Patrones de acceso para acceder a una ElastiCache caché en una Amazon VPC - Amazon ElastiCache
Acceder a una ElastiCache caché cuando esta y la EC2 instancia de Amazon están en la misma Amazon VPCAcceder a una ElastiCache caché cuando esta y la EC2 instancia de Amazon están en Amazon diferentes VPCsAcceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Patrones de acceso para acceder a una ElastiCache caché en una Amazon VPC

Amazon ElastiCache admite los siguientes escenarios para acceder a una caché en una Amazon VPC:

Acceder a una ElastiCache caché cuando esta y la EC2 instancia de Amazon están en la misma Amazon VPC

El caso de uso más común es cuando una aplicación implementada en una EC2 instancia necesita conectarse a una caché en la misma VPC.

En el siguiente diagrama se ilustra este escenario.

Imagen: diagrama que muestra la aplicación y ElastiCache en la misma VPC

La forma más sencilla de administrar el acceso entre EC2 instancias y cachés en la misma VPC es hacer lo siguiente:

  1. Crear un grupo de seguridad VPC para la caché. Este grupo de seguridad se puede utilizar para restringir el acceso a la caché. Por ejemplo, puede crear una regla personalizada para este grupo de seguridad que permita el acceso mediante TCP utilizando el puerto que asignó a la caché cuando la creó y una dirección IP que se utilizará para obtener acceso a la caché.

    El puerto predeterminado para las cachés de Memcached es 11211.

    El puerto predeterminado para cachés de Valkey y Redis OSS es 6379.

  2. Cree un grupo de seguridad de VPC para sus EC2 instancias (servidores web y de aplicaciones). Si es necesario, este grupo de seguridad puede permitir el acceso a la EC2 instancia desde Internet a través de la tabla de enrutamiento de la VPC. Por ejemplo, puede establecer reglas en este grupo de seguridad para permitir el acceso TCP a la EC2 instancia a través del puerto 22.

  3. Crea reglas personalizadas en el grupo de seguridad de la memoria caché que permitan las conexiones desde el grupo de seguridad que creaste para EC2 las instancias. Esto permitirá a cualquier miembro del grupo de seguridad obtener acceso a las cachés.

nota

Si planea utilizar Local Zones, asegúrese de que las ha habilitado. Cuando crea un grupo de subredes en esa zona local, la VPC se amplía a dicha zona local y la VPC tratará la subred como cualquier subred de cualquier otra zona de disponibilidad. Todas las gateways y tablas de enrutamiento relevantes se ajustarán de forma automática.

Para crear una regla en un grupo de seguridad de VPC que permita establecer conexiones desde otro grupo de seguridad

  1. Inicie sesión en la consola AWS de administración y abra la consola de Amazon VPC en https://console.aws.amazon.com /vpc.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione o cree un grupo de seguridad que utilizará para la caché En Inbound Rules (Reglas de entrada), seleccione Edit Inbound Rules (Editar reglas de entrada) y, a continuación, seleccione Add Rule (Agregar regla). Este grupo de seguridad permitirá el acceso a los miembros de otro grupo de seguridad.

  4. En Type (Tipo), elija Custom TCP Rule (Personalizar regla de TCP).

    1. En Rango de puerto, especifique el puerto que utilizó al crear la caché.

      El puerto predeterminado para las cachés de Memcached es 11211.

      El puerto predeterminado para las cachés y los grupos de replicación de Valkey y Redis OSS es 6379.

    2. En el cuadro Source (Fuente), comience a escribir el ID del grupo de seguridad. En la lista, selecciona el grupo de seguridad que usarás para tus EC2 instancias de Amazon.

  5. Cuando haya terminado, elija Save (Guardar).

    Imagen: pantalla para editar una regla de VPC de entrada

Acceder a una ElastiCache caché cuando esta y la EC2 instancia de Amazon están en Amazon diferentes VPCs

Cuando la memoria caché se encuentra en una VPC diferente de la EC2 instancia que está utilizando para acceder a ella, hay varias formas de acceder a la memoria caché. Si la caché y la EC2 instancia están en una región diferente, VPCs pero se encuentran en la misma región, puedes usar la interconexión de VPC. Si la caché y la EC2 instancia están en regiones diferentes, puedes crear una conectividad VPN entre regiones.

