Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Outposts conectividad con las AWS regiones
AWS Outposts admite la conectividad de red de área amplia (WAN) a través de la conexión de enlace de servicio.
Contenido
Conectividad a través de enlaces de servicio
El enlace de servicio es una conexión necesaria entre tus Outposts y la AWS región elegida (o región de origen) y permite la gestión de los Outposts y el intercambio de tráfico hacia y desde la región. AWS El enlace de servicio utiliza un conjunto cifrado de conexiones VPN para comunicarse con la región de origen.
Para configurar la conectividad del enlace de servicio, AWS debe configurar la conectividad física, la LAN virtual (VLAN) y la conectividad de capa de red del enlace de servicio con los dispositivos de la red local durante el aprovisionamiento de Outpost. Para obtener más información, consulta Conectividad de red local para los racks y Requisitos del sitio para el rack Outposts.
Para la conectividad de la red de área amplia (WAN) con la AWS región, AWS Outposts puede establecer conexiones VPN de enlace de servicio a través de la conectividad pública de la AWS región. Esto requiere que los Outposts tengan acceso a los rangos de IP públicas de la Región, que pueden ser a través de Internet pública o interfaces virtuales AWS Direct Connect públicas. Para conocer los rangos de direcciones IP actuales, consulte los rangos de direcciones IP de AWS en la guía del usuario de Amazon VPC. Esta conectividad se puede habilitar configurando rutas específicas o predeterminadas (0.0.0.0/0) en la ruta de la capa de red del enlace de servicio. Para obtener más información, consulte Conectividad BGP de Service Link y Anuncio de subredes y rango de IP de la infraestructura de Service Link.
Como alternativa, puede seleccionar la opción de conectividad privada para su Outpost. Para obtener más información, consulte Conectividad privada de Service Link mediante VPC.
Una vez establecida la conexión de enlace de servicio, su Outpost comienza a funcionar y es administrado por. AWS El enlace de servicio se utiliza para el siguiente tráfico:
-
Tráfico de VPC del cliente entre Outpost y cualquier VPC asociada.
-
El tráfico de administración de Outposts, como la administración de recursos, el monitoreo de recursos y las actualizaciones de firmware y software.
Requisitos de unidad de transmisión máxima (MTU) del enlace de servicio
La unidad de transmisión máxima (MTU) de una conexión de red es el tamaño, en bytes, del mayor paquete permitido que se puede transferir a través de la conexión. La red debe admitir una MTU de 1500 bytes entre los puntos finales de Outpost y Service Link en la región principal. AWS Para obtener información sobre la MTU requerida entre una instancia de Outpost y una instancia de la AWS región a través del enlace de servicio, consulte la unidad máxima de transmisión (MTU) de la red para su instancia de Amazon EC2 en la Guía del usuario de Amazon EC2.
Recomendaciones de ancho de banda para el enlace de servicio
Para una experiencia y una resiliencia óptimas, se AWS recomienda utilizar una conectividad redundante de al menos 500 Mbps (1 Gbps es mejor) para la conexión del enlace de servicio a la región. AWS Puede utilizar AWS Direct Connect una conexión a Internet para el enlace del servicio. La conexión de enlace de servicio mínima de 500 Mbps le permite lanzar instancias de Amazon EC2, adjuntar volúmenes de Amazon EBS y acceder a AWS servicios, como Amazon EKS, Amazon EMR y métricas. CloudWatch
Los requisitos de ancho de banda para el enlace de un servicio de Outposts varían en función de las siguientes características:
-
Número de AWS Outposts racks y configuraciones de capacidad
-
Características de la carga de trabajo, como el tamaño de la AMI, la elasticidad de las aplicaciones, las necesidades de velocidad de ráfaga y el tráfico de Amazon VPC a la región
Para recibir una recomendación personalizada sobre el ancho de banda de Service Link necesario para sus necesidades, póngase en contacto con su representante de AWS ventas o socio de APN.
Firewalls y enlace de servicio
En esta sección, se describen las configuraciones del firewall y la conexión del enlace de servicio.
En el siguiente diagrama, la configuración extiende la Amazon VPC desde la AWS región hasta el Outpost. Una interfaz virtual AWS Direct Connect pública es la conexión de enlace de servicio. El siguiente tráfico pasa por el enlace de servicio y la conexión de AWS Direct Connect :
-
Tráfico de administración al Outpost a través del enlace de servicio
-
Tráfico entre el Outpost y cualquier VPC asociada
Si utiliza un firewall activo en su conexión a Internet para limitar la conectividad de la Internet pública a la VLAN del enlace de servicio, puede bloquear todas las conexiones entrantes que se inicien desde Internet. Esto se debe a que la VPN del enlace de servicio se inicia solo desde el Outpost a la región, y no desde la región al Outpost.
