# AWS IoT Core for LoRaWAN e endpoint da VPC de interface (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

Você pode se conectar diretamente ao AWS IoT Core for LoRaWAN usando [endpoints da VPC de interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) na nuvem privada virtual (VPC) em vez de se conectar pela Internet pública. Quando você usa um endpoint da VPC de interface, a comunicação entre a VPC e o AWS IoT Core for LoRaWAN é realizada de forma integral e segura na rede da AWS.

O AWS IoT Core for LoRaWAN é compatível com endpoints de interface da nuvem privada virtual da Amazon desenvolvidos pelo AWS PrivateLink. Cada endpoint da VCP é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes da VPC. Para obter mais informações, consulte [Endpoints da VPC da interface (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) no *Manual do Usuário do Amazon VPC*.

Para obter mais informações sobre a VPC e os endpoints, consulte [O que é a Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink).

Para obter mais informações sobre o AWS PrivateLink, consulte [AWS PrivateLink e endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html). 

## Considerações sobre os endpoints da VPC do AWS IoT Wireless
<a name="vpc-endpoint-considerations"></a>

Antes de configurar um endpoint da VPC de interface para o AWS IoT Wireless, leia [Interface endpoint properties and limitations](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) no *Guia do usuário do Amazon VPC*.

O AWS IoT Wireless permite chamadas para todas as ações de API da VPC. As políticas de endpoint da VPC não são compatíveis com o AWS IoT Wireless. Por padrão, o acesso completo ao AWS IoT Wireless é permitido pelo endpoint. Para obter mais informações, consulte [Controlar o acesso a serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*. 

## Arquitetura de link privado do AWS IoT Core for LoRaWAN
<a name="vpc-endpoint-architecture"></a>

O diagrama a seguir mostra a arquitetura de link privado do AWS IoT Core for LoRaWAN. A arquitetura usa um Transit Gateway e um Route 53 Resolver para compartilhar os endpoints de interface do AWS PrivateLink entre a VPC, a VPC do AWS IoT Core for LoRaWAN e um ambiente on-premises. Você encontrará um diagrama de arquitetura mais detalhado ao configurar a conexão com os endpoints da VPC de interface.

![\[Imagem mostrando como você pode usar o AWS PrivateLink para se conectar a endpoints do AWS IoT Core for LoRaWAN.\]](http://docs.aws.amazon.com/pt_br/iot-wireless/latest/developerguide/images/iot-lorawan-privatelink-architecture.png)


## Endpoints do AWS IoT Core for LoRaWAN
<a name="vpc-lorawan-endpoints"></a>

O AWS IoT Core for LoRaWAN tem três endpoints públicos. Cada endpoint público tem um endpoint da VPC de interface correspondente. Os endpoints públicos podem ser classificados em endpoints de ambiente de gerenciamento e de plano de dados. Para obter mais informações sobre esses endpoints, consulte [Endpoints da API AWS IoT Core for LoRaWAN](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-wireless_region).
+ 

**Endpoints da API do ambiente de gerenciamento**  
 Você pode usar endpoints de API do ambiente de gerenciamento para interagir com as APIs AWS IoT Wireless. Esses endpoints podem ser acessados a partir de um cliente hospedado na Amazon VPC usando AWS PrivateLink.
+ 

**Endpoints de API do plano de dados**  
Os endpoints de API do plano de dados são os endpoints do Servidor da Rede LoRaWAN (LNS) e do Servidor de Configuração e Atualização (CUPS) que você pode usar para interagir com os endpoints LNS e CUPs do AWS IoT Core for LoRaWAN. Esses endpoints podem ser acessados dos gateways LoRa on-premises usando a Site-to-Site VPN ou AWS Direct Connect. Você obtém esses endpoints ao integrar o gateway ao AWS IoT Core for LoRaWAN. Para ter mais informações, consulte [Adicionar um gateway ao AWS IoT Core for LoRaWAN](lorawan-onboard-gateway-add.md).

