Puertas de enlace de Direct Connect
Utilice la puerta de enlace de Direct Connect para conectar las VPC. Puede asociar una puerta de enlace de Direct Connect con cualquiera de las siguientes opciones:
-
Una puerta de enlace de tránsito cuando tiene varias VPC en la misma región
-
Una puerta de enlace privada virtual
-
Una red central WAN en la nube de AWS
También puede utilizar una puerta de enlace privada virtual para ampliar su zona local. Esta configuración permite que la VPC asociada con la zona local se conecte a una puerta de enlace de Direct Connect. La puerta de enlace de Direct Connect se conecta a una ubicación de Direct Connect en una región. El centro de datos en las instalaciones tiene una conexión de Direct Connect con la ubicación de Direct Connect. Para obtener más información, consulte Acceso a las zonas locales mediante una puerta de enlace de Direct Connect en la Guía del usuario de Amazon VPC.
Una puerta de enlace de Direct Connect es un recurso disponible en todo el mundo. Puede conectarse a cualquier región del mundo mediante una puerta de enlace de Direct Connect. Esto incluye AWS GovCloud (US), pero no incluye las regiones de China de AWS. Una puerta de enlace de Direct Connect es un componente virtual de Direct Connect diseñado para actuar como un conjunto distribuido de reflectores de rutas BGP. Puesto que funciona fuera de la ruta del tráfico de datos, esta evita la creación de un único punto de falla o evita la introducción de dependencias en Regiones de AWS específicas. La alta disponibilidad está intrínsecamente integrada en su diseño, lo que elimina la necesidad de tener múltiples puertas de enlace de Direct Connect.
Los clientes que utilicen Direct Connect con las VPC que actualmente omitan una zona de disponibilidad principal no podrán migrar sus conexiones de Direct Connect ni sus interfaces virtuales.
A continuación se describen escenarios en los que puede utilizar una puerta de enlace de Direct Connect.
Una puerta de enlace de Direct Connect no permite que las asociaciones de puerta de enlace que se encuentran en la misma puerta de enlace de Direct Connect se envíen tráfico entre sí (por ejemplo, una puerta de enlace privada virtual a otra puerta de enlace privada virtual). Una excepción a esta regla, implementada en noviembre de 2021, es cuando se anuncia una superred en dos o más VPC, que tienen sus puertas de enlace privadas virtuales (VGW) asociadas a la misma puerta de enlace de Direct Connect y en la misma interfaz virtual. En este caso, las VPC pueden comunicarse entre sí a través del punto de conexión de Direct Connect. Por ejemplo, si anuncia una superred (por ejemplo, 10.0.0.0/8 o 0.0.0.0/0) que se superpone con las VPC conectadas a una puerta de enlace de Direct Connect (por ejemplo, 10.0.0.0/24 y 10.0.1.0/24) y, en la misma interfaz virtual, desde la red en las instalaciones, las VPC se pueden comunicar entre sí.
Si desea bloquear la comunicación de VPC a VPC dentro de una puerta de enlace de Direct Connect, realice lo siguiente:
-
Configure grupos de seguridad en las instancias y otros recursos de la VPC para bloquear el tráfico entre las VPC; utilícelos también como parte del grupo de seguridad predeterminado de la VPC.
-
Evite anunciar una superred desde su red en las instalaciones que se superponga con sus VPC. En su lugar, puede anunciar rutas más específicas desde su red en las instalaciones que no se superpongan con sus VPC.
-
Aprovisione una sola puerta de enlace de Direct Connect para cada VPC que desee conectar a la red en las instalaciones en lugar de utilizar la misma puerta de enlace de Direct Connect para varias VPC. Por ejemplo, en lugar de utilizar una sola puerta de enlace de Direct Connect para las VPC de desarrollo y producción, utilice puertas de enlace de Direct Connect independientes para cada una de estas VPC.
