Padrões de acesso para acessar um cache do ElastiCache em um Amazon VPC - Amazon ElastiCache
Acesso a um cache do ElastiCache quando ele e a instância do Amazon EC2 estão no mesmo Amazon VPCAcesso a um cache do ElastiCache quando ele e a instância do Amazon EC2 estão em diferentes Amazon VPCsAcesso a um cache do ElastiCache a partir de uma aplicação executada no datacenter de um cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Padrões de acesso para acessar um cache do ElastiCache em um Amazon VPC

O Amazon ElastiCache oferece suporte para os seguintes cenários para acessar um cache em um Amazon VPC:

Acesso a um cache do ElastiCache quando ele e a instância do Amazon EC2 estão no mesmo Amazon VPC

O caso de uso mais comum é quando uma aplicação implantada em uma instância do EC2 precisa se conectar a um cache na mesma VPC.

O diagrama a seguir ilustra esse cenário.

Imagem: diagrama mostrando a aplicação e o ElastiCache na mesma VPC

A maneira mais simples de gerenciar o acesso entre instâncias do EC2 e caches na mesma VPC é fazer o seguinte:

  1. Crie um grupo de segurança da VPC para o cache. Esse grupo de segurança pode ser usado para restringir o acesso ao cache. Por exemplo, é possível criar uma regra personalizada para esse grupo de segurança que permite o acesso TCP usando a porta atribuída ao cache quando você o criou e um endereço IP que será usado para acessar o cache.

    A porta padrão dos caches Memcached é 11211.

    A porta padrão para caches do Valkey e do Redis OSS é 6379.

  2. Crie um grupo de segurança de VPC para suas instâncias do EC2 (servidores Web e de aplicativos). Esse grupo de segurança pode, se necessário, permitir o acesso à instância do EC2 da Internet através da tabela de rotas da VPC. Por exemplo, você pode definir regras nesse grupo de segurança para permitir o acesso TCP à instância do EC2 pela porta 22.

  3. Crie regras personalizadas no grupo de segurança para o seu cache que permitam conexões do grupo de segurança que você criou para suas instâncias do EC2. Isso permitiria que qualquer membro de grupo de segurança acessasse os caches.

nota

Se você estiver planejando usar Zonas locais, verifique se você as habilitou. Quando você criar um grupo de sub-redes nessa região local, sua VPC será estendida para essa zona local e sua VPC tratará a sub-rede como qualquer sub-rede em qualquer outra zona de disponibilidade. Todos os gateways e tabelas de rotas relevantes serão ajustados automaticamente.

Para criar uma regra em um grupo de segurança de VPC que permita conexões de outro grupo de segurança

  1. Faça login no Console de Gerenciamento da AWS e abra o console da Amazon VPC em https://console.aws.amazon.com/vpc.

  2. No painel de navegação, escolha Security Groups (Grupos de segurança).

  3. Selecione ou crie um grupo de segurança que você usará para seus caches. Em Regras de entrada, selecione Editar regras de entrada e escolha Adicionar regra. Esse grupo de segurança permitirá o acesso a membros de outro grupo de segurança.

  4. Em Tipo, escolha Regra TCP personalizada.

    1. Para Port Range, especifique a porta que você usou quando criou seu cache.

      A porta padrão dos caches Memcached é 11211.

      A porta padrão dos caches e grupos de replicação do Valkey e do Redis OSS é 6379.

    2. Na caixa Source, comece a digitar o ID do grupo de segurança. Na lista, selecione o grupo de segurança que você usará para o suas instâncias do Amazon EC2.

  5. Escolha Save quando terminar.

    Imagem: tela para editar uma regra de VPC de entrada

Acesso a um cache do ElastiCache quando ele e a instância do Amazon EC2 estão em diferentes Amazon VPCs

Quando seu cache está em uma VPC diferente da instância do EC2 que você está usando para acessá-la, existem várias maneiras de acessar o cache. Se o cache e a instância do EC2 estiverem em VPCs diferentes, mas na mesma região, você poderá usar o emparelhamento de VPCs. Se o cache e a instância do EC2 estiverem em regiões diferentes, você poderá criar conectividade via VPN entre regiões.