 

Acceder a una ElastiCache caché cuando esta y la EC2 instancia de Amazon se encuentran en Amazon diferentes VPCs en la misma región

El siguiente diagrama ilustra el acceso a una caché mediante una EC2 instancia de Amazon en una Amazon VPC diferente de la misma región mediante una conexión de emparejamiento de Amazon VPC.

Imagen: diagrama que muestra una aplicación y otra diferente ElastiCache VPCs en la misma región

Caché a la que accedió una EC2 instancia de Amazon en una Amazon VPC diferente dentro de la misma región (VPC Peering Connection)

Una conexión de emparejamiento de VPC es una conexión de red entre dos VPCs que le permite enrutar el tráfico entre ellas mediante direcciones IP privadas. Las instancias de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red. Puedes crear una conexión de emparejamiento de VPC entre tu propia Amazon o con una Amazon VPCs VPC de otra AWS cuenta de una sola región. Para obtener más información sobre la conexión de emparejamiento de Amazon VPC, consulte la documentación de VPC.

nota

La resolución de nombres DNS puede fallar en el caso de los VPCs pares, en función de las configuraciones aplicadas a la ElastiCache VPC. Para resolver este problema, ambos VPCs deben estar habilitados para los nombres de host de DNS y la resolución de DNS. Para obtener más información, consulte Habilitación de la resolución de DNS para la conexión de emparejamiento de VPC.

Para obtener acceso a una caché en una Amazon VPC diferente a través de emparejamiento

  1. Asegúrese de que los dos VPCs no tengan un rango de IP superpuesto o no podrá compararlos.

  2. Mira los dos VPCs. Para obtener más información, consulte Creación y aceptación de interconexiones de Amazon VPC.

  3. Actualice su tabla de ruteo. Para obtener más información, consulte Actualización de las tablas de ruteo para interconexiones de VPC

    A continuación, se muestra el aspecto que tienen las tablas de ruteo para el ejemplo del diagrama anterior. Tenga en cuenta que pcx-a894f1c1 es la conexión de emparejamiento.

    Imagen: captura de pantalla de una tabla de enrutamiento de VPC

    Tabla de enrutamiento de VPC

  4. Modifique el grupo de seguridad de la ElastiCache memoria caché para permitir la conexión entrante desde el grupo de seguridad de la aplicación en la VPC interconectada. Para obtener más información, consulte Actualización de los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivel.

El acceso a una caché a través de una conexión de emparejamiento generará costos de transferencia de datos adicionales.

Uso de Transit Gateway

Una puerta de enlace de tránsito le permite conectar VPCs conexiones VPN en la misma AWS región y enrutar el tráfico entre ellas. Una pasarela de transporte público funciona en todas AWS las cuentas y puedes usar AWS Resource Access Manager para compartir tu pasarela de transporte público con otras cuentas. Después de compartir una pasarela de transporte público con otra AWS cuenta, el propietario de la cuenta puede adjuntarla VPCs a tu pasarela de transporte público. Un usuario de cualquiera de las cuentas puede eliminar la vinculación en cualquier momento.

Puede habilitar la multidifusión en una puerta de enlace de tránsito y, a continuación, crear un dominio de multidifusión de transit puerta de enlace que permita que el tráfico de multidifusión se envíe desde el origen de multidifusión a los miembros del grupo de multidifusión a través de conexiones de la VPC que asocie con el dominio.

También puedes crear un adjunto de conexión entre pasarelas de tránsito de distintas AWS regiones. Esto le permite dirigir el tráfico entre las vinculaciones de las transit gateways a través de diferentes regiones.

Para obtener más información, consulte Transit gateways.

