Arquitetura 3: AWS Transit Gateway - AWS Orientação prescritiva
Centralizar a inspeção de redeSelecionar uma opção de implantação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Arquitetura 3: AWS Transit Gateway

AWS Transit Gatewayé um serviço de roteamento gerenciado que conecta VPCs redes locais. O Transit Gateway pode ajudá-lo a simplificar sua topologia de rede e evitar relacionamentos complexos de emparelhamento entre um grande número de. VPCs

O Transit Gateway atua como um roteador na nuvem. Cada nova conexão é feita apenas uma vez entre uma VPC e o gateway de trânsito. Ao usar o gateway de trânsito como um hub que oferece suporte ao roteamento transitivo, não é necessário adicionar relacionamentos de mesmo nível entre cada VPC em uma topologia de malha. Para obter mais informações sobre o Transit Gateway e suas cotas, consulte Cotas para gateways de trânsito.

Usar o Transit Gateway para integrar um serviço de terceiros traz os seguintes benefícios:

  • Suporta tráfego bidirecional entre sua rede VPCs e a de terceiros

  • Suporte a todos os tipos de tráfego IP (TCP e UDP)

  • Implanta um ponto de inspeção de tráfego centralizado entre sua rede VPCs e a de terceiros

  • Dimensiona facilmente à medida que o número de VPCs envolvidos na integração muda

As desvantagens de usar uma solução Transit Gateway incluem:

  • Essa opção geralmente é mais cara do que as opções de emparelhamento direto.

  • Não há suporte a blocos CIDR sobrepostos.

  • Muitos fornecedores não oferecem suporte a essa solução porque desejam manter controle total e minimizar o compartilhamento de componentes com seus clientes.

O diagrama de arquitetura a seguir mostra uma representação simplificada do uso do Transit Gateway para conectá-lo VPCs aos de um provedor terceirizado. Cada VPC se conecta ao gateway de trânsito, e o gateway oferece suporte ao roteamento transitivo entre todos os anexados. VPCs

Usando o Transit Gateway para se conectar VPCs em AWS contas diferentes

No entanto, a configuração real tem mais nuances e essa arquitetura é dividida em diferentes opções e considerações de implantação.

Centralizar a inspeção de rede

Se você usa o Transit Gateway, pode implantar um ponto de inspeção de tráfego de rede centralizado, uma VPC de inspeção dedicada. Ao usar rotas estáticas na tabela de rotas associada ao anexo de emparelhamento intrarregião, é possível direcionar o tráfego proveniente da rede de terceiros para a VPC de inspeção. Para inspecionar o tráfego, você pode usar AWS Network Firewall ou um AWS Gateway Load Balancer emparelhado com dispositivos de segurança virtual implantados em instâncias do Amazon Elastic Compute Cloud EC2 (Amazon). Para obter mais informações, consulte Modelo de implantação centralizado em Modelos de implantação para AWS Network Firewall (postagem AWS no blog).

O gateway de trânsito deve estar em modo de dispositivo para que o anexo de VPC de inspeção roteie o tráfego bidirecional simetricamente. Conforme mostrado no diagrama de arquitetura a seguir, o gateway de trânsito direciona o tráfego do anexo VPCs para uma interface de rede elástica na VPC de inspeção.

Criação de um ponto de inspeção centralizado em uma VPC dedicada.

Selecionar uma opção de implantação

O primeiro aspecto que deve ser considerado é se você usará um gateway de trânsito existente em sua rede ou criará um novo gateway de trânsito dedicado. Recomendamos a implantação de um novo gateway de trânsito dedicado, pois ele comprovadamente oferece mais controle e separação da rede de terceiros. As arquiteturas de exemplo neste guia criam um novo gateway de trânsito, e é possível criar conexões de emparelhamento entre o gateway existente e o novo gateway.

A segunda coisa a considerar é qual arquitetura é melhor para seu caso de uso:

  1. Arquitetura 3.1: Transit Gateway com AWS RAM: nessa opção de implantação, um único gateway de trânsito é compartilhado com a conta de terceiros. Você usa AWS Resource Access Manager (AWS RAM) para configurar a relação de compartilhamento.

  2. Arquitetura 3.2: Emparelhamento do Transit Gateway: nessa opção de implantação, você cria uma conexão de emparelhamento entre dois gateways de trânsito, um na sua conta e outro na conta de terceiros.

Ao selecionar entre essas opções, considere os seguintes benefícios e desvantagens de cada uma.

  Arquitetura 3.1: Transit Gateway com AWS RAM Arquitetura 3.2: Emparelhamento do Transit Gateway
Benefícios Não é necessário um gateway de trânsito na conta de terceiros, o que resulta em uma arquitetura mais simplificada. Um terceiro pode achar essa solução mais aceitável porque fornece mais controle sobre a configuração da rede.
Você tem controle e visibilidade aprimorados por ser o proprietário do gateway de trânsito compartilhado. O esforço operacional foi reduzido porque o terceiro mantém seus próprios anexos de VPC.
Desvantagens O terceiro pode estar relutante porque isso reduz seu controle sobre a configuração da rede. A arquitetura de rede é mais complexa.
Você é responsável por configurar os anexos do Transit Gateway VPCs na conta de terceiros. Essa arquitetura cria um salto adicional no caminho do tráfego.

Considerações sobre custos

Considere também as seguintes implicações de custos ao decidir entre essas opções:

  • A taxa horária do anexo do gateway de trânsito é cobrada do proprietário da conta do anexo (ou VPC). Alguns custos serão seus e outros serão de terceiros.

  • O processamento de dados é cobrado do proprietário da VPC que envia o tráfego pelo gateway de trânsito. Não há cobrança pelo recebimento de dados do gateway de trânsito.

  • Não há cobranças de processamento de dados para dados enviados entre dois gateways de trânsito emparelhados.

Para obter mais informações, consulte Preços do Transit Gateway.