 

Acesso a um cache do ElastiCache quando ele e a instância do Amazon EC2 estão em diferentes Amazon VPCs na mesma região

O diagrama a seguir ilustra o acesso a um cache por uma instância do Amazon EC2 em um Amazon VPC diferente na mesma região usando uma conexão de emparelhamento do Amazon VPC.

Imagem: diagrama mostrando a aplicação e o ElastiCache em diferentes VPCs na mesma região

Cache acessado por uma instância do Amazon EC2 em um Amazon VPC diferente na mesma região: conexão de emparelhamento da VPC

Uma conexão de emparelhamento da VPC é uma conexão de redes entre duas VPCs que permite direcionar o tráfego entre elas usando endereços IP privados. Instâncias em qualquer VPC podem se comunicar umas com as outras como se estivessem na mesma rede. Você pode criar uma conexão de emparelhamento de VPCs entre suas próprias Amazon VPCs ou com uma Amazon VPC em outra conta da AWS em uma única região. Para saber mais sobre o emparelhamento de Amazon VPCs, consulte a documentação da VPC.

nota

A resolução de nomes DNS pode falhar para VPCs emparelhadas, dependendo das configurações aplicadas à VPC do ElastiCache. Para resolver isso, as duas VPCs devem ser habilitadas para nomes de hosts DNS e resolução DNS. Para obter mais informações, consulte Habilitar a resolução de DNS para a conexão de emparelhamento da VPC.

Para acessar um cache em um Amazon VPC diferente por emparelhamento

  1. Certifique-se de que as duas VPCs não tenham um intervalo de IP sobreposto, ou você não poderá compará-las.

  2. Emparelhe as duas VPCs. Para obter mais informações, consulte Criação e aceitação de uma conexão de emparelhamento da Amazon VPC.

  3. Atualize sua tabela de roteamento. Para obter mais informações, consulte Atualizar as tabelas de rotas para uma conexão de emparelhamento de VPC

    Veja a seguir a aparência das tabelas de rotas para o exemplo do diagrama anterior. Observe que pcx-a894f1c1 é a conexão de emparelhamento.

    Imagem: captura de tela de uma tabela de roteamento de VPC

    Tabela de roteamento de VPC

  4. Modifique o grupo de segurança do seu cache do ElastiCache para permitir a conexão de entrada do grupo de segurança da aplicação na VPC emparelhada. Para obter mais informações, consulte a Referência para security groups de VPC de emparelhamento.

O acesso a um cache por meio de uma conexão de emparelhamento implicará custos adicionais de transferência de dados.

Uso do Transit Gateway

Um Transit Gateway permite anexar VPCs e conexões VPN na mesma região da AWS e rotear tráfego entre elas. Um Transit Gateway funciona em contas da AWS, e você pode usar o Resource Access Manager da AWS para compartilhar o Transit Gateway com outras contas. Depois de compartilhar um gateway de trânsito com outra conta da AWS, o proprietário da conta poderá anexar as VPCs dele ao gateway de trânsito. Um usuário de qualquer uma das contas pode excluir o anexo a qualquer momento.

É possível ativar o multicast em um gateway de trânsito e, depois, criar um domínio de multicast do gateway de trânsito que permita ao tráfego de multicast ser enviado da origem de multicast para membros do grupo de multicast em anexos da VPC associados ao domínio.

Também é possível criar um anexo da conexão de emparelhamento entre gateways de trânsito em diferentes regiões da AWS. Isso permite que você roteie o tráfego entre os anexos dos gateways de trânsito em regiões diferentes.

Para obter mais informações, consulte Gateways de trânsito.

Acesso a um cache do ElastiCache quando ele e a instância do Amazon EC2 estão em diferentes Amazon VPCs em regiões diferentes

Uso da VPC de trânsito

Uma alternativa ao uso do emparelhamento de VPC, outra estratégia comum para conectar várias VPCs geograficamente dispersas e redes remotas é criar uma VPC de trânsito que serve como um centro de trânsito de rede global. Uma VPC de trânsito simplifica o gerenciamento da rede e minimiza o número de conexões necessárias para conectar várias VPCs e redes remotas. Esse design pode economizar tempo e esforços e também reduzir custos, uma vez que é implementado praticamente sem as despesas tradicionais de estabelecer uma presença física em um hub de trânsito de colocação ou implantar equipamentos de rede física.