**Topics**
+ [Considerações sobre os endpoints da VPC do AWS IoT Wireless](#vpc-endpoint-considerations)
+ [Arquitetura de link privado do AWS IoT Core for LoRaWAN](#vpc-endpoint-architecture)
+ [Endpoints do AWS IoT Core for LoRaWAN](#vpc-lorawan-endpoints)
+ [Endpoint de API do ambiente de gerenciamento do AWS IoT Core for LoRaWAN integrado](lorawan-onboard-control-endpoint.md)
+ [Endpoints de API do plano de dados AWS IoT Core for LoRaWAN integrados](onboard-lns-cups-endpoints.md)

# Endpoint de API do ambiente de gerenciamento do AWS IoT Core for LoRaWAN integrado
<a name="lorawan-onboard-control-endpoint"></a>

Você pode usar os endpoints de API do ambiente de gerenciamento do AWS IoT Core for LoRaWAN para interagir com as APIs AWS IoT Wireless. Por exemplo, você pode usar esse endpoint para executar a API [SendDataToWirelessDevice](https://docs.aws.amazon.com/iot-wireless/2020-11-22/apireference/API_SendDataToWirelessDevice.html) para enviar dados da AWS IoT para o dispositivo LoRaWAN. Para obter mais informações, consulte [Endpoints da API do ambiente de gerenciamento do AWS IoT Core for LoRaWAN](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-control-plane-endpoints).

Você pode usar o cliente hospedado na Amazon VPC para acessar os endpoints do ambiente de gerenciamento que são desenvolvidos pelo AWS PrivateLink. Esses endpoints podem ser usados para você se conectar à API AWS IoT Wireless por meio de um endpoint de interface na nuvem privada virtual (VPC) em vez de se conectar pela Internet pública.

**Topics**
+ [Crie sua Amazon VPC e sub-rede](#create-vpc)
+ [Execute uma instância do Amazon EC2 na sub-rede](#launch-ec2-instance)
+ [Criar endpoint de interface da Amazon VPC](#create-vpc-endpoint)
+ [Testar a conexão com o endpoint da interface](#connect-vpc-endpoint)

## Crie sua Amazon VPC e sub-rede
<a name="create-vpc"></a>

Antes de se conectar ao endpoint da interface, você deve criar uma VPC e uma sub-rede. Em seguida, você iniciará uma instância do EC2 em sua sub-rede, que poderá ser usada para se conectar ao endpoint da interface. 

Para criar a VPC:

1. Navegue até a página [VPCs](https://console.aws.amazon.com/vpc/home#/vpcs) do console da Amazon VPC e escolha **Criar VPC**.

1. Na página **Criar VPC**:
   + Insira um nome para a **Tag de nome da VPC - opcional** (por exemplo, **VPC-A**).
   + Insira um intervalo de endereço IPv4 para a VPC no bloco CIDR IPv4 (por exemplo, **10.100.0.0/16**).

1. Mantenha os valores padrão para outros campos e escolha **Criar VPC**.

Para criar sua sub-rede:

1. Navegue até a página [Sub-redes](https://console.aws.amazon.com/vpc/home#/subnets) do console da Amazon VPC e escolha **Criar sub-rede**.

1. Na página **Criar sub-rede**:
   + Para **ID da VPC**, escolha a VPC criada anteriormente (por exemplo, `VPC-A`).
   + Insira um nome em **Nome da sub-rede** (por exemplo, **Private subnet**).
   + Escolha a **Zona de disponibilidade** para sua sub-rede.
   + Insira o bloco de endereço IP da sub-rede em **Bloco CIDR IPv4** no formato CIDR (por exemplo, **10.100.0.0/24**).

1. Para criar uma sub-rede e adicioná-la à VPC, escolha **Criar sub-rede**.

Para obter mais informações, consulte [Trabalhar com VPCs e sub-redes](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html).

