Padrões de acesso para acessar um ElastiCache cache em uma Amazon VPC - Amazon ElastiCache
Acessando um ElastiCache cache quando ele e a EC2 instância da Amazon estão na mesma Amazon VPCAcessando um ElastiCache cache quando ele e a EC2 instância da Amazon estão em uma Amazon diferente VPCsAcessando um ElastiCache cache a partir de um aplicativo em execução no data center do cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Padrões de acesso para acessar um ElastiCache cache em uma Amazon VPC

A Amazon ElastiCache oferece suporte aos seguintes cenários para acessar um cache em uma AmazonVPC:

Acessando um ElastiCache cache quando ele e a EC2 instância da Amazon estão na mesma Amazon VPC

O caso de uso mais comum é quando um aplicativo implantado em uma EC2 instância precisa se conectar a um cache na mesmaVPC.

O diagrama a seguir ilustra esse cenário.

Imagem: Diagrama mostrando a aplicação e ElastiCache na mesma VPC

A maneira mais simples de gerenciar o acesso entre EC2 instâncias e caches da mesma forma VPC é fazer o seguinte:

  1. Crie um grupo VPC de segurança para seu cache. Esse grupo de segurança pode ser usado para restringir o acesso ao cache. Por exemplo, você pode criar uma regra personalizada para esse grupo de segurança que permita o TCP acesso usando a porta que você atribuiu ao cache quando o criou e um endereço IP que você usará para acessar o cache.

    A porta padrão dos caches Memcached é 11211.

    A porta padrão para caches Valkey e OSS Redis é. 6379

  2. Crie um grupo VPC de segurança para suas EC2 instâncias (servidores web e de aplicativos). Esse grupo de segurança pode, se necessário, permitir o acesso à EC2 instância pela Internet por meio VPC da tabela de roteamento. Por exemplo, você pode definir regras nesse grupo de segurança para permitir o TCP acesso à EC2 instância pela porta 22.

  3. Crie regras personalizadas no grupo de segurança do seu cache que permitam conexões do grupo de segurança que você criou para suas EC2 instâncias. Isso permitiria que qualquer membro de grupo de segurança acessasse os caches.

nota

Se você estiver planejando usar Zonas locais, verifique se você as habilitou. Quando você cria um grupo de sub-redes nessa zona local, ele VPC é estendido para essa zona local e você VPC tratará a sub-rede como qualquer sub-rede em qualquer outra zona de disponibilidade. Todos os gateways e tabelas de rotas relevantes serão ajustados automaticamente.

Para criar uma regra em um grupo VPC de segurança que permita conexões de outro grupo de segurança

  1. Faça login no AWS Management Console e abra o VPC console da Amazon em https://console.aws.amazon.com/vpc.

  2. No painel de navegação, escolha Security Groups (Grupos de segurança).

  3. Selecione ou crie um grupo de segurança que você usará para seus caches. Em Regras de entrada, selecione Editar regras de entrada e escolha Adicionar regra. Esse grupo de segurança permitirá o acesso a membros de outro grupo de segurança.

  4. Em Tipo, escolha TCPRegra personalizada.

    1. Para Port Range, especifique a porta que você usou quando criou seu cache.

      A porta padrão dos caches Memcached é 11211.

      A porta padrão para OSS caches e grupos de replicação Valkey e Redis é. 6379

    2. Na caixa Source, comece a digitar o ID do grupo de segurança. Na lista, selecione o grupo de segurança que você usará para suas EC2 instâncias da Amazon.

  5. Escolha Save quando terminar.

    Imagem: Tela para edição de uma regra de entrada VPC

Acessando um ElastiCache cache quando ele e a EC2 instância da Amazon estão em uma Amazon diferente VPCs

Quando seu cache está em uma EC2 instância VPC diferente da que você está usando para acessá-lo, há várias maneiras de acessar o cache. Se o cache e a EC2 instância estiverem em regiões diferentesVPCs, mas na mesma região, você poderá usar o VPC peering. Se o cache e a EC2 instância estiverem em regiões diferentes, você poderá criar VPN conectividade entre regiões.

