Arquitetura 3: AWS Transit Gateway - AWS Orientação prescritiva
Centralizar a inspeção de redeSelecionar uma opção de implantação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Arquitetura 3: AWS Transit Gateway

O AWS Transit Gateway é um serviço de roteamento gerenciado que conecta VPCs e redes on-premises. O Transit Gateway pode ajudar você a simplificar sua topologia de rede e evitar relacionamentos complexos de emparelhamento entre um grande número de VPCs.

O Transit Gateway atua como um roteador na nuvem. Cada nova conexão é feita apenas uma vez entre uma VPC e o gateway de trânsito. Ao usar o gateway de trânsito como um hub que oferece suporte ao roteamento transitivo, não é necessário adicionar relacionamentos de mesmo nível entre cada VPC em uma topologia de malha. Para obter mais informações sobre o Transit Gateway e suas cotas, consulte Cotas para gateways de trânsito.

Usar o Transit Gateway para integrar um serviço de terceiros traz os seguintes benefícios:

  • Suporte a tráfego bidirecional entre suas VPCs e a rede de terceiros

  • Suporte a todos os tipos de tráfego IP (TCP e UDP)

  • Implantação de um ponto de inspeção de tráfego centralizado entre suas VPCs e a rede de terceiros

  • Facilidade de escalonamento à medida que o número de VPCs envolvidas na integração muda

As desvantagens de usar uma solução Transit Gateway incluem:

  • Essa opção geralmente é mais cara do que as opções de emparelhamento direto.

  • Não há suporte a blocos CIDR sobrepostos.

  • Muitos fornecedores não oferecem suporte a essa solução porque desejam manter controle total e minimizar o compartilhamento de componentes com seus clientes.

O diagrama de arquitetura a seguir mostra uma representação simplificada do uso do Transit Gateway para conectar suas VPCs às de um provedor terceirizado. Cada VPC se conecta ao gateway de trânsito, e o gateway oferece suporte ao roteamento transitivo entre todas as VPCs conectadas.

Usar o Transit Gateway para conectar VPCs em contas da AWS diferentes

No entanto, a configuração real tem mais nuances e essa arquitetura é dividida em diferentes opções e considerações de implantação.

Centralizar a inspeção de rede

Se você usa o Transit Gateway, pode implantar um ponto de inspeção de tráfego de rede centralizado, uma VPC de inspeção dedicada. Ao usar rotas estáticas na tabela de rotas associada ao anexo de emparelhamento intrarregião, é possível direcionar o tráfego proveniente da rede de terceiros para a VPC de inspeção. Para inspecionar o tráfego, é possível usar o AWS Network Firewall ou um balanceador de carga do AWS Gateway emparelhado com dispositivos de segurança virtuais implantados em instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Modelo de implantação centralizada em Modelos de implantação para AWS Network Firewall (publicação no blog da AWS).

O gateway de trânsito deve estar em modo de dispositivo para que o anexo de VPC de inspeção roteie o tráfego bidirecional simetricamente. Conforme mostrado no diagrama de arquitetura a seguir, o gateway de trânsito direciona o tráfego das VPCs conectadas para uma interface de rede elástica na VPC de inspeção.

Criação de um ponto de inspeção centralizado em uma VPC dedicada.

Selecionar uma opção de implantação

O primeiro aspecto que deve ser considerado é se você usará um gateway de trânsito existente em sua rede ou criará um novo gateway de trânsito dedicado. Recomendamos a implantação de um novo gateway de trânsito dedicado, pois ele comprovadamente oferece mais controle e separação da rede de terceiros. As arquiteturas de exemplo neste guia criam um novo gateway de trânsito, e é possível criar conexões de emparelhamento entre o gateway existente e o novo gateway.

A segunda coisa a considerar é qual arquitetura é melhor para seu caso de uso:

  1. Arquitetura 3.1: Transit Gateway com AWS RAM: nessa opção de implantação, um único gateway de trânsito é compartilhado com a conta de terceiros. Use o AWS Resource Access Manager (AWS RAM) para configurar a relação de compartilhamento.

  2. Arquitetura 3.2: Emparelhamento do Transit Gateway: nessa opção de implantação, você cria uma conexão de emparelhamento entre dois gateways de trânsito, um na sua conta e outro na conta de terceiros.

Ao selecionar entre essas opções, considere os seguintes benefícios e desvantagens de cada uma.

  Arquitetura 3.1: Transit Gateway com AWS RAM Arquitetura 3.2: Emparelhamento do Transit Gateway
Benefícios Não é necessário um gateway de trânsito na conta de terceiros, o que resulta em uma arquitetura mais simplificada. Um terceiro pode achar essa solução mais aceitável porque fornece mais controle sobre a configuração da rede.
Você tem controle e visibilidade aprimorados por ser o proprietário do gateway de trânsito compartilhado. O esforço operacional foi reduzido porque o terceiro mantém seus próprios anexos de VPC.
Desvantagens O terceiro pode estar relutante porque isso reduz seu controle sobre a configuração da rede. A arquitetura de rede é mais complexa.
Você é responsável por configurar os anexos do gateway de trânsito às VPCs na conta de terceiros. Essa arquitetura cria um salto adicional no caminho do tráfego.

Considerações sobre custos

Considere também as seguintes implicações de custos ao decidir entre essas opções:

  • A taxa horária do anexo do gateway de trânsito é cobrada do proprietário da conta do anexo (ou VPC). Alguns custos serão seus e outros serão de terceiros.

  • O processamento de dados é cobrado do proprietário da VPC que envia o tráfego pelo gateway de trânsito. Não há cobrança pelo recebimento de dados do gateway de trânsito.

  • Não há cobranças de processamento de dados para dados enviados entre dois gateways de trânsito emparelhados.

Para obter mais informações, consulte Preços do Transit Gateway.