As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solução Transit VPC
As VPCs de trânsito podem criar conectividade entre VPCs por um meio diferente do peering de VPC, introduzindo um design de hub and spoke para conectividade entre VPCs. Em uma rede VPC de trânsito, uma VPC central (o hub VPC) se conecta a todas as outras VPC (falei VPC) por meio de uma conexão VPN, normalmente aproveitando o BGP sobre IPsec.
-
O roteamento transitivo é habilitado usando a rede VPN de sobreposição, permitindo um design de hub and spoke.
-
Ao usar software de um fornecedor terceirizado na instância do EC2 na VPC de trânsito do hub, a funcionalidade do fornecedor em relação à segurança avançada (firewall de camada 7/Sistema de Prevenção de Intrusões (IPS) /Sistema de Detecção de Intrusões (IDS)) pode ser usada. Se os clientes estiverem usando o mesmo software no local, eles se beneficiarão de uma experiência operacional/de monitoramento unificada.
-
A arquitetura Transit VPC permite a conectividade que pode ser desejada em alguns casos de uso. Por exemplo, você pode conectar uma GovCloud instância da AWS e uma VPC de região comercial ou uma instância do Transit Gateway a uma VPC de trânsito e habilitar a conectividade entre VPCs entre as duas regiões. Avalie seus requisitos de segurança e conformidade ao considerar essa opção. Para segurança adicional, você pode implantar um modelo de inspeção centralizado usando os padrões de projeto descritos posteriormente neste whitepaper.
O Transit VPC apresenta seus próprios desafios, como custos mais altos para executar dispositivos virtuais de fornecedores terceirizados no EC2 com base no tamanho/família da instância, taxa de transferência limitada por conexão VPN (até 1,25 Gbps por túnel VPN) e sobrecarga adicional de configuração, gerenciamento e resiliência (os clientes são responsáveis por gerenciar o HA e a redundância das instâncias do EC2 que executam os dispositivos virtuais de fornecedores terceirizados).
Emparelhamento de VPC versus Transit VPC versus Transit Gateway
Tabela 1 — Comparação de conectividade
Critérios | emparelhamento da VPC | VPC de trânsito | Gateway de trânsito | PrivateLink | Cloud WAN | VPC Lattice |
---|---|---|---|---|---|---|
Escopo |
Regional/Global | Regional | Regional | Regional | Global | Regional |
Arquitetura | Malha completa | Baseado em VPN hub-and-spoke | Baseado em anexos hub-and-spoke | Modelo de fornecedor ou consumidor | Baseado em anexos, multirregional | Conectividade de aplicativo para aplicativo |
Escala |
125 pares ativos/VPC | Depende do roteador virtual/EC2 | 5000 anexos por região | Sem limites | 5000 anexos por rede principal | 500 associações de VPC por serviço |
Segmentação |
Grupos de segurança | Gerenciado pelo cliente | Tabelas de rotas do Transit Gateway | Sem segmentação | Segmentos | Políticas de serviço e rede de serviços |
Latência |
Menor | Extra, devido à sobrecarga de criptografia da VPN | Shop adicional do Transit Gateway | O tráfego permanece no backbone da AWS, os clientes devem testar | Usa o mesmo plano de dados do Transit Gateway | O tráfego permanece no backbone da AWS, os clientes devem testar |
Limite de largura de banda |
Limites por instância, sem limite agregado | Sujeito aos limites de largura de banda da instância EC2 com base no tamanho/família | Até 100 Gbps (rajada) /conexão | 10 Gbps por zona de disponibilidade, escalável automaticamente até 100 Gbps | Até 100 Gbps (rajada) /conexão | 10 Gbps por zona de disponibilidade |
Visibility |
Logs de fluxo da VPC | Registros e métricas de fluxo de VPC CloudWatch | Gerenciador de rede do Transit Gateway, registros de fluxo de VPC, métricas CloudWatch | CloudWatch Métricas | Gerenciador de rede, registros de fluxo de VPC, métricas CloudWatch | CloudWatch Registros de acesso |
Grupo de segurança referência cruzada |
Compatível | Sem compatibilidade | Sem compatibilidade | Sem compatibilidade | Sem compatibilidade | Não aplicável |
Suporte a IPv6 | Compatível | Depende do dispositivo virtual | Compatível | Compatível | Compatível | Compatível |