Conectividad de AWS Outposts con las regiones de AWS - AWS Outposts
Conectividad a través de enlace de servicioConectividad privada del enlace de servicio mediante el uso de VPCConexiones de Internet redundantes

Conectividad de AWS Outposts con las regiones de AWS

AWS Outposts admite la conectividad de una red de área extendida (WAN) a través de la conexión del enlace de servicio.

Contenido

El enlace de servicio es una conexión necesaria entre sus Outposts y la región de AWS (o la región de origen). Permite la administración de los Outposts y el intercambio de tráfico hacia y desde la región de AWS. El enlace de servicio utiliza un conjunto cifrado de conexiones VPN para comunicarse con la región de origen.

Una vez establecida la conexión del enlace de servicio, su Outpost se vuelve operativo y es administrado por AWS. El enlace de servicio se utiliza para el siguiente tráfico:

  • El tráfico de la VPC del cliente entre el Outpost y cualquier VPC asociada.

  • El tráfico de administración de Outposts, como la administración de recursos, la supervisión de recursos y las actualizaciones de firmware y software.

En los siguientes pasos se explica el proceso de configuración del enlace de servicio y las opciones de conexión.

  1. Una vez que haya pedido sus bastidores de Outposts, AWS se pondrá en contacto con usted para recopilar las VLAN, IP, BGP e IP de subred de infraestructura. Para obtener más información, consulte Conectividad de red local.

  2. Durante la instalación, AWS configura el enlace de servicio en el Outpost en función de la información que ha proporcionado.

  3. Los dispositivos de red locales, como los enrutadores, se configuran para que se conecten a cada dispositivo de red de Outpost a través de la conectividad BGP. Para obtener información sobre la conectividad VLAN, IP y BGP de enlace de servicio, consulte Red.

  4. Configure sus dispositivos de red, como los firewalls, para permitir que sus Outposts accedan a la región de AWS o la región de origen. AWS Outposts usa las IP de subred de infraestructura del enlace de servicios para configurar las conexiones VPN e intercambiar el control y el tráfico de datos con la región. El establecimiento del enlace de servicio siempre se inicia desde el Outpost. Puede establecer conexiones VPN de enlace de servicio entre sus Outposts y la región de AWS mediante una de las siguientes opciones:

nota

  • Si planifica incluir solo las IP públicas de la región de AWS (en lugar de 0.0.0.0/0) en sus firewalls, debe asegurarse de que las reglas de su firewall estén actualizadas con los rangos de dirección IP actuales. Para obtener más información, consulte Rangos de dirección IP de AWS en la Guía del usuario de Amazon VPC.

  • No podrá modificar la configuración del enlace de servicio proporcionada durante el proceso de pedido.

Requisitos de unidad de transmisión máxima (MTU) del enlace de servicio

La unidad de transmisión máxima (MTU) de una conexión de red es el tamaño, en bytes, del mayor paquete permitido que se puede transferir a través de la conexión. La red debe admitir una MTU de 1500 bytes entre el Outpost y los puntos de conexión del enlace de servicio en la región de AWS principal.

El tráfico que va de una instancia en Outposts a una instancia en la región tiene una MTU de 1300.

Recomendaciones de ancho de banda para el enlace de servicio

Para una experiencia y una resiliencia óptimas, AWS requiere que utilice una conectividad redundante de al menos 500 Mbps para cada bastidor informático y una latencia de ida y vuelta máxima de 175 ms para la conexión del enlace de servicio a la región de AWS. Puede utilizar AWS Direct Connect o una conexión de Internet para el enlace del servicio. Los requisitos mínimos de 500 Mbps y máximos de tiempo de ida y vuelta para la conexión del enlace de servicio le permiten lanzar instancias de Amazon EC2, adjuntar volúmenes de Amazon EBS y acceder a servicios de AWS como Amazon EKS, Amazon EMR y métricas de CloudWatch con un rendimiento óptimo.

Los requisitos de ancho de banda para el enlace de un servicio de Outposts varían en función de las siguientes características:

  • Número de bastidores de AWS Outposts y configuraciones de capacidad

  • Características de la carga de trabajo, como el tamaño de la AMI, la elasticidad de las aplicaciones, las necesidades de velocidad de ráfaga y el tráfico de Amazon VPC a la región

Para recibir una recomendación personalizada sobre el ancho de banda para el enlace de servicio requerido para sus necesidades, póngase en contacto con su representante de ventas de AWS o un socio de APN.

Firewalls y enlace de servicio

En esta sección, se describen las configuraciones del firewall y la conexión del enlace de servicio.

En el siguiente diagrama, la configuración extiende la Amazon VPC desde la región de AWS hasta el Outpost. Una interfaz virtual pública de AWS Direct Connect es la conexión del enlace de servicio. El siguiente tráfico pasa por el enlace de servicio y la conexión de AWS Direct Connect:

  • Tráfico de administración al Outpost a través del enlace de servicio

  • Tráfico entre el Outpost y cualquier VPC asociada

Conexión de AWS Direct Connect a AWS

Si utiliza un firewall activo en su conexión a Internet para limitar la conectividad de la Internet pública a la VLAN del enlace de servicio, puede bloquear todas las conexiones entrantes que se inicien desde Internet. Esto se debe a que la VPN del enlace de servicio se inicia solo desde el Outpost a la región, y no desde la región al Outpost.

