Interfaces virtuais e interfaces virtuais hospedadas do AWS Direct Connect - AWS Direct Connect

Interfaces virtuais e interfaces virtuais hospedadas do AWS Direct Connect

Você deve criar uma das interfaces virtuais (VIFs) apresentadas a seguir para começar a usar a conexão do AWS Direct Connect.

  • Interface virtual privada: uma interface virtual privada deve ser usada para acessar uma Amazon VPC usando endereços IP privados.

  • Interface virtual pública: uma interface virtual pública pode acessar todos os serviços públicos da AWS usando endereços IP públicos.

  • Interface virtual de trânsito: é necessário usar uma interface virtual de trânsito para acessar um ou mais gateways de trânsito da Amazon VPC associados a gateways do Direct Connect. Você pode usar interfaces virtuais de trânsito com qualquer conexão dedicada ou hospedada de qualquer velocidade do AWS Direct Connect. Para obter informações sobre configurações de gateway Direct Connect, consulte Gateways Direct Connect.

Para se conectar a outros serviços da AWS usando endereços IPv6, consulte a documentação do serviço a fim de verificar se há compatibilidade com o endereçamento IPv6.

Anunciamos os prefixos apropriados da Amazon para que você possa acessar os endereços IP públicos das workloads em suas VPCs e outros serviços da AWS. Por meio desta conexão, é possível acessar todos os prefixos da AWS, incluindo endereços IP públicos usados por instâncias do Amazon EC2, pelo Amazon S3, por endpoints de API para serviços da AWS e pelo site Amazon.com. Você não tem acesso a prefixos que não sejam da Amazon. Para obter uma lista atual de prefixos usados pela AWS, consulte a seção Intervalos de endereços IP da AWS no Guia do usuário da Amazon VPC. Nessa página, é possível fazer o download de um arquivo .json com os intervalos de endereços IP da AWS publicados. Observe que, para intervalos de endereços IP publicados:

  • Os prefixos anunciados usando o BGP em uma interface virtual pública podem ser agregados ou desagregados em comparação com os prefixos que estão listados na lista de intervalos de endereços IP da AWS.

  • Os intervalos de endereços IP que você traz para a AWS por meio de seus próprios endereços IP (BYOIP) não estão incluídos no arquivo .json, mas os endereços de BYOIP ainda são anunciados pela AWS em uma interface virtual pública.

  • A AWS não realiza novas divulgações de anúncios para outros clientes dos prefixos de clientes recebidos por meio de interfaces virtuais públicas do AWS Direct Connect.

nota

Recomendamos que você use um filtro de firewall (com base no endereço de origem/destino de pacotes) para controlar o tráfego de alguns prefixos e o tráfego para eles.

Para obter mais informações sobre interfaces virtuais públicas e políticas de roteamento, consulte Políticas de roteamento de interface virtual pública.

Se estiver criando uma interface virtual privada ou de trânsito, você poderá usar o SiteLink.

O SiteLink é um recurso opcional do Direct Connect para interfaces privadas virtuais que viabiliza a conectividade entre quaisquer dois pontos de presença (POPs) do Direct Connect na mesma partição da AWS usando o caminho mais curto disponível na rede da AWS. Isso permite que você conecte sua rede on-premises por meio da rede global da AWS sem precisar rotear seu tráfego por uma região. Para obter mais informações sobre o SiteLink, consulte Introdução ao SiteLink do AWS Direct Connect.

nota
  • O SiteLink não está disponível nas regiões AWS GovCloud (US) e China.

  • O funcionamento do SiteLink é comprometido se um roteador on-premises anunciar a mesma rota à AWS usando diversas interfaces virtuais.

Há uma tarifa distinta pelo uso do SiteLink. Para obter mais informações, consulte Preços do AWS Direct Connect.

O SiteLink não é compatível com todos os tipos de interface virtual. A tabela a seguir mostra o tipo de interface e se ela é compatível.

Tipo de interface virtual Compatível/não compatível
Interface virtual de trânsito Compatível
Interface virtual privada anexada a um gateway do Direct Connect com um gateway virtual Compatível
Interface virtual privada anexada a um gateway do Direct Connect não associado a um gateway virtual ou gateway de trânsito Compatível
Interface virtual privada anexada a um gateway virtual Sem compatibilidade
Interface virtual pública Sem compatibilidade