 

Acessando um ElastiCache cache quando ele e a EC2 instância da Amazon estão em uma Amazon diferente VPCs na mesma região

O diagrama a seguir ilustra o acesso a um cache por uma EC2 instância da Amazon em uma Amazon diferente VPC na mesma região usando uma conexão de VPC peering da Amazon.

Imagem: Diagrama mostrando a aplicação e ElastiCache VPCs em diferentes na mesma região

Cache acessado por uma EC2 instância da Amazon em uma Amazon VPC diferente na mesma região - Conexão de VPC emparelhamento

Uma conexão VPC de peering é uma conexão de rede entre duas VPCs que permite rotear o tráfego entre elas usando endereços IP privados. As instâncias em qualquer uma delas VPC podem se comunicar umas com as outras como se estivessem na mesma rede. Você pode criar uma conexão VPC de peering entre sua própria Amazon VPCs ou com uma Amazon VPC em outra AWS conta dentro de uma única região. Para saber mais sobre o VPC peering da Amazon, consulte a VPCdocumentação.

nota

DNSa resolução de nomes pode falhar no peeringVPCs, dependendo das configurações aplicadas ao. ElastiCache VPC Para resolver isso, ambos VPCs devem estar habilitados para DNS nomes de host e DNS resolução. Para obter mais informações, consulte Habilitar DNS resolução para uma conexão de VPC emparelhamento.

Para acessar um cache em uma Amazon diferente VPC por meio de peering

  1. Certifique-se de que os dois VPCs não tenham um intervalo de IP sobreposto ou você não conseguirá emparelhá-los.

  2. Veja os doisVPCs. Para obter mais informações, consulte Criação e aceitação de uma conexão de VPC peering da Amazon.

  3. Atualize sua tabela de roteamento. Para obter mais informações, consulte Atualizando suas tabelas de rotas para uma conexão de VPC emparelhamento

    Veja a seguir a aparência das tabelas de rotas para o exemplo do diagrama anterior. Observe que pcx-a894f1c1 é a conexão de emparelhamento.

    Imagem: captura de tela de uma tabela de VPC roteamento

    VPCTabela de roteamento

  4. Modifique o grupo de segurança do seu ElastiCache cache para permitir a conexão de entrada do grupo de segurança do aplicativo no VPC peering. Para obter mais informações, consulte Grupos de VPC segurança de pares de referência.

O acesso a um cache por meio de uma conexão de emparelhamento implicará custos adicionais de transferência de dados.

Uso do Transit Gateway

Um gateway de trânsito permite que você conecte VPCs e VPN conecte na mesma AWS região e roteie o tráfego entre elas. Um gateway de trânsito funciona em várias AWS contas, e você pode usar o AWS Resource Access Manager para compartilhar seu gateway de trânsito com outras contas. Depois de compartilhar um gateway de trânsito com outra AWS conta, o proprietário da conta pode anexá-lo VPCs ao seu gateway de trânsito. Um usuário de qualquer uma das contas pode excluir o anexo a qualquer momento.

Você pode habilitar o multicast em um gateway de trânsito e, em seguida, criar um domínio multicast do gateway de trânsito que permita que o tráfego multicast seja enviado da sua origem multicast para membros do grupo multicast por meio de VPC anexos que você associa ao domínio.

Você também pode criar um anexo de conexão de emparelhamento entre gateways de trânsito em diferentes AWS regiões. Isso permite que você roteie o tráfego entre os anexos dos gateways de trânsito em regiões diferentes.

Para obter mais informações, consulte Gateways de trânsito.

Acessando um ElastiCache cache quando ele e a EC2 instância da Amazon estão em diferentes Amazon VPCs em diferentes regiões

Usando o Transit VPC

Uma alternativa ao uso do VPC peering, outra estratégia comum para conectar várias redes geograficamente dispersas VPCs e remotas, é criar um trânsito VPC que sirva como um centro de trânsito de rede global. Um trânsito VPC simplifica o gerenciamento da rede e minimiza o número de conexões necessárias para conectar redes múltiplas VPCs e remotas. Esse design pode economizar tempo e esforços e também reduzir custos, uma vez que é implementado praticamente sem as despesas tradicionais de estabelecer uma presença física em um hub de trânsito de colocação ou implantar equipamentos de rede física.

