Centralize a conectividade de rede usando o AWS Transit Gateway - Recomendações da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Centralize a conectividade de rede usando o AWS Transit Gateway

Criado por Mydhili Palagummi (AWS) e Nikhil Marrapu (AWS)

Resumo

Esse padrão descreve a configuração mais simples na qual o AWS Transit Gateway pode ser usado para conectar uma rede local a nuvens privadas virtuais (VPCs) em várias contas da AWS em uma região da AWS. Usando essa configuração, você pode estabelecer uma rede híbrida que conecta várias redes VPC em uma região e uma rede on-premises. Para tanto, use um gateway de trânsito e uma conexão de rede privada virtual (VPN) com a rede on-premises.

Pré-requisitos e limitações

Pré-requisitos

  • Uma conta para hospedagem de serviços de rede, gerenciada como uma conta membro de uma organização em AWS Organizations

  • VPCs em várias contas da AWS, sem sobreposição de blocos de roteamento entre domínios sem classe (CIDR)

Limitações

Esse padrão não suporta o isolamento do tráfego entre determinada rede VPCs ou a rede local. Todas as redes conectadas ao gateway de trânsito poderão se conectar umas às outras. Para isolar o tráfego, você precisa usar tabelas de rotas personalizadas no gateway de trânsito. Esse padrão conecta somente a VPCs rede local usando uma única tabela de rotas padrão do Transit Gateway, que é a configuração mais simples.

Arquitetura

Pilha de tecnologias de destino

  • AWS Transit Gateway

  • Site-to-SiteVPN AWS

  • VPC

  • AWS Resource Access Manager (AWS RAM)

Arquitetura de destino

O AWS Transit Gateway conecta a rede local a várias contas da AWS VPCs em uma região.

Ferramentas

Serviços da AWS

  • O AWS Resource Access Manager (AWS RAM) ajuda você a compartilhar com segurança seus recursos entre suas contas da AWS, unidades organizacionais ou toda a sua organização a partir do AWS Organizations.

  • O AWS Transit Gateway é um hub central que conecta nuvens privadas virtuais (VPCs) e redes locais.

Épicos

TarefaDescriçãoHabilidades necessárias

Criar um gateway de trânsito

Na conta da AWS em que você deseja hospedar serviços de rede, crie um gateway de trânsito na região da AWS de destino. Para obter instruções, consulte Criar um gateway de trânsito. Observe o seguinte:

  • Selecione Associação de tabela de rotas padrão.

  • Selecione Propagação da tabela de rotas padrão.

Administrador de rede
TarefaDescriçãoHabilidades necessárias

Configurar o dispositivo de gateway do cliente para uma conexão VPN.

O dispositivo de gateway do cliente está conectado no lado local da conexão Site-to-Site VPN entre o gateway de trânsito e sua rede local. Para obter mais informações, consulte Seu dispositivo de gateway do cliente na documentação do AWS Site-to-Site VPN. Identifique ou inicie um dispositivo de cliente on-premises compatível e anote seu endereço IP público. A configuração da VPN será concluída posteriormente neste épico.

Administrador de rede

Na conta de serviços de rede, crie um anexo VPN ao gateway de trânsito.

Para configurar uma conexão, crie um anexo VPN para o gateway de trânsito. Para obter instruções, consulte Anexos VPN do Transit Gateway.

Administrador de rede

Configure a VPN no dispositivo de gateway do cliente na rede on-premises.

Faça o download do arquivo de configuração da conexão Site-to-Site VPN associada ao gateway de trânsito e defina as configurações de VPN no dispositivo de gateway do cliente. Para obter as instruções, consulte Fazer o download de arquivo de configuração.

Administrador de rede
TarefaDescriçãoHabilidades necessárias

Na conta de gerenciamento do AWS Organizations, ative o compartilhamento.

Para compartilhar o gateway de trânsito com sua organização ou com determinadas unidades organizacionais, ative o compartilhamento no AWS Organizations. Caso contrário, você precisaria compartilhar o gateway de trânsito para cada conta individualmente. Para obter instruções, consulte Habilitar o compartilhamento de recursos no AWS Organizations.

Administrador de sistemas AWS

Crie o compartilhamento de recursos do gateway de trânsito na conta de serviços de rede.

Para permitir que VPCs outras contas da AWS dentro da sua organização se conectem ao gateway de trânsito, na conta de serviços de rede, use o console de RAM da AWS para compartilhar o recurso do gateway de trânsito. Para obter instruções, consulte Criar um compartilhamento de recursos.

Administrador de sistemas AWS
TarefaDescriçãoHabilidades necessárias

Crie anexos de VPC em contas individuais.

Nas contas nas quais o gateway de trânsito foi compartilhado, crie anexos VPC do gateway de trânsito. Para obter instruções, consulte Criar um anexo do gateway de trânsito para uma VPC.

Administrador de rede

Aceite as solicitações de anexos VPC.

Na conta de serviços de rede, aceite as solicitações de anexo VPC do Transit Gateway. Para obter instruções, consulte Aceitar um anexo compartilhado.

Administrador de rede
TarefaDescriçãoHabilidades necessárias

Configure rotas em uma conta individual VPCs.

Em cada conta VPC individual, adicione rotas para a rede on-premises e outras redes VPC usando o gateway de trânsito como destino. Para obter instruções, consulte Adicionar e remover rotas de uma tabela de rotas.

Administrador de rede

Configure rotas em uma tabela de rotas do gateway de trânsito.

As rotas de VPCs e a conexão VPN devem ser propagadas e devem aparecer na tabela de rotas padrão do Transit Gateway. Se necessário, crie qualquer rota estática (um exemplo são rotas estáticas para a conexão VPN estática) na tabela de rotas padrão do Transit Gateway. Para obter instruções, consulte Criar uma rota estática.

Administrador de rede

Adicionar grupos de segurança e listas de controle de acesso (ACLs)

Para as EC2 instâncias e outros recursos na VPC, certifique-se de que as regras do grupo de segurança e as regras da ACL da rede permitam o tráfego entre VPCs a rede local e a rede local. Para obter instruções, consulte Controlar o tráfego para recursos usando grupos de segurança e Adicionar e excluir regras de uma ACL.

Administrador de rede
TarefaDescriçãoHabilidades necessárias

Teste a conectividade entre VPCs.

Certifique-se que a ACL de rede e os grupos de segurança permitam o tráfego do ICMP (Protocolo de Mensagem de Controle da Internet) e, em seguida, faça ping de instâncias em uma VPC para outra VPC que também esteja conectada ao gateway de trânsito.

Administrador de rede

Teste a conectividade entre VPCs e a rede local.

Certifique-se de que as regras de ACL de rede, as regras de grupos de segurança e quaisquer firewalls permitam tráfego ICMP e, em seguida, faça ping entre a rede local e as instâncias no EC2 . VPCs A comunicação de rede deve ser iniciada primeiro a partir da rede on-premises para que a conexão VPN volte ao status UP.

Administrador de rede

Recursos relacionados