AWS Outposts conectividade com AWS regiões - AWS Outposts
Conectividade por meio de links de serviçoConectividade privada do link de serviço usando VPCConexões redundantes à Internet

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Outposts conectividade com AWS regiões

AWS Outposts suporta conectividade de rede de longa distância (WAN) por meio da conexão de link de serviço.

O link de serviço é uma conexão necessária entre seus Postos Avançados e a AWS Região escolhida (ou Região de origem) e permite o gerenciamento dos Postos Avançados e a troca de tráfego de e para a Região. AWS O link de serviço utiliza um conjunto criptografado de conexões VPN para se comunicar com a região de origem.

Para configurar a conectividade do link de serviço, você ou AWS deve configurar a conectividade física, da LAN virtual (VLAN) e da camada de rede do link de serviço com seus dispositivos de rede local durante o provisionamento do Outpost. Para obter mais informações, consulte Conectividade de rede local para racks e Requisitos de site para rack Outposts.

Para a conectividade de rede de área ampla (WAN) com a AWS região, AWS Outposts pode estabelecer conexões VPN de link de serviço por meio da conectividade pública da AWS região. Isso exige que os Outposts tenham acesso aos intervalos de IP públicos da região, que podem ser por meio da Internet pública ou de interfaces virtuais AWS Direct Connect públicas. Para os intervalos de endereços IP atuais, consulte Intervalos de endereços IP da AWS no guia do usuário da Amazon VPC. Essa conectividade pode ser habilitada configurando rotas específicas ou padrão (0.0.0.0/0) no caminho da camada de rede do link de serviço. Para obter mais informações, consulte Conectividade BGP do link de serviço e anúncio de sub-rede da infraestrutura de link de serviço e intervalo de IP.

Como alternativa, você pode selecionar a opção de conectividade privada para seu Outpost. Para obter mais informações, consulte Conectividade privada do link de serviço usando VPC.

Depois que a conexão do link de serviço é estabelecida, seu Outpost se torna operacional e é gerenciado por AWS. O link de serviço é usado para o seguinte tráfego:

  • Tráfego de VPC do cliente entre o Outpost e quaisquer VPCs associadas.

  • Outposts gerenciam o tráfego, como gerenciamento de recursos, monitoramento de recursos e atualizações de firmware e software.

Requisitos da unidade de transmissão máxima (MTU) do link de serviço

A unidade de transmissão máxima (MTU) de uma conexão de rede é o tamanho, em bytes, do maior pacote permissível que pode ser passado pela conexão. A rede deve suportar MTU de 1500 bytes entre o Outpost e os endpoints do link de serviço na região principal. AWS Para obter informações sobre a MTU necessária entre uma instância no Outpost e uma instância na AWS região por meio do link de serviço, consulte Unidade máxima de transmissão de rede (MTU) para sua instância do Amazon EC2 no Guia do usuário do Amazon EC2.

Recomendações de largura de banda do link de serviço

Para uma experiência e resiliência ideais, AWS recomenda que você use conectividade redundante de pelo menos 500 Mbps (1 Gbps é melhor) para a conexão do link de serviço com a região. AWS Você pode usar AWS Direct Connect ou uma conexão com a Internet para o link do serviço. A conexão mínima de link de serviço de 500 Mbps permite que você inicie instâncias do Amazon EC2, anexe volumes do Amazon EBS e AWS acesse serviços, como Amazon EKS, Amazon EMR e métricas. CloudWatch

Os requisitos de largura de banda do link de serviço do Outposts variam de acordo com as seguintes características:

  • Número de AWS Outposts racks e configurações de capacidade

  • As características da workload, como tamanho da AMI, elasticidade do aplicativo, necessidades de velocidade de pico e tráfego da Amazon VPC para a região

Para receber uma recomendação personalizada sobre a largura de banda do link de serviço necessária para suas necessidades, entre em contato com seu representante de AWS vendas ou parceiro da APN.

Firewalls e o link de serviço

Esta seção discute as configurações de firewall e a conexão do link de serviço.

No diagrama a seguir, a configuração estende a Amazon VPC da AWS região até o Outpost. Uma interface virtual AWS Direct Connect pública é a conexão do link de serviço. O tráfego a seguir passa pelo link de serviço e pela conexão do AWS Direct Connect :

  • Tráfego de gerenciamento para o Outpost por meio do link de serviço

  • Tráfego entre o Outpost e quaisquer VPCs associadas

AWS Direct Connect conexão com AWS

Se você estiver usando um firewall com estado com sua conexão com a Internet para limitar a conectividade da Internet pública à VLAN do link de serviço, poderá bloquear todas as conexões de entrada iniciadas pela Internet. Isso ocorre porque a VPN do link de serviço é iniciada somente do Outpost para a região, e não da região para o Outpost.