Si utiliza un firewall para limitar la conectividad desde la VLAN de enlace de servicio, puede bloquear todas las conexiones entrantes. Debe permitir que las conexiones salientes regresen al puesto de avanzada desde la AWS región, según se indica en la siguiente tabla. Si el firewall está activo, las conexiones salientes del Outpost que estén permitidas, es decir, las que se iniciaron desde el Outpost, deberían poder volver a entrar.
| Protocolo | Puerto de origen | Dirección de origen | Puerto de destino | Dirección de destino |
|---|---|---|---|---|
UDP |
443 |
AWS Outposts enlace de servicio /26 |
443 |
AWS Outposts Rutas públicas de la región |
TCP |
1025-65535 |
AWS Outposts enlace de servicio /26 |
443 |
AWS Outposts Rutas públicas de la región |
nota
Las instancias de un Outpost no pueden usar el enlace de servicio para comunicarse con instancias de otro Outpost. Aproveche el enrutamiento a través de la puerta de enlace local o la interfaz de red local para comunicarse entre Outposts.
AWS Outposts Los racks también están diseñados con equipos de red y alimentación redundantes, incluidos los componentes de las puertas de enlace locales. Para obtener más información, consulte Resiliencia en. AWS Outposts
Conectividad privada del enlace de servicio mediante el uso de VPC
Puede seleccionar la opción de conectividad privada en la consola al crear su Outpost. Al hacerlo, se establece una conexión VPN de enlace de servicio después de instalar el Outpost mediante una VPC y una subred que especifique. Esto permite la conectividad privada a través de la VPC y minimiza la exposición pública a Internet.
Requisitos previos
Para poder configurar la conectividad privada de su Outpost, debe cumplir con los siguientes requisitos previos:
-
Debe configurar permisos para que una entidad de IAM (usuario o rol) permita al usuario o al rol crear o editar el rol vinculado al servicio para una conectividad privada. La entidad de IAM necesita permiso para acceder a las siguientes acciones:
-
iam:CreateServiceLinkedRoledelarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* -
iam:PutRolePolicydelarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* -
ec2:DescribeVpcs -
ec2:DescribeSubnets
Para obtener más información, consulte Gestión de identidad y acceso (IAM) para AWS Outposts y Uso de roles vinculados a servicios de AWS Outposts.
-
-
En la misma AWS cuenta y zona de disponibilidad que su Outpost, cree una VPC con el único propósito de la conectividad privada de Outpost con una subred /25 o superior que no entre en conflicto con la versión 10.1.0.0/16. Por ejemplo, puede usar 10.2.0.0/16.
-
Cree una AWS Direct Connect conexión, una interfaz virtual privada y una puerta de enlace privada virtual para permitir que su Outpost local acceda a la VPC. Si la AWS Direct Connect conexión se realiza en una AWS cuenta diferente a la de su VPC, consulte Asociación de una puerta de enlace privada virtual entre cuentas en la Guía del AWS Direct Connect usuario.
-
Anuncie el CIDR de la subred en las instalaciones. Puede utilizarla AWS Direct Connect para hacerlo. Para obtener más información, consulte Interfaces virtuales de AWS Direct Connect y Uso de puertas de enlace de AWS Direct Connect en la Guía del usuario de AWS Direct Connect .
Puede seleccionar la opción de conectividad privada al crear su Outpost en la consola de AWS Outposts . Para ver instrucciones, consulte Crear un Outpost y solicitar capacidad de Outpost.
nota
Para seleccionar la opción de conectividad privada cuando su Outpost esté en estado PENDIENTE, seleccione Outposts en la consola y selecciona su Outpost. Seleccione Acciones, Agregar conectividad privada y siga los pasos.
Tras seleccionar la opción de conectividad privada para tu Outpost, crea AWS Outposts automáticamente un rol vinculado al servicio en tu cuenta que le permite completar las siguientes tareas en tu nombre:
-
Crea interfaces de red en la subred y la VPC que especifique, y crea un grupo de seguridad para las interfaces de red.
-
Concede permiso al AWS Outposts servicio para conectar las interfaces de red a una instancia de punto final de enlace de servicio de la cuenta.
-
Adjunta las interfaces de red a las instancias del punto de conexión del enlace de servicio desde la cuenta.
Para obtener más información sobre el rol vinculado a servicios, consulte Uso de roles vinculados a servicios de AWS Outposts.
importante
Una vez instalado su Outpost, confirme la conectividad con las IP privadas de su subred desde su Outpost.
Conexiones de Internet redundantes
Cuando cree conectividad entre su puesto de avanzada y la AWS región, le recomendamos que cree varias conexiones para aumentar la disponibilidad y la resiliencia. Para obtener más información, consulte Recomendaciones de resiliencia de AWS Direct Connect
Si necesita conectividad a la Internet pública, puede usar conexiones a Internet redundantes y diversos proveedores de Internet, tal como lo haría con sus cargas de trabajo en las instalaciones existentes.
