processo, ciclo de vida e limitações do emparelhamento de VPC - Amazon Virtual Private Cloud

processo, ciclo de vida e limitações do emparelhamento de VPC

Para estabelecer uma conexão de emparelhamento de VPC, faça o seguinte:

  1. O proprietário da VPC solicitante envia um pedido ao proprietário da VPC receptora para criar a conexão de emparelhamento de VPC. O receptor da VPC pode ser de sua propriedade ou de outra conta da AWS e não pode ter um bloco CIDR que se sobreponha ao bloco CIDR da VPC solicitante.

  2. O proprietário da VPC receptora aceita a solicitação da conexão de emparelhamento de VPC para aceitá-la.

  3. Para permitir o fluxo de tráfego entre as VPCs usando endereços IP privados, o proprietário de cada VPC na conexão de emparelhamento de VPC deve adicionar manualmente uma rota a uma ou mais tabelas de rotas da VPC que apontam para o intervalo de endereço IP da outra VPC (a VPC de emparelhamento).

  4. Se necessário, atualize as regras do grupo de segurança que estão associadas à sua instância do EC2 para garantir que o tráfego de entrada e de saída da VPC emparelhada não fique restrito. Se as duas VPCs estiverem na mesma região, você poderá fazer referência a um grupo de segurança da VPC emparelhada como uma origem ou destino para as regras de entrada ou de saída nas regras do seu grupo de segurança.

  5. Com as opções padrão de conexão de emparelhamento da VPC, se as instâncias do EC2 de cada lado de uma conexão de emparelhamento da VPC endereçarem umas as outras usando um nome de host de DNS público, o nome de host será resolvido para o endereço IP público da instância do EC2. Para alterar esse comportamento, habilite a resolução do nome de host DNS para a conexão VPC. Após habilitar a resolução do nome de host de DNS, se as instâncias do EC2 em cada lado do endereço de conexão de emparelhamento da VPC estiverem cada uma usando um nome de host DNS público, o nome do host será resolvido como o endereço IP privado da instância do EC2.

Para ter mais informações, consulte Trabalhar com conexões de emparelhamento da VPC.

Ciclo de vida da conexão de emparelhamento de VPC

Uma conexão emparelhamento de VPC passa por vários estágios começando pelo momento que solicitação é iniciada. Em cada etapa, pode haver ações que você pode realizar e, no final do seu ciclo de vida, a conexão de emparelhamento de VPC permanece visível no console da Amazon VPC, na API ou na saída de linha de comando por um período.

Ciclo de vida da conexão de emparelhamento de VPC
  • Initiating-request: Foi iniciado um pedido para uma conexão de emparelhamento de VPC. Nesta fase, a conexão de emparelhamento pode falhar ou pode ir para pending-acceptance.

  • Failed: O pedido da conexão de emparelhamento de VPC falhou. Enquanto estiver nesse estado, ela não pode ser aceita, rejeitada ou excluída. A conexão de emparelhamento de VPC com falha permanece visível para o solicitante por 2 horas.

  • Pending-acceptance: A solicitação de conexão de emparelhamento de VPC está aguardando aceitação pelo proprietário da VPC receptora. Durante este estado, o proprietário da VPC solicitante pode excluir a solicitação e o proprietário da VPC receptora pode aceitar ou rejeitar a solicitação. Se nenhuma ação for tomada na solicitação, expira após 7 dias.

  • Expired: A solicitação de conexão de emparelhamento de VPC expirou e nenhuma ação pode ser tomada por ela ou pelo proprietário da VPC. A conexão de emparelhamento de VPC falhou e permanece visível para ambos os proprietários da VPC por 2 horas.

  • Rejected: O proprietário da VPC receptora rejeitou uma solicitação de conexão de emparelhamento de VPC pending-acceptance. Enquanto estiver nesse estado, a solicitação não pode ser aceita. A conexão de emparelhamento de VPC rejeitada permanece visível para o proprietário da VPC solicitante por 2 dias e visível para o proprietário da VPC receptora por 2 horas. Se a solicitação foi criada dentro da mesma conta da AWS, a solicitação rejeitada permanece visível por 2 horas.

  • Provisioning: A solicitação de conexão de emparelhamento de VPC foi aceita e em breve estará no estado active.

  • Active: a conexão de emparelhamento de VPC está ativa e o tráfego pode fluir entre as VPCs (desde que seus grupos de segurança e tabelas de rotas permitam o fluxo de tráfego). Enquanto estiver nesse estado, qualquer um dos proprietários da VPC podem excluir a conexão de emparelhamento de VPC, mas não podem rejeitá-la.

    nota

    Se um evento em uma região na qual uma VPC reside impedir o fluxo do tráfego, o status da conexão de emparelhamento da VPC permanecerá Active.

  • Deleting (Exclusão): aplica-se a uma conexão de emparelhamento da VPC entre regiões que está no processo de exclusão. O proprietário de uma VPC enviou uma solicitação para excluir uma conexão de emparelhamento de VPC com o status active ou o proprietário da VPC do solicitante enviou uma solicitação para excluir uma solicitação de conexão de emparelhamento de VPC com o status pending-acceptance.

  • Deleted: Uma conexão de emparelhamento de VPC active foi excluída por algum dos proprietários da VPC ou uma solicitação de conexão de emparelhamento de VPC pending-acceptance foi excluída pelo proprietário da VPC solicitante. Enquanto estiver nesse estado, a conexão de emparelhamento de VPC não pode ser aceita ou rejeitada. A conexão emparelhamento de VPC permanece visível para a parte que o excluiu por 2 horas e visível para a outra parte por 2 dias. Se a conexão de emparelhamento da VPC foi criada dentro da mesma conta da AWS, a solicitação excluída permanece visível por 2 horas.

Várias conexões de emparelhamento de VPC

Uma conexão de emparelhamento de VPC é uma relação de um a um entre duas VPCs. Você pode criar várias conexões de emparelhamento de VPC para cada uma das suas VPCs, mas não há suporte para relações de emparelhamentos transitivas. Você não tem nenhum relacionamento de emparelhamento com as VPCs com as quais sua VPC não esteja diretamente emparelhada.

O diagrama a seguir é um exemplo de uma VPC emparelhada com duas VPCs diferentes. Existem duas conexões de emparelhamentos da VPC: VPC A é emparelhada com a VPC B e a VPC C. A VPC B e VPC C não são emparelhadas e você não pode usar a VPC A como ponto de trânsito para emparelhamento entre a VPC B e a VPC C. Se desejar habilitar o roteamento do tráfego entre a VPC B e VPC C, você deve criar uma conexão de emparelhamento de VPC exclusiva entre elas.

Uma VPC emparelhada com duas VPCs

Limitações de emparelhamento de VPC

Considere as seguintes limitações para as conexões de emparelhamento da VPC. Em alguns casos, é possível usar um anexo do gateway de trânsito no lugar da conexão de emparelhamento da VPC. Para obter mais informações, consulte Exemplos em Gateways de trânsito do Amazon VPC.

Conexões
  • Há uma cota para o número de conexões de emparelhamento da VPC ativas e pendentes para cada VPC. Para ter mais informações, consulte Cotas de conexão de emparelhamento da VPC para uma conta.

  • Não pode haver mais de uma conexão de emparelhamento da VPC entre duas VPCs ao mesmo tempo.

  • Todas as tags que você criar para sua conexão de emparelhamento da VPC só serão aplicadas na conta ou na região em que você as criar.

  • Não é possível se conectar ou consultar o servidor DNS da Amazon em uma VPC emparelhada.

  • Se o bloco CIDR IPv4 de uma VPC em uma conexão de emparelhamento da VPC ficar fora dos intervalos de endereço IPv4 privados especificados por RFC 1918, os nomes de host DNS privados para a VPC não podem ser resolvidos para endereços IP privados. Para resolver os nomes de host DNS privados para endereços IP privados, você pode habilitar o suporte de resolução DNS para a conexão de emparelhamento da VPC. Para ter mais informações, consulte Habilitar a resolução de DNS para a conexão de emparelhamento da VPC.

  • Você pode habilitar recursos em ambos os lados de uma conexão de emparelhamento da VPC para se comunicar por IPv6. Você deve associar um bloco CIDR IPv6 a cada VPC, habilitar as instâncias nas VPCs para comunicação por IPv6 e rotear o tráfego IPv6 destinado à VPC de mesmo nível para a conexão de emparelhamento da VPC.

  • O encaminhamento do caminho inverso Unicast não é compatível em conexões de emparelhamento de VPC. Para ter mais informações, consulte Rota para tráfego de resposta.

Blocos CIDR sobrepostos
  • Não é possível criar uma conexão de emparelhamento de VPC entre VPCs que tenham blocos CIDR IPv4 ou IPv6 coincidentes ou sobrepostos.

  • Se houver vários blocos CIDR IPv4, você não poderá criar uma conexão de emparelhamento da VPC se alguns dos blocos CIDR estiverem sobrepostos, mesmo que pretenda usar apenas os blocos CIDR que não estão sobrepostos ou apenas os blocos CIDR IPv6.

Emparelhamento transitivo
  • O emparelhamento de VPC não oferece suporte a relações de emparelhamento transitivas. Por exemplo, se houver conexões de emparelhamento da VPC entre a VPC e a VPC B e entre a VPC A e a VPC C, você não poderá rotear o tráfego da VPC B para a VPC C por meio da VPC A. Para rotear o tráfego entre a VPC B e a VPC C, você deverá criar uma conexão de emparelhamento da VPC entre elas. Para ter mais informações, consulte Três VPCs emparelhadas simultaneamente.

Roteamento de ponta a ponta por um gateway ou conexão privada
  • Se a VPC A tiver um gateway de internet, os recursos na VPC B não poderão usar o gateway da Internet da VPC A para acessar a Internet.

  • Da mesma forma, se a VPC A tiver um dispositivo NAT que forneça acesso a sub-redes na VPC A, os recursos na VPC B não poderão usar o dispositivo NAT na VPC A para acessar a internet.

  • Se a VPC A tiver uma conexão VPN com uma rede corporativa, os recursos na VPC B não poderão usar a conexão VPN para se comunicarem com a rede corporativa.

  • Se a VPC A tiver uma conexão AWS Direct Connect com uma rede corporativa, os recursos na VPC B não poderão usar a conexão AWS Direct Connect para se comunicarem com a rede corporativa.

  • Se a VPC A tiver um endpoint do gateway que forneça conectividade ao Amazon S3 com sub-redes privadas na VPC A, os recursos na VPC B não poderão usar o endpoint do gateway para acessar o Amazon S3.

Conexões de emparelhamento da VPC entre regiões
  • A unidade de transmissão máxima (MTU) da conexão de emparelhamento da VPC nas regiões é de 1.500 bytes. Não há suporte para jumbo frames (MTUs até 9.001 bytes) para conexões de emparelhamento da VPC entre regiões. Entretanto, eles são compatíveis com conexões de emparelhamento da VPC na mesma região. Para obter mais informações sobre jumbo frames, consulte Jumbo frames (9001 MTU) no Guia do usuário do Amazon EC2.

  • Você deve habilitar o suporte para a resolução de DNS para a conexão de emparelhamento de VPC a fim de resolver os nomes de host DNS privados da VPC emparelhada para endereços IP privados, mesmo que o CIDR IPv4 para a VPC caia em intervalos de endereços IPv4 privados especificados pela RFC 1918.

VPCs e sub-redes compartilhadas
  • Somente proprietários de VPCs podem trabalhar com (descrição, criação, aceitação, rejeição, modificação ou exclusão) conexões de emparelhamento. Os participantes não podem trabalhar com conexões de emparelhamento. Para obter mais informações, consulte Compartilhar sua VPC com outras contas no Guia do usuário da Amazon VPC.