## Execute uma instância do Amazon EC2 na sub-rede
<a name="launch-ec2-instance"></a>

Para executar uma instância EC2:

1. Navegue até o console do [Amazon EC2](https://console.aws.amazon.com/ec2/home#/) e escolha **Executar instância**.

1. Para AMI, escolha **Amazon Linux 2 AMI (HVM), Tipo de volume SSD** e, em seguida, escolha o tipo de instância **t2 micro**. Para configurar os detalhes da instância, escolha **Próximo**.

1. Na página **Configurar detalhes da instância**:
   + Para **Rede**, escolha a VPC criada anteriormente (por exemplo, `VPC-A`).
   + Para **Sub-rede**, escolha a sub-rede criada anteriormente (por exemplo, **Private subnet**).
   + Para **Perfil do IAM**, escolha o perfil **AWSIoTWirelessFullAccess** para conceder a política de acesso total ao AWS IoT Core for LoRaWAN. Para obter mais informações, consulte [Resumo da política de `AWSIoTWirelessFullAccess`](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullAccess$serviceLevelSummary).
   + Para **Assumir IP privado**, use um endereço IP, por exemplo, **10.100.0.42**.

1. Escolha **Próximo: adicionar armazenamento** e, depois, escolha **Próximo: adicionar tags**. Se quiser, você pode adicionar qualquer tag para associar à instância do EC2. Escolha **Próximo: configurar grupo de segurança**.

1. Na página **Configurar grupo de segurança**, configure o grupo de segurança para permitir:
   + Abrir **Todo o TCP** para código-fonte como `10.200.0.0/16`.
   + Abrir **Todo o ICMP - IPV4** para código-fonte como `10.200.0.0/16`.

1. Para revisar os detalhes da instância e iniciar sua instância do EC2, escolha **Revisar e iniciar**.

Para obter mais informações, consulte [Introdução às instâncias do Amazon EC2 Linux](https://docs.aws.amazon.com/AWSEC2/latest/userguide/EC2_GetStarted.html).

## Criar endpoint de interface da Amazon VPC
<a name="create-vpc-endpoint"></a>

É possível criar um endpoint para a VPC, que pode ser acessada pela API do EC2. Para criar o endpoint:

1. Navegue até o console [Endpoints da](https://console.aws.amazon.com/vpc/home#/endpoints) **VPC** e escolha **Criar endpoint**.

1. Na página **Criar endpoint**, especifique as seguintes informações.
   + Escolha **AWS service (Serviço da AWS)s** para a **Categoria de serviço**.
   + Para **Nome do serviço**, pesquise inserindo a palavra-chave **iotwireless**. Na lista de serviços `iotwireless` exibida, escolha o endpoint da API do ambiente de gerenciamento para sua região. O endpoint será do formato `com.amazonaws.region.iotwireless.api`.
   + Para **VPC** e **Sub-redes**, escolha a VPC em que deseja criar o endpoint e as Zonas de disponibilidade (AZs) nas quais deseja criar a rede do endpoint.
**nota**  
O serviço `iotwireless` talvez não seja compatível com todas as Zonas de disponibilidade.
   + Em **Ativar nome DNS**, escolha **Ativar para este endpoint**. 

     A escolha dessa opção resolverá de forma automática o DNS e criará uma rota em Amazon Route 53 Public Data Plane para que as APIs usadas depois para testar a conexão passem pelos endpoints do privatelink.
   + Em **Grupo de segurança**, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint.
   + Se quiser, adicione ou remova tags. As tags são pares de nome-valor usados para associar ao seu endpoint. 

1. Para criar um endpoint da VPC, selecione **Criar endpoint**.

## Testar a conexão com o endpoint da interface
<a name="connect-vpc-endpoint"></a>

Você pode usar um SSH para acessar sua instância do Amazon EC2 e, em seguida, usar a AWS CLI para se conectar aos endpoints da interface do privatelink.

