Gateways Direct Connect - AWS Direct Connect

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gateways Direct Connect

Use oAWS Direct Connect gateway do para criar uma conexão do VPCs. Você associa umAWS Direct Connect gateway a um dos seguintes gateways:

  • Um gateway de trânsito quando você tem várias VPCs na mesma região

  • Um gateway privado virtual

Você também pode usar um gateway virtual privado para estender sua zona local. Essa configuração permite que a VPC associada à zona local Connect a um gateway Direct. O gateway do Direct se conecta a um local do Direct em uma região. O datacenter on-premises tem uma conexão do Direct com o local do Direct. Para obter mais informações, consulte Acessando Local Zones usando um gateway Direct Connect no Guia do usuário do Amazon VPC.

Um gateway Direct Connect é um recurso disponível globalmente. Você pode criar o gateway Direct Connect em qualquer região e acessá-lo de todas as outras regiões. Você pode configurar o Direct Connect para ignorar uma zona de disponibilidade principal e se conectar diretamente à Internet ou por meio do Direct Connect points-of-presence. Para obter mais informações sobreAWS Local Zones, consulte Recursos deAWS Local Zones.

Os clientes que usam o Direct Connect com VPCs que atualmente ignoram uma zona de disponibilidade principal não poderão migrar suas conexões ou interfaces virtuais do Direct Connect.

A seguir, descrevemos os cenários em que você pode usar um gateway Direct Connect.

Um gateway Direct Connect não permite que associações de gateway que estejam no mesmo gateway Direct Connect enviem tráfego uma para a outra (por exemplo, um gateway privado virtual para outro gateway privado virtual). Uma exceção a essa regra, implementada em novembro de 2021, é quando uma superrede é anunciada em duas ou mais VPCs, que têm seus gateways virtuais privados (VGWs) conectados ao mesmo gateway Direct Connect e na mesma interface virtual. Nesse caso, as VPCs podem se comunicar pelo endpoint Direct. Por exemplo, se você anunciar uma superrede (por exemplo, 10.0.0.0/8 ou 0.0.0.0/0) que se sobrepõe às VPCs conectadas a um gateway Direct Connect (por exemplo, 10.0.0.0/24 e 10.0.1.0/24) e na mesma interface virtual, a partir da sua rede local, as VPCs poderão se comunicar entre si.

Se você quiser bloquear a comunicação entre VPC e VPC em um gateway Direct Connect, faça o seguinte:

  1. Configure grupos de segurança nas instâncias e em outros recursos na VPC para bloquear o tráfego entre as VPCs, também usando isso como parte do grupo de segurança padrão na VPC.

  2. Evite anunciar uma superrede de sua rede on-premises que se sobreponha às VPCs. Em vez disso, você pode anunciar rotas mais específicas de sua rede local que não se sobreponham às suas VPCs.

  3. Provisione um único Direct Connect Gateway para cada VPC que você deseja conectar à sua rede local em vez de usar o mesmo Direct Connect Gateway para várias VPCs. Por exemplo, em vez de usar um único Direct Connect Gateway para suas VPCs de desenvolvimento e produção, use gateways de Connect direta separados para cada uma dessas VPCs.

Um gateway Direct Connect não impede que o tráfego seja enviado de uma associação de gateway para a própria associação de gateway (por exemplo, quando você tem uma rota de superrede local que contém os prefixos da associação do gateway). Se você tiver uma configuração com várias VPCs conectadas ao mesmo gateway de trânsito, as VPCs poderão se comunicar. Para evitar que as VPCs se comuniquem, use anexos de gateway de trânsito separados e, em seguida, associe uma tabela de rotas aos anexos que têm a opção de buraco negro definida.

Os cenários a seguir descrevem onde você pode usar um gateway Direct Connect.

Associações de gateways privados virtuais

No diagrama a seguir, o gateway Direct Connect permite que você use suaAWS Direct Connect conexão na região Leste dos EUA (Norte da Virgínia) para acessar VPCs em sua conta nas regiões Leste dos EUA (Norte da Virgínia) e Oeste dos EUA (Norte da Califórnia).

Cada VPC tem um gateway privado virtual que se conecta ao gateway Direct Connect usando uma associação de gateway virtual privado. O gateway Direct Connect usa uma interface virtual privada para a conexão com oAWS Direct Connect local. Há umaAWS Direct Connect conexão do local do ao datacenter do cliente.



                    Direct Connect gateway

Associações de gateways privados virtuais entre contas

Considere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietária do gateway Direct Connect. A Conta A e a Conta B desejam usar o gateway Direct Connect. A Conta A e a Conta B enviam uma proposta de associação à Conta Z. A Conta Z aceita as propostas de associação e pode, opcionalmente, atualizar os prefixos que são permitidos no gateway privado virtual da Conta A ou no gateway privado virtual da Conta B. Depois que a Conta Z aceitar as propostas, a Conta A e a Conta B poderão rotear o tráfego de seu gateway privado virtual para o gateway Direct Connect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.

Associações de gateways de trânsito

O diagrama a seguir ilustra como o gateway Direct Connect permite que você crie uma única conexão com a conexão do Direct Connect que todas as suas VPCs podem usar.

A solução envolve os componentes abaixo:

  • Um gateway de trânsito que tem anexos de VPC.

  • Gateway Direct Connect

  • Uma associação entre o gateway Direct Connect e o gateway de trânsito.

  • Uma interface virtual de trânsito que é anexada ao gateway Direct Connect.

Essa configuração oferece os benefícios abaixo. É possível:

  • Gerenciar uma única conexão para várias VPCs ou VPNs que estão na mesma região.

  • Anunciar prefixos de on-premises para a AWS e da AWS para on-premises.

Para obter informações sobre a configuração de gateways de trânsito, consulte Como trabalhar com gateways de trânsito no Guia do Amazon VPC Transit Gateways.

Associações de gateways de trânsito entre contas

Considere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietária do gateway Direct Connect. A conta A é proprietária do gateway de trânsito e deseja usar o gateway Direct Connect. A Conta Z aceita as propostas de associação e, opcionalmente, pode atualizar os prefixos permitidos no gateway de trânsito da Conta A. Depois que a Conta Z aceitar as propostas, as VPCs conectadas ao gateway de trânsito podem rotear o tráfego do gateway de trânsito para o gateway Direct Connect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.

Criar um gateway Direct Connect

Você pode criar um gateway Direct Connect em qualquer região compatível.

Para criar um gateway Direct Connect
  1. Abra oAWS Direct Connect console em https://console.aws.amazon.com/directconnect/v2/home.

  2. No painel de navegação, escolha Gateways Direct Connect.

  3. Escolha Create Direct Connect gateway (Criar gateway Direct Connect).

  4. Especifique as informações a seguir e selecione Create Direct Connect gateway (Criar gateway Direct Connect).

    • Nome: digite um nome para ajudá-lo a identificar o gateway Direct Connect.

    • ASN do lado da Amazon: especifique o ASN para o lado da Amazon da sessão BGP. O ASN deve estar no intervalo 64.512 a 65.534 ou 4.200.000.000 a 4.294.967.294.

    • Virtual private gateway (Gateway privado virtual): para associar um gateway privado virtual, selecione-o.

Para criar um gateway Direct Connect usando a linha de comando ou a API

Excluir gateways Direct Connect

Caso não precise mais de um gateway Direct Connect, exclua-o. Você deve primeiro desassociar todos os gateways privados virtuais e excluir a interface virtual privada conectada.

Para excluir um gateway Direct Connect
  1. Abra oAWS Direct Connect console em https://console.aws.amazon.com/directconnect/v2/home.

  2. No painel de navegação, escolha Gateways Direct Connect.

  3. Selecione os gateways e selecione Delete (Excluir).

Para excluir um gateway Direct Connect usando a linha de comando ou a API

Migrar de um gateway privado virtual para um gateway Direct Connect

Se você tiver um gateway privado virtual associado a uma interface virtual e quiser migrar para um gateway Direct Connect, realize as seguintes etapas:

Como migrar para um gateway Direct Connect
  1. Crie um gateway Direct Connect. Para obter mais informações, consulte Criar um gateway Direct Connect.

  2. Crie uma interface virtual para o gateway Direct Connect. Para obter mais informações, consulte Criar uma interface virtual.

  3. Associe o gateway privado virtual ao gateway Direct Connect. Para obter mais informações, consulte Associar e desassociar gateways privados virtuais.

  4. Exclua a interface virtual que estava associada ao gateway privado virtual. Para obter mais informações, consulte Excluir interfaces virtuais.