Conexiones de red híbrida - Conectividad híbrida
AWS Direct ConnectSite-to-Site VPNTransit Gateway Connect

Conexiones de red híbrida

Existen varias formas de conectar sus equipos en las instalaciones y AWS. El presente documento técnico se centra en cómo pueden combinarse estas diferentes vías en arquitecturas globales. No obstante, se ofrece una breve descripción general de las diferentes opciones (AWS Direct Connect, red privada virtual de sitio a sitio y Transit Gateway Connect).

AWS Direct Connect

AWS Direct Connect es un servicio que establece una conexión de red dedicada entre las instalaciones locales y AWS. Para obtener más información, consulte AWS Direct Connect.

Existen dos tipos de conexiones de AWS Direct Connect: dedicadas y alojadas. Una conexión dedicada es un enlace directo entre un dispositivo de AWS y su dispositivo en las instalaciones, mientras que una conexión alojada es una conexión para la que brinda soporte un socio de AWS que puede gestionar los detalles de la conexión por usted. Consulte Conexiones de AWS Direct Connect para obtener más información.

Una conexión de Direct Connect utiliza interfaces virtuales (VIF) para aislar los distintos flujos de tráfico. Varias VIF pueden utilizar el mismo enlace de Direct Connect, separadas por etiquetas de VLAN (802.1q). Hay tres tipos de VIF que proporcionan conectividad a la red de AWS. Consulte Interfaces virtuales de AWS Direct Connect para obtener más detalles. Los tres tipos son:

  • VIF privada: una VIF privada es una conexión privada entre el dispositivo y los recursos en AWS. Terminan en AWS, ya sea en una puerta de enlace privada virtual (VGW) directamente (que admite una sola VPC) o a través de una puerta de enlace de Direct Connect que, después, se conecta a varias VGW.

  • VIF pública: una VIF pública permite la conectividad con cualquier recurso de AWS público, como S3, DynamoDB e intervalos de IP EC2 públicos. Aunque una VIF pública no tiene acceso directo a Internet, cualquier recurso público de Amazon puede llegar a ella (incluidas las instancias de EC2 públicas de otros clientes), lo que los clientes deben tener en cuenta al planificar la seguridad.

  • VIF de tránsito: una VIF de tránsito es una conexión privada entre su dispositivo y AWS Transit Gateway, a través de una puerta de enlace de Direct Connect. Las VIF de tránsito ahora se admiten en enlaces con velocidades inferiores a 1 Gbps. Consulte el anuncio de lanzamiento para obtener más detalles.

nota

La interfaz virtual alojada (VIF alojada) es un tipo de VIF privada que se asigna a una Cuenta de AWS distinta de la Cuenta de AWS propietaria de la conexión de AWS Direct Connect (que puede ser un socio de AWS Direct Connect). AWS ya no permite que nuevos socios ofrezcan este modelo. Para obtener más información, consulte Creación de una interfaz virtual alojada.

Diagrama que muestra las VIF privadas y públicas de AWS Direct Connect

Figura 1. VIF privadas y públicas de AWS Direct Connect

Red privada virtual (VPN) de sitio a sitio

Una VPN de sitio a sitio permite que dos redes se comuniquen de forma segura y puede utilizarse a través de un medio de transporte que no sea de confianza, como Internet. Los clientes pueden establecer conexiones de VPN entre los sitios en las instalaciones y Amazon Virtual Private Cloud (Amazon VPC) mediante dos opciones:

  • VPN de sitio a sitio administrada por AWS (AWS S2S VPN): se trata de un servicio VPN totalmente administrado y de alta disponibilidad, que utiliza IPSec. Consulte ¿Qué es AWS Site-to-Site VPN? para obtener más información. Si lo desea, puede acelerar la conexión de Site-to-Site VPN. Consulte Conexiones de VPN de sitio a sitio acelerada para obtener más información. S2S VPN también puede utilizar las VIF de tránsito de Direct Connect para evitar que el tráfico atraviese Internet, lo que reduce los costos y permite utilizar direcciones IP privadas. Para obtener más información, consulte VPN de IP privada con AWS Direct Connect.

  • Software de VPN de sitio a sitio (VPN administrada por el cliente): con esta opción de conexión de VPN, tiene la responsabilidad de aprovisionar y administrar toda la solución de VPN, normalmente mediante la ejecución de software de VPN en una instancia de EC2. Para obtener más información, consulte VPN de sitio a sitio por software.

Ambas opciones requieren compatibilidad en el dispositivo de puerta de enlace de cliente para terminar el extremo en las instalaciones de los túneles de VPN. Este dispositivo puede ser físico o de software. Para obtener más información sobre los dispositivos de red probados por AWS, consulte la lista de dispositivos de puerta de enlace de cliente probados.

Transit Gateway Connect (TGW Connect)

Transit Gateway Connect utiliza túneles GRE entre AWS Transit Gateway y un dispositivo de puerta de enlace en las instalaciones. BGP se utiliza sobre TGW Connect para permitir el enrutamiento dinámico. Tenga en cuenta que TGW Connect no está cifrado. Para obtener más información, consulte Transit Gateway Connect.