Antes de se conectar ao endpoint da interface, baixe a versão mais recente da AWS CLI seguindo as instruções descritas em [Instalação, atualização e desinstalação da versão 2 da AWS CLI no Linux](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2-linux.html).

Os exemplos a seguir mostram como você pode testar sua conexão com o endpoint da interface usando a CLI.

```
aws iotwireless create-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  \ 
    --name='test-privatelink'
```

A opção a seguir mostra um exemplo de execução do comando.

```
Response:
{
 "Arn": "arn:aws:iotwireless:region:acct_number:ServiceProfile/1a2345ba-4c5d-67b0-ab67-e0c8342f2857",
 "Id": "1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
}
```

Da mesma forma, você pode executar os comandos a seguir para obter as informações do perfil de serviço ou listar todos os perfis de serviço.

```
aws iotwireless get-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  
    --id="1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
```

A opção a seguir mostra um exemplo do comando list-device-profiles.

```
aws iotwireless list-device-profiles \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com
```

# Endpoints de API do plano de dados AWS IoT Core for LoRaWAN integrados
<a name="onboard-lns-cups-endpoints"></a>

Os endpoints do plano de dados AWS IoT Core for LoRaWAN consistem nos seguintes endpoints. Você obtém esses endpoints ao adicionar um gateway ao AWS IoT Core for LoRaWAN. Para ter mais informações, consulte [Adicionar um gateway ao AWS IoT Core for LoRaWAN](lorawan-onboard-gateway-add.md).
+ 

**Endpoints do Servidor da rede LoRaWAN (LNS)**  
Os endpoints do LNS são do formato `account-specific-prefix.lns.lorawan.region.amazonaws.com`. Você pode usar esse endpoint para estabelecer uma conexão para trocar mensagens de uplink e downlink LoRa.
+ 

**Endpoints do Servidor de configuração e atualização (CUPS)**  
Os endpoints do CUPS são do formato `account-specific-prefix.cups.lorawan.region.amazonaws.com`. Você pode usar esse endpoint para gerenciamento de credenciais, configuração remota e atualização de firmware de gateways.

Para ter mais informações, consulte [Usar protocolos CUPS e LNS](lorawan-manage-gateways.md#lorawan-cups-lns-protocols).

Para encontrar endpoints de API do plano de dados para a Conta da AWS e região, use o comando da CLI [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html) mostrado aqui ou a API REST [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html). Para obter mais informações, consulte [Endpoints da API do plano de dados do AWS IoT Core for LoRaWAN](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-data-plane-endpoints).

Você pode conectar seu gateway LoRaWAN on-premises para se comunicar com os endpoints do AWS IoT Core for LoRaWAN. Para estabelecer essa conexão, primeiro conecte seu gateway on-premises à sua Conta da AWS no VPC usando uma conexão VPN. Em seguida, você pode se comunicar com os endpoints da interface do plano de dados na VPC do AWS IoT Core for LoRaWAN que são desenvolvidos pelo privatelink.

**Topics**
+ [Crie um endpoint de interface de VPC e uma zona hospedada privada](create-vpc-lns-cups.md)
+ [Use VPN para conectar gateways LoRa à sua Conta da AWS](lorawan-vpc-vpn-connection.md)

# Crie um endpoint de interface de VPC e uma zona hospedada privada
<a name="create-vpc-lns-cups"></a>

O AWS IoT Core for LoRaWAN tem dois endpoints do plano de dados, endpoint Servidor de configuração e atualização (CUPS) e endpoint Servidor da Rede LoRaWAN (LNS). O processo de configuração para estabelecer uma conexão de privatelink com os dois endpoints é o mesmo. Portanto, podemos usar o endpoint do LNS para fins ilustrativos.