Conexão de gateway de Internet para AWS

Se você usar um firewall para limitar a conectividade da VLAN do link de serviço, poderá bloquear todas as conexões de entrada. Você deve permitir conexões de saída da AWS região de volta ao Posto Avançado, conforme a tabela a seguir. Se o firewall estiver com estado, as conexões de saída do Outpost que são permitidas, o que significa que foram iniciadas a partir do Outpost, devem ser permitidas de volta na entrada.

Protocolo Porta de origem Endereço de origem Porta de destino Endereço de destino

UDP

443

AWS Outposts link de serviço /26

443

AWS Outposts Rotas públicas da região

TCP

1025-65535

AWS Outposts link de serviço /26

443

AWS Outposts Rotas públicas da região
nota

As instâncias em um Outpost não podem usar o link de serviço para se comunicar com instâncias em outros Outposts. Aproveite o roteamento por meio do gateway local ou da interface de rede local para se comunicar entre Outposts.

AWS Outposts os racks também são projetados com alimentação redundante e equipamentos de rede, incluindo componentes de gateway local. Para obter mais informações, consulte Resiliência em AWS Outposts.

Conectividade privada do link de serviço usando VPC

Você pode selecionar a opção de conectividade privada ao criar seu Outpost. Ao fazer isso, uma conexão VPN de link de serviço é estabelecida após a instalação do Outpost usando uma VPC e uma sub-rede especificadas por você. Isso permite conectividade privada por meio da VPC e minimiza a exposição pública à Internet.

Pré-requisitos

Os seguintes pré-requisitos são necessários antes que você possa configurar a conectividade privada para seu Outpost:

  • Configure as permissões para que uma entidade do IAM (usuário ou função) permita que o usuário ou a função crie ou edite a função vinculada ao serviço para conectividade privada. A entidade do IAM precisa de permissão para acessar as seguintes ações:

    • iam:CreateServiceLinkedRole no arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • iam:PutRolePolicy no arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    Para obter mais informações, consulte Gerenciamento de identidade e acesso (IAM) para AWS Outposts e Usar perfis vinculados a serviço do AWS Outposts.

  • Na mesma AWS conta e zona de disponibilidade do seu Outpost, crie uma VPC com o único propósito de conectividade privada do Outpost com uma sub-rede /25 ou maior que não entre em conflito com 10.1.0.0/16. Por exemplo, você pode usar 10.2.0.0/16.

  • Crie uma AWS Direct Connect conexão, uma interface virtual privada e um gateway privado virtual para permitir que seu Outpost local acesse a VPC. Se a AWS Direct Connect conexão estiver em uma AWS conta diferente da sua VPC, consulte Como associar um gateway privado virtual entre contas no Guia do AWS Direct Connect usuário.

  • Anuncie o CIDR da sub-rede na rede on-premises. Você pode usar AWS Direct Connect para fazer isso. Para obter mais informações, consulte interfaces virtuais do AWS Direct Connect e Trabalho com gateways do AWS Direct Connect no Guia do usuário do AWS Direct Connect .

Você pode selecionar a opção de conectividade privada ao criar seu Outpost no console do AWS Outposts . Para obter instruções, consulte Crie um Outpost e solicite capacidade para o Outpost.

nota

Para selecionar a opção de conectividade privada quando seu Outpost estiver no status PENDENTE, escolha Outposts no console e selecione seu Outpost. Escolha Ações, Adicionar conectividade privada e siga as etapas.

Depois de selecionar a opção de conectividade privada para seu Outpost, cria AWS Outposts automaticamente uma função vinculada ao serviço em sua conta que permite concluir as seguintes tarefas em seu nome:

  • Cria interfaces de rede na sub-rede e na VPC que você especifica, além de criar um grupo de segurança para as interfaces de rede.

  • Concede permissão ao AWS Outposts serviço para conectar as interfaces de rede a uma instância de endpoint do link de serviço na conta.

  • Anexa as interfaces de rede às instâncias do endpoint do link de serviço a partir da conta.

Para obter mais informações sobre a função vinculada ao serviço, consulte Usar perfis vinculados a serviço do AWS Outposts.

Importante

Depois que seu Outpost for instalado, confirme a conectividade com os IPs privados em sua sub-rede.

Conexões redundantes à Internet

Ao criar conectividade do seu Posto Avançado com a AWS Região, recomendamos que você crie várias conexões para maior disponibilidade e resiliência. Para obter mais informações, consulte Recomendações de resiliência do AWS Direct Connect.

Se você precisar de conectividade com a Internet pública, poderá usar conexões de Internet redundantes e diversos provedores de Internet, assim como faria com suas workloads on-premises existentes.