Gateways do Direct Connect

Use o gateway do Direct Connect para conectar suas VPCs. Você associa um gateway do Direct Connect com uma das seguintes opções:

Você também pode usar um gateway privado virtual para ampliar sua zona local. Essa configuração permite que a VPC associada à zona local se conecte a um gateway do Direct Connect. O gateway do Direct Connect se conecta a um local do Direct Connect em uma região. O data center on-premises tem uma conexão do Direct Connect com o local do Direct Connect. Para obter mais informações, consulte Como acessar zonas locais usando um gateway do Direct Connect no Guia do usuário da Amazon VPC.

Um gateway Direct Connect é um recurso disponível globalmente. É possível se conectar a qualquer região do mundo usando um gateway do Direct Connect. Isso inclui AWS GovCloud (US), mas não inclui as regiões da AWS China. Um gateway do Direct Connect é um componente virtual do Direct Connect projetado para atuar como um conjunto distribuído de refletores de rota do BGP. Como opera fora do caminho do tráfego de dados, ele evita criar um único ponto de falha ou introduzir dependências em Regiões da AWS específicas. A alta disponibilidade foi inerentemente incorporada ao projeto, eliminando a necessidade de vários gateways do Direct Connect.

Os clientes que usam o Direct Connect com VPCs que ignorem uma zona de disponibilidade