no se requieren conexiones de alta velocidad (superiores a 1 Gbps). Esto le permite usar Direct Connect a velocidades de 50, 100, 200, 300, 400 y 500 Mbps para conectarse a Transit Gateway. Transit VIF le permite conectar su centro de datos local a un máximo de seis instancias de Transit Gateway por AWS Direct Connect puerta de enlace (que se pueden conectar a miles de VPC) en diferentes regiones de AWS y cuentas de AWS mediante un único peering VIF de tránsito y BGP. Esta es la configuración más sencilla entre las opciones para conectar varias VPC a escala, pero debes tener en cuenta las cuotas de Transit Gateway. Un límite clave a tener en cuenta es que solo puedes anunciar 200 prefijos desde un Transit Gateway a un router local a través del VIF de tránsito. Con las opciones anteriores, usted paga los precios de Direct Connect. Con esta opción, también paga los cargos por procesamiento de datos y adjuntos de Transit Gateway. Para obtener más información, consulte la documentación de Transit Gateway Associations on Direct Connect.
-
Opción 4: Cree una conexión VPN a Transit Gateway a través de una VIF pública de Direct Connect: una VIF pública le permite acceder a todos los servicios públicos y puntos de conexión de AWS mediante las direcciones IP públicas. Cuando crea un adjunto de VPN en una Transit Gateway, obtiene dos direcciones IP públicas para los puntos de conexión de la VPN en AWS. Se puede acceder a estas IP públicas a través de la VIF pública. Puede crear tantas conexiones VPN a tantas instancias de Transit Gateway como desee a través de Public VIF. Cuando crea un emparejamiento de BGP a través del VIF público, AWS anuncia todo el rango de IP públicas de AWS en su router. Para asegurarse de que solo permite cierto tráfico (por ejemplo, permitir el tráfico únicamente a los puntos de conexión de la VPN), le recomendamos que utilice un firewall local. Esta opción se puede utilizar para cifrar Direct Connect en la capa de red.
-
Opción 5: Cree una conexión VPN a Transit Gateway AWS Direct Connect mediante una VPN con IP privada: la VPN con IP privada es una función que ofrece a los clientes la posibilidad de implementar conexiones de VPN Site-to-Site de AWS a través de Direct Connect mediante direcciones IP privadas. Con esta función, puede cifrar el tráfico entre sus redes locales y AWS a través de conexiones Direct Connect sin necesidad de direcciones IP públicas, lo que mejora la seguridad y la privacidad de la red al mismo tiempo. La VPN con IP privada se implementa sobre los VIF de Transit, por lo que le permite usar Transit Gateway para la administración centralizada de las VPC y las conexiones de los clientes a las redes locales de una manera más segura, privada y escalable.
-
Opción 6: Cree túneles GRE hacia Transit Gateway a través de un VIF de tránsito: el tipo de accesorio Transit Gateway Connect admite GRE. Con Transit Gateway Connect, la infraestructura SD-WAN se puede conectar de forma nativa a AWS sin tener que configurar VPN IPsec entre los dispositivos virtuales de la red SD-WAN y Transit Gateway. Los túneles GRE se pueden establecer a través de un VIF de tránsito, con Transit Gateway Connect como tipo de conexión, lo que proporciona un mayor rendimiento de ancho de banda en comparación con una conexión VPN. Para obtener más información, consulte la entrada del blog Simplifique la conectividad SD-WAN AWS Transit Gateway con Connect
.
La opción «VIF de tránsito a la puerta de enlace Direct Connect» puede parecer la mejor opción, ya que le permite consolidar toda la conectividad local de un solo punto (Transit Gateway) mediante una sola sesión de BGP por conexión de Direct Connect; sin embargo, algunos de los límites y consideraciones en torno a esta opción pueden llevarlo a utilizar VIF privados y de tránsito junto con los requisitos de conectividad de su zona de aterrizaje. Región de AWS
La siguiente figura ilustra un ejemplo de configuración en el que se usa Transit VIF como método predeterminado para conectarse a las VPC y se usa un VIF privado para un caso de uso perimetral en el que se deben transferir cantidades de datos excepcionalmente grandes de un centro de datos local a la VPC multimedia. El VIF privado se utiliza para evitar los cargos por procesamiento de datos de Transit Gateway. Como práctica recomendada, debe tener al menos dos conexiones en dos ubicaciones diferentes de Direct Connect para obtener la máxima redundancia
Con la opción «Crear túneles GRE a Transit Gateway a través de un VIF de tránsito», tiene la capacidad de conectar de forma nativa su infraestructura de SD-WAN con AWS. Elimina la necesidad de configurar VPN IPsec entre los dispositivos virtuales de la red SD-WAN y Transit Gateway.
