Consumidores de servicios que operan en las instalaciones - AWS Guía prescriptiva
AWS Site-to-Site VPNAWS Direct ConnectArquitectura de VPC de tránsitoInternet público

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consumidores de servicios que operan en las instalaciones

En esta sección, se analizan las opciones de conectividad entre las cargas de trabajo de SaaS en los centros de datos Nube de AWS locales y los locales. Muchos consumidores con requisitos locales, especialmente a nivel empresarial, ven la nube como una extensión de su red física y quieren que eso se refleje en su arquitectura. Esto significa conectividad privada a la oferta de SaaS en la nube, ya sea a través de túneles lógicos o incluso a través de una conexión física privada. Otros consumidores aceptarán la conectividad a través de Internet pública, algo que también se analiza en esta sección.

El siguiente mapa de valores de red resume la puntuación de cada una de estas opciones para cada métrica de evaluación. Para obtener más información sobre las métricas de evaluación, consulte las métricas de evaluación en esta guía. En el mapa, un cinco representa la mejor puntuación, por ejemplo, el menor TCO, el mejor aislamiento de la red o el menor tiempo de reparación. Para obtener más información sobre cómo leer este gráfico radial, consulte Mapa de valores de redes esta guía.

nota

Se excluye la opción de VPC de transporte gestionada por el proveedor porque las puntuaciones dependen en gran medida de los servicios que se operen.

Gráfico radial que muestra las puntuaciones de cada métrica de evaluación.

El gráfico radial muestra los siguientes valores.

Métrica de evaluación

AWS Site-to-Site VPN

AWS Direct Connect

VPC de tránsito gestionada por el consumidor

Acceso público a Internet

Facilidad de integración

3

1

4

5

TCO

2.

1

5

4

Escalabilidad

3

1

5

5

Adaptabilidad

3

2

4

5

Aislamiento de red

3

4

5

1

Observabilidad

3

4

5

5

Es hora de reparar

3

2

5

5

Conectando con AWS Site-to-Site VPN

AWS Site-to-Site VPNlas conexiones pueden terminar en una puerta de enlace privada virtual o en una puerta de enlace de tránsito. Una puerta de enlace privada virtual es el punto final de la VPN situado en el AWS lateral de la conexión Site-to-Site VPN que se puede conectar a una sola VPC. Una puerta de enlace de tránsito es un centro de tránsito que se puede usar para interconectar redes múltiples VPCs y locales. También se puede usar como punto final de VPN para el AWS lado de la conexión Site-to-Site VPN. En esta sección se analizan ambas opciones.

Conexión a través de una puerta de enlace privada virtual

Después de crear una puerta de enlace privada virtual, debe adjuntarla a la VPC que contiene su oferta de SaaS. A continuación, habilita la propagación de rutas para propagar las rutas de la VPN a la tabla de rutas de la VPC. Esas rutas pueden ser rutas estáticas o dinámicas anunciadas por BGP.

Para una alta disponibilidad, una conexión Site-to-Site VPN tiene dos túneles VPN que terminan en dos zonas de disponibilidad laterales. AWS Si uno deja de estar disponible, el segundo túnel puede tomar el control. Un único túnel permite un ancho de banda máximo de 1,25 Gbps. Como las puertas de enlace privadas virtuales no admiten el enrutamiento de rutas múltiples (ECMP) de igual costo, solo puede usar un túnel a la vez.

Para aumentar la tolerancia a los errores, puede configurar una segunda conexión VPN a una segunda puerta de enlace física para el cliente. Una vez establecida la conexión, el consumidor puede acceder a los recursos de la VPC del proveedor de SaaS.

El siguiente diagrama muestra esta arquitectura.

Conexiones desde centros de datos locales a Nube de AWS través de una puerta de enlace virtual.

Los siguientes son beneficios de este enfoque:

  • Tiempo de reparación: se gestionó la conmutación por error al túnel VPN secundario

  • Observabilidad: integración para la supervisión activa gestionada mediante Network Synthetic Monitor

  • Facilidad de integración: soporte de enrutamiento dinámico a través de BGP

  • Adaptabilidad: compatibilidad con la mayoría de los equipos de red locales

  • Adaptabilidad: soporte IPv6

  • TCO: AWS Site-to-Site VPN es un servicio totalmente gestionado, por lo que requiere menos esfuerzo operativo

  • TCO: las pasarelas virtuales no tienen costo alguno, aunque hay cargos por las dos direcciones públicas IPv4 de cada una

  • Aislamiento de la red: permite una comunicación privada segura a través de Internet

Los inconvenientes de este enfoque son los siguientes:

  • Facilidad de integración: el consumidor debe configurar su pasarela de clientes

