As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Centralize a conectividade de rede usando o AWS Transit Gateway
Criado por Mydhili Palagummi () e Nikhil Marrapu () AWS AWS
Resumo
Esse padrão descreve a configuração mais simples na qual o AWS Transit Gateway pode ser usado para conectar uma rede local a nuvens privadas virtuais (VPCs) em várias AWS contas em uma AWS região. Usando essa configuração, você pode estabelecer uma rede híbrida que conecta várias VPC redes em uma região e uma rede local. Isso é feito usando um gateway de trânsito e uma conexão de rede privada virtual (VPN) com a rede local.
Pré-requisitos e limitações
Pré-requisitos
Uma conta para hospedagem de serviços de rede, gerenciada como uma conta membro de uma organização em AWS Organizations
VPCsem várias AWS contas, sem sobreposição de blocos de roteamento entre domínios () sem classe CIDR
Limitações
Esse padrão não suporta o isolamento do tráfego entre determinada rede VPCs ou a rede local. Todas as redes conectadas ao gateway de trânsito poderão se conectar umas às outras. Para isolar o tráfego, você precisa usar tabelas de rotas personalizadas no gateway de trânsito. Esse padrão conecta somente a VPCs rede local usando uma única tabela de rotas padrão do Transit Gateway, que é a configuração mais simples.
Arquitetura
Pilha de tecnologias de destino
AWS Transit Gateway
AWS Site-to-Site VPN
VPC
AWSResource Access Manager (AWSRAM)
Arquitetura de destino
Ferramentas
Serviços do AWS
AWSO Resource Access Manager (AWSRAM) ajuda você a compartilhar com segurança seus recursos entre suas AWS contas, unidades organizacionais ou toda a organização a partir de AWS Organizations.
AWSO Transit Gateway é um hub central que conecta nuvens privadas virtuais (VPCs) e redes locais.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Criar um gateway de trânsito | Na AWS conta em que você deseja hospedar serviços de rede, crie um gateway de trânsito na AWS região de destino. Para obter instruções, consulte Criar um gateway de trânsito. Observe o seguinte:
| Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Configure um dispositivo de gateway do cliente para a VPN conexão. | O dispositivo de gateway do cliente está conectado no lado local da Site-to-Site VPN conexão entre o gateway de trânsito e sua rede local. Para obter mais informações, consulte Seu dispositivo de gateway do cliente na AWS Site-to-Site VPN documentação. Identifique ou inicie um dispositivo de cliente local compatível e anote seu endereço IP público. VPNa configuração é concluída posteriormente neste épico. | Administrador de rede |
Na conta de serviços de rede, crie um VPN anexo ao gateway de trânsito. | Para configurar uma conexão, crie um VPN anexo para o gateway de trânsito. Para obter instruções, consulte VPNAnexos do Transit Gateway. | Administrador de rede |
Configure o VPN no dispositivo de gateway do cliente em sua rede local. | Faça o download do arquivo de configuração da Site-to-Site VPN conexão associada ao gateway de trânsito e defina VPN as configurações no dispositivo de gateway do cliente. Para obter as instruções, consulte Fazer o download de arquivo de configuração. | Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Na conta de gerenciamento da AWS Organizations, ative o compartilhamento. | Para compartilhar o gateway de trânsito com sua organização ou com determinadas unidades organizacionais, ative o compartilhamento em AWS Organizations. Caso contrário, você precisaria compartilhar o gateway de trânsito para cada conta individualmente. Para obter instruções, consulte Habilitar o compartilhamento de recursos em AWS Organizations. | AWSadministrador de sistemas |
Crie o compartilhamento de recursos do gateway de trânsito na conta de serviços de rede. | Para permitir que VPCs outras AWS contas da sua organização se conectem ao gateway de trânsito, na conta de serviços de rede, use o AWS RAM console para compartilhar o recurso do gateway de trânsito. Para obter instruções, consulte Criar um compartilhamento de recursos. | AWSadministrador de sistemas |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Crie VPC anexos em contas individuais. | Nas contas nas quais o gateway de trânsito foi compartilhado, crie VPC anexos do gateway de trânsito. Para obter instruções, consulte Criar um anexo de gateway de trânsito em um VPC. | Administrador de rede |
Aceite as solicitações de VPC anexo. | Na conta de serviços de rede, aceite as solicitações de VPC anexo do Transit Gateway. Para obter instruções, consulte Aceitar um anexo compartilhado. | Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Configure rotas em uma conta individualVPCs. | Em cada conta individualVPC, adicione rotas à rede local e a outras VPC redes, usando o gateway de trânsito como destino. Para obter instruções, consulte Adicionar e remover rotas de uma tabela de rotas. | Administrador de rede |
Configure rotas em uma tabela de rotas do gateway de trânsito. | As rotas de VPCs e a VPN conexão devem ser propagadas e devem aparecer na tabela de rotas padrão do gateway de trânsito. Se necessário, crie qualquer rota estática (um exemplo são rotas estáticas para a VPN conexão estática) na tabela de rotas padrão do gateway de trânsito. Para obter instruções, consulte Criar uma rota estática. | Administrador de rede |
Adicione regras de grupo de segurança e lista de controle de acesso à rede (ACL). | Para as EC2 instâncias e outros recursos noVPC, certifique-se de que as regras do grupo de segurança e as ACL regras de rede permitam o tráfego entre VPCs e a rede local. Para obter instruções, consulte Controlar o tráfego para recursos usando grupos de segurança e Adicionar e excluir regras de um ACL. | Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Teste a conectividade entreVPCs. | Certifique-se de que os grupos de rede ACL e segurança permitam o tráfego do Internet Control Message Protocol (ICMP) e, em seguida, faça ping de instâncias em uma VPC para outra VPC que também esteja conectada ao gateway de trânsito. | Administrador de rede |
Teste a conectividade entre VPCs e a rede local. | Certifique-se de que ACL as regras de rede, as regras do grupo de segurança e quaisquer firewalls permitam ICMP tráfego e, em seguida, faça ping entre a rede local e as EC2 instâncias no. VPCs A comunicação de rede deve ser iniciada primeiro a partir da rede local para que a VPN conexão volte ao | Administrador de rede |
Recursos relacionados
Construindo uma infraestrutura de várias VPC AWS redes escalável e segura (white paper
) AWS Trabalhando com recursos compartilhados (AWSRAMdocumentação)
Trabalhando com gateways de trânsito (documentação do AWS Transit Gateway)