Una puerta de enlace de Direct Connect no impide que el tráfico se envíe desde una asociación de puerta de enlace a la propia asociación de puerta de enlace (por ejemplo, cuando tiene una ruta de superred en las instalaciones que contiene los prefijos de la asociación de puerta de enlace). Si tiene una configuración con varias VPC conectadas a puertas de enlace de tránsito asociadas a la misma puerta de enlace de Direct Connect, las VPC podrían comunicarse. Para evitar que las VPC se comuniquen, asocie una tabla de enrutamiento con las asociaciones de VPC que tengan configurada la opción de agujero negro.
Temas
Escenarios
A continuación, se describen solo algunos casos en los que se pueden utilizar las puertas de enlace de Direct Connect.
En el siguiente diagrama, la puerta de enlace de Direct Connect lo habilita para utilizar su conexión de Direct Connect en la región Este de EE. UU. (Norte de Virginia) para acceder a las VPC de su cuenta en las regiones Este de EE. UU. (Norte de Virginia) y Oeste de EE. UU. (Norte de California).
Cada VPC tiene una puerta de enlace privada virtual que se conecta a la puerta de enlace de Direct Connect mediante una asociación de puerta de enlace privada virtual. La puerta de enlace de Direct Connect utiliza una interfaz virtual privada para la conexión a la ubicación de Direct Connect. Hay una conexión de Direct Connect desde la ubicación hasta el centro de datos del cliente.
Considere este escenario en el que el propietario de una puerta de enlace de Direct Connect es la cuenta Z. Las cuentas A y B desean utilizar la puerta de enlace de Direct Connect. Las cuentas A y B envían sus respectivas propuestas de asociación a la cuenta Z. La cuenta Z acepta las propuestas de asociación y, si lo desea, puede actualizar los prefijos permitidos desde la puerta de enlace privada virtual de la cuenta A o desde la puerta de enlace privada virtual de la cuenta B. Cuando la cuenta Z acepta las propuestas, la cuenta A y la cuenta B pueden dirigir tráfico desde su puerta de enlace privada virtual a la puerta de enlace de Direct Connect. La cuenta Z también es propietaria del enrutamiento a los clientes, ya que la cuenta Z es la propietaria de la puerta de enlace.
El siguiente diagrama muestra cómo le permite la puerta de enlace de Direct Connect crear una única conexión con su conexión de Direct Connect que todas las VPC pueden utilizar.
La solución implica los siguientes componentes:
-
Una puerta de enlace de tránsito que tiene asociaciones de VPC.
-
Una puerta de enlace de Direct Connect.
-
Una asociación entre la puerta de enlace de Direct Connect y la puerta de enlace de tránsito.
-
Una interfaz virtual de tránsito vinculada a la puerta de enlace de Direct Connect.
Esta configuración ofrece los siguientes beneficios. Puede hacer lo siguiente:
-
Administrar una única conexión para las distintas VPC o VPN que haya en la misma región.
-
Publicar los prefijos desde las instalaciones hasta AWS y desde AWS hasta las instalaciones.
Para obtener información sobre la configuración de puertas de enlace de tránsito, consulte Trabajo con puertas de enlace de tránsito en la Guía de puertas de enlace de tránsito de Amazon VPC.
Considere este escenario en el que el propietario de una puerta de enlace de Direct Connect es la cuenta Z. La cuenta A posee la puerta de enlace de tránsito y desea utilizar la puerta de enlace de Direct Connect. La cuenta Z acepta las propuestas de asociación y puede actualizar de forma opcional los prefijos permitidos de la puerta de enlace de tránsito de la cuenta A. Después de que la cuenta Z acepte las propuestas, las VPC adjuntas a la puerta de enlace de tránsito pueden dirigir el tráfico desde la puerta de enlace de tránsito hasta la puerta de enlace de Direct Connect. La cuenta Z también es propietaria del enrutamiento a los clientes, ya que la cuenta Z es la propietaria de la puerta de enlace.