Ejemplo de arquitectura de referencia para conectividad híbrida
Utilice la cuenta de servicios de red para crear recursos de Direct Connect que permitan la demarcación de los límites administrativos de la red. Las conexiones Direct Connect, las puertas de enlace Direct Connect y las pasarelas de tránsito pueden residir en una cuenta de servicios de red. Para compartir la AWS Direct Connect conectividad con tu zona de aterrizaje, simplemente comparte la Transit Gateway AWS RAM con otras cuentas.
Seguridad MACsec en las conexiones Direct Connect
Los clientes pueden usar el cifrado MAC Security Standard (MACsec) (IEEE 802.1AE) con sus conexiones Direct Connect para conexiones dedicadas de 10 Gbps y 100 Gbps en ubicaciones seleccionadas.
AWS Direct Connect recomendaciones de resiliencia
Con ello AWS Direct Connect, los clientes pueden lograr una conectividad altamente resiliente con sus VPC de Amazon y los recursos de AWS desde sus redes locales. La mejor práctica es que los clientes se conecten desde varios centros de datos para eliminar cualquier fallo en la ubicación física en un solo punto. También se recomienda que, según el tipo de cargas de trabajo, los clientes utilicen más de una conexión Direct Connect para obtener redundancia.
AWS también ofrece el kit de herramientas de AWS Direct Connect resiliencia, que proporciona a los clientes un asistente de conexión con varios modelos de redundancia para ayudarlos a determinar qué modelo funciona mejor para sus requisitos de acuerdo de nivel de servicio (SLA) y a diseñar su conectividad híbrida mediante conexiones Direct Connect en consecuencia. Para obtener más información, consulte las recomendaciones de resiliencia.AWS Direct Connect
AWS Direct Connect SiteLink
Anteriormente, la configuración de site-to-site los enlaces para las redes locales solo era posible mediante la generación directa de circuitos a través de fibra oscura u otras tecnologías, mediante VPN IPSEC o mediante el uso de proveedores de circuitos de terceros con tecnologías como MPLS o circuitos T1 antiguos. MetroEthernet Con la llegada de SiteLink, los clientes ahora pueden habilitar la site-to-site conectividad directa para su ubicación local que termina en una ubicación. AWS Direct Connect Utilice su circuito Direct Connect para proporcionar site-to-site conectividad sin tener que enrutar el tráfico a través de sus VPC, lo que evita por completo la región de AWS.
Ahora puede crear pay-as-you-go conexiones globales y confiables entre las oficinas y los centros de datos de su red global mediante el envío de datos a través de la ruta más rápida entre AWS Direct Connect ubicaciones.
Ejemplo de arquitectura de referencia para AWS Direct Connect SiteLink
Al usarlo SiteLink, primero debe conectar sus redes locales a AWS en cualquiera de las más de 100 AWS Direct Connect ubicaciones de todo el mundo. A continuación, debe crear interfaces virtuales (VIF) en esas conexiones y activarlas. SiteLink Una vez que todas las VIF estén conectadas a la misma AWS Direct Connect puerta de enlace (DXGW), puede empezar a enviar datos entre ellas. Sus datos siguen el camino más corto entre AWS Direct Connect las ubicaciones hasta su destino, utilizando la red global de AWS, rápida, segura y confiable. No necesita disponer de ningún recurso Región de AWS para poder utilizarlo SiteLink.
De este SiteLink modo, el DXGW aprende los prefijos IPv4/IPv6 de los enrutadores a través de los VIF SiteLink habilitados, ejecuta el algoritmo de mejor ruta para el BGP, actualiza atributos como AS_Path NextHop y vuelve a anunciar estos prefijos BGP al resto de los VIF habilitados asociados a ese DXGW. SiteLink Si deshabilita SiteLink un VIF, el DXGW no anunciará los prefijos locales aprendidos sobre este VIF a los demás VIF SiteLink habilitados. Los prefijos locales de un VIF SiteLink desactivado solo se anuncian a las asociaciones de DXGW Gateways, como las instancias de AWS Virtual Private Gateways (vGWS) o Transit Gateway (TGW) asociadas al DXGW.
Ejemplo de enlace de sitio que permite flujos de tráfico
SiteLink permite a los clientes utilizar la red global de AWS para funcionar como una conexión principal o secundaria o de respaldo entre sus ubicaciones remotas, con gran ancho de banda y baja latencia, con enrutamiento dinámico para controlar qué ubicaciones pueden comunicarse entre sí y con los recursos regionales de AWS.
Para obtener más información, consulte Introducción. AWS Direct Connect SiteLink