O comportamento de roteamento de tráfego de Regiões da AWS (gateways virtuais ou de trânsito) para locais on-premises por meio de uma interface virtual habilitada para o SiteLink varia ligeiramente em relação ao comportamento padrão da interface virtual do Direct Connect com um prefixo de caminho da AWS. Quando o SiteLink está habilitado, as interfaces virtuais de uma Região da AWS preferem um caminho do BGP com um comprimento de caminho AS menor de um local do Direct Connect, independentemente da região associada. Por exemplo, uma região associada é anunciada para cada local do Direct Connect. Se o SiteLink estiver desabilitado, por padrão, o tráfego proveniente de um gateway virtual ou de trânsito preferirá um local do Direct Connect associado a essa Região da AWS, mesmo que o roteador de locais do Direct Connect associados a diferentes regiões anuncie um caminho com um comprimento de caminho AS menor. O gateway virtual ou de trânsito ainda preferirá o caminho dos locais do Direct Connect que sejam locais em relação à Região da AWS associada.

Dependendo do tipo de interface virtual, o SiteLink é compatível com um tamanho máximo de MTU de frame jumbo de 8500 ou 9001. Para ter mais informações, consulte MTUs aplicáveis para interfaces virtuais privadas ou interfaces virtuais de trânsito.

Pré-requisitos para interfaces virtuais

Antes de criar uma interface virtual, faça o seguinte:

Para criar uma interface virtual, você precisa das seguintes informações:

Recurso Informações necessárias
Conexão A conexão ou o grupo de agregação de link (LAG) do AWS Direct Connect para o qual você está criando a interface virtual.
Nome da interface virtual Um nome para a interface virtual.
Proprietário da interface virtual Se estiver criando a interface virtual para outra conta, você precisará do ID de conta da AWS da outra conta.
(Somente interface virtual privada) Conexão Para se conectar a uma VPC na mesma região da AWS, você precisa do gateway privado virtual para sua VPC. O ASN para o lado da Amazon da sessão BGP é herdado do gateway privado virtual. Ao criar um gateway privado virtual, você pode especificar seu próprio ASN privado. Caso contrário, a Amazon fornece um ASN padrão. Para obter mais informações, consulte Criar um gateway privado virtual no Guia do usuário da Amazon VPC. Para se conectar a uma VPC por meio de um gateway do Direct Connect, você precisa do gateway do Direct Connect. Para obter mais informações, consulte Gateways Direct Connect. Além disso,
  • Não é possível usar o mesmo ASN para o gateway do cliente e para o gateway virtual ou para o gateway do Direct Connect em uma interface virtual.

  • É possível usar o mesmo ASN do gateway do cliente em diversas interfaces virtuais.

  • Diversas interfaces virtuais podem ter o mesmo gateway virtual ou o mesmo gateway do Direct Connect e ASN do gateway do cliente, desde que façam parte de conexões do Direct Connect separadas.

VLAN Uma tag exclusiva de rede de área local virtual (VLAN) que ainda não esteja em uso em sua conexão. O valor precisa estar entre 1 e 4.094 e estar em conformidade com o padrão Ethernet 802.1Q. Esta tag é obrigatória para qualquer tráfego que cruza a conexão do AWS Direct Connect.

Se você tiver uma conexão hospedada, seu parceiro do AWS Direct Connect fornecerá esse valor. Não é possível modificar o valor após a criação da interface virtual.

Endereços IP de par Uma interface virtual pode dar suporte a uma sessão de emparelhamento do BGP para IPv4, IPv6 ou um de cada (pilha dupla). Não use endereços IPs elásticos (EIPs) ou endereços no formato traga seu próprio IP (BYOIP) do grupo da Amazon para criar uma interface virtual pública. Você não pode criar várias sessões BGP para a mesma família de endereços IP na mesma interface virtual. Os intervalos de endereços IP são atribuídos a cada extremidade da interface virtual da sessão de emparelhamento do BGP.
  • IPv4:

    • (Somente interface virtual pública) você precisa especificar endereços IPv4 públicos exclusivos e de sua propriedade. O valor pode ser um dos seguintes:

      • Um CIDR IPv4 de propriedade do cliente

        Isso pode ser qualquer IP público (de propriedade do cliente ou fornecido pela AWS), mas sendo necessário usar a mesma máscara de sub-rede tanto para seu IP de mesmo nível quanto para o IP de mesmo nível do roteador da AWS. Por exemplo, se você alocar um intervalo /31, como 203.0.113.0/31, você poderá usar 203.0.113.0 para seu IP de mesmo nível e 203.0.113.1 para o IP de mesmo nível da AWS. Como alternativa, se você alocar um intervalo /24, como 198.51.100.0/24, você poderá usar 198.51.100.10 para seu IP de mesmo nível e 198.51.100.20 para o IP de mesmo nível da AWS.

      • Um intervalo de endereços IP que pertence ao seu parceiro do AWS Direct Connect ou ISP, juntamente com uma autorização LoA-CFA.

      • Um CIDR /31 fornecido pela AWS. Entre em contato com o AWS Support para solicitar um CIDR IPv4 público (e informe um caso de uso na solicitação)

        nota

        Não podemos garantir que seremos capazes de atender a todas as solicitações de endereços IPv4 públicos fornecidos pela AWS.

      • (Somente interface virtual privada) A Amazon pode gerar endereços IPv4 privados para você. Se você especificar seus próprios endereços, não se esqueça de especificar CIDRs privados para a interface do roteador e somente para a interface do AWS Direct Connect. Por exemplo, não especifique outros endereços IP da sua rede local. Assim como em uma interface virtual pública, é necessário usar a mesma máscara de sub-rede tanto para seu IP de mesmo nível quanto para o IP de mesmo nível do roteador da AWS. Por exemplo, se você alocar um intervalo /30, como 192.168.0.0/30, você poderá usar 192.168.0.1 para seu IP de mesmo nível e 192.168.0.2 para o IP de mesmo nível da AWS.

  • IPv6: a Amazon aloca automaticamente um CIDR IPv6 /125 para você. Você não pode especificar os próprios endereços IPv6 de mesmo nível.

Família de endereços Indica se a sessão de emparelhamento do BGP acontecerá por IPv4 ou IPv6.
Informações sobre o BGP
  • Um número de sistema autônomo (ASN) público ou privado de Protocolo de Gateway da Borda (BGP) para a sua extremidade da sessão do BGP. Caso esteja usando um ASN público, você precisa ser o proprietário dele. Se você estiver usando um ASN privado, poderá definir um valor de ASN personalizado. Para um ASN de 16 bits, o valor deve estar no intervalo de 64512 a 65534. Para um ASN de 32 bits, o valor deve estar no intervalo de 1 a 2147483647. A adição de prefixo do Sistema autônomo (AS) não funcionará se você usar um ASN privado para uma interface virtual pública.

  • A AWS habilita o MD5 por padrão. Não é possível modificar essa opção.

  • Uma chave de autenticação MD5 do BGP. Você pode fornecer sua própria chave ou permitir que a Amazon gere uma para você.

(Somente interface virtual pública) Prefixos que você deseja anunciar

Rotas IPv4 ou rotas IPv6 públicas para anunciar pelo BGP. Você deve anunciar pelo menos um prefixo usando BGP, até um máximo de 1.000 prefixos.

  • IPv4: poderá haver sobreposição do CIDR IPv4 a outro CIDR IPv4 público anunciado usando o AWS Direct Connect quando uma das seguintes situações for verdadeira:

    • Os CIDRs forem de diferentes regiões da AWS. Não se esqueça de aplicar as tags de comunidade do BGP nos prefixos públicos.

    • Você usar AS_PATH quando tiver um ASN público em uma configuração ativa/passiva.

    Para obter mais informações consulte Políticas de roteamento e comunidades do BGP.

  • IPv6: especifique um comprimento de prefixo /64 ou menor.

  • Entrando em contato com o AWS Support, você poderá acrescentar prefixos adicionais a um VIF público existente e anunciá-los. Em seu caso de suporte, forneça uma lista de prefixos CIDR adicionais que você deseja adicionar ao VIF público e anunciar.

  • É possível especificar qualquer tamanho de prefixo em uma interface virtual pública do Direct Connect. O IPv4 deve ser compatível com qualquer variação de /1 a /32, enquanto o IPv6 deve ser compatível com qualquer variação de /1 a /64.

(Somente interface virtual privada) Frames jumbo Unidade de transmissão máxima (MTU) de pacotes pelo AWS Direct Connect. O padrão é 1500. Definir o MTU de uma interface virtual para 9001 (frames jumbo) pode resultar em uma atualização para a conexão física subjacente se ele não foi atualizado para oferecer suporte a frames jumbo. Atualizar a conexão interrompe a conectividade de rede para todas as interfaces virtuais associadas à conexão por até 30 segundos. Os frames jumbo se aplicam somente a rotas propagadas do AWS Direct Connect. Se você adicionar rotas estáticas a uma tabela de rotas que aponte para seu gateway privado virtual, o tráfego roteado pelas rotas estáticas será enviado usando 1.500 MTU. Para verificar se uma conexão ou interface virtual é compatível com frames jumbo, selecione-a no console do AWS Direct Connect e localize Com capacidade de frames jumbo na guia Resumo.
(Somente interface virtual de trânsito) Frames jumbo Unidade de transmissão máxima (MTU) de pacotes pelo AWS Direct Connect. O padrão é 1500. Definir o MTU de uma interface virtual para 8500 (frames jumbo) pode resultar em uma atualização na conexão física subjacente se ela não tiver sido atualizada para compatibilidade com frames jumbo. Atualizar a conexão interrompe a conectividade de rede para todas as interfaces virtuais associadas à conexão por até 30 segundos. Para o Direct Connect, há compatibilidade com frames jumbo até 8500 MTU. As rotas estáticas e as rotas propagadas configuradas na tabela de rotas do Transit Gateway serão compatíveis com frames jumbo, inclusive de instâncias do EC2 com entradas da tabela de rotas estáticas de VPC no anexo do gateway de trânsito. Para verificar se uma conexão ou interface virtual é compatível com frames jumbo, selecione-a no console do AWS Direct Connect e localize Com capacidade de frames jumbo na guia Resumo.

