Patrones de acceso para obtener acceso a un clúster de MemoryDB en una Amazon VPC - Amazon MemoryDB
Acceso a un clúster de MemoryDB cuando este y la instancia de Amazon EC2 se encuentran en la misma Amazon VPCAcceso a un clúster de MemoryDB cuando este y la instancia de Amazon EC2 se encuentran en Amazon VPC diferentesAcceso a un clúster de MemoryDB desde una aplicación en ejecución en un centro de datos del cliente

Patrones de acceso para obtener acceso a un clúster de MemoryDB en una Amazon VPC

MemoryDB admite los siguientes escenarios para obtener acceso a un clúster en una Amazon VPC:

Acceso a un clúster de MemoryDB cuando este y la instancia de Amazon EC2 se encuentran en la misma Amazon VPC

El caso de uso más común es cuando una aplicación implementada en una instancia EC2 debe conectarse a un clúster en la misma VPC.

La forma más sencilla de administrar el acceso entre instancias EC2 y clústeres de la misma VPC es realizar lo siguiente:

  1. Cree un grupo de seguridad de VPC para su clúster. Este grupo de seguridad se puede utilizar para restringir el acceso a los clústeres. Por ejemplo, puede crear una regla personalizada para este grupo de seguridad que permita el acceso mediante TCP utilizando el puerto que asignó al clúster de base de datos cuando lo creó y una dirección IP que se utilizará para obtener acceso al clúster.

    El puerto predeterminado para los clústeres de MemoryDB es 6379.

  2. Cree un grupo de seguridad de VPC para sus instancias EC2 (servidores web y de aplicaciones). Si es necesario, este grupo de seguridad puede permitir el acceso a la instancia EC2 desde Internet a través de la tabla de enrutamiento de la VPC. Por ejemplo, puede establecer reglas en este grupo de seguridad para permitir el acceso mediante TCP a la instancia EC2 a través del puerto 22.

  3. Cree reglas personalizadas en el grupo de seguridad para su clúster que permitan las conexiones desde el grupo de seguridad que creó para las instancias EC2. Esto permitirá a cualquier miembro del grupo de seguridad obtener acceso a los clústeres.

Para crear una regla en un grupo de seguridad de VPC que permita establecer conexiones desde otro grupo de seguridad

  1. Inicie sesión en la consola de administración de AWS y abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc.

  2. En el panel de navegación izquierdo, elija Security Groups.

  3. Seleccione o cree un grupo de seguridad que utilizará para sus clústeres. En Inbound Rules (Reglas de entrada), seleccione Edit Inbound Rules (Editar reglas de entrada) y, a continuación, seleccione Add Rule (Agregar regla). Este grupo de seguridad permitirá el acceso a los miembros de otro grupo de seguridad.

  4. En Type (Tipo), elija Custom TCP Rule (Personalizar regla de TCP).

    1. En Port Range (Rango de puerto), especifique el puerto que utilizó al crear su clúster.

      El puerto predeterminado para los clústeres de MemoryDB es 6379.

    2. En el cuadro Source (Fuente), comience a escribir el ID del grupo de seguridad. Desde la lista, seleccione el grupo de seguridad que utilizará para sus instancias de Amazon EC2.

  5. Cuando haya terminado, elija Save (Guardar).

Acceso a un clúster de MemoryDB cuando este y la instancia de Amazon EC2 se encuentran en Amazon VPC diferentes

Cuando un clúster se encuentra en una VPC que no coincide con la de la instancia EC2 que se utiliza para acceder a él, existen varias formas de obtener acceso al clúster. Si el clúster y la instancia EC2 están en VPC distintas, pero en la misma región, puede utilizar la conexión de emparejamiento de VPC. Si el clúster y la instancia EC2 se encuentran en distintas regiones, puede crear conectividad de VPN entre regiones.

 

Acceso a un clúster de MemoryDB cuando este y la instancia de Amazon EC2 se encuentran en Amazon VPC diferentes en la misma región

Acceso a clúster de una instancia de Amazon EC2 en una Amazon VPC diferente dentro de la misma región, conexión de emparejamiento de VPC

Una conexión de emparejamiento de VPC es una conexión de redes entre dos VPC que permite direccionar el tráfico entre ellas mediante direcciones IP privadas. Las instancias de ambas VPC se pueden comunicar entre sí siempre que se encuentren en la misma red. Puede crear una conexión de emparejamiento de VPC entre sus propias Amazon VPC o con una Amazon VPC de otra cuenta de AWS dentro de una misma región. Para obtener más información sobre la interconexión de Amazon VPC, consulte la documentación de VPC.

Para obtener acceso a un clúster en una Amazon VPC diferente a través de interconexiones

  1. Asegúrese de que las dos VPC no tengan rangos de IP solapados o no podrá interconectarlas.

  2. Coloque las dos VPC al mismo nivel. Para obtener más información, consulte Creación y aceptación de interconexiones de Amazon VPC.

  3. Actualice su tabla de ruteo. Para obtener más información, consulte Actualización de las tablas de ruteo para interconexiones de VPC

  4. Modifique el grupo de seguridad de su clúster de MemoryDB para permitir la conexión de entrada del grupo de seguridad de la aplicación en la VPC del mismo nivel. Para obtener más información, consulte Actualización de los grupos de seguridad para que hagan referencia a grupos de la VPC del mismo nivel.

El acceso a un clúster a través de una conexión de emparejamiento generará costos de transferencia de datos adicionales.

 

Uso de Transit Gateway

Una gateway de tránsito permite adjuntar las VPC y las conexiones de VPN de la misma región de AWS y enrutar el tráfico entre ellas. Una gateway de tránsito funciona en todas las cuentas de AWS y puede utilizar AWS Resource Access Manager para compartir la gateway de tránsito con otras cuentas. Después de compartir una transit gateway con otra cuenta de AWS, el propietario de la cuenta puede asociar las VPC a la gateway de tránsito. Un usuario de cualquiera de las cuentas puede eliminar la vinculación en cualquier momento.

Puede habilitar la multidifusión en una gateway de tránsito y, a continuación, crear un dominio de multidifusión de transit gateway que permita que el trafico de multidifusión se envíe desde el origen de multidifusión a los miembros del grupo de multidifusión a través de conexiones de la VPC que asocie con el dominio.

También puede crear una conexión de emparejamiento entre transit gateways de diferentes regiones de AWS. Esto le permite dirigir el tráfico entre las vinculaciones de las transit gateways a través de diferentes regiones.

Para obtener más información, consulte Transit gateways.

Acceso a un clúster de MemoryDB cuando este y la instancia de Amazon EC2 se encuentran en Amazon VPC diferentes en regiones distintas

Uso de la VPC de tránsito

Una alternativa a la utilización de la conexión de emparejamiento de VPC, otra estrategia común para conectar varias VPC y redes remotas dispersas geográficamente es crear una VPC de tránsito que sirva como un centro de tránsito de red global. Una VPC de tránsito simplifica la administración de la red y minimiza el número de conexiones necesarias para conectar varias VPC y redes remotas. Este diseño puede ahorrar tiempo y esfuerzo, además de reducir los costos, ya que se implementa prácticamente sin los gastos tradicionales de establecer una presencia física en un hub de tránsito de coubicación o de implementar un equipo de red física.

Conexión entre VPC diferentes en distintas regiones

Una vez que la Amazon VPC de tránsito se encuentre establecida, se puede conectar una aplicación implementada en una VPC “radial” de una región a un clúster de MemoryDB de una VPC “radial” dentro de otra región.

Para obtener acceso a un clúster en una VPC diferente dentro de una región de AWS distinta

  1. Implemente una solución de VPC de tránsito. Para obtener más información, consulte AWS Transit Gateway.

  2. Actualice las tablas de enrutamiento de la VPC en la aplicación y las VPC para direccionar el tráfico a través de la VGW (gateway privada virtual) y el dispositivo de VPN. En caso de que se produzca el enrutamiento dinámico con el protocolo de gateway fronteriza (BGP), las rutas se pueden propagar automáticamente.

  3. Modifique el grupo de seguridad de su clúster de MemoryDB para permitir la conexión de entrada del rango de IP de instancias de aplicación. Tenga en cuenta que no podrá remitirse al grupo de seguridad de servidor de la aplicación en este caso.

El acceso a un clúster entre regiones conllevará latencias de red y costos adicionales de transferencia de datos entre regiones.

Acceso a un clúster de MemoryDB desde una aplicación en ejecución en un centro de datos del cliente

Otra situación posible es una arquitectura híbrida en la que los clientes o las aplicaciones del centro de datos del cliente puedan necesitar obtener acceso a un clúster de MemoryDB en la VPC. Esta situación también se admite, siempre que haya conectividad entre la VPC del cliente y el centro de datos, ya sea a través de la VPN como de Direct Connect.

 

Acceso a un clúster de MemoryDB desde una aplicación en ejecución en un centro de datos del cliente mediante conectividad de VPN

Conexión a MemoryDB desde su centro de datos a través de una VPN

Para obtener acceso a un clúster en una VPC desde una aplicación local a través de una conexión de VPN

  1. Para establecer la conectividad de VPN, agregue una gateway privada virtual de hardware a su VPC. Para obtener más información, consulte Adición de una gateway privada virtual de hardware a la VPC.

  2. Actualiza la tabla de enrutamiento de VPC para la subred en la que se implementa su clúster de MemoryDB para permitir el tráfico desde el servidor de aplicaciones de sus instalaciones. En caso de que se produzca el enrutamiento dinámico con BGP, las rutas se pueden propagar automáticamente.

  3. Modifique el grupo de seguridad de su clúster de MemoryDB para permitir la conexión de entrada desde los servidores de la aplicación en las instalaciones.

El acceso a un clúster a través de una conexión de VPN conllevará latencias de red y costos adicionales de transferencia de datos.

 

Acceso a un clúster de MemoryDB desde una aplicación en ejecución en un centro de datos del cliente mediante Direct Connect

Conexión a MemoryDB desde su centro de datos a través de Direct Connect

Para obtener acceso a un clúster de MemoryDB desde una aplicación en ejecución en su red mediante Direct Connect

  1. Establezca la conectividad de Direct Connect. Para obtener más información, consulte Introducción a AWS Direct Connect.

  2. Modifique el grupo de seguridad de su clúster de MemoryDB para permitir la conexión de entrada desde los servidores de la aplicación en las instalaciones.

El acceso a un clúster a través de una conexión de DX puede conllevar latencias de red y cargos adicionales por transferencia de datos.