Para os endpoints do plano de dados, os gateways LoRa primeiro se conectam à sua Conta da AWS na Amazon VPC, que, então, se conecta ao endpoint da VPC na VPC do AWS IoT Core for LoRaWAN.

Ao se conectar aos endpoints, os nomes DNS podem ser resolvidos em uma VPC, mas não podem ser resolvidos em várias VPCs. Para desativar o DNS privado ao criar o endpoint, desative a configuração **Ativar nome DNS**. É possível usar uma zona hospedada privada para fornecer informações sobre como você deseja que Route 53 responda às consultas ao DNS de suas VPCs. Para compartilhar a VPC com um ambiente on-premises, você pode usar um Route 53 Resolver para facilitar o DNS híbrido.

**Topics**
+ [Crie uma Amazon VPC e uma sub-rede](#lns-create-vpc)
+ [Crie um endpoint de interface da Amazon VPC](#lns-create-vpc-endpoint)
+ [Configurar zona hospedada privada](#create-phz-lns)
+ [Configurar o resolvedor de entrada do Route 53](#configure-route53-resolver)
+ [Próximas etapas](#lns-cups-next-steps)

## Crie uma Amazon VPC e uma sub-rede
<a name="lns-create-vpc"></a>

Você pode reutilizar uma Amazon VPC e a sub-rede criada ao integrar o endpoint do ambiente de gerenciamento. Para ter mais informações, consulte [Crie sua Amazon VPC e sub-rede](lorawan-onboard-control-endpoint.md#create-vpc).

## Crie um endpoint de interface da Amazon VPC
<a name="lns-create-vpc-endpoint"></a>

Você pode criar um endpoint da VPC para uma VPC, que é semelhante à forma como você criaria um para o endpoint do ambiente de gerenciamento.

1. Navegue até o console [Endpoints da](https://console.aws.amazon.com/vpc/home#/endpoints) **VPC** e escolha **Criar endpoint**.

1. Na página **Criar endpoint**, especifique as seguintes informações.
   + Escolha **AWS service (Serviço da AWS)s** para a **Categoria de serviço**.
   + Para **Nome do serviço**, pesquise inserindo a palavra-chave **lns**. Na lista de serviços `lns` exibida, escolha o endpoint da API do plano de dados do LNS para a região. O endpoint será do formato `com.amazonaws.region.lorawan.lns`.
**nota**  
Se você estiver seguindo esse procedimento para o endpoint do CUPS, pesquise por `cups`. O endpoint será do formato `com.amazonaws.region.lorawan.cups`.
   + Para **VPC** e **Sub-redes**, escolha a VPC em que deseja criar o endpoint e as Zonas de disponibilidade (AZs) nas quais deseja criar a rede do endpoint.
**nota**  
O serviço `iotwireless` talvez não seja compatível com todas as Zonas de disponibilidade.
   + Em **Ativar nome DNS**, certifique-se de que a opção **Ativar para este endpoint** não esteja selecionada.

     Ao não selecionar esta opção, você pode desativar o DNS privado para o endpoint da VPC e, em vez disso, usar a zona hospedada privada.
   + Em **Grupo de segurança**, selecione os grupos de segurança a serem associados às interfaces de rede do endpoint.
   + Se quiser, adicione ou remova tags. As tags são pares de nome-valor usados para associar ao seu endpoint. 

1. Para criar um endpoint da VPC, selecione **Criar endpoint**.

## Configurar zona hospedada privada
<a name="create-phz-lns"></a>

Depois de criar o endpoint de privatelink, na guia **Detalhes** do endpoint, você verá uma lista de nomes DNS. Você pode usar um desses nomes DNS para configurar a zona hospedada privada. O nome DNS terá o formato `vpce-xxxx.lns.lorawan.region.vpce.amazonaws.com`.

**Criar a zona hospedada privada**  
Para criar a zona hospedada privada:

1. Navegue até o console de **Zonas hospedadas** do [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) e escolha **Criar zona hospedada**.

