REL02-BP02 Provisionar conectividade redundante entre as redes privadas na nuvem e nos ambientes on-premises
Implemente redundância nas conexões entre redes privadas na nuvem e ambientes on-premises a fim de obter resiliência de conectividade. Isso pode ser feito por meio da implantação de dois ou mais links e caminhos de tráfego, preservando a conectividade em caso de falhas na rede.
Antipadrões comuns:
-
Você depende de apenas uma conexão de rede, o que cria um ponto único de falha.
-
Você usa somente um túnel VPN ou vários túneis que terminam na mesma zona de disponibilidade.
-
Você depende de um ISP para conectividade VPN, o que pode levar a falhas completas durante interrupções do ISP.
-
Não implementar protocolos de roteamento dinâmico, como o BGP, que são cruciais para redirecionar o tráfego durante interrupções na rede.
-
Você ignora as limitações de largura de banda dos túneis VPN e superestima as respectivas capacidades de backup.
Benefícios de estabelecer esta prática recomendada: ao implementar conectividade redundante entre seu ambiente de nuvem e o ambiente corporativo ou on-premises, os serviços dependentes entre os dois ambientes podem se comunicar de forma confiável.
Nível de exposição a riscos se esta prática recomendada não for estabelecida: alto
Orientações para a implementação
Ao usar o AWS Direct Connect para conectar sua rede on-premises à AWS, você pode alcançar a máxima resiliência da rede (SLA de 99,99%) utilizando conexões separadas que terminam em dispositivos distintos em mais de um ambiente on-premises e em mais de um local do AWS Direct Connect. Essa topologia oferece resiliência contra falhas de dispositivos, problemas de conectividade e interrupções de locais inteiros. Como alternativa, você pode obter alta resiliência (SLA de 99,9%) usando duas conexões individuais com vários locais (cada local on-premises conectado a um único local do Direct Connect). Essa abordagem oferece proteção contra interrupções de conectividade causadas por cortes na fibra ou falhas de dispositivos, além de ajudar a mitigar falhas de locais inteiros. O kit de ferramentas de resiliência do AWS Direct Connect pode ajudar a projetar sua topologia do AWS Direct Connect.
Você também pode considerar a terminação do AWS Site-to-Site VPN em um AWS Transit Gateway como um backup econômico para sua conexão primária do AWS Direct Connect. Essa configuração possibilita o roteamento multicaminho de custo igual (ECMP) em vários túneis VPN, permitindo um throughput de até 50 Gbps, mesmo que cada túnel VPN tenha um limite de 1,25 Gbps. No entanto, é importante observar que o AWS Direct Connect ainda é a opção mais eficaz para minimizar as interrupções na rede e oferecer conectividade estável.
Ao usar VPNs pela internet para conectar o ambiente de nuvem ao data center on-premises, configure dois túneis VPN como parte de uma única conexão do Site-to-Site VPN. Cada túnel deve terminar em uma zona de disponibilidade diferente para proporcionar alta disponibilidade, usar hardware redundante e evitar falhas no dispositivo on-premises. Além disso, considere várias conexões à internet de diversos provedores de serviços de Internet (ISPs) em seu local on-premises a fim de evitar a interrupção completa da conectividade VPN devido à interrupção de um único ISP. A seleção de ISPs com roteamento e infraestrutura diversos, especialmente aqueles com caminhos físicos separados até endpoints da AWS, fornece alta disponibilidade de conectividade.
Além da redundância física com várias conexões do AWS Direct Connect e vários túneis VPN (ou uma combinação de ambos), a implementação do roteamento dinâmico do Protocolo de Gateway da Borda (BGP) também é fundamental. O BGP dinâmico fornece redirecionamento automático do tráfego de um caminho para outro com base nas condições de rede em tempo real e nas políticas configuradas. Esse comportamento dinâmico é especialmente benéfico para manter a disponibilidade da rede e a continuidade do serviço em caso de falhas no link ou na rede. Ele seleciona rapidamente caminhos alternativos, aumentando a resiliência e a confiabilidade da rede.
Etapas da implementação
-
Adquira conectividade de alta disponibilidade entre a AWS e seu ambiente on-premises.
-
Use várias conexões do AWS Direct Connect ou túneis VPN entre as redes privadas implantadas separadamente.
-
Use vários locais do AWS Direct Connect para gerar alta disponibilidade.
-
Se estiver usando várias Regiões da AWS, crie redundância em pelo menos duas delas.
-
-
Sempre que possível, use o AWS Transit Gateway para a terminação de sua conexão VPN.
-
Avalie os dispositivos do AWS Marketplace para a terminação das VPNs ou a extensão de sua SD-WAN para a AWS. Se você usa appliances do AWS Marketplace, implante instâncias redundantes em zonas de disponibilidade diferentes para alta disponibilidade.
-
Forneça uma conexão redundante com o ambiente on-premises.
-
Você pode precisar de conexões redundantes com várias Regiões da AWS para atender às suas necessidades de disponibilidade.
-
Use o kit de ferramentas de resiliência do AWS Direct Connect para começar.
-
Recursos
Documentos relacionados:
-
Using Redundant Site-to-Site VPN Connections to Provide Failover
-
Routing policies and BGP communities (“Políticas de roteamento e comunidades BGP”)
-
Active/Active and Active/Passive Configurations in AWS Direct Connect
-
Parceiro do APN: parceiros que podem ajudar a planejar sua rede
-
Amazon Virtual Private Cloud Connectivity Options Whitepaper
-
Building a Scalable and Secure Multi-VPC AWS Network Infrastructure (Criação de uma infraestrutura de rede da AWS de várias VPCs escaláveis e seguras)
-
Using redundant Site-to-Site VPN connections to provide failover
-
Using the AWS Direct Connect Resiliency Toolkit to get started
-
Endpoints da VPC e serviços de endpoint da VPC (AWS PrivateLink)
Vídeos relacionados:
