Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cuenta de red
<a name="networking-account"></a>

La cuenta de red sirve como centro central para el enrutamiento de la red entre las cuentas de landing zone multicuenta de AMS, la red local y el tráfico de salida a Internet. Además, esta cuenta contiene bastiones DMZ públicos que son el punto de entrada para que los ingenieros de AMS accedan a los hosts del entorno AMS. Para obtener más información, consulte el siguiente diagrama de alto nivel de la cuenta de red que aparece a continuación.

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)


# Arquitectura de cuentas de red
<a name="malz-network-arch"></a>

El siguiente diagrama muestra el entorno de zona de landing de cuentas múltiples de AMS, que muestra los flujos de tráfico de red entre cuentas, y es un ejemplo de una configuración de alta disponibilidad.

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between Cuentas de AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS configura automáticamente todos los aspectos de la red en función de nuestras plantillas estándar y de las opciones que haya seleccionado durante la incorporación. Se aplica un diseño de red de AWS estándar a su cuenta de AWS y se crea una VPC para usted y se conecta a AMS mediante VPN o Direct Connect. Para obtener más información sobre Direct Connect, consulte [AWS Direct Connect](https://aws.amazon.com/directconnect/). VPCs Los estándares incluyen la DMZ, los servicios compartidos y una subred de aplicaciones. Durante el proceso de incorporación, es VPCs posible que se soliciten y creen más en función de sus necesidades (por ejemplo, divisiones de clientes o socios). Tras la incorporación, se le proporciona un diagrama de red: un documento de entorno que explica cómo se ha configurado la red.

**nota**  
Para obtener información sobre los límites y restricciones de servicio predeterminados para todos los servicios activos, consulte la documentación sobre [los límites de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).

El diseño de nuestra red se basa en el [«Principio de Privilegio Mínimo» de](https://en.wikipedia.org/wiki/Principle_of_least_privilege) Amazon. Para lograrlo, enrutamos todo el tráfico, de entrada y salida, a través de una zona desmilitarizada, excepto el tráfico que proviene de una red confiable. La única red de confianza es la que se configura entre el entorno local y la VPC mediante el uso de una and/or VPN y AWS Direct Connect (DX). El acceso se concede mediante el uso de instancias bastión, lo que impide el acceso directo a cualquier recurso de producción. Todas sus aplicaciones y recursos residen en subredes privadas a las que se puede acceder mediante balanceadores de carga públicos. El tráfico de salida público fluye a través de las puertas de enlace NAT de la VPC de salida (en la cuenta de red) hacia la puerta de enlace de Internet y, después, hacia Internet. Como alternativa, el tráfico puede fluir a través de su VPN o Direct Connect a su entorno local. 

# Conectividad de red privada al entorno AMS Multi-Account Landing Zone
<a name="malz-net-arch-private-net"></a>

AWS ofrece conectividad privada mediante conectividad de red privada virtual (VPN) o líneas dedicadas con AWS Direct Connect. La conectividad privada en su entorno de múltiples cuentas se configura mediante uno de los métodos que se describen a continuación:
+ Conectividad perimetral centralizada mediante Transit Gateway
+ Conexión de la and/or VPN Direct Connect (DX) a las nubes privadas virtuales de cuentas (VPCs)

# Conectividad perimetral centralizada mediante una pasarela de tránsito
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway es un servicio que le permite conectar sus redes locales VPCs y las suyas a una única puerta de enlace. La pasarela de tránsito (TGW) se puede utilizar para consolidar su conectividad perimetral existente y enrutarla a través de un único ingress/egress punto. La pasarela de tránsito se crea en la cuenta de red de su entorno de cuentas múltiples de AMS. Para obtener más información sobre Transit Gateway, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).

La puerta de enlace AWS Direct Connect (DX) se utiliza para conectar su conexión DX a través de una interfaz virtual de tránsito a la puerta de enlace de tránsito VPCs o VPNs que está conectada a la puerta de enlace de tránsito. Asocie una puerta de enlace de Direct Connect con la puerta de enlace de tránsito. A continuación, cree una interfaz virtual de tránsito para su conexión de AWS Direct Connect a la puerta de enlace Direct Connect. Para obtener información sobre las interfaces virtuales DX, consulte [Interfaces virtuales AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).

Esta configuración ofrece los siguientes beneficios. Puede hacer lo siguiente:
+ Administre una única conexión para varias VPCs o VPNs que estén en la misma región de AWS.
+ Anuncie prefijos de las instalaciones locales a AWS y de AWS a las instalaciones locales.

**nota**  
[Para obtener información sobre el uso de una DX con los servicios de AWS, consulte la sección Classic del kit de herramientas de resiliencia.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Para obtener más información, consulte las [asociaciones de Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/onboardingguide/images/malz-cent-edge.png)


Para aumentar la resiliencia de su conectividad, le recomendamos que conecte al menos dos interfaces virtuales de tránsito desde diferentes ubicaciones de AWS Direct Connect a la puerta de enlace Direct Connect. Para obtener más información, consulte la [recomendación de resiliencia de AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).

# Conexión de DX o VPN a la cuenta VPCs
<a name="malz-net-arch-dx-vpn"></a>

Con esta opción, los entornos VPCs de landing zone con múltiples cuentas de AMS se conectan directamente a Direct Connect o VPN. El tráfico fluye directamente desde Direct Connect o VPN sin atravesar la puerta de enlace de tránsito. VPCs 

# Recursos de la cuenta de red
<a name="networking-account-resources"></a>

Como se muestra en el diagrama de la cuenta de red, los siguientes componentes se crean en la cuenta y requieren su entrada.

**La cuenta de red contiene dos VPCs: la VPC de **salida y la VPC** **DMZ, también conocida como VPC** perimetral.**

# Administrador de redes de AWS
<a name="networking-manager"></a>

AWS Network Manager es un servicio que le permite visualizar sus redes de pasarelas de tránsito (TGW) sin coste adicional para AMS. Proporciona una supervisión de red centralizada tanto en los recursos de AWS como en las redes locales, una vista global única de su red privada en un diagrama de topología y en un mapa geográfico, y métricas de uso, como el estado de in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down conexión de los bytes. Para obtener información, consulte [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).

Utilice uno de los siguientes roles para acceder a este recurso:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# VPC de salida
<a name="networking-vpc"></a>

La VPC de salida se utiliza principalmente para el tráfico de salida a Internet y se compone public/private de subredes en un máximo de tres zonas de disponibilidad (). AZs Las puertas de enlace de traducción de direcciones de red (NAT) se aprovisionan en las subredes públicas y los adjuntos de VPC de las pasarelas de tránsito (TGW) se crean en las subredes privadas. El tráfico de Internet de salida o saliente de todas las redes ingresa a través de la subred privada a través de TGW, donde luego se enruta a una NAT a través de tablas de enrutamiento de VPC.

En el caso de las VPCs que contienen aplicaciones orientadas al público en una subred pública, el tráfico que se origina en Internet está contenido en esa VPC. El tráfico de retorno no se enruta a la TGW ni a la VPC de salida, sino que se redirige a través de la puerta de enlace de Internet (IGW) de la VPC.

**nota**  
Rango CIDR de VPC de red: al crear una VPC, debe especificar un rango de direcciones IPv4 para la VPC en forma de bloque de enrutamiento entre dominios sin clase (CIDR); por ejemplo, 10.0.16.0/24. Se trata del bloque de CIDR principal de la VPC.  
El equipo de landing zone multicuenta de AMS recomienda el rango de 24 (con más direcciones IP) para proporcionar algo de amortiguación en caso de que se desplieguen otros recursos/dispositivos en el futuro.

# VPC perimetral (DMZ)
<a name="networking-dmz"></a>

La VPC perimetral, o DMZ, contiene los recursos necesarios para que los ingenieros de operaciones de AMS accedan a las redes de AMS. Contiene subredes públicas de 2 a 3 AZs, con hosts SSH Bastions en un grupo de Auto Scaling (ASG) para que los ingenieros de operaciones de AMS puedan iniciar sesión o recorrer un túnel. Los grupos de seguridad adjuntos a los bastiones de la DMZ contienen reglas de entrada del puerto 22 de **Amazon** Corp Networks.

Rango *CIDR de VPC DMZ: al crear una VPC, debe especificar un rango* de IPv4 direcciones para la VPC en forma de bloque de enrutamiento entre dominios sin clase (CIDR); por ejemplo, 10.0.16.0/24. Se trata del bloque de CIDR principal de la VPC. 

**nota**  
El equipo de AMS recomienda el rango de 24 (con más direcciones IP) para proporcionar un búfer en caso de que se desplieguen otros recursos, como un firewall, en el futuro.

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) es un servicio que le permite conectar sus Amazon Virtual Private Clouds (VPCs) y sus redes locales a una única puerta de enlace. Transit Gateway es la columna vertebral de la red que gestiona el enrutamiento entre las redes de cuentas AMS y las redes externas. Para obtener información sobre Transit Gateway, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/). 

Proporcione la siguiente entrada para crear este recurso: 
+ *Número ASN de Transit Gateway* \$1: proporciona el número de sistema autónomo (ASN) privado de tu pasarela de transporte. Este debe ser el ASN para el lado AWS de una sesión de protocolo de gateway fronteriza (BGP). El rango es de 64512 a 65534 para 16 bits. ASNs