1. Na página **Criar zona hospedada**, especifique as seguintes informações.
   + Em **Nome do domínio**, insira o nome completo do serviço para o endpoint do LNS, **lns.lorawan.region.amazonaws.com**.
**nota**  
Se você estiver seguindo esse procedimento para o endpoint do CUPS, insira **cups.lorawan.region.amazonaws.com**.
   + Em **Tipo**, escolha **Zona hospedada privada**.
   + Opcionalmente, você pode adicionar ou remover tags para associar à zona hospedada.

1. Para criar a zona hospedada privada, escolha **Criar zona hospedada**.

Para ver mais informações, consulte [Criar uma zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html).

Depois de criar uma zona hospedada privada, é possível criar um registro que informe ao DNS como você deseja que o tráfego seja direcionado para esse domínio.

**Criar um registro**  
Depois de criar uma zona hospedada privada, é possível criar um registro que informe ao DNS como você deseja que o tráfego seja direcionado para esse domínio. Para criar um registro:

1. Na lista de zonas hospedadas exibida, escolha a zona hospedada privada que você criou antes e escolha **Criar registro**.

1. Use o método do assistente para criar o registro. Se o console apresentar o método de **Criação rápida**, escolha **Alternar para assistente**.

1. Escolha **Roteamento simples** em **Política de roteamento** e, em seguida, **Próximo**.

1. Na página **Configurar registros**, escolha **Definir registro simples**.

1. Na página **Definir registro simples**:
   + Em **Nome do registro**, insira o alias do número da sua Conta da AWS. Você obtém esse valor ao integrar o gateway ou ao usar a API REST [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html).
   + Em **Tipo de registro**, mantenha o valor como `A - Routes traffic to an IPv4 address and some AWS resources`.
   + Em **Valor/rotear tráfego para**, escolha **Alias para VPC endpoint**. Em seguida, escolha sua **região** e o endpoint que você criou anteriormente, conforme descrito em [Crie um endpoint de interface da Amazon VPC](#lns-create-vpc-endpoint) na lista de endpoints exibida.

1. Escolha **Definir registro simples** para criar um registro.

## Configurar o resolvedor de entrada do Route 53
<a name="configure-route53-resolver"></a>

Para compartilhar o endpoint da VPC com um ambiente on-premises, você pode usar um Route 53 Resolver para facilitar o DNS híbrido. O resolvedor de entrada permitirá que você roteie o tráfego da rede on-premises para os endpoints do plano de dados sem passar pela Internet pública. Para retornar os valores do endereço IP privado do serviço, crie o Route 53 Resolver na mesma VPC do endpoint da VPC.

Ao criar o resolvedor de entrada, você só precisa especificar a VPC e as sub-redes que você criou antes nas Zonas de Disponibilidade (AZs). O Route 53 Resolver usa essas informações para atribuir de modo automático um endereço IP para rotear o tráfego para cada uma das sub-redes.

Para criar o resolvedor de entrada:

1. Navegue até o console [Endpoints de entrada do](https://console.aws.amazon.com/route53/v2/inbound-endpoints#/) **Route 53** e escolha **Criar endpoint de entrada**.
**nota**  
Verifique se você está usando a mesma Região da AWS que usou ao criar o endpoint e a zona hospedada privada.

1. Na página **Criar endpoint de entrada**, especifique as seguintes informações.
   + Insira um nome em **Nome do endpoint** (por exemplo, **VPC\$1A\$1Test**).
   + Para **VPC na região**, escolha a mesma VPC que você usou ao criar o endpoint da VPC.
   + Configure o **Grupo de segurança desse endpoint** para permitir o tráfego de entrada da rede on-premises.
   + Em Endereço IP, escolha **Usar um endereço IP selecionado automaticamente**.

1. Escolha **Enviar** para criar o resolvedor de entrada.

Neste exemplo, vamos supor que os endereços IP `10.100.0.145` e `10.100.192.10` foram atribuídos ao Route 53 Resolver de entrada para o roteamento do tráfego.

