Archivos adjuntos de Amazon VPC en AWS Transit Gateway - Amazon VPC
Requisitos de la tabla de enrutamiento para los adjuntos de VPCCiclo de vida de la conexión de VPCModo DispositivoReferencia a grupos de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Archivos adjuntos de Amazon VPC en AWS Transit Gateway

Un adjunto Amazon Virtual Private Cloud (VPC) a una puerta de enlace de tránsito le permite enrutar el tráfico hacia y desde una o más subredes de VPC. Cuando asocia una VPC a una puerta de enlace de tránsito, debe especificar una subred de cada zona de disponibilidad que la puerta de enlace de tránsito utilizará para enrutar el tráfico. Las subredes especificadas sirven como puntos de entrada y salida para el tráfico de la puerta de enlace de tránsito. El tráfico solo puede llegar a los recursos de otras subredes dentro de la misma zona de disponibilidad si las subredes adjuntas a la pasarela de tránsito tienen las rutas adecuadas configuradas en sus tablas de rutas que apuntan a las subredes de destino.

Límites de las s

  • Cuando se asocia una VPC a una puerta de enlace de tránsito, los recursos en zonas de disponibilidad donde no hay una conexión de puerta de enlace de tránsito no pueden llegar a la puerta de enlace de tránsito.

    nota

    Dentro de las zonas de disponibilidad que sí tienen conexiones a una puerta de enlace de tránsito, el tráfico solo se reenvía a la puerta de enlace de tránsito desde las subredes específicas que están asociadas a la conexión. Si hay una ruta a la puerta de enlace de tránsito en una tabla de rutas de subred, el tráfico se reenvía a la puerta de enlace de tránsito solo cuando la puerta de enlace de tránsito tiene un adjunto en una subred de la misma zona de disponibilidad y la tabla de enrutamiento de la subred de adjuntos contiene las rutas adecuadas al destino previsto del tráfico dentro de la VPC.

  • Una puerta de enlace de tránsito no admite la resolución de DNS para los nombres DNS personalizados de la VPCs configuración adjunta mediante zonas alojadas privadas en Amazon Route 53. Para configurar la resolución de nombres para las zonas alojadas privadas para todas las VPCs conectadas a una puerta de enlace de tránsito, consulte Administración centralizada de DNS de la nube híbrida con Amazon Route 53 y AWS Transit Gateway.

  • Una puerta de enlace de tránsito no admite el enrutamiento entre VPCs una CIDRs VPC conectada o si una CIDR de un rango se superpone a una CIDR de una VPC conectada. Si conecta una VPC a una puerta de enlace de tránsito y su CIDR es idéntica o se superpone con la CIDR de otra VPC que ya está conectada a la puerta de enlace de tránsito, las rutas de la VPC recién conectada no se propagan a la tabla de rutas de la puerta de enlace de tránsito.

  • No puede crear una asociación para una subred de VPC que resida en una zona local. Sin embargo, puede configurar la red para que las subredes de la zona local se puedan conectar a una puerta de enlace de tránsito mediante la zona de disponibilidad principal. Para obtener más información, consulte Conexión de las subredes de una zona local a una puerta de enlace de tránsito.

  • No puedes crear un adjunto a una pasarela de tránsito utilizando subredes exclusivas. IPv6 Las subredes adjuntas a las pasarelas de tránsito también deben admitir direcciones. IPv4

  • Una puerta de enlace de tránsito debe tener al menos una conexión de VPC antes de poder agregar esa puerta de enlace de tránsito a una tabla de enrutamiento.

Requisitos de la tabla de enrutamiento para los adjuntos de VPC

Los adjuntos de VPC de Transit Gateway requieren configuraciones de tabla de enrutamiento específicas para funcionar correctamente:

  • Tablas de rutas de subred adjuntas: las subredes asociadas al adjunto de la puerta de enlace de tránsito deben tener entradas en la tabla de rutas para cualquier destino de la VPC al que se deba acceder a través de la puerta de enlace de tránsito. Esto incluye rutas a otras subredes, puertas de enlace de Internet, puertas de enlace NAT y puntos finales de VPC.

  • Tablas de rutas de las subredes de destino: las subredes que contienen recursos que necesitan comunicarse a través de la puerta de enlace de tránsito deben tener rutas que apunten hacia la puerta de enlace de tránsito para que el tráfico devuelva a destinos externos.

  • Tráfico de VPC local: el adjunto a la puerta de enlace de tránsito no habilita automáticamente la comunicación entre subredes de la misma VPC. Se aplican las reglas de enrutamiento de VPC estándar y la ruta local (CIDR de VPC) debe estar presente en las tablas de enrutamiento para la comunicación dentro de la VPC.

nota

Tener las rutas configuradas en subredes no conectadas dentro de la misma zona de disponibilidad no permite el flujo de tráfico. Solo las subredes específicas asociadas al adjunto a la puerta de enlace de tránsito pueden servir como entry/exit puntos para el tráfico de la puerta de enlace de tránsito.