Imagem: diagrama mostrando a conexão entre diferentes VPCs em regiões distintas

Conexão entre diferentes VPCs em regiões distintas

Depois de estabelecido o Amazon VPC de trânsito, uma aplicação implantada em uma VPC “spoke” em uma região pode se conectar a um cache do ElastiCache em uma VPC “spoke” em outra região.

Para acessar um cache em uma VPC diferente dentro de uma região da AWS diferente

  1. Implante uma solução de VPC de trânsito. Para obter mais informações, consulte Transit Gateway da AWS.

  2. Atualize as tabelas de roteamento da VPC nas VPC de aplicativos e cache para rotear o tráfego através do VGW (gateway privado virtual) e do dispositivo de VPN. No caso do Roteamento dinâmico com o protocolo BGP, suas rotas podem ser propagadas automaticamente.

  3. Modifique o grupo de segurança do seu cache do ElastiCache para permitir a conexão de entrada do intervalo IP de instâncias da aplicação. Observe que você não poderá fazer referência ao security group do servidor de aplicativos nesse cenário.

O acesso a um cache entre regiões introduzirá latências de rede e custos adicionais de transferência de dados entre regiões.

Acesso a um cache do ElastiCache a partir de uma aplicação executada no datacenter de um cliente

Outro cenário possível é uma arquitetura híbrida em que clientes ou aplicações no datacenter do cliente podem precisar acessar um cache do ElastiCache na VPC. Esse cenário também tem suporte, desde que haja conectividade entre a VPC dos clientes e o datacenter via VPN ou Direct Connect.

 

Acesso a um cache do ElastiCache a partir de uma aplicação executada no datacenter de um cliente usando conectividade de VPN

O diagrama a seguir ilustra o acesso a um cache do ElastiCache a partir de uma aplicação executada na sua rede corporativa usando conexões VPN.

Imagem: diagrama mostrando a conexão com o ElastiCache a partir do seu datacenter através de uma VPN

Conexão ao ElastiCache a partir do seu datacenter através de uma VPN

Para acessar um cache em uma VPC a partir do aplicativo no local via conexão VPN

  1. Estabeleça a conectividade de VPN adicionando um gateway privado virtual de hardware à sua VPC. Para obter mais informações, consulte o tópico sobre como Adicionar um gateway privado virtual de hardware à sua VPC.

  2. Atualize a tabela de roteamento de VPC para a sub-rede na qual seu cache do ElastiCache está implantado para permitir o tráfego do seu servidor de aplicações on-premises. No caso do Roteamento dinâmico com o BGP, suas rotas podem ser propagadas automaticamente.

  3. Modifique o grupo de segurança do seu cache do ElastiCache para permitir a conexão de entrada dos servidores de aplicações on-premises.

Acessar um cache através de uma conexão VPN introduzirá latências de rede e custos adicionais de transferência de dados.

 

Acesso a um cache do ElastiCache a partir de uma aplicação executada no datacenter de um cliente usando o Direct Connect

O diagrama a seguir ilustra o acesso a um cache do ElastiCache a partir de uma aplicação executada na sua rede corporativa usando o Direct Connect.

Imagem: diagrama mostrando a conexão com o ElastiCache a partir do seu datacenter via Direct Connect

Conexão ao ElastiCache a partir do seu datacenter via Direct Connect

Para acessar um cache do ElastiCache de uma aplicação executada em sua rede usando o Direct Connect

  1. Estabeleça a conectividade Direct Connect. Para obter mais informações, consulte Conceitos básicos do Direct Connect da AWS.

  2. Modifique o grupo de segurança do seu cache do ElastiCache para permitir a conexão de entrada dos servidores de aplicações on-premises.

O acesso a um cache por meio de uma conexão DX pode introduzir latências de rede e taxas adicionais de transferência de dados.