As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS Outposts conectividade com AWS regiões
AWS Outposts suporta conectividade de rede de longa distância (WAN) por meio da conexão do link de serviço.
Conteúdo
Conectividade por meio do link de serviço
O link de serviço é uma conexão necessária entre seus Outposts e a AWS Região (ou Região de origem). Ele permite o gerenciamento dos Outposts e a troca de tráfego de e para a Região. AWS O link de serviço aproveita um conjunto criptografado de VPN conexões para se comunicar com a região de origem.
Depois que a conexão do link de serviço é estabelecida, seu Outpost se torna operacional e é gerenciado por AWS. O link de serviço facilita o seguinte tráfego:
-
VPCTráfego de clientes entre o Outpost e qualquer associadoVPCs.
-
Os Outposts gerenciam o tráfego, como gerenciamento de recursos, monitoramento de recursos e atualizações de firmware e software.
As etapas a seguir explicam o processo de configuração do link de serviço e as opções de conexão.
-
Depois de solicitar seus racks do Outposts, entre em AWS contato com você para coletar VLANBGP, IP e sub-rede de infraestrutura. IPs Para obter mais informações, consulte Conectividade de rede local.
-
Durante a instalação, AWS configura o link de serviço no Outpost com base nas informações fornecidas.
-
Você configura seus dispositivos de rede locais, como roteadores, para se conectar a cada dispositivo de rede Outpost por meio BGP de conectividade. Para obter informações sobre link de serviçoVLAN, IP e BGP conectividade, consulteRedes.
-
Você configura seus dispositivos de rede, como firewalls, para permitir que seus Outposts acessem a Região ou AWS a Região de origem. AWS Outposts utiliza a sub-rede da infraestrutura de links de serviço IPs para configurar VPN conexões e trocar controle e tráfego de dados com a região. O estabelecimento do link de serviço é sempre iniciado a partir do Outpost. Você pode estabelecer VPN conexões de links de serviço entre seus Outposts e a AWS Região usando uma das seguintes opções:
-
Internet pública
Essa opção exige que a sub-rede IPs da infraestrutura do link de AWS Outposts serviço tenha acesso aos intervalos de IP públicos de sua AWS região ou região de origem. Você deve permitir a AWS Região pública IPs ou 0.0.0.0/0 em dispositivos de rede, como seu firewall.
-
AWS Direct Connect (DX) público VIFs
Essa opção exige que a sub-rede IPs da infraestrutura do link de AWS Outposts serviço tenha acesso aos intervalos de IP públicos de sua AWS região ou região de origem por meio do serviço DX. Você deve permitir a AWS Região pública IPs ou 0.0.0.0/0 em dispositivos de rede, como seu firewall.
-
Conectividade privada
Para obter informações, consulte Conectividade privada do link de serviço usando VPC.
-
nota
-
Se você planeja listar apenas AWS regiões públicas IPs (em vez de 0.0.0.0/0) em seus firewalls, você deve garantir que suas regras de firewall estejam up-to-date de acordo com os intervalos de endereços IP atuais. Para obter mais informações, consulte os intervalos de endereços AWS IP no Guia VPC do usuário da Amazon.
Você não poderá modificar a configuração do link de serviço fornecida durante o processo do pedido.
Requisitos da unidade máxima de transmissão (MTU) do link de serviço
A unidade máxima de transmissão (MTU) de uma conexão de rede é o tamanho, em bytes, do maior pacote permitido que pode ser passado pela conexão. A rede deve suportar 1500 bytes MTU entre o Outpost e os endpoints do link de serviço na região principal. AWS Para obter informações sobre a necessidade MTU entre uma instância no Outpost e uma instância na AWS região por meio do link de serviço, consulte Unidade máxima de transmissão de rede (MTU) para sua EC2 instância da Amazon no Guia EC2 do usuário da Amazon.
Recomendações de largura de banda do link de serviço
Para uma experiência e resiliência ideais, é AWS necessário usar conectividade redundante de pelo menos 500 Mbps para cada rack de computação e uma latência máxima de 175 ms de ida e volta para a conexão do link de serviço com a região. AWS Você pode usar o AWS Direct Connect ou uma conexão com a Internet para o link de serviço. Os requisitos mínimos de 500 Mbps e de tempo máximo de ida e volta para a conexão do link de serviço permitem que você inicie EC2 instâncias da Amazon, anexe EBS volumes da Amazon e acesse AWS serviçosEKS, como AmazonEMR, Amazon e CloudWatch métricas com desempenho ideal.
Os requisitos de largura de banda do link de serviço do Outposts variam de acordo com as seguintes características:
-
Número de AWS Outposts racks e configurações de capacidade
-
Características da carga de trabalho, como AMI tamanho, elasticidade do aplicativo, necessidades de velocidade de pico e VPC tráfego da Amazon para a região
Para receber uma recomendação personalizada sobre a largura de banda do link de serviço necessária para suas necessidades, entre em contato com seu representante AWS de vendas ou APN parceiro.
Firewalls e o link de serviço
Esta seção discute as configurações de firewall e a conexão do link de serviço.
No diagrama a seguir, a configuração estende a Amazônia VPC da AWS Região até o Posto Avançado. Uma interface virtual AWS Direct Connect pública é a conexão do link de serviço. O tráfego a seguir passa pelo link de serviço e pela conexão do AWS Direct Connect :
-
Tráfego de gerenciamento para o Outpost por meio do link de serviço
-
Tráfego entre o Posto Avançado e qualquer associado VPCs
Se você estiver usando um firewall com estado com sua conexão com a Internet para limitar a conectividade da Internet pública ao link do serviçoVLAN, você pode bloquear todas as conexões de entrada que iniciam a partir da Internet. Isso ocorre porque o link de serviço VPN inicia somente do Posto Avançado para a Região, não da Região para o Posto Avançado.
Se você usar um firewall para limitar a conectividade do link de serviçoVLAN, poderá bloquear todas as conexões de entrada. Você deve permitir conexões de saída da AWS região de volta ao Posto Avançado, conforme a tabela a seguir. Se o firewall estiver com estado, as conexões de saída do Outpost que são permitidas, o que significa que foram iniciadas a partir do Outpost, devem ser permitidas de volta na entrada.
| Protocolo | Porta de origem | Endereço de origem | Porta de destino | Endereço de destino |
|---|---|---|---|---|
UDP |
443 |
AWS Outposts link de serviço /26 |
443 |
AWS Outposts Público da região IPs |
TCP |
1025-65535 |
AWS Outposts link de serviço /26 |
443 |
AWS Outposts Público da região IPs |
nota
As instâncias em um Posto Avançado não podem usar o link de serviço para se comunicar com instâncias em outros Postos Avançados. Aproveite o roteamento por meio do gateway local ou da interface de rede local para se comunicar entre Outposts.
AWS Outposts os racks também são projetados com alimentação redundante e equipamentos de rede, incluindo componentes de gateway local. Para obter mais informações, consulte Resiliência em AWS Outposts.
Conectividade privada do link de serviço usando VPC
Você pode selecionar a opção de conectividade privada ao criar seu Outpost. Quando você faz isso, uma VPN conexão de link de serviço é estabelecida após a instalação do Outpost usando uma sub-rede VPC e especificada por você. Isso permite conectividade privada por meio do VPC e minimiza a exposição pública à Internet.
Pré-requisitos
Os seguintes pré-requisitos são necessários antes que você possa configurar a conectividade privada para seu Outpost:
-
Você deve configurar permissões para uma IAM entidade (usuário ou função) para permitir que o usuário ou função crie a função vinculada ao serviço para conectividade privada. A IAM entidade precisa de permissão para acessar as seguintes ações:
-
iam:CreateServiceLinkedRolenoarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* -
iam:PutRolePolicynoarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* -
ec2:DescribeVpcs -
ec2:DescribeSubnets
Para ter mais informações, consulte Gerenciamento de identidade e acesso (IAM) para AWS Outposts e Funções vinculadas a serviços para AWS Outposts.
-
-
Na mesma AWS conta e zona de disponibilidade do seu Outpost, crie uma VPC conectividade privada com o único propósito de Outpost com uma sub-rede /25 ou maior que não entre em conflito com 10.1.0.0/16. Por exemplo, você pode usar 10.2.0.0/16.
-
Crie uma AWS Direct Connect conexão, uma interface virtual privada e um gateway privado virtual para permitir que seu Outpost local acesse o. VPC Se a AWS Direct Connect conexão estiver em uma AWS conta diferente da suaVPC, consulte Associando um gateway privado virtual entre contas no Guia do AWS Direct Connect usuário.
-
Anuncie a sub-rede na CIDR sua rede local. Você pode usar AWS Direct Connect para fazer isso. Para obter mais informações, consulte interfaces virtuais do AWS Direct Connect e Trabalho com gateways do AWS Direct Connect no Guia do usuário do AWS Direct Connect .
Você pode selecionar a opção de conectividade privada ao criar seu Outpost no console do AWS Outposts . Para obter instruções, consulte Criar um pedido para um rack Outposts.
nota
Para selecionar a opção de conectividade privada quando seu Posto Avançado estiver em PENDINGstatus, escolha Postos Avançados no console e selecione seu Posto Avançado. Escolha Ações, Adicionar conectividade privada e siga as etapas.
Depois de selecionar a opção de conectividade privada para seu Outpost, cria AWS Outposts automaticamente uma função vinculada ao serviço em sua conta que permite concluir as seguintes tarefas em seu nome:
-
Cria interfaces de rede na sub-rede e VPC que você especifica, e cria um grupo de segurança para as interfaces de rede.
-
Concede permissão ao AWS Outposts serviço para conectar as interfaces de rede a uma instância de endpoint do link de serviço na conta.
-
Anexa as interfaces de rede às instâncias do endpoint do link de serviço a partir da conta.
Para obter mais informações sobre a função vinculada ao serviço, consulte Funções vinculadas a serviços para AWS Outposts.
Importante
Depois que seu Outpost for instalado, confirme a conectividade com o privado IPs em sua sub-rede a partir do seu Outpost.
Conexões redundantes à Internet
Ao criar conectividade do seu Posto Avançado com a AWS Região, recomendamos que você crie várias conexões para maior disponibilidade e resiliência. Para obter mais informações, consulte Recomendações de resiliência do AWS Direct Connect
Se você precisar de conectividade com a Internet pública, poderá usar conexões de Internet redundantes e diversos provedores de Internet, assim como faria com suas workloads on-premises existentes.