Imagem: Diagrama mostrando a conexão entre diferentes VPCs regiões

Conectando-se entre diferentes VPCs regiões

Depois que o Transit Amazon VPC é estabelecido, um aplicativo implantado em um “raio” VPC em uma região pode se conectar a um ElastiCache cache em um “VPCraio” em outra região.

Para acessar um cache em uma região diferente VPC dentro de uma AWS região diferente

  1. Implemente uma VPC solução de transporte público. Para obter mais informações, consulte Transit Gateway da AWS.

  2. Atualize as tabelas VPC de roteamento no aplicativo e no cache VPCs para rotear o tráfego através do VGW (Virtual Private Gateway) e do VPN dispositivo. No caso de roteamento dinâmico com Border Gateway Protocol (BGP), suas rotas podem ser propagadas automaticamente.

  3. Modifique o grupo de segurança do seu ElastiCache cache para permitir a conexão de entrada a partir do intervalo de IP das instâncias do aplicativo. Observe que você não poderá fazer referência ao security group do servidor de aplicativos nesse cenário.

O acesso a um cache entre regiões introduzirá latências de rede e custos adicionais de transferência de dados entre regiões.

Acessando um ElastiCache cache a partir de um aplicativo em execução no data center do cliente

Outro cenário possível é uma arquitetura híbrida em que clientes ou aplicativos no data center do cliente podem precisar acessar um ElastiCache cache noVPC. Esse cenário também é suportado, desde que haja conectividade entre os clientes VPC e o data center por meio do Direct Connect VPN ou do Direct Connect.

 

Acessando um ElastiCache cache a partir de um aplicativo executado no data center do cliente usando VPN conectividade

O diagrama a seguir ilustra o acesso a um ElastiCache cache a partir de um aplicativo em execução na rede corporativa usando VPN conexões.

Imagem: Diagrama mostrando a conexão ElastiCache de seu data center por meio de um VPN

Conectando-se a ElastiCache partir do seu data center por meio de um VPN

Para acessar um cache em um aplicativo local por meio VPC da conexão VPN

  1. Estabeleça VPN conectividade adicionando um gateway privado virtual de hardware ao seuVPC. Para obter mais informações, consulte Adicionando um gateway privado virtual de hardware ao seu VPC.

  2. Atualize a tabela VPC de roteamento da sub-rede em que seu ElastiCache cache está implantado para permitir o tráfego do seu servidor de aplicativos local. No caso de roteamento dinâmico, BGP suas rotas podem ser propagadas automaticamente.

  3. Modifique o Grupo de Segurança do seu ElastiCache cache para permitir a conexão de entrada dos servidores de aplicativos locais.

O acesso a um cache por meio de uma VPN conexão introduzirá latências de rede e custos adicionais de transferência de dados.

 

Acessando um ElastiCache cache a partir de um aplicativo executado no data center do cliente usando o Direct Connect

O diagrama a seguir ilustra o acesso a um ElastiCache cache a partir de um aplicativo em execução na rede corporativa usando o Direct Connect.

Imagem: Diagrama mostrando a conexão ElastiCache de seu data center via Direct Connect

Conectando-se a ElastiCache partir do seu data center via Direct Connect

Para acessar um ElastiCache cache de um aplicativo em execução na sua rede usando o Direct Connect

  1. Estabeleça a conectividade Direct Connect. Para obter mais informações, consulte Introdução ao AWS Direct Connect.

  2. Modifique o Grupo de Segurança do seu ElastiCache cache para permitir a conexão de entrada dos servidores de aplicativos locais.

O acesso a um cache por meio de uma conexão DX pode introduzir latências de rede e taxas adicionais de transferência de dados.