AWS Direct Connect gateways - AWS Direct Connect

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Direct Connect gateways

Use o AWS Direct Connect gateway para conectar seuVPCs. Você associa um gateway do AWS Direct Connect com um dos seguintes gateways:

  • Um gateway de trânsito quando você tem vários VPCs na mesma região

  • Um gateway privado virtual

Você também pode usar um gateway privado virtual para ampliar sua zona local. Essa configuração permite que o VPC associado à zona local se conecte a um gateway Direct Connect. O gateway do Direct Connect se conecta a um local do Direct Connect em uma região. O datacenter on-premises tem uma conexão do Direct Connect com o local do Direct Connect. Para obter mais informações, consulte Acessando Zonas Locais usando um gateway Direct Connect no Guia VPC do Usuário da Amazon.

Um gateway Direct Connect é um recurso disponível globalmente. É possível se conectar a qualquer região do mundo usando um gateway do Direct Connect. Isso inclui AWS GovCloud (US) , mas não inclui, as regiões AWS da China.

Os clientes que usam o Direct Connect e VPCs que atualmente ignoram uma zona de disponibilidade principal não poderão migrar suas conexões ou interfaces virtuais do Direct Connect.

Veja a seguir os cenários nos quais você pode usar um gateway do Direct Connect.

Um gateway Direct Connect não permite que associações de gateway que estejam no mesmo gateway Direct Connect enviem tráfego uma para a outra (por exemplo, um gateway privado virtual para outro gateway privado virtual). Uma exceção a essa regra, implementada em novembro de 2021, é quando uma superrede é anunciada em duas ou maisVPCs, que têm seus gateways privados virtuais conectados (VGWs) associados ao mesmo gateway Direct Connect e na mesma interface virtual. Nesse caso, VPCs podem se comunicar entre si por meio do endpoint Direct Connect. Por exemplo, se você anunciar uma superrede (por exemplo, 10.0.0.0/8 ou 0.0.0.0/0) que se sobrepõe à conectada VPCs a um gateway Direct Connect (por exemplo, 10.0.0.0/24 e 10.0.1.0/24) e na mesma interface virtual, a partir da sua rede local, elas podem se comunicar umas com as outras. VPCs

Se você quiser bloquear a VPC comunicação VPC -para- em um gateway Direct Connect, faça o seguinte:

  1. Configure grupos de segurança nas instâncias e em outros recursos do VPC para bloquear o tráfego entre elasVPCs, também usando isso como parte do grupo de segurança padrão noVPC.

  2. Evite anunciar uma superrede de sua rede local que se sobreponha à sua. VPCs Em vez disso, você pode anunciar rotas mais específicas da sua rede local que não se sobreponham à sua. VPCs

  3. Provisione um único Direct Connect Gateway para cada um VPC que você deseja conectar à sua rede local, em vez de usar o mesmo Direct Connect Gateway para váriosVPCs. Por exemplo, em vez de usar um único Direct Connect Gateway para seu desenvolvimento e produçãoVPCs, use Direct Connect Gateways separados para cada um delesVPCs.

Um gateway do Direct Connect não impede o envio do tráfego de uma associação de gateway de volta para a própria associação de gateway (p. ex., quando você tiver uma rota de super-rede on-premises que contenha os prefixos da associação de gateway). Se você tiver uma configuração com vários gateways VPCs conectados a trânsito associados ao mesmo gateway Direct Connect, eles VPCs poderão se comunicar. Para evitar que eles VPCs se comuniquem, associe uma tabela de rotas aos VPC anexos que têm a opção blackhole definida.

Cenários

A seguir, descrevemos apenas alguns cenários para o uso dos gateways Direct Connect.

No diagrama a seguir, o gateway Direct Connect permite que você use sua AWS Direct Connect conexão na região Leste dos EUA (Norte da Virgínia) para acessar VPCs sua conta nas regiões Leste dos EUA (Norte da Virgínia) e Oeste dos EUA (Norte da Califórnia).

Cada um VPC tem um gateway privado virtual que se conecta ao gateway Direct Connect usando uma associação de gateway privado virtual. O gateway Direct Connect usa uma interface virtual privada para a conexão com o AWS Direct Connect local. Há uma conexão do AWS Direct Connect proveniente do local para o datacenter do cliente.

Um gateway Direct Connect que se conecta VPCs em duas AWS regiões e em seu data center.

Considere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietária do gateway Direct Connect. A Conta A e a Conta B desejam usar o gateway Direct Connect. A Conta A e a Conta B enviam uma proposta de associação à Conta Z. A Conta Z aceita as propostas de associação e pode, opcionalmente, atualizar os prefixos que são permitidos no gateway privado virtual da Conta A ou no gateway privado virtual da Conta B. Depois que a Conta Z aceitar as propostas, a Conta A e a Conta B poderão rotear o tráfego de seu gateway privado virtual para o gateway Direct Connect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.

Um gateway Direct Connect que conecta três Contas da AWS e seu data center.

O diagrama a seguir ilustra como o gateway Direct Connect permite que você crie uma única conexão com sua conexão Direct Connect que todos VPCs possam usar.

Um gateway Direct Connect associado a um gateway de trânsito com vários VPC anexos.

A solução envolve os componentes abaixo:

  • Um gateway de trânsito que tem VPC anexos.

  • Gateway Direct Connect

  • Uma associação entre o gateway Direct Connect e o gateway de trânsito.

  • Uma interface virtual de trânsito que é anexada ao gateway Direct Connect.

Essa configuração oferece os benefícios abaixo. É possível:

  • Gerencie uma única conexão para várias VPCs ou VPNs que estejam na mesma região.

  • Anuncie prefixos do local para AWS e do AWS local para o local.

Para obter informações sobre como configurar gateways de trânsito, consulte Como trabalhar com gateways de trânsito no Amazon VPC Transit Gateways Guide.

Considere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietária do gateway Direct Connect. A Conta A é proprietária do gateway de trânsito e quer usar o gateway do Direct Connect. A Conta Z aceita as propostas de associação e pode, como opção, atualizar os prefixos que são permitidos no gateway de trânsito da Conta A. Depois que a Conta Z aceitar as propostas, o VPCs anexo ao gateway de trânsito poderá rotear o tráfego do gateway de trânsito para o gateway Direct Connect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.

Um gateway Direct Connect de um Conta da AWS associado a um gateway de trânsito de outro Conta da AWS.