Acceder a una ElastiCache caché cuando esta y la EC2 instancia de Amazon se encuentran en Amazon diferentes VPCs en regiones diferentes

Uso de la VPC de tránsito

Otra estrategia común para conectar múltiples redes remotas VPCs y dispersas geográficamente es una alternativa al uso de la interconexión de VPC, y consiste en crear una VPC de tránsito que sirva como centro de tránsito de la red global. Una VPC de tránsito simplifica la administración de la red y minimiza la cantidad de conexiones necesarias para conectar redes múltiples VPCs y remotas. Este diseño puede ahorrar tiempo y esfuerzo, además de reducir los costos, ya que se implementa prácticamente sin los gastos tradicionales de establecer una presencia física en un hub de tránsito de coubicación o de implementar un equipo de red física.

Imagen: diagrama que muestra la conexión entre distintas regiones VPCs

Conectarse a través VPCs de diferentes regiones

Una vez establecida la VPC Amazon de Transit, una aplicación desplegada en una VPC «radial» de una región puede conectarse a una ElastiCache caché de una VPC «radial» de otra región.

Para acceder a una caché en una VPC diferente dentro de una región diferente AWS

  1. Implemente una solución de VPC de tránsito. Para obtener más información, consulte AWS Transit Gateway.

  2. Actualice las tablas de enrutamiento de la VPC en la aplicación y la caché VPCs para enrutar el tráfico a través de la VGW (puerta de enlace privada virtual) y el dispositivo VPN. En caso de que se produzca el enrutamiento dinámico con el protocolo de gateway fronteriza (BGP), las rutas se pueden propagar automáticamente.

  3. Modifique el grupo de seguridad de su ElastiCache caché para permitir la conexión entrante desde el rango de IP de las instancias de la aplicación. Tenga en cuenta que no podrá remitirse al grupo de seguridad de servidor de la aplicación en este caso.

El acceso a una caché entre regiones conllevará latencias de red y costos adicionales de transferencia de datos entre regiones.

Acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente

Otro escenario posible es una arquitectura híbrida en la que los clientes o las aplicaciones del centro de datos del cliente puedan necesitar acceder a una ElastiCache memoria caché en la VPC. Esta situación también se admite, siempre que haya conectividad entre la VPC del cliente y el centro de datos, ya sea a través de la VPN como de Direct Connect.

 

Acceder a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente mediante la conectividad VPN

El siguiente diagrama ilustra el acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en la red corporativa mediante conexiones VPN.

Imagen: diagrama que muestra la conexión ElastiCache desde su centro de datos a través de una VPN

Conexión ElastiCache desde su centro de datos a través de una VPN

Para obtener acceso a una caché en una VPC desde una aplicación local a través de una conexión de VPN

  1. Para establecer la conectividad de VPN, agregue una gateway privada virtual de hardware a su VPC. Para obtener más información, consulte Adición de una gateway privada virtual de hardware a la VPC.

  2. Actualice la tabla de enrutamiento de VPC de la subred en la que se implementa la ElastiCache caché para permitir el tráfico desde el servidor de aplicaciones local. En caso de que se produzca el enrutamiento dinámico con BGP, las rutas se pueden propagar automáticamente.

  3. Modifique el grupo de seguridad de su ElastiCache caché para permitir la conexión entrante desde los servidores de aplicaciones locales.

El acceso a una caché a través de una conexión de VPN conllevará latencias de red y costos adicionales de transferencia de datos.

 

Acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en el centro de datos de un cliente mediante Direct Connect

El siguiente diagrama ilustra el acceso a una ElastiCache memoria caché desde una aplicación que se ejecuta en la red corporativa mediante Direct Connect.

Imagen: diagrama que muestra la conexión ElastiCache desde su centro de datos a través de Direct Connect

Conexión ElastiCache desde su centro de datos a través de Direct Connect

Para acceder a una ElastiCache memoria caché desde una aplicación que se ejecuta en la red mediante Direct Connect

  1. Establezca la conectividad de Direct Connect. Para obtener más información, consulte Introducción a AWS Direct Connect.

  2. Modifique el grupo de seguridad de la ElastiCache memoria caché para permitir la conexión entrante desde los servidores de aplicaciones locales.

El acceso a una caché a través de una conexión de DX puede conllevar latencias de red y cargos adicionales por transferencia de datos.