Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Direct Connect pasarelas
Utilice la AWS Direct Connect puerta de enlace para conectar su VPCs. Asocia una AWS Direct Connect puerta de enlace a cualquiera de las siguientes opciones:
-
Una puerta de enlace de tránsito cuando tiene varias VPCs en la misma región
-
Una puerta de enlace privada virtual
-
Una red central WAN en la AWS nube
También puede utilizar una puerta de enlace privada virtual para ampliar su zona local. Esta configuración permite que la VPC asociada con la zona local se conecte a una puerta de enlace de Direct Connect. La puerta de enlace de Direct Connect se conecta a una ubicación de Direct Connect en una región. El centro de datos en las instalaciones tiene una conexión de Direct Connect con la ubicación de Direct Connect. Para obtener más información, consulte Acceso a las zonas locales mediante una puerta de enlace de Direct Connect en la Guía del usuario de Amazon VPC.
Una puerta de enlace de Direct Connect es un recurso disponible en todo el mundo. Puede conectarse a cualquier región del mundo mediante una puerta de enlace de Direct Connect. Esto incluye AWS GovCloud (US), pero no incluye, las regiones de AWS China. Una puerta de enlace Direct Connect es un componente virtual de Direct Connect diseñado para actuar como un conjunto distribuido de reflectores de ruta BGP. Como funciona fuera de la ruta del tráfico de datos, evita la creación de un único punto de falla o la introducción de dependencias específicas. Regiones de AWS La alta disponibilidad está intrínsecamente integrada en su diseño, lo que elimina la necesidad de múltiples puertas de enlace Direct Connect.
Los clientes que utilicen Direct Connect y VPCs que actualmente omitan una zona de disponibilidad principal no podrán migrar sus conexiones de Direct Connect ni sus interfaces virtuales.
A continuación se describen escenarios en los que puede utilizar una puerta de enlace de Direct Connect.
Una puerta de enlace de Direct Connect no permite que las asociaciones de puerta de enlace que se encuentran en la misma puerta de enlace de Direct Connect se envíen tráfico entre sí (por ejemplo, una puerta de enlace privada virtual a otra puerta de enlace privada virtual). Una excepción a esta regla, implementada en noviembre de 2021, es cuando se anuncia una superred en dos o más VPCs, que tienen sus puertas de enlace privadas virtuales adjuntas (VGWs) asociadas a la misma puerta de enlace de Direct Connect y en la misma interfaz virtual. En este caso, VPCs pueden comunicarse entre sí a través del punto final Direct Connect. Por ejemplo, si anuncia una superred (por ejemplo, 10.0.0.0/8 o 0.0.0.0/0) que se superpone con la conectada VPCs a una puerta de enlace de Direct Connect (por ejemplo, 10.0.0.0/24 y 10.0.1.0/24) y, en la misma interfaz virtual, es decir, desde la red local, pueden comunicarse entre sí. VPCs
Si desea bloquear la VPC-to-VPC comunicación dentro de una puerta de enlace de Direct Connect, haga lo siguiente:
-
Configure grupos de seguridad en las instancias y otros recursos de la VPC para bloquear el tráfico entre ellas y VPCs utilícelos también como parte del grupo de seguridad predeterminado de la VPC.
-
Evite anunciar una superred desde su red local que se superponga a la suya. VPCs En su lugar, puede anunciar rutas más específicas desde su red local que no se superpongan con la suya. VPCs
-
Aprovisione una sola puerta de enlace de Direct Connect para cada VPC que desee conectar a la red local, en lugar de utilizar la misma puerta de enlace de Direct Connect para varias. VPCs Por ejemplo, en lugar de utilizar una sola puerta de enlace de Direct Connect para el desarrollo y la producción VPCs, utilice puertas de enlace de Direct Connect independientes para cada una de ellas VPCs.
Una puerta de enlace de Direct Connect no impide que el tráfico se envíe desde una asociación de puerta de enlace a la propia asociación de puerta de enlace (por ejemplo, cuando tiene una ruta de superred en las instalaciones que contiene los prefijos de la asociación de puerta de enlace). Si tiene una configuración con varias puertas de enlace VPCs conectadas a tránsito asociadas a la misma puerta de enlace de Direct Connect, VPCs podrían comunicarse. Para evitar que se VPCs comuniquen, asocie una tabla de enrutamiento a los adjuntos de la VPC que tengan configurada la opción de agujero negro.
Temas
Escenarios
A continuación, se describen solo algunos casos en los que se pueden utilizar las puertas de enlace de Direct Connect.
En el siguiente diagrama, la puerta de enlace Direct Connect le permite usar su AWS Direct Connect conexión en la región EE.UU. Este (Norte de Virginia) para acceder VPCs a su cuenta en las regiones EE.UU. Este (Norte de Virginia) y EE.UU. Oeste (Norte de California).
Cada VPC tiene una puerta de enlace privada virtual que se conecta a la puerta de enlace de Direct Connect mediante una asociación de puerta de enlace privada virtual. La puerta de enlace Direct Connect utiliza una interfaz virtual privada para la conexión a la AWS Direct Connect ubicación. Hay una conexión de AWS Direct Connect desde la ubicación hasta el centro de datos del cliente.
Considere este escenario en el que el propietario de una puerta de enlace de Direct Connect es la cuenta Z. Las cuentas A y B desean utilizar la puerta de enlace de Direct Connect. Las cuentas A y B envían sus respectivas propuestas de asociación a la cuenta Z. La cuenta Z acepta las propuestas de asociación y, si lo desea, puede actualizar los prefijos permitidos desde la puerta de enlace privada virtual de la cuenta A o desde la puerta de enlace privada virtual de la cuenta B. Cuando la cuenta Z acepta las propuestas, la cuenta A y la cuenta B pueden dirigir tráfico desde su puerta de enlace privada virtual a la puerta de enlace de Direct Connect. La cuenta Z también es propietaria del enrutamiento a los clientes, ya que la cuenta Z es la propietaria de la puerta de enlace.
El siguiente diagrama ilustra cómo la puerta de enlace Direct Connect le permite crear una única conexión a su conexión Direct Connect que todos VPCs pueden usar.
La solución implica los siguientes componentes:
-
Una puerta de enlace de tránsito que tiene asociaciones de VPC.
-
Una puerta de enlace de Direct Connect.
-
Una asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito.
-
Una interfaz virtual de tránsito vinculada a la puerta de enlace de Direct Connect.
Esta configuración ofrece los siguientes beneficios. Puede hacer lo siguiente:
-
Administre una sola conexión para varias VPCs o VPNs que estén en la misma región.
-
Anuncie prefijos desde las instalaciones locales hacia AWS y desde AWS las instalaciones locales.
Para obtener información sobre la configuración de puertas de enlace de tránsito, consulte Trabajo con puertas de enlace de tránsito en la Guía de puertas de enlace de tránsito de Amazon VPC.
Considere este escenario en el que el propietario de una puerta de enlace de Direct Connect es la cuenta Z. La cuenta A posee la puerta de enlace de tránsito y desea utilizar la puerta de enlace de Direct Connect. La cuenta Z acepta las propuestas de asociación y puede actualizar de forma opcional los prefijos permitidos de la puerta de enlace de tránsito de la cuenta A. Una vez que la cuenta Z acepte las propuestas, el dispositivo VPCs adjunto a la puerta de enlace de tránsito puede enrutar el tráfico desde la puerta de enlace de tránsito a la puerta de enlace Direct Connect. La cuenta Z también es propietaria del enrutamiento a los clientes, ya que la cuenta Z es la propietaria de la puerta de enlace.