Ciclo de vida de la conexión de VPC

Una conexión de VPC pasa por varias etapas, desde que se inicia la solicitud. En cada una de estas fases, se encontrará con acciones que podrá realizar y, al final del ciclo de vida, la conexión de la VPC permanecerá visible en la Amazon Virtual Private Cloud Console y en la API o los resultados de la línea de comandos durante un tiempo.

El siguiente diagrama muestra los estados por los que puede pasar una conexión en una única configuración de cuenta, o una configuración entre cuentas que tenga activada la opción Aceptar automáticamente las conexiones compartidas .

Ciclo de vida de la conexión de VPC

  • Pendiente: se inició una solicitud para una conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a available.

  • Errónea: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a failed.

  • Con error: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.

  • Disponible: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a modifying o a deleting.

  • Eliminando: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a deleted.

  • Eliminada: se eliminó una conexión de VPC de available. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.

  • Modificando: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a available o a rolling back.

  • Reversión: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a available.

El siguiente diagrama muestra los estados por los que puede pasar una conexión en una configuración entre cuentas que tenga desactivada la opción Auto accept shared attachments (Aceptar automáticamente las conexiones compartidas).

Ciclo de vida de la conexión de VPC entre cuentas que tiene desactivada la opción Auto accept shared attachments (Aceptar automáticamente las conexiones compartidas).

  • Aceptación pendiente: la solicitud de conexión de VPC está esperando la aceptación. En esta etapa, la conexión puede ir a pending, a rejecting o a deleting.

  • Rechazando: una conexión de VPC que está en proceso de ser rechazada. En esta etapa, la conexión puede ir a rejected.

  • Rechazado: se rechazó una conexión de VPC de pending acceptance. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.

  • Pendiente: se aceptó la conexión de VPC y está en proceso de aprovisionamiento. En esta etapa, es posible que se produzca un error en la conexión o puede ir a available.

  • Errónea: se ha producido un error en una solicitud de conexión de VPC. En esta etapa, la conexión de VPC va a failed.

  • Con error: se ha producido un error en la solicitud de conexión de VPC. Mientras se encuentre en este estado, no se puede eliminar. La conexión de VPC que produjo errores permanece visible durante 2 horas y, luego, ya no estará visible.

  • Disponible: la conexión de VPC está disponible y el tráfico puede fluir entre la VPC y la puerta de enlace de tránsito. En esta etapa, la conexión puede ir a modifying o a deleting.

  • Eliminando: una conexión de VPC que se está en proceso de ser eliminada. En esta etapa, la conexión puede ir a deleted.

  • Eliminada: se eliminó una conexión de VPC de available o pending acceptance. Mientras se encuentre en este estado, la conexión de VPC no se puede modificar. La conexión de VPC permanece visible durante 2 horas y, luego, ya no estará visible.

  • Modificando: se realizó una solicitud para modificar las propiedades de la conexión de VPC. En esta etapa, la conexión puede ir a available o a rolling back.

  • Reversión: no se puede completar la solicitud de modificación de la conexión de VPC y el sistema está deshaciendo los cambios realizados. En esta etapa, la conexión puede ir a available.

Modo Dispositivo

Si planea configurar un dispositivo de red con estado en su VPC, puede habilitar la compatibilidad con el modo dispositivo para el adjunto de VPC en el que se encuentra el dispositivo al crear un adjunto. Esto garantiza que AWS Transit Gateway utilice la misma zona de disponibilidad para ese adjunto de VPC durante toda la vida útil del flujo de tráfico entre un origen y un destino. También permite que una puerta de enlace de tránsito envíe tráfico a cualquier zona de disponibilidad de la VPC siempre que haya una asociación de subred en esa zona. Si bien el modo dispositivo solo se admite en los adjuntos de VPC, el flujo de red puede provenir de cualquier otro tipo de adjunto de Transit Gateway, incluidos los adjuntos de VPC, VPN y Connect. El modo dispositivo también funciona para flujos de red que tienen orígenes y destinos diferentes. Regiones de AWS Es posible que los flujos de red se reequilibren entre distintas zonas de disponibilidad si no se habilita inicialmente el modo dispositivo, sino que se modifica posteriormente la configuración de los archivos adjuntos para habilitarlo. Puede activar o desactivar el modo dispositivo mediante la consola, la línea de comandos o la API.

