Interconexión de las VPC
En las tablas a continuación se muestran las consideraciones clave a la hora de interconectar las VPC.
| VPC de seguridad con emparejamiento de VPC | VPC de seguridad con AWS Transit Gateway | VPC de seguridad con interconexión VPN | |||
|---|---|---|---|---|---|
| Ventajas | Desventajas | Ventajas | Desventajas | Ventajas | Desventajas |
|
|
|
|
|
|
| Cliente (envía SYN) | AWS Transit Gateway | Interconexión con VPC | VPN entre las VPC | Descripción general de la solución y posibles problemas |
|---|---|---|---|---|
| Se utiliza Internet o Direct Connect para prestar servicio en una sola VPC con una subred pública o privada. | N/A | N/A | N/A |
El tráfico atraviesa la puerta de enlace de Internet, o la puerta de enlace virtual, así que no necesita cruzar más allá del límite de la VPC. La VPC actúa como redes stub diseñadas. El tráfico ingresa desde las instalaciones a AWS Cloud (Direct Connect, VPN). |
| Internet o Direct Connect en una VPC con clientes en otras VPC (por ejemplo, miembros de un grupo en otra VPC), sin SNAT. | Sí | No | Sí |
AWS Transit Gateway o las VPN hacen que el tráfico eluda el filtro de emparejamiento de la VPC que solo los CIDR asignados por VPC pueden pasar. Las soluciones de VPN estarán restringidas. No hay enrutamiento de múltiples rutas de igual costo (ECMP) (solo una ruta) ni ancho de banda (alrededor de 1,2 GB por segundo por túnel, en general solo un túnel). |
| Internet o Direct Connect para un servicio en una VPC con clientes en otras VPC (por ejemplo, miembros de un grupo en otra VPC), sin SNAT. | Sí (pero no obligatorio) | Sí | Sí (pero no obligatorio) |
Como la interconexión entre las VPC detecta el tráfico de los CIDR asignados por las VPC, cualquiera de ellas funcionará. Las soluciones de VPN estarán restringidas. No hay ECMP (solo una ruta) ni ancho de banda (alrededor de 1,2 GB por segundo por túnel, en general solo un túnel). |
| Dentro de la VPC para prestar servicio en la misma VPC. | N/A | N/A | N/A | Todo el tráfico está restringido a una única VPC. No es obligatoria la interconexión. |
| Dentro de una VPC para prestar servicio en la misma VPC. El servicio está en el CIDR de la VPC de destino. | Sí (pero no obligatorio) | Sí | Sí (pero no obligatorio) | Como la interconexión entre las VPC detecta el tráfico de los CIDR asignados por las VPC, cualquiera de ellas funcionará. |
| Dentro de una VPC para prestar servicio en la misma VPC. El servicio está fuera del rango de CIDR de la VPC. | Sí | No | Sí |
Como la interconexión entre las VPC detecta el tráfico de los CIDR asignados por las VPC, cualquiera de ellas funcionará. Las soluciones de VPN estarán restringidas. No hay ECMP (solo una ruta) ni ancho de banda (alrededor de 1,2 GB por segundo por túnel, en general solo un túnel). |
| Dentro de una sola VPC a un servicio de Internet. | N/A | N/A | N/A | El tráfico proviene de un CIDR asignado por VPC. Si los constructos de la IP elástica, NAT o de la tabla de enrutamiento están en línea, el tráfico fluirá. |
| Dentro de una VPC a un servicio de Internet, enrutamiento a través de una VPC de seguridad o inspección. | Sí | No | Sí |
Dado que la interconexión entre las VPC detecta el tráfico desde fuera de un rango de CIDR asignado por la VPC, no se puede utilizar el emparejamiento de VPC. Las soluciones de VPN estarán restringidas. No hay ECMP (solo una ruta) ni ancho de banda (alrededor de 1,2 GB por segundo por túnel, en general solo un túnel). |
