PERF05-BP03 Escolher a VPN ou a conectividade dedicada dimensionada adequadamente para workloads híbridas
Quando uma rede comum é necessária para conectar recursos on-premises e de nuvem na AWS, verifique se você tem largura de banda adequada para atender aos requisitos de desempenho. Estime os requisitos de largura de banda e de latência para a sua workload híbrida. Esses números orientarão os requisitos de dimensionamento para as opções de conectividade.
Resultado desejado: ao implantar uma workload que precisará de redes híbridas, você tem várias opções de configuração para conectividade, como conexão dedicada ou rede privada virtual (VPN). Selecione o tipo de conexão apropriado para cada workload e verifique se você tem os requisitos de largura de banda e de criptografia adequados entre seu local e a nuvem.
Antipadrões comuns:
-
Você não compreende ou identifica todos os requisitos da workload (necessidades de largura de banda, latência, tremulação, criptografia e tráfego).
-
Você não avalia opções de conectividade paralela ou de backup.
Benefícios do estabelecimento dessa prática recomendada: a seleção e a configuração adequadas de soluções de rede híbrida aumentará a confiabilidade da workload e maximizará as oportunidades de desempenho. A identificação dos requisitos da workload, o planejamento antecipado e a avaliação das soluções híbridas ajudarão a minimizar alterações dispendiosas da rede física e as despesas operacionais e reduzirá o tempo de colocação no mercado.
Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto
Orientações para a implementação
Desenvolva uma arquitetura de rede híbrida com base em seus requisitos de largura de banda. Calcule os requisitos de largura de banda e latência de seus aplicativos híbridos. Considere uma opção de conectividade apropriada entre usar uma conexão de rede dedicada ou uma VPN com base na internet.
A conexão dedicada estabelece a conexão de rede sobre linhas privadas. Ela é adequada para quando você precisa de largura de banda alta e baixa latência enquanto obtém um desempenho consistente. A conexão VPN estabelece uma conexão segura pela internet. Ela é adequada quando você precisa de uma conexão criptografada usando uma conexão existente com a internet.
Com base nos requisitos de largura de banda, uma única conexão VPN ou dedicada pode não ser suficiente, e você deve projetar uma configuração híbrida para habilitar o balanceamento de carga de tráfego em várias conexões.
Etapas da implementação
-
Calcule os requisitos de largura de banda e latência de seus aplicativos híbridos.
-
Para aplicações existentes que estão sendo migradas para a AWS, utilize os dados de seus sistemas de monitoramento de rede internos.
-
Para aplicações novas ou existentes para as quais não há dados de monitoramento, consulte os proprietários do produto para gerar métricas de desempenho adequadas e fornecer uma experiência do usuário satisfatória.
-
-
Escolha uma conexão dedicada ou VPN como sua opção de conectividade. Com base em todos os requisitos da workload (necessidades de criptografia, largura de banda e tráfego), é possível escolher o AWS Direct Connect ou o AWS Site-to-Site VPN (ou ambos). O diagrama a seguir ajudará você a escolher o tipo de conexão apropriada.
-
Se você considerar a conexão dedicada, o AWS Direct Connect poderá ser necessário, o que oferece um desempenho mais previsível e consistente devido à sua conectividade de rede privada. O AWS Direct Connect fornece conectividade dedicada com o ambiente da AWS, de 50 Mbps até 100 Gbps, usando a conexão dedicada ou a conexão hospedada. Isso permite que você tenha latência gerenciada e controlada, além de largura de banda provisionada para que a workload possa se conectar de forma eficiente com outros ambientes. Com os parceiros do AWS Direct Connect, é possível ter conectividade completa para vários ambientes, fornecendo uma rede estendida com desempenho consistente. A AWS oferece escalabilidade da largura de banda da conexão do Direct Connect usando 100 Gbps nativos, LAG (Link Aggregation Group) ou BGP ECMP (Equal-cost multipath).
-
Se você considerar a conexão VPN, uma VPN gerenciada pela AWS é a opção recomendada. O AWS Site-to-Site VPN fornece um serviço de VPN gerenciada compatível com o protocolo IPsec (Internet Protocol security). Quando uma conexão VPN é criada, cada conexão VPN inclui dois túneis para alta disponibilidade. Com o AWS Transit Gateway, é possível simplificar a conectividade entre várias VPCs, além de se conectar a qualquer VPC anexada ao AWS Transit Gateway com uma única conexão VPN. O AWS Transit Gateway também permite escalar além do limite de throughput da VPN IPsec de 1,25 Gbps permitindo o roteamento ECMP (Equal-cost multi-path) por vários túneis da VPN.
-
Fluxograma de desempenho determinístico.
Nível de esforço do plano de implementação: alto. Há um esforço significativo em avaliar as necessidades da workload para redes híbridas e implementar soluções de redes híbridas.
Recursos
Documentos relacionados:
-
Fazer a transição para o encaminhamento por latência no Amazon Route 53
-
Building a Scalable and Secure Multi-VPC AWS Network Infrastructure (Criação de uma infraestrutura de rede da AWS de várias VPCs escaláveis e seguras)
Vídeos relacionados:
-
Conectividade com a AWS e arquiteturas de rede híbrida da AWS (NET317-R1)
-
Otimização do desempenho da rede para instâncias do Amazon EC2 (CMP308-R1)
-
VPN Solutions
(Soluções de VPN) -
Security with VPN Solutions
(Segurança com as soluções de VPN)
Exemplos relacionados:
-
AWS Transit Gateway and Scalable Security Solutions
(AWS Transit Gateway e soluções de segurança escaláveis) -
AWS Networking Workshops
(Workshops de redes da AWS)
