As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Centralize a conectividade de rede usando o AWS Transit Gateway
Criado por Mydhili Palagummi (AWS) e Nikhil Marrapu (AWS)
Resumo
Esse padrão descreve a configuração mais simples na qual o AWS Transit Gateway pode ser usado para conectar uma rede local a nuvens privadas virtuais (VPCs) em várias contas da AWS em uma região da AWS. Usando essa configuração, você pode estabelecer uma rede híbrida que conecta várias redes VPC em uma região e uma rede on-premises. Para tanto, use um gateway de trânsito e uma conexão de rede privada virtual (VPN) com a rede on-premises.
Pré-requisitos e limitações
Pré-requisitos
Uma conta para hospedagem de serviços de rede, gerenciada como uma conta membro de uma organização em AWS Organizations
VPCs em várias contas da AWS, sem sobreposição de blocos de roteamento entre domínios sem classe (CIDR)
Limitações
Esse padrão não suporta o isolamento do tráfego entre determinada rede VPCs ou a rede local. Todas as redes conectadas ao gateway de trânsito poderão se conectar umas às outras. Para isolar o tráfego, você precisa usar tabelas de rotas personalizadas no gateway de trânsito. Esse padrão conecta somente a VPCs rede local usando uma única tabela de rotas padrão do Transit Gateway, que é a configuração mais simples.
Arquitetura
Pilha de tecnologias de destino
AWS Transit Gateway
Site-to-SiteVPN AWS
VPC
AWS Resource Access Manager (AWS RAM)
Arquitetura de destino
Ferramentas
Serviços da AWS
O AWS Resource Access Manager (AWS RAM) ajuda você a compartilhar com segurança seus recursos entre suas contas da AWS, unidades organizacionais ou toda a sua organização a partir do AWS Organizations.
O AWS Transit Gateway é um hub central que conecta nuvens privadas virtuais (VPCs) e redes locais.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Criar um gateway de trânsito | Na conta da AWS em que você deseja hospedar serviços de rede, crie um gateway de trânsito na região da AWS de destino. Para obter instruções, consulte Criar um gateway de trânsito. Observe o seguinte:
| Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Configurar o dispositivo de gateway do cliente para uma conexão VPN. | O dispositivo de gateway do cliente está conectado no lado local da conexão Site-to-Site VPN entre o gateway de trânsito e sua rede local. Para obter mais informações, consulte Seu dispositivo de gateway do cliente na documentação do AWS Site-to-Site VPN. Identifique ou inicie um dispositivo de cliente on-premises compatível e anote seu endereço IP público. A configuração da VPN será concluída posteriormente neste épico. | Administrador de rede |
Na conta de serviços de rede, crie um anexo VPN ao gateway de trânsito. | Para configurar uma conexão, crie um anexo VPN para o gateway de trânsito. Para obter instruções, consulte Anexos VPN do Transit Gateway. | Administrador de rede |
Configure a VPN no dispositivo de gateway do cliente na rede on-premises. | Faça o download do arquivo de configuração da conexão Site-to-Site VPN associada ao gateway de trânsito e defina as configurações de VPN no dispositivo de gateway do cliente. Para obter as instruções, consulte Fazer o download de arquivo de configuração. | Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Na conta de gerenciamento do AWS Organizations, ative o compartilhamento. | Para compartilhar o gateway de trânsito com sua organização ou com determinadas unidades organizacionais, ative o compartilhamento no AWS Organizations. Caso contrário, você precisaria compartilhar o gateway de trânsito para cada conta individualmente. Para obter instruções, consulte Habilitar o compartilhamento de recursos no AWS Organizations. | Administrador de sistemas AWS |
Crie o compartilhamento de recursos do gateway de trânsito na conta de serviços de rede. | Para permitir que VPCs outras contas da AWS dentro da sua organização se conectem ao gateway de trânsito, na conta de serviços de rede, use o console de RAM da AWS para compartilhar o recurso do gateway de trânsito. Para obter instruções, consulte Criar um compartilhamento de recursos. | Administrador de sistemas AWS |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Crie anexos de VPC em contas individuais. | Nas contas nas quais o gateway de trânsito foi compartilhado, crie anexos VPC do gateway de trânsito. Para obter instruções, consulte Criar um anexo do gateway de trânsito para uma VPC. | Administrador de rede |
Aceite as solicitações de anexos VPC. | Na conta de serviços de rede, aceite as solicitações de anexo VPC do Transit Gateway. Para obter instruções, consulte Aceitar um anexo compartilhado. | Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Configure rotas em uma conta individual VPCs. | Em cada conta VPC individual, adicione rotas para a rede on-premises e outras redes VPC usando o gateway de trânsito como destino. Para obter instruções, consulte Adicionar e remover rotas de uma tabela de rotas. | Administrador de rede |
Configure rotas em uma tabela de rotas do gateway de trânsito. | As rotas de VPCs e a conexão VPN devem ser propagadas e devem aparecer na tabela de rotas padrão do Transit Gateway. Se necessário, crie qualquer rota estática (um exemplo são rotas estáticas para a conexão VPN estática) na tabela de rotas padrão do Transit Gateway. Para obter instruções, consulte Criar uma rota estática. | Administrador de rede |
Adicionar grupos de segurança e listas de controle de acesso (ACLs) | Para as EC2 instâncias e outros recursos na VPC, certifique-se de que as regras do grupo de segurança e as regras da ACL da rede permitam o tráfego entre VPCs a rede local e a rede local. Para obter instruções, consulte Controlar o tráfego para recursos usando grupos de segurança e Adicionar e excluir regras de uma ACL. | Administrador de rede |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Teste a conectividade entre VPCs. | Certifique-se que a ACL de rede e os grupos de segurança permitam o tráfego do ICMP (Protocolo de Mensagem de Controle da Internet) e, em seguida, faça ping de instâncias em uma VPC para outra VPC que também esteja conectada ao gateway de trânsito. | Administrador de rede |
Teste a conectividade entre VPCs e a rede local. | Certifique-se de que as regras de ACL de rede, as regras de grupos de segurança e quaisquer firewalls permitam tráfego ICMP e, em seguida, faça ping entre a rede local e as instâncias no EC2 . VPCs A comunicação de rede deve ser iniciada primeiro a partir da rede on-premises para que a conexão VPN volte ao status | Administrador de rede |
Recursos relacionados
Criar uma infraestrutura de rede AWS dimensionável e segura de várias VPCs
(AWS whitepaper) Trabalhando com recursos compartilhados (documentação da AWS RAM)
Trabalho com gateways de trânsito (documentação do AWS Transit Gateway)
