Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Solución Transit VPC
Las VPC de tránsito pueden crear conectividad entre las VPC de una manera diferente a la interconexión de VPC, ya que incorporan un diseño de hub and spoke para la conectividad entre VPC. En una red de VPC de tránsito, una VPC central (la VPC central) se conecta con todas las demás VPC (VPC habladas) a través de una conexión VPN que normalmente aprovecha BGP sobre IPsec.
-
El enrutamiento transitivo se habilita mediante la red VPN superpuesta, lo que permite un diseño de concentrador y radio.
-
Cuando se utiliza software de un proveedor externo en la instancia EC2 de la VPC de tránsito central, se puede utilizar la funcionalidad del proveedor en torno a la seguridad avanzada (firewall de capa 7, sistema de prevención de intrusiones (IPS) /sistema de detección de intrusiones (IDS)). Si los clientes utilizan el mismo software en sus instalaciones, se benefician de una experiencia operativa y de supervisión unificada.
-
La arquitectura Transit VPC permite la conectividad que puede desearse en algunos casos de uso. Por ejemplo, puede conectar una GovCloud instancia de AWS y una VPC de una región comercial o una instancia de Transit Gateway a una VPC de tránsito y habilitar la conectividad entre las VPC entre las dos regiones. Evalúe sus requisitos de seguridad y conformidad al considerar esta opción. Para mayor seguridad, puede implementar un modelo de inspección centralizado utilizando los patrones de diseño que se describen más adelante en este documento técnico.
VPC de tránsito con dispositivos virtuales
Transit VPC presenta sus propios desafíos, como los costos más altos de ejecutar dispositivos virtuales de proveedores externos en EC2 en función del tamaño o la familia de las instancias, el rendimiento limitado por conexión VPN (hasta 1,25 Gbps por túnel VPN) y una sobrecarga adicional de configuración, administración y resiliencia (los clientes son responsables de administrar la alta disponibilidad y la redundancia de las instancias de EC2 que ejecutan dispositivos virtuales de proveedores externos).
Emparejamiento de VPC frente a Transit VPC frente a Transit Gateway
Tabla 1: Comparación de conectividad
| Criterios | Emparejamiento de VPC | VPC de tránsito | Gateway de tránsito | PrivateLink | WAN en la nube de | VPC Lattice |
|---|---|---|---|---|---|---|
|
Ámbito |
Regional/global | Regional | Regional | Regional | Global | Regional |
| Arquitectura | Malla completa | Basado en VPN hub-and-spoke | Basado en archivos adjuntos hub-and-spoke | Modelo de proveedor o consumidor | Basado en archivos adjuntos, multirregional | Conectividad de aplicación a aplicación |
|
Escalado |
125 pares activos/VPC | Depende del router virtual/EC2 | 5000 archivos adjuntos por región | Sin límites | 5000 archivos adjuntos por red principal | 500 asociaciones de VPC por servicio |
|
Segmentación |
Grupos de seguridad | Gestionado por el cliente | Tablas de rutas de Transit Gateway | Sin segmentación | Segmentos | Políticas de servicio y red de servicios |
|
Latencia |
Mínima | Además, debido a la sobrecarga de cifrado de la VPN | Tienda adicional de Transit Gateway | El tráfico permanece en la red troncal de AWS, los clientes deberían probarlo | Utiliza el mismo plano de datos que Transit Gateway | El tráfico permanece en la red troncal de AWS, los clientes deberían probarlo |
|
Límite de ancho de banda |
Límites por instancia, sin límite agregado | Sujeto a los límites de ancho de banda de las instancias EC2 según el tamaño o la familia | Hasta 100 Gbps (ráfaga) por archivo adjunto | 10 Gbps por zona de disponibilidad, se amplía automáticamente hasta 100 Gbps | Hasta 100 Gbps (ráfaga) por archivo adjunto | 10 Gbps por zona de disponibilidad |
|
Visibility |
Logs de flujo de VPC | Registros y métricas de flujo de VPC CloudWatch | Transit Gateway Network Manager, registros de flujo de VPC, métricas CloudWatch | CloudWatch Métricas | Administrador de red, registros de flujo de VPC, métricas CloudWatch | CloudWatch Registros de acceso |
|
Grupo de seguridad referencias cruzadas |
Compatible | No admitido | No admitido | No admitido | No admitido | No aplicable |
| Compatibilidad con IPv6 | Compatible | Depende del dispositivo virtual | Soportado | Soportado | Soportado | Soportado |