  • Escalabilidad: la falta de compatibilidad con ECMP limita el ancho de banda a 1,25 Gbps por puerta de enlace virtual

  • Escalabilidad: escalabilidad limitada debido al aumento de la complejidad de la red y de la sobrecarga operativa

  • Adaptabilidad: solo IPv6 admite las direcciones IP internas de los túneles VPN

  • Adaptabilidad: sin enrutamiento transitivo

  • TCO: sobrecarga operativa para mantener, administrar y configurar numerosas conexiones VPN para el proveedor de SaaS

Conexión a través de una pasarela de tránsito

Las conexiones a través de las pasarelas de tránsito son similares a las pasarelas virtuales. Sin embargo, hay algunas diferencias que hay que tener en cuenta.

En primer lugar, las rutas del adjunto de la VPN se pueden propagar automáticamente dentro de la tabla de rutas de la pasarela de tránsito, pero hay que añadir manualmente las rutas a la adjunta VPCs.

En comparación con una puerta de enlace virtual, Transit Gateway es compatible con ECMP. Si la pasarela del cliente es compatible con el ECMP, puede utilizar ambos túneles para lograr un rendimiento máximo total de 2,5 Gbps. Puede establecer varias conexiones entre la misma red local y la puerta de enlace de tránsito. Con este enfoque, puede aumentar el ancho de banda máximo hasta 2,5 Gbps por conexión.

El siguiente diagrama muestra esta arquitectura.

Conexiones desde los centros de datos locales a las Nube de AWS pasarelas de tránsito directo.

Los siguientes son beneficios de este enfoque:

  • Tiempo de reparación: se gestionó la conmutación por error al túnel VPN secundario

  • Observabilidad: integración para la supervisión activa gestionada mediante Network Synthetic Monitor

  • Facilidad de integración: soporte de enrutamiento dinámico a través de BGP

  • Escalabilidad: la compatibilidad con ECMP permite escalar el rendimiento de la VPN para satisfacer los requisitos de un gran ancho de banda

  • Escalabilidad: una única puerta de enlace de tránsito admite un gran número de conexiones VPN (hasta casi 5000)

  • Escalabilidad: un lugar para administrar y monitorear todas las conexiones VPN

  • Adaptabilidad: compatibilidad con la mayoría de los equipos de red locales

  • Adaptabilidad: soporte IPv6

  • Adaptabilidad: hereda la flexibilidad de AWS Transit Gateway

  • TCO: AWS Transit Gateway es un servicio totalmente gestionado, por lo que requiere menos esfuerzo operativo

  • TCO: las pasarelas virtuales no tienen costo alguno, aunque hay cargos por las dos direcciones públicas IPv4 de cada una

  • Aislamiento de la red: permite una comunicación privada segura a través de Internet

Los inconvenientes de este enfoque son los siguientes:

  • Facilidad de integración: el consumidor debe configurar su pasarela de clientes

  • Escalabilidad: escalabilidad limitada debido al aumento de la complejidad de la red y de la sobrecarga operativa

  • Adaptabilidad: solo IPv6 admite las direcciones IP internas de los túneles VPN

  • TCO: sobrecarga operativa para mantener, administrar y configurar numerosas conexiones VPN para el proveedor de SaaS

  • TCO: cargos adicionales por el uso de AWS Transit Gateway

  • TCO: complejidad adicional de administrar las tablas de rutas de las pasarelas de tránsito

Conectarse con AWS Direct Connect

AWS Direct Connectconecta su red interna a una Direct Connect ubicación a través de un cable de fibra óptica Ethernet estándar. A diferencia de las otras opciones de arquitectura, no se puede establecer una conexión dedicada en unos minutos. En cambio, este proceso puede tardar varios días si se cumplen todos los requisitos. Si no es así, puede que tarde más. Por lo tanto, le sugerimos que se ponga en contacto con su equipo de AWS cuentas o AWS Support pida ayuda con este enfoque. Si lo desea, puede elegir una conexión alojada proporcionada por un AWS socio y compartida con otros clientes. En cualquier caso, la arquitectura es la misma. Puede elegir Direct Connect porque reduce la latencia, mejora el ancho de banda o cumple con los requisitos reglamentarios.

Para usar la Direct Connect conexión, los consumidores deben crear una interfaz virtual pública, privada o de tránsito. Hay diferentes opciones de arquitectura disponibles. La más flexible para conectar múltiples ubicaciones locales Nube de AWS es una interfaz virtual de tránsito conectada a una Direct Connect puerta de enlace. Una Direct Connect puerta de enlace es un componente lógico global que permite al proveedor de servicios conectar hasta seis puertas de enlace de tránsito a ella. Además, puede conectar hasta 30 interfaces virtuales a la puerta de enlace. Para aumentar la escala, puede crear Direct Connect pasarelas adicionales. En la cuenta del proveedor de SaaS, las pasarelas de tránsito se conectan entonces a la VPCs, como se describió anteriormente.

Los consumidores pueden conectarse mediante una o cuatro Direct Connect conexiones desde un total de una o dos Direct Connect ubicaciones, según el nivel de resiliencia deseado. Para obtener más información, consulte Configurar Direct Connect para obtener la máxima resiliencia. Una AWS Site-to-Site VPN conexión a través de Internet también puede servir como ruta de respaldo de menor costo para una Direct Connect conexión. Las conexiones Direct Connect dedicadas compatibles se pueden utilizar MACsecpara cifrar el enlace de la capa 2 entre la Direct Connect ubicación y el centro de datos. Es habitual disponer de una conexión Site-to-Site VPN para aumentar la confidencialidad de los datos. La conexión Site-to-Site VPN puede terminar en la pasarela de tránsito mediante un adjunto VPN normal. El siguiente diagrama muestra esta arquitectura.

Conexiones desde los centros de datos locales Nube de AWS hasta AWS Direct Connect el punto de conexión.

Los siguientes son beneficios de este enfoque:

  • Observabilidad: integración para la supervisión activa gestionada mediante Network Synthetic Monitor

  • Escalabilidad: Support para aumentar el rendimiento del ancho de banda

  • Adaptabilidad: soporte IPv6

  • TCO: posibilidad de reducir la transferencia de datos

  • TCO: experiencia de red uniforme

  • Aislamiento de la red: conectividad privada que puede cumplir con los requisitos reglamentarios

Los inconvenientes de este enfoque son los siguientes:

  • Facilidad de integración: la configuración requiere tiempo y esfuerzo manual

  • Escalabilidad: escalabilidad limitada más allá de decenas de Direct Connect conexiones porque hay varias cuotas que rastrear

  • Adaptabilidad: las opciones de configuración dependen de las ubicaciones disponibles Direct Connect

  • TCO: el Direct Connect mantenimiento programado puede provocar un tiempo de inactividad que requiere la adopción de medidas

Conexión con una arquitectura de VPC de tránsito

Transit VPC es una opción de arquitectura que brinda flexibilidad a los consumidores en cuanto a la forma de conectarse y permite a AWS los proveedores de SaaS beneficiarse de un acceso unificado a su servicio mediante. AWS PrivateLink El consumidor se conecta desde las instalaciones a una VPC de tránsito que contiene solo un punto de entrada (como una puerta de enlace privada virtual) y un punto final de VPC de interfaz, que es un recurso. AWS PrivateLink El transporte VPCs debe ser propiedad del proveedor de SaaS o de los consumidores. En esta sección se analizan ambas opciones.

Puede crear la VPC de tránsito y las subredes con rangos de CIDR que sean compatibles con el centro de datos local. Si requieren conectividad privada, los consumidores pueden conectarse a esa VPC a través AWS Direct Connect de o. AWS Site-to-Site VPN También puedes configurar el acceso a la cuenta de tránsito desde la Internet pública mediante un Application Load Balancer o Network Load Balancer que apunte al punto final de la VPC.

VPC de tránsito gestionada por el consumidor

En este enfoque, el proveedor de SaaS deja la gestión del tránsito en VPCs manos de los consumidores. Desde un punto de vista técnico, la arquitectura del proveedor de SaaS es la misma que cuando se conecta directamente con los Nube de AWS consumidores. AWS PrivateLink Desde el punto de vista de las ventas y los productos, se trata de un esfuerzo adicional porque algunos consumidores Cuentas de AWS aún no lo han hecho. Es posible que duden en abrir y operar una cuenta. El proveedor de SaaS debe orientar a sus consumidores sobre cómo crear Cuentas de AWS y conectar su centro de datos local. El siguiente diagrama muestra una combinación de acceso público y privado, en la que los consumidores son los dueños del transporte. VPCs

El consumidor gestiona una VPC de tránsito en el. Nube de AWS

Los siguientes son beneficios de este enfoque:

  • Tiempo de reparación: los gastos operativos se transfieren en gran medida a los consumidores de SaaS

  • Adaptabilidad: los consumidores de SaaS pueden elegir entre diferentes opciones de acceso

  • Adaptabilidad: no hay conflictos de rango de CIDR, incluso cuando se utiliza una VPN o Site-to-Site Direct Connect

  • Todos los indicadores: el proveedor de servicios hereda los beneficios AWS PrivateLink

Los inconvenientes de este enfoque son los siguientes:

  • Facilidad de integración: los consumidores de SaaS necesitan al menos un Cuenta de AWS

  • TCO: una VPC de tránsito es una arquitectura, no un servicio totalmente gestionado, por lo que requiere un mayor esfuerzo operativo

VPC de tránsito gestionada por el proveedor

Este enfoque utiliza las mismas tecnologías, pero los límites y las responsabilidades de las cuentas cambian. En este caso, el proveedor de SaaS es el propietario del tránsito VPCs, preferiblemente en una cuenta separada de la oferta de SaaS. Esta disociación reduce los costos, reduce los riesgos y permite que la cuenta de tránsito se amplíe de forma independiente. Para los entornos que requieren un alto grado de aislamiento, puede crear una separación adicional entre los inquilinos mediante una subred o creando una VPC de tránsito independiente para cada consumidor. Los consumidores pueden entonces elegir cómo conectarse a la VPC de tránsito. Este enfoque ofrece más opciones para expandir el mercado total accesible, pero tiene un mayor TCO para el proveedor de SaaS debido a la necesidad de operar y monitorear componentes arquitectónicos adicionales.

El proveedor de SaaS gestiona uno o más tránsitos VPCs en el. Nube de AWS

Los siguientes son beneficios de este enfoque:

  • Adaptabilidad: los consumidores de SaaS pueden elegir entre diferentes opciones de acceso

  • Adaptabilidad: los consumidores de SaaS no necesitan tener un Cuenta de AWS

  • Adaptabilidad: no hay conflictos de rango de CIDR, incluso cuando se utiliza una VPN o Site-to-Site Direct Connect

Los inconvenientes de este enfoque son los siguientes:

  • TCO: una VPC de tránsito es una arquitectura, no un servicio totalmente gestionado, por lo que requiere un mayor esfuerzo operativo

  • TCO: el proveedor de SaaS necesita operar y monitorear componentes arquitectónicos adicionales

Conexión a través de la Internet pública

El acceso público a Internet también es una opción válida para proporcionar acceso a una oferta de SaaS, aunque no ofrece conectividad privada en el sentido tradicional. Es posible que algunos consumidores sigan prefiriendo un enfoque de acceso público porque no requiere una infraestructura de red adicional entre ellos y el proveedor de SaaS. Reduce la complejidad, el coste y el tiempo de integración a cambio de una mayor superficie de ataque. Los sólidos mecanismos de autenticación y autorización pueden ayudar a mitigar el aumento del nivel de amenaza, y siempre se debe cifrar el tráfico. Aun así, se recomienda disponer de un nivel de seguridad adicional en este escenario, por ejemplo, mediante AWS WAFel uso de.

La arquitectura en este escenario es sencilla. El consumidor se conecta a un servidor público (el proveedor de SaaS) a través de Internet. La aplicación se puede alojar directamente en una instancia pública de Amazon Elastic Compute Cloud (Amazon EC2) con una dirección IP elástica. La opción preferida es alojarlo detrás de un Application Load Balancer o un servicio similar. Para obtener un mejor rendimiento y almacenar en caché los activos estáticos, puede utilizar una red de entrega de contenido, como Amazon CloudFront. Para ofrecer una aplicación con una latencia mínima en dos direcciones IP Anycast estáticas globales, puede colocarla AWS Global Acceleratordelante de una instancia de Amazon EC2, Network Load Balancer o Application Load Balancer. Además CloudFront, los balanceadores de carga de aplicaciones y Amazon API Gateway se integran con AWS WAF. AWS AppSync El siguiente diagrama proporciona una descripción general de las opciones de conectividad del acceso público a Internet.

Conectividad a una oferta de SaaS a través de la Internet pública.

En la siguiente tabla se describen los protocolos e integraciones compatibles en este escenario.

Servicio o recurso

IPv6

AWS WAF integration

Puede ser un punto final de Global Accelerator

Amazon CloudFront

Soportado

compatible

No compatible

Amazon API Gateway

Soportado

compatible

No compatible

AWS AppSync

Compatible parcialmente

compatible

No compatible

Amazon EC2 con una dirección IP elástica

compatible

No compatible

compatible

Equilibrador de carga de aplicación

Soportado

Soportado

compatible

Network Load Balancer

compatible

No compatible

compatible

Los siguientes son beneficios de este enfoque:

  • Facilidad de integración: simplicidad y accesibilidad

  • Escalabilidad: escala ilimitada

  • Adaptabilidad: no es posible que surjan conflictos de rango CIDR

  • Adaptabilidad: soporte CloudFront

Los inconvenientes de este enfoque son los siguientes:

  • Aislamiento de la red: no hay conectividad privada

  • Aislamiento de la red: se requieren fuertes medidas de seguridad

Existen otros beneficios e inconvenientes, según los servicios que elija.