Ao criar uma interface virtual, é possível especificar a conta que possui a interface virtual. Ao escolher uma conta da AWS que não seja sua, as seguintes regras se aplicam:

  • Para VIFs privadas e VIFs de trânsito, a conta se aplica à interface virtual e ao destino do gateway privado virtual/gateway Direct Connect.

  • Para VIFs públicas, a conta é usada para faturamento de interface virtual. O uso da Data Transfer Out (DTO – Transferência de dados de saída) é medido em relação ao proprietário do recurso segundo a tarifa de transferência de dados do AWS Direct Connect.

nota

Os prefixos de 31 bits são compatíveis com todos os tipos de interface virtual do Direct Connect. Para obter mais informações, consulte RFC 3021: usando prefixos de 31 bits em links IPv4 ponto a ponto.

MTUs aplicáveis para interfaces virtuais privadas ou interfaces virtuais de trânsito

O AWS Direct Connect oferece suporte a um quadro Ethernet de 1.522 ou 9.023 bytes (cabeçalho Ethernet de 14 bytes + tag VLAN de 4 bytes + bytes para o datagrama IP + FCS de 4 bytes) na camada de link.

A unidade de transmissão máxima (MTU) de uma conexão de rede é o tamanho, em bytes, do maior pacote permissível que pode ser passado pela conexão. A MTU de uma interface virtual privada pode ser 1500 ou 9001 (frames jumbo). A MTU de uma interface virtual privada pode ser 1500 ou 8500 (frames jumbo). Você pode especificar a MTU ao criar a interface ou atualizá-la depois que criá-la. Definir a MTU de uma interface virtual para 8500 (frames jumbo) pode resultar em uma atualização da conexão física subjacente se ela não foi atualizada para oferecer suporte a frames jumbo. Atualizar a conexão interrompe a conectividade de rede para todas as interfaces virtuais associadas à conexão por até 30 segundos. Para verificar se uma conexão ou interface virtual oferece suporte a frames jumbo, selecione-a no console do AWS Direct Connect e localize Jumbo Frame Capable (Com capacidade de frames jumbo) na guia Summary (Resumo).

Após ter habilitado os frames jumbo para sua interface virtual privada ou interface virtual de trânsito, você só poderá associá-la a uma conexão ou LAG que seja compatível com frames jumbo. Os frames jumbo são compatíveis com uma interface virtual privada anexada a um gateway virtual privado ou um gateway do Direct Connect, ou com uma interface virtual de trânsito anexada a um gateway do Direct Connect. Se você tiver duas interfaces virtuais privadas que anunciem a mesma rota, mas usem valores de MTU diferentes, ou se você tiver um Site-to-Site VPN que anuncie a mesma rota, o valor de 1500 MTU será usado.

Importante

Os frames jumbo serão aplicados apenas a rotas propagadas pelo AWS Direct Connect e a rotas estáticas por meio de gateways de trânsito. Os frames jumbo em gateways de trânsito são compatíveis apenas com 8.500 bytes.

Se uma instância do EC2 não for compatível com frames jumbo, ela descartará os frames jumbo do Direct Connect. Todos os tipos de instâncias do EC2 são compatíveis com frames jumbo, exceto C1, CC1, T1 e M1. Para obter mais informações, consulte Unidade de transmissão máxima (MTU) de rede para a instância do EC2 no Guia do usuário do Amazon EC2.

Para conexões hospedadas, só é possível habilitar os frames jumbo se eles tiverem sido originalmente habilitados na conexão principal hospedada do Direct Connect. Se os frames jumbo não estiverem habilitados nessa conexão principal, não será possível habilitá-los em nenhuma conexão.

Para obter as etapas necessárias para definir a MTU para uma interface virtual privada, consulte Definição da MTU de uma interface virtual privada.