REL02-BP02 Aprovisionar conectividad redundante entre las redes privadas en la nube y los entornos locales - AWS Well-Architected Framework
Guía para la implementación Recursos

REL02-BP02 Aprovisionar conectividad redundante entre las redes privadas en la nube y los entornos locales

Implemente la redundancia en las conexiones entre redes privadas en la nube y entornos locales para lograr la resiliencia de la conectividad. Esto se puede lograr mediante el despliegue de dos o más enlaces y rutas de tráfico, lo que permite mantener la conectividad en el caso de que se produzcan errores en la red.

Antipatrones usuales:

  • Depende de una única conexión de red, lo que crea un único punto de error.

  • Utiliza únicamente un túnel de VPN o varios túneles que terminan en la misma zona de disponibilidad.

  • Confía en un único proveedor de servicios de Internet (ISP) para la conectividad de VPN, lo que puede provocar un fallo total de la conexión durante las interrupciones del ISP.

  • No implementa protocolos de enrutamiento dinámico como BGP, que son fundamentales para redirigir el tráfico durante las interrupciones de la red.

  • Ignora las limitaciones de ancho de banda de los túneles de VPN y sobrestima sus capacidades de copia de seguridad.

Beneficios de establecer esta práctica recomendada: al implementar la conectividad redundante entre el entorno en la nube y el entorno corporativo o local, los servicios dependientes entre los dos entornos se pueden comunicar sin problemas.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Al utilizar AWS Direct Connect para conectar la red local a AWS, puede lograr la máxima resiliencia de la red (SLA del 99,99 %) mediante el uso de conexiones independientes que terminan en distintos dispositivos en más de una ubicación local y en más de una ubicación de AWS Direct Connect. Esta topología ofrece resiliencia frente a los errores de los dispositivos, los problemas de conectividad y las interrupciones totales de la conexión producidas en la ubicación. Como alternativa, puede lograr una alta resiliencia (SLA del 99,9 %) mediante el uso de dos conexiones individuales a varias ubicaciones (cada ubicación local conectada a una única ubicación de Direct Connect). Este enfoque protege frente a las interrupciones de conectividad provocadas por cortes en la fibra o errores en los dispositivos y ayuda a mitigar los fallos totales de la conexión producidos en la ubicación. El AWS Direct Connect Resiliency Toolkit puede ayudarle a diseñar su topología de AWS Direct Connect.

También puede plantearse la posibilidad de utilizar AWS Site-to-Site VPN que finaliza en una AWS Direct Connect como una opción de conexión alternativa y rentable en el caso de que surjan problemas con la conexión principal de AWS Transit Gateway. Esta configuración permite el enrutamiento de múltiples rutas de igual coste (ECMP) a través de varios túneles de VPN, lo que permite un rendimiento de hasta 50 Gbps, aunque cada túnel de VPN tenga un límite de 1,25 Gbps. Sin embargo, es importante tener en cuenta que AWS Direct Connect sigue siendo la opción más eficaz para reducir al mínimo las interrupciones producidas en la red y proporcionar una conectividad estable.

Al utilizar VPN a través de Internet para conectar el entorno de nube al centro de datos local, configure dos túneles de VPN como parte de una única conexión de Site-to-Site VPN. Cada túnel debe terminar en una zona de disponibilidad diferente para lograr una alta disponibilidad y usar hardware redundante con el fin de evitar errores en los dispositivos locales. Asimismo, tenga en cuenta la posibilidad de establecer varias conexiones a Internet de varios proveedores de servicios de Internet (ISP) en su ubicación local para evitar una interrupción total de la conectividad de la VPN debido a una única interrupción del ISP. La selección de ISP con enrutamientos e infraestructuras diversos, especialmente aquellos con rutas físicas independientes a los puntos de enlace de AWS, proporciona una alta disponibilidad de la conectividad.

Además de la redundancia física con varias conexiones de AWS Direct Connect y varios túneles de VPN (o una combinación de ambos), también es fundamental implementar el enrutamiento dinámico de protocolo de puerta de enlace fronteriza (BGP). El BGP dinámico permite redireccionar automáticamente el tráfico de una ruta a otra en función de las condiciones de la red en tiempo real y las políticas configuradas. Este comportamiento dinámico es especialmente beneficioso para mantener la disponibilidad de la red y la continuidad del servicio en caso de que se produzcan errores de enlace o en la red. Selecciona rápidamente rutas alternativas, lo que mejora la resiliencia y la fiabilidad de la red.

Pasos para la implementación

  • Establezca una conectividad de alta disponibilidad entre AWS y el entorno local.

    • Use varias conexiones de AWS Direct Connect o túneles de VPN entre redes privadas desplegadas por separado.

    • Use varias ubicaciones de AWS Direct Connect para contar con alta disponibilidad.

    • Si utiliza varias Regiones de AWS, cree redundancia en al menos dos de ellas.

  • Utilice AWS Transit Gateway, cuando sea posible, para finalizar la conexión de VPN.

  • Evalúe los dispositivos de AWS Marketplace para eliminar las VPN o amplíe su SD-WAN a AWS. Si utiliza dispositivos de AWS Marketplace, despliegue instancias redundantes para obtener alta disponibilidad en diferentes zonas de disponibilidad.

  • Proporcione una conexión redundante al entorno local.

Recursos

Documentos relacionados:

Vídeos relacionados: