AWS Direct Connect  - Construindo uma infraestrutura de rede múltipla escalável e segura VPC AWS
Segurança MACsec em conexões Direct ConnectAWS Direct Connect recomendações de resiliênciaAWS Direct Connect SiteLink

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Direct Connect 

Embora a VPN pela Internet seja uma ótima opção para começar, a conectividade com a Internet pode não ser confiável para o tráfego de produção. Por causa dessa falta de confiabilidade, muitos clientes escolhem AWS Direct Connect. AWS Direct Connect é um serviço de rede que fornece uma alternativa ao uso da Internet para se conectar à AWS. Usando AWS Direct Connect, dados que antes seriam transportados pela Internet são entregues por meio de uma conexão de rede privada entre suas instalações e a AWS. Em muitas circunstâncias, as conexões de rede privada podem reduzir custos, aumentar a largura de banda e fornecer uma experiência de rede mais consistente do que as conexões baseadas na Internet. Há várias maneiras de se conectar AWS Direct Connect a VPCs:

Um diagrama que descreve maneiras de conectar seus data centers locais usando AWS Direct Connect

Maneiras de conectar seus data centers locais usando AWS Direct Connect

  • Opção 1: criar uma interface virtual privada (VIF) para um VGW conectado a uma VPC — Você pode criar 50 VIFs por conexão Direct Connect, permitindo que você se conecte a no máximo 50 VPCs (uma VIF fornece conectividade a uma VPC). Há um peering de BGP por VPC. A conectividade nessa configuração é restrita à região da AWS na qual o local do Direct Connect está hospedado. O one-to-one mapeamento de VIF para VPC (e a falta de acesso global) torna essa a forma menos preferida de acessar VPCs na Landing Zone.

  • Opção 2: criar uma VIF privada em um gateway Direct Connect associado a vários VGWs (cada VGW é anexado a uma VPC) — um gateway Direct Connect é um recurso disponível globalmente. Você pode criar o gateway Direct Connect em qualquer região e acessá-lo de todas as outras regiões, inclusive GovCloud (exceto a China). Um Direct Connect Gateway pode se conectar a até 20 VPCs (via VGWs) globalmente em qualquer conta da AWS por meio de uma única VIF privada. Essa é uma ótima opção se uma Landing Zone consistir em um pequeno número de VPCs (dez ou menos VPCs) e/ou você precisar de acesso global. Há uma sessão de emparelhamento BGP por Direct Connect Gateway por conexão Direct Connect. O gateway Direct Connect é somente para fluxo de tráfego norte/sul e não permite conectividade de VPC para VPC. Consulte Associações de gateway privado virtual na AWS Direct Connect documentação para obter mais detalhes. Com essa opção, a conectividade não está restrita à região da AWS onde a localização do Direct Connect está localizada. AWS Direct Connect O gateway é somente para o fluxo de tráfego norte/sul e não permite a conectividade de VPC a VPC. Uma exceção a essa regra é quando uma superrede é anunciada em duas ou mais VPCs que têm seus VGWs conectados associados ao mesmo AWS Direct Connect gateway e na mesma interface virtual. Nesse caso, as VPCs podem se comunicar umas com as outras por meio do AWS Direct Connect endpoint. Consulte a documentação dos AWS Direct Connect gateways para obter mais detalhes.

  • Opção 3: criar uma VIF de trânsito para um gateway Direct Connect associado ao Transit Gateway — Você pode associar uma instância do Transit Gateway a um gateway Direct Connect usando uma VIF de trânsito. AWS Direct Connect agora suporta conexões com o Transit Gateway para todas as velocidades de porta, oferecendo uma opção mais econômica para os usuários do Transit Gateway quando conexões de alta velocidade (maiores que 1 Gbps) não são necessárias. Isso permite que você use o Direct Connect em velocidades de 50, 100, 200, 300, 400 e 500 Mbps conectando-se ao Transit Gateway. O Transit VIF permite que você conecte seu datacenter local a até seis instâncias do Transit Gateway por AWS Direct Connect gateway (que podem se conectar a milhares de VPCs) em diferentes regiões e contas da AWS por meio de um único emparelhamento de VIF e BGP de trânsito. Essa é a configuração mais simples entre as opções para conectar várias VPCs em grande escala, mas você deve estar atento às cotas do Transit Gateway. Um limite importante a ser observado é que você pode anunciar somente 200 prefixos de um Transit Gateway para um roteador local pela VIF de trânsito. Com as opções anteriores, você paga pelos preços do Direct Connect. Para essa opção, você também paga pelo anexo do Transit Gateway e pelas taxas de processamento de dados. Para obter mais informações, consulte a documentação do Transit Gateway Associations on Direct Connect.

  • Opção 4: criar uma conexão VPN com o Transit Gateway por meio da VIF pública do Direct Connect — Uma VIF pública permite que você acesse todos os serviços e endpoints públicos da AWS usando os endereços IP públicos. Ao criar um anexo de VPN em um Transit Gateway, você obtém dois endereços IP públicos para endpoints de VPN no lado da AWS. Esses IPs públicos podem ser acessados pelo VIF público. Você pode criar quantas conexões VPN quiser com quantas instâncias do Transit Gateway quiser por meio do Public VIF. Quando você cria um emparelhamento de BGP pela VIF pública, a AWS anuncia toda a faixa de IP público da AWS para o seu roteador. Para garantir que você permita apenas determinado tráfego (por exemplo, permitindo tráfego somente para os terminais de terminação de VPN), é recomendável usar um firewall em instalações locais. Essa opção pode ser usada para criptografar seu Direct Connect na camada de rede.

  • Opção 5: criar uma conexão VPN com o Transit Gateway AWS Direct Connect usando VPN IP privada — A VPN IP privada é um recurso que oferece aos clientes a capacidade de implantar conexões VPN Site-to-Site da AWS pelo Direct Connect usando endereços IP privados. Com esse recurso, você pode criptografar o tráfego entre suas redes locais e a AWS por meio de conexões Direct Connect sem a necessidade de endereços IP públicos, aumentando assim a segurança e a privacidade da rede ao mesmo tempo. A VPN IP privada é implantada sobre os Transit VIFs, portanto, permite que você use o Transit Gateway para o gerenciamento centralizado das VPCs dos clientes e das conexões com as redes locais de uma maneira mais segura, privada e escalável.

  • Opção 6: Criar túneis GRE para o Transit Gateway por meio de uma VIF de trânsito — O tipo de anexo Transit Gateway Connect é compatível com GRE. Com o Transit Gateway Connect, a infraestrutura SD-WAN pode ser conectada nativamente à AWS sem precisar configurar VPNs IPsec entre os dispositivos virtuais de rede SD-WAN e o Transit Gateway. Os túneis GRE podem ser estabelecidos em uma VIF de trânsito, tendo o Transit Gateway Connect como o tipo de conexão, fornecendo maior desempenho de largura de banda em comparação com uma conexão VPN. Para obter mais informações, consulte a postagem do blog Simplifique a conectividade SD-WAN com o AWS Transit Gateway Connect.

A opção “VIF de trânsito para gateway Direct Connect” pode parecer a melhor opção, pois permite consolidar toda a conectividade local de um determinado ponto Região da AWS em um único ponto (Transit Gateway) usando uma única sessão BGP por conexão do Direct Connect; no entanto, alguns dos limites e considerações sobre essa opção podem levar você a usar VIFs privadas e de trânsito em conjunto para atender aos requisitos de conectividade da Landing Zone.

A figura a seguir ilustra um exemplo de configuração em que o Transit VIF é usado como um método padrão para conexão com VPCs e um VIF privado é usado para um caso de uso periférico em que quantidades excepcionalmente grandes de dados devem ser transferidas de um data center local para a VPC de mídia. O VIF privado é usado para evitar cobranças de processamento de dados do Transit Gateway. Como prática recomendada, você deve ter pelo menos duas conexões em dois locais diferentes do Direct Connect para obter redundância máxima — um total de quatro conexões. Você cria uma VIF por conexão para um total de quatro VIFs privadas e quatro VIFs de trânsito. Você também pode criar uma VPN como conectividade de backup às AWS Direct Connect conexões.

Com a opção “Create GRE tunnels to Transit Gateway over a transit VIF”, você tem a capacidade de conectar de forma nativa sua infraestrutura de SD-WAN à AWS. Ele elimina a necessidade de configurar VPNs IPsec entre os dispositivos virtuais de rede SD-WAN e o Transit Gateway.

Um diagrama que descreve um exemplo de arquitetura de referência para conectividade híbrida

Exemplo de arquitetura de referência para conectividade híbrida

Use a conta de Serviços de Rede para criar recursos do Direct Connect, permitindo a demarcação dos limites administrativos da rede. As conexões Direct Connect, os gateways Direct Connect e os Transit Gateways podem residir em uma conta de Serviços de Rede. Para compartilhar a AWS Direct Connect conectividade com sua Landing Zone, basta compartilhar o Transit Gateway AWS RAM com outras contas.

Segurança MACsec em conexões Direct Connect

Os clientes podem usar a criptografia MAC Security Standard (MACsec) (IEEE 802.1AE) com suas conexões Direct Connect para conexões dedicadas de 10 Gbps e 100 Gbps em locais selecionados. Com esse recurso, os clientes podem proteger seus dados no nível da camada 2, e o Direct Connect fornece point-to-point criptografia. Para ativar o recurso Direct Connect MACsec, certifique-se de que os pré-requisitos do MACsec sejam atendidos. Como o MACsec protege os links em uma hop-by-hop base, seu dispositivo deve ter uma adjacência direta de camada 2 com nosso dispositivo Direct Connect. Seu provedor de última milha pode ajudá-lo a verificar se sua conexão funcionará com o MACsec. Para obter mais informações, consulte Adicionar segurança MACsec às conexões do AWS Direct Connect.

AWS Direct Connect recomendações de resiliência

Com isso AWS Direct Connect, os clientes podem obter conectividade altamente resiliente em suas Amazon VPCs e recursos da AWS a partir de suas redes locais. É uma prática recomendada que os clientes se conectem a partir de vários data centers para eliminar qualquer falha de localização física em um único ponto. Também é recomendável que, dependendo do tipo de carga de trabalho, os clientes utilizem mais de uma conexão Direct Connect para redundância.

A AWS também oferece o AWS Direct Connect Resiliency Toolkit, que fornece aos clientes um assistente de conexão com vários modelos de redundância; para ajudá-los a determinar qual modelo funciona melhor para seus requisitos de acordo de nível de serviço (SLA) e projetar sua conectividade híbrida usando conexões Direct Connect adequadamente. Para obter mais informações, consulte Recomendações de AWS Direct Connect resiliência.

Anteriormente, a configuração de site-to-site links para suas redes locais só era possível usando a criação direta de circuitos por meio de fibra escura ou outras tecnologias, VPNs IPSEC, ou usando provedores de circuitos terceirizados com tecnologias como MPLS ou circuitos T1 antigos. MetroEthernet Com o advento do SiteLink, os clientes agora podem habilitar a site-to-site conectividade direta para seus locais, que terminam em um local. AWS Direct Connect Use seu circuito Direct Connect para fornecer site-to-site conectividade sem precisar rotear o tráfego pelas suas VPCs, ignorando completamente a região da AWS.

Agora, você pode criar pay-as-you-go conexões globais e confiáveis entre os escritórios e data centers em sua rede global enviando dados pelo caminho mais rápido entre os AWS Direct Connect locais.

Um diagrama AWS Direct Connect SiteLink

Exemplo de arquitetura de referência para AWS Direct Connect SiteLink

Ao usar SiteLink, você primeiro conecta suas redes locais à AWS em qualquer um dos mais de 100 AWS Direct Connect locais em todo o mundo. Em seguida, você cria interfaces virtuais (VIFs) nessas conexões e as ativa SiteLink. Depois que todas as VIFs estiverem conectadas ao mesmo AWS Direct Connect gateway (DXGW), você poderá começar a enviar dados entre elas. Seus dados seguem o caminho mais curto entre os AWS Direct Connect locais até o destino, usando a rede global rápida, segura e confiável da AWS. Você não precisa ter nenhum recurso Região da AWS para usar SiteLink.

Com SiteLink, o DXGW aprende prefixos IPv4/IPv6 de seus roteadores em VIFs SiteLink habilitados, executa o algoritmo de melhor caminho do BGP, atualiza atributos como NextHop e as_Path e anuncia novamente esses prefixos BGP para o restante dos VIFs habilitados associados a esse DXGW. SiteLink Se você desabilitar SiteLink em uma VIF, o DXGW não anunciará os prefixos locais aprendidos sobre essa VIF para outras VIFs habilitadas. SiteLink Os prefixos locais de uma VIF SiteLink desativada são anunciados somente para as associações do DXGW Gateway, como instâncias do AWS Virtual Private Gateways (VGWS) ou Transit Gateway (TGW) associadas ao DXGW.

Um diagrama mostrando exemplos de fluxo de tráfego de Sitelink

Exemplo de link de site que permite fluxos de tráfego

SiteLink permite que os clientes usem a rede global da AWS para funcionar como uma conexão primária ou secundária/de backup entre seus locais remotos, com alta largura de banda e baixa latência, com roteamento dinâmico para controlar quais locais podem se comunicar entre si e com seus recursos regionais da AWS.

Para obter mais informações, consulte Apresentando AWS Direct Connect SiteLink.