Conexión de puerta de enlace de Internet a AWS

Si utiliza un firewall para limitar la conectividad desde la VLAN de enlace de servicio, puede bloquear todas las conexiones entrantes. Debe permitir que las conexiones salientes regresen al Outpost desde la región de AWS, como se indica en la siguiente tabla. Si el firewall está activo, las conexiones salientes del Outpost que estén permitidas, es decir, las que se iniciaron desde el Outpost, deberían poder volver a entrar.

Protocolo Puerto de origen Dirección de origen Puerto de destino Dirección de destino

UDP

443

Enlace de servicio de AWS Outposts /26

443

IP públicas de la región de AWS Outposts

TCP

1025-65535

Enlace de servicio de AWS Outposts /26

443

IP públicas de la región de AWS Outposts
nota

Las instancias de un Outpost no pueden usar el enlace de servicio para comunicarse con instancias de otro Outpost. Aproveche el enrutamiento a través de la puerta de enlace local o la interfaz de red local para comunicarse entre Outposts.

Los bastidores de AWS Outposts también están diseñados con equipos de red y alimentación redundantes, incluidos los componentes de la puerta de enlace local. Para obtener más información, consulte Resiliencia en AWS Outposts.

Conectividad privada del enlace de servicio mediante el uso de VPC

Puede seleccionar la opción de conectividad privada en la consola al crear su Outpost. Al hacerlo, se establece una conexión VPN de enlace de servicio después de instalar el Outpost mediante una VPC y una subred que especifique. Esto permite la conectividad privada a través de la VPC y minimiza la exposición pública a Internet.

Requisitos previos

Para poder configurar la conectividad privada de su Outpost, debe cumplir con los siguientes requisitos previos:

  • Debe configurar permisos para que una entidad de IAM (usuario o rol) permita al usuario o al rol crear o editar el rol vinculado al servicio para una conectividad privada. La entidad de IAM necesita permiso para acceder a las siguientes acciones:

    • iam:CreateServiceLinkedRole del arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • iam:PutRolePolicy del arn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts*

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    Para obtener más información, consulte Identity and Access Management (IAM) para AWS Outposts y Roles vinculados a servicios de AWS Outposts.

  • En la misma cuenta y zona de disponibilidad de AWS que su Outpost, cree una VPC con el fin de que la conectividad privada de Outpost con una subred /25 o superior no entre en conflicto con la versión 10.1.0.0/16. Por ejemplo, puede usar 10.2.0.0/16.

  • Configure el grupo de seguridad de subred para permitir el tráfico en las direcciones de entrada y salida del UDP 443.

  • Cree una conexión de AWS Direct Connect, una interfaz virtual privada y una puerta de enlace privada virtual para permitir que su Outpost en las instalaciones acceda a la VPC. Si la conexión de AWS Direct Connect se realiza en una cuenta de AWS diferente a la de su VPC, consulte Associating a virtual private gateway across accounts en la Guía del usuario de AWS Direct Connect.

  • Anuncie el CIDR de la subred en las instalaciones. Puede usar AWS Direct Connect para hacerlo. Para obtener más información, consulte Interfaces virtuales de AWS Direct Connect y Uso de puertas de enlace de AWS Direct Connect en la Guía del usuario de AWS Direct Connect.

Puede seleccionar la opción de conectividad privada al crear su Outpost en la consola de AWS Outposts. Para obtener instrucciones, consulte Crear un pedido de un bastidor de Outposts.

nota

Para seleccionar la opción de conectividad privada cuando su Outpost esté en estado PENDIENTE, seleccione Outposts en la consola y selecciona su Outpost. Seleccione Acciones, Agregar conectividad privada y siga los pasos.

Tras seleccionar la opción de conectividad privada para su Outpost, AWS Outposts crea de forma automática un rol vinculado al servicio en su cuenta que le permite completar las siguientes tareas en su nombre:

  • Crea interfaces de red en la subred y la VPC que especifique, y crea un grupo de seguridad para las interfaces de red.

  • Concede permiso al servicio de AWS Outposts para conectar las interfaces de red a una instancia de punto de conexión del enlace de servicio de la cuenta.

  • Adjunta las interfaces de red a las instancias del punto de conexión del enlace de servicio desde la cuenta.

Para obtener más información sobre el rol vinculado a servicios, consulte Roles vinculados a servicios de AWS Outposts.

importante

Una vez instalado su Outpost, confirme la conectividad con las IP privadas de su subred desde su Outpost.

Conexiones de Internet redundantes

Al desarrollar la conectividad entre su Outpost y la región de AWS, le recomendamos que cree varias conexiones para aumentar la disponibilidad y la resiliencia. Para obtener más información, consulte Recomendaciones de resiliencia de AWS Direct Connect.

Si necesita conectividad a la Internet pública, puede usar conexiones a Internet redundantes y diversos proveedores de Internet, tal como lo haría con sus cargas de trabajo en las instalaciones existentes.