El modo dispositivo de AWS Transit Gateway optimiza el enrutamiento del tráfico teniendo en cuenta las zonas de disponibilidad de origen y destino al determinar la ruta a través de una VPC en modo dispositivo. Este enfoque mejora la eficiencia y reduce la latencia. El comportamiento varía según la configuración específica y los patrones de tráfico. Los siguientes son ejemplos de escenarios.

Escenario 1: Enrutamiento del tráfico de la zona de disponibilidad mediante la VPC del dispositivo

Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1a, con adjuntos de VPC en modo dispositivo tanto en us-east-1a como en us-east-1b, Transit Gateway selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo. Esta zona de disponibilidad se mantiene durante todo el flujo de tráfico entre el origen y el destino.

Escenario 2: Enrutamiento del tráfico entre zonas de disponibilidad a través de la VPC del dispositivo

Para el tráfico que fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con adjuntos de VPC en modo dispositivo tanto en us-east-1a como en us-east-1b, Transit Gateway utiliza un algoritmo de hash de flujo para seleccionar us-east-1a o us-east-1b en la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante todo el flujo.

Escenario 3: enrutamiento del tráfico a través de una VPC de dispositivo sin datos de zona de disponibilidad

Cuando el tráfico se origina desde la zona de disponibilidad us-east-1a de origen hacia un destino sin información sobre la zona de disponibilidad (por ejemplo, tráfico con destino a Internet), con adjuntos de VPC en modo dispositivo tanto en us-east-1a como en us-east-1b, Transit Gateway selecciona una interfaz de red de us-east-1a dentro de la VPC del dispositivo.

Escenario 4: enrutamiento del tráfico a través de la VPC de un dispositivo en una zona de disponibilidad distinta de la de origen o de destino

Cuando el tráfico fluye desde la zona de disponibilidad de origen us-east-1a a la zona de disponibilidad de destino us-east-1b, con adjuntos de VPC en modo dispositivo en distintas zonas de disponibilidad, por ejemplo us-east-1c y us-east-1d, Transit Gateway utiliza un algoritmo de hash de flujo para seleccionar us-east-1c o us-east-1d en la VPC del dispositivo. La zona de disponibilidad elegida se utiliza de forma coherente durante toda la vida útil del flujo.

nota

El modo dispositivo solo se admite para los adjuntos de VPC. Asegúrese de que la propagación de rutas esté habilitada para una tabla de enrutamiento asociada a un adjunto de VPC del dispositivo.

Referencia a grupos de seguridad

Puede utilizar esta función para simplificar la administración de los grupos de seguridad y el control del instance-to-instance tráfico entre los VPCs que están conectados a la misma puerta de enlace de tránsito. Solo puede hacer referencia cruzada a los grupos de seguridad en las reglas entrantes. Las reglas de seguridad salientes no son compatibles con las referencias a los grupos de seguridad. El uso y la habilitación de las referencias a los grupos de seguridad no tienen costos adicionales.

El soporte de referencia a grupos de seguridad se puede configurar tanto para las puertas de enlace de tránsito como para los adjuntos de VPC de las puertas de enlace de tránsito y solo funcionará si se ha habilitado tanto para una puerta de enlace de tránsito como para sus adjuntos de VPC.

Limitaciones

Se aplican las siguientes limitaciones cuando se utiliza la referencia a grupos de seguridad con un adjunto de VPC.

  • No se admite la referencia a grupos de seguridad en las conexiones de interconexión de Transit Gateway. Ambas VPCs deben estar conectadas a la misma puerta de enlace de tránsito.

  • La referencia a los grupos de seguridad no es compatible con las conexiones de VPC en la zona de disponibilidad use1-az3.

  • No se admite la referencia a grupos de seguridad en los puntos PrivateLink finales. Como alternativa, recomendamos utilizar reglas de seguridad basadas en el CIDR IP.

  • La referencia a los grupos de seguridad funciona para Elastic File System (EFS) siempre que se haya configurado una regla de grupo de seguridad que permita todas las salidas para las interfaces de EFS de la VPC.

  • La conectividad de zona local a través de una puerta de enlace de tránsito solo es compatible con las siguientes zonas locales: us-east-1-atl-2a, us-east-1-dfw-2a, us-east-1-iah-2a, us-west-2-lax-1a, us-west-2-lax-1b, us-east-1-mia-2a, us-east-1-chi-2a y us-west-2-phx-2a.

  • Recomendamos deshabilitar esta función en el nivel VPCs de conexión de la VPC si las subredes se encuentran en Zonas Locales AWS , Outposts y Wavelength Zones no compatibles AWS , ya que podría provocar una interrupción del servicio.

  • Si tiene una VPC de inspección, la referencia a grupos de seguridad a través de la puerta de enlace de tránsito no funciona en el Gateway Load AWS Balancer o en un Network Firewall. AWS

Tareas