## Próximas etapas
<a name="lns-cups-next-steps"></a>

Você criou a zona hospedada privada e um resolvedor de entrada para rotear o tráfego para as entradas de DNS. Agora é possível usar um Site-to-Site VPN ou um endpoint do Client VPN. Para ter mais informações, consulte [Use VPN para conectar gateways LoRa à sua Conta da AWS](lorawan-vpc-vpn-connection.md). 

# Use VPN para conectar gateways LoRa à sua Conta da AWS
<a name="lorawan-vpc-vpn-connection"></a>

Para conectar gateways on-premises à Conta da AWS, é possível usar uma conexão do Site-to-Site VPN ou um endpoint do Client VPN.

Antes de conectar gateways on-premises, você deve ter criado o endpoint da VPC e configurado uma zona hospedada privada e um resolvedor de entrada para que o tráfego dos gateways não passe pela Internet pública. Para ter mais informações, consulte [Crie um endpoint de interface de VPC e uma zona hospedada privada](create-vpc-lns-cups.md).

## Endpoint do Site-to-Site VPN
<a name="vpc-site-vpn"></a>

Se não tiver o hardware do gateway ou quiser testar a conexão VPN usando uma Conta da AWS diferente, você pode usar uma conexão Site-to-Site VPN. Você pode usar o Site-to-Site VPN para se conectar aos endpoints da VPC a partir da mesma Conta da AWS ou de outra Conta da AWS que você esteja usando em uma Região da AWS diferente.

**nota**  
Se você tiver o hardware do gateway com você e quiser configurar uma conexão VPN, recomendamos que você use o Client VPN em vez disso. Para obter instruções, consulte [Endpoint do cliente VPN](#vpc-client-vpn).

Para configurar um Site-to-Site VPN:

1. Crie outra VPC no site a partir do qual você deseja configurar a conexão. Em `VPC-A`, é possível reutilizar a VPC criada antes. Para criar outra VPC (por exemplo, `VPC-B`), use um bloco CIDR que não se sobreponha ao bloco CIDR da VPC que você criou antes.

   Para obter informações sobre como configurar as VPCs, siga as instruções descritas em [Configurar a conexão do Site-to-Site VPN da AWS](samples/Setup_Site_to_Site_VPN.zip).
**nota**  
O método VPN do Site-to-Site VPN descrito no documento usa o OpenSWAN para a conexão VPN, compatível somente com um túnel VPN. Se você usar um software comercial diferente para a VPN, poderá configurar dois túneis entre os sites.

1. Depois de configurar a conexão VPN, atualize o arquivo `/etc/resolv.conf` adicionando o endereço IP do resolvedor de entrada da Conta da AWS. Use esse endereço IP para o servidor de nomes. Para obter informações sobre como obter esse endereço IP, consulte [Configurar o resolvedor de entrada do Route 53](create-vpc-lns-cups.md#configure-route53-resolver). Neste exemplo, podemos usar o endereço IP `10.100.0.145` que foi atribuído quando você criou o Route 53 Resolver.

   ```
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver 10.100.0.145
   ```

1. Agora podemos testar se a conexão VPN usa o endpoint AWS PrivateLink em vez de acessar a Internet pública usando um comando `nslookup`. A opção a seguir mostra um exemplo de execução do comando.

   ```
   nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com
   ```

   A opção a seguir mostra um exemplo de saída da execução do comando, que mostra um endereço IP privado indicando que a conexão foi estabelecida com o endpoint do LNS do AWS PrivateLink.

   ```
   Server: 10.100.0.145
   Address: 10.100.0.145
   
   Non-authoritative answer:
   Name: https://xxxxx.lns.lorawan.region.amazonaws.com
   Address: 10.100.0.204
   ```

Para obter informações sobre como usar uma conexão do Site-to-Site VPN, consulte [Como o Site-to-Site VPN funciona](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html).

## Endpoint do cliente VPN
<a name="vpc-client-vpn"></a>

O AWS Client VPN é um serviço de VPN gerenciado com base no cliente que permite que você acesse com segurança recursos da AWS e recursos na rede on-premises. A opção a seguir mostra a arquitetura do serviço Client VPN.

![\[Imagem mostrando como você pode usar o AWS Client VPN para conectar o gateway LoRa on-premises.\]](http://docs.aws.amazon.com/pt_br/iot-wireless/latest/developerguide/images/lorawan-privatelink-client-vpn.png)


Para estabelecer uma conexão VPN com um endpoint do Client VPN:

1. Crie um endpoint do Client VPN seguindo as instruções descritas em [Introdução ao AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html).

1. Faça login na rede on-premises (por exemplo, um roteador Wi-Fi) usando o URL de acesso desse roteador (por exemplo, `192.168.1.1`) e encontre o nome raiz e a senha.

1. Configure o gateway LoRaWAN seguindo as instruções na documentação do gateway e, em seguida, adicione o gateway ao AWS IoT Core for LoRaWAN. Para obter informações sobre como adicionar o gateway, consulte [Integre os gateways ao AWS IoT Core for LoRaWAN](lorawan-onboard-gateways.md).

1. Verifique se o firmware do gateway está atualizado. Se o firmware estiver desatualizado, você poderá seguir as instruções fornecidas na rede on-premises para atualizar o firmware do gateway. Para ter mais informações, consulte [Atualize o firmware do gateway usando o serviço CUPS com AWS IoT Core for LoRaWAN](lorawan-update-firmware.md).

1. Verifique se o OpenVPN foi ativado. Se tiver sido ativado, vá para a próxima etapa para configurar o cliente OpenVPN dentro da rede on-premises. Se ele não tiver sido ativado, siga as instruções no [Guia para instalar o OpenVPN para OpenWrt](https://www.ovpn.com/en/guides/openwrt).
**nota**  
Neste exemplo, usamos OpenVPN. Você pode usar outros clientes VPN, como Site-to-Site VPN ou AWS Direct Connect, para configurar a conexão do Client VPN.

1. Configure o cliente OpenVPN com base nas informações da configuração do cliente e em como você pode usar o [cliente OpenVPN usando o LuCi](https://openwrt.org/docs/guide-user/services/vpn/openvpn/client-luci).

1. Faça SSH na rede on-premises e atualize o arquivo `/etc/resolv.conf` adicionando o endereço IP do resolvedor de entrada à Conta da AWS (`10.100.0.145`).

1. Para que o tráfego do gateway use o AWS PrivateLink para se conectar ao endpoint, substitua a primeira entrada DNS do gateway pelo endereço IP do resolvedor de entrada.

Para obter informações sobre como usar uma conexão do Site-to-Site VPN, consulte [Introdução ao Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html).

## Conecte-se aos endpoints da VPC do LNS e do CUPS
<a name="vpc-vpn-connect"></a>

A opção a seguir mostra como você pode testar a conexão com os endpoints da VPC do LNS e do CUPS.

**Testar o endpoint do CUPS**  
Para testar a conexão do AWS PrivateLink com o endpoint do CUPS a partir do gateway LoRa, execute o seguinte comando:

```
curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info 
     --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" 
     --data '{ 
              "router": "xxxxxxxxxxxxx", 
              "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443",
              "cupsCredCrc":1234, "tcCredCrc":552384314
             }' 
      —output cups.out
```

**Testar o endpoint do LNS**  
Para testar o endpoint do LNS, primeiro provisione um dispositivo LoRaWAN que funcionará com o gateway sem fio. Em seguida, você pode adicionar o dispositivo e executar o procedimento de *junção*, após o qual você pode começar a enviar mensagens de uplink.