Requisitos de la tabla de enrutamiento para conexiones de VPC Ciclo de vida de la conexión de VPC Modo Dispositivo Referencia a grupos de seguridad

Conexiones de Amazon VPC en AWS Transit Gateway

Una conexión de Amazon Virtual Private Cloud (VPC) a una puerta de enlace de tránsito permite enrutar el tráfico desde y hacia una o más subredes de VPC. Cuando asocia una VPC a una puerta de enlace de tránsito, debe especificar una subred de cada zona de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico. Las subredes especificadas sirven como puntos de entrada y salida para el tráfico de la puerta de enlace de tránsito. El tráfico solo puede llegar a los recursos de otras subredes dentro de la misma zona de disponibilidad si las subredes de conexión de puerta de enlace de tránsito tienen las rutas adecuadas configuradas en sus tablas de enrutamiento que apuntan a las subredes de destino.

Límites

Cuando se asocia una VPC a una puerta de enlace de tránsito, los recursos en zonas de disponibilidad donde no hay una conexión de puerta de enlace de tránsito no pueden llegar a la puerta de enlace de tránsito.

nota
Dentro de las zonas de disponibilidad que sí tienen conexiones de puerta de enlace de tránsito, el tráfico solo se reenvía a la puerta de enlace de tránsito desde las subredes específicas que están asociadas a la conexión. Si hay una ruta a la puerta de enlace de tránsito en una tabla de enrutamiento de subred, el tráfico solo se reenvía a la puerta de enlace de tránsito cuando esta tenga una conexión en una subred en la misma zona de disponibilidad y la tabla de enrutamiento de la subred contiene rutas apropiadas para el destino previsto del tránsito dentro de la VPC.
Una puerta de enlace de tránsito no es compatible con la resolución de DNS para los nombres de DNS personalizados de las VPC asociadas configuradas mediante zonas alojadas privadas en Amazon Route 53. Para configurar la resolución de nombres en las zonas alojadas privadas de todas las VPC conectadas a una puerta de enlace de tránsito, consulte Administración centralizada de DNS de la nube híbrida con Amazon Route 53 y AWS Transit Gateway.
Una puerta de enlace de tránsito no admite el enrutamiento entre VPC con CIDR idénticos o si un CIDR de un rango se superpone a un CIDR de una VPC conectada. Si se conecta una VPC a una puerta de enlace de tránsito y su CIDR es idéntico a, o se superpone con, el CIDR de otra VPC que ya esté conectada a la puerta de enlace de tránsito, las rutas de la VPC recientemente conectada no se propagan a la tabla de enrutamiento de la puerta de enlace de tránsito.
No puede crear una asociación para una subred de VPC que resida en una zona local. Sin embargo, puede configurar la red para que las subredes de la zona local se puedan conectar a una puerta de enlace de tránsito mediante la zona de disponibilidad principal. Para obtener más información, consulte Conexión de las subredes de una zona local a una puerta de enlace de tránsito.
No se puede crear una conexión de puerta de enlace de tránsito con subredes solo IPv6. Las subredes de conexión de puerta de enlace de tránsito también deben admitir direcciones IPv4.
Una puerta de enlace de tránsito debe tener al menos una conexión de VPC antes de poder agregar esa puerta de enlace de tránsito a una tabla de enrutamiento.

Requisitos de la tabla de enrutamiento para conexiones de VPC

Las conexiones de VPC de la puerta de enlace de tránsito requieren configuraciones de tabla de enrutamiento específicas para funcionar correctamente:

Tablas de enrutamiento de subred vinculadas: las subredes asociadas a la conexión de puerta de enlace de tránsito deben tener entradas en la tabla de enrutamiento para cualquier destino en la VPC al que se deba acceder a través de la puerta de enlace de tránsito. Esto incluye rutas a otras subredes, puertas de enlace de Internet, puertas de enlace NAT y puntos de conexión de VPC.
Tablas de enrutamiento de las subredes de destino: las subredes que contienen recursos que deben comunicarse a través de la puerta de enlace de tránsito deben tener rutas que apunten hacia la puerta de enlace de tránsito para el tráfico de retorno a destinos externos.
Tráfico de VPC local: la conexión de puerta de enlace de tránsito no habilita automáticamente la comunicación entre subredes de la misma VPC. Se aplican las reglas de enrutamiento de VPC estándar y la ruta local (CIDR de VPC) debe estar presente en las tablas de enrutamiento para la comunicación dentro de la VPC.

nota

Tener rutas configuradas en subredes no conectadas dentro de la misma zona de disponibilidad no permite el flujo de tráfico. Solo las subredes específicas asociadas a la conexión de puerta de enlace de tránsito pueden servir como puntos de entrada y salida para el tráfico de la puerta de enlace de tránsito.

Ciclo de vida de la conexión de VPC

Una conexión de VPC pasa por varias etapas, desde que se inicia la solicitud. En cada una de estas fases, se encontrará con acciones que podrá realizar y, al final del ciclo de vida, la conexión de la VPC permanecerá visible en la Amazon Virtual Private Cloud Console y en la API o los resultados de la línea de comandos durante un tiempo.

El siguiente diagrama muestra los estados por los que puede pasar una conexión en una única configuración de cuenta, o una configuración entre cuentas que tenga activada la opción Aceptar automáticamente las conexiones compartidas .

Pendiente: se inició una solicitud para una conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a available.
Errónea: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a failed.
Con error: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.
Disponible: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a modifying o a deleting.
Eliminando: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a deleted.
Eliminada: se eliminó una conexión de VPC de available. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
Modificando: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a available o a rolling back.
Reversión: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a available.

El siguiente diagrama muestra los estados por los que puede pasar una conexión en una configuración entre cuentas que tenga desactivada la opción Auto accept shared attachments (Aceptar automáticamente las conexiones compartidas).

Ciclo de vida de la conexión de VPC entre cuentas que tiene desactivada la opción Auto accept shared attachments (Aceptar automáticamente las conexiones compartidas).

Aceptación pendiente: la solicitud de conexión de VPC está esperando la aceptación. En esta etapa, la conexión puede ir a pending, a rejecting o a deleting.
Rechazando: una conexión de VPC que está en proceso de ser rechazada. En esta etapa, la conexión puede ir a rejected.
Rechazado: se rechazó una conexión de VPC de pending acceptance. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
Pendiente: se aceptó la conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a available.
Errónea: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a failed.
Con error: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.
Disponible: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a modifying o a deleting.
Eliminando: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a deleted.
Eliminada: se eliminó una conexión de VPC de available o pending acceptance. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.
Modificando: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a available o a rolling back.
Reversión: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a available.

Modo Dispositivo

Si piensa configurar un dispositivo de red con estado en la VPC, puede habilitar la compatibilidad en modo dispositivo para la conexión de VPC en la que se encuentra el dispositivo cuando crea una conexión. Esto garantiza que AWS Transit Gateway utilice la misma zona de disponibilidad para esa conexión de VPC durante la vida útil de un flujo de tráfico entre el origen y el destino. También permite que una puerta de enlace de tránsito envíe tráfico a cualquier zona de disponibilidad de la VPC, siempre y cuando exista una asociación de subred en esa zona. Si bien el modo dispositivo solo se admite en las conexiones de VPC, el flujo de red puede provenir de cualquier otro tipo de conexión de puerta de enlace de tránsito, incluidas conexiones de VPC, VPN y Connect. El modo dispositivo también funciona para flujos de red que tienen orígenes y destinos en diferentes Regiones de AWS. Es posible que los flujos de red se reequilibren entre distintas zonas de disponibilidad si no se habilita inicialmente el modo dispositivo, sino que se modifica posteriormente la configuración de las conexiones para habilitarlo. Puede utilizar la consola, la línea de comando o la API para habilitar o deshabilitar el modo de dispositivo.

El modo dispositivo de AWS Transit Gateway optimiza el enrutamiento del tráfico al tener en cuenta las zonas de disponibilidad de origen y destino durante la determinación de la ruta a través de una VPC en modo dispositivo. Este enfoque mejora la eficiencia y reduce la latencia. El comportamiento varía en función de la configuración específica y los patrones de tráfico. A continuación, se presentan algunos ejemplos.

Ejemplo 1: Enrutamiento del tráfico de la zona de disponibilidad mediante la VPC del dispositivo

Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1a, con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo. Esta zona de disponibilidad se mantiene durante todo el flujo de tráfico entre el origen y el destino.

Ejemplo 2: Enrutamiento del tráfico dentro de la zona de disponibilidad mediante la VPC del dispositivo

En el caso del tráfico que fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito utiliza un algoritmo de hash de flujo para seleccionar us-east-1a o us-east-1b dentro de la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.

Ejemplo 3: Enrutamiento del tráfico a través de una VPC de dispositivo sin datos de zona de disponibilidad

Cuando el tráfico se origina en la zona de disponibilidad de origen us-east-1a a un destino sin información de la zona de disponibilidad (p. ej., tráfico destinado a Internet), con conexiones de VPC en modo de dispositivo tanto en us-east-1a como en us-east-1b, la puerta de enlace de tránsito selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo.

Ejemplo 4: Enrutamiento del tráfico a través de la VPC de un dispositivo en una zona de disponibilidad distinta de la de origen o de destino

Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con conexiones de VPC en modo de dispositivo en diferentes zonas de disponibilidad, por ejemplo, en us-east-1c y us-east-1d, la puerta de enlace de tránsito selecciona un algoritmo de hash de flujo para seleccionar us-east-1c o us-east-1d en la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.

nota

El modo dispositivo solo se admite para las conexiones de VPC. Asegúrese de que la propagación de rutas esté habilitada para una tabla de enrutamiento asociada a una conexión de VPC del dispositivo.

Referencia a grupos de seguridad

Puede usar esta característica para simplificar la administración de los grupos de seguridad y el control del tráfico de instancia a instancia entre las VPC conectadas a la misma puerta de enlace de tránsito. Solo puede hacer referencia cruzada a los grupos de seguridad en las reglas entrantes. Las reglas de seguridad salientes no son compatibles con las referencias a los grupos de seguridad. El uso y la habilitación de las referencias a los grupos de seguridad no tienen costos adicionales.

La compatibilidad con las referencias a los grupos de seguridad se puede configurar tanto para las puertas de enlace de tránsito como para las conexiones de VPC de las puertas de enlace de tránsito, y solo funcionará si se habilitó tanto para una puerta de enlace de tránsito como para sus conexiones de VPC.

Limitaciones

Las siguientes limitaciones se aplican cuando se usa la referencia a los grupos de seguridad con conexiones de VPC.

No se admite la referencia a grupos de seguridad en las conexiones de interconexión de la puerta de enlace de tránsito. Ambas VPC deben estar conectadas a la misma puerta de enlace de tránsito.
La referencia a los grupos de seguridad no es compatible con las conexiones de VPC en la zona de disponibilidad use1-az3.
No se admite la referencia a grupos de seguridad en los puntos de conexión de PrivateLink. Como alternativa, recomendamos utilizar reglas de seguridad de IP basadas en el CIDR.
La referencia a los grupos de seguridad funciona para Elastic File System (EFS) siempre que se haya configurado una regla de grupo de seguridad que permita todas las salidas para las interfaces de EFS de la VPC.
La conectividad de zona local a través de una puerta de enlace de tránsito solo es compatible con las siguientes zonas locales: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a y us-west-2-phx-2a.
Recomendamos que deshabilite esta característica en el nivel de conexión de VPC para las VPC con subredes en zonas locales, AWS Outposts y zonas de AWS Wavelength no compatibles, ya que se podría provocar una interrupción del servicio.
Si tiene una VPC de inspección, la referencia a grupos de seguridad a través de la puerta de enlace de tránsito no funciona en el equilibrador de carga de la puerta de enlace de AWS o en un firewall de red de AWS.

Tareas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Encryption Support

Crear una conexión de VPC