Soluzione Transit VPC

I VPC Transit possono creare connettività tra VPC con un mezzo diverso rispetto al peering VPC, introducendo un design hub and spoke per la connettività tra VPC. In una rete VPC di transito, un VPC centrale (il VPC hub) si connette a tutti gli altri VPC (Spoke VPC) tramite una connessione VPN che in genere sfrutta BGP su IPSec. Il VPC centrale contiene istanze Amazon Elastic Compute Cloud (Amazon EC2) che eseguono appliance software che indirizzano il traffico in entrata verso le rispettive destinazioni utilizzando l'overlay VPN. Il peering VPC Transit presenta i seguenti vantaggi:

• Il routing transitivo è abilitato utilizzando la rete VPN overlay, che consente una progettazione hub and spoke.

• Quando si utilizza software di fornitori terzi sull'istanza EC2 nel VPC Hub Transit, è possibile utilizzare le funzionalità del fornitore relative alla sicurezza avanzata (firewall di livello 7/Intrusion Prevention System (IPS) /Intrusion Detection System (IDS)). Se i clienti utilizzano lo stesso software in locale, traggono vantaggio da un'esperienza operativa/di monitoraggio unificata.

• L'architettura Transit VPC consente la connettività che può essere desiderata in alcuni casi d'uso. Ad esempio, puoi connettere un' GovCloud istanza AWS e un VPC della regione commerciale o un'istanza Transit Gateway a un VPC di transito e abilitare la connettività inter-VPC tra le due regioni. Valuta i tuoi requisiti di sicurezza e conformità quando prendi in considerazione questa opzione. Per una maggiore sicurezza, è possibile implementare un modello di ispezione centralizzato utilizzando i modelli di progettazione descritti più avanti in questo white paper.

VPC di transito con appliance virtuali

Transit VPC presenta alcune sfide, come costi più elevati per l'esecuzione di appliance virtuali di fornitori terzi su EC2 in base alle dimensioni e alla famiglia di istanze, un throughput limitato per connessione VPN (fino a 1,25 Gbps per tunnel VPN) e costi aggiuntivi di configurazione, gestione e resilienza (i clienti sono responsabili della gestione dell'HA e della ridondanza delle istanze EC2 che eseguono le appliance virtuali di fornitori terzi).

Peering VPC, Transit VPC e Transit Gateway

Tabella 1 — Confronto della connettività

Criteri	Peering VPC	VPC di transito	Gateway di transito	PrivateLink	WAN nel cloud	VPC Lattice
Ambito	Regionale/globale	Regionale	Regionale	Regionale	Globale	Regionale
Architettura	Maglia completa	Basato su VPN hub-and-spoke	Basato su allegati hub-and-spoke	Modello di fornitore o consumatore	Basato sugli allegati, multiregione	Connettività da app a app
Dimensionare	125 peer attivi/VPC	Dipende dal router virtuale/EC2	5000 allegati per regione	Nessun limite	5000 allegati per rete principale	500 associazioni VPC per servizio
Segmentazione	Gruppi di sicurezza	Gestito dal cliente	Tabelle delle rotte Transit Gateway	Nessuna segmentazione	Segmenti	Politiche di servizio e di rete di assistenza
Latenza	Minimo	Extra, a causa del sovraccarico di crittografia della VPN	Transit Gateway hop aggiuntivo	Il traffico rimane sulla spina dorsale di AWS, i clienti dovrebbero testarlo	Utilizza lo stesso piano dati del Transit Gateway	Il traffico rimane sulla spina dorsale di AWS, i clienti dovrebbero testarlo
Limite larghezza di banda	Limiti per istanza, nessun limite aggregato	Soggetto ai limiti di larghezza di banda delle istanze EC2 in base alla dimensione/famiglia	Fino a 100 Gbps (burst) per allegato	10 Gbps per zona di disponibilità, scalabilità automatica fino a 100 Gbps	Fino a 100 Gbps (burst) /allegato	10 Gbps per zona di disponibilità
Visibilità	Log di flusso VPC	Registri e metriche di flusso VPC CloudWatch	Transit Gateway Network Manager, log di flusso VPC, metriche CloudWatch	CloudWatch Metriche	Network Manager, log di flusso VPC, metriche CloudWatch	CloudWatch Registri di accesso
Gruppo di sicurezza riferimenti incrociati	Supportato	Non supportato	Non supportato	Non supportato	Non supportato	Non applicabile
Supporto IPv6	Supportato	Dipende dall'appliance virtuale	Supportato	Supportato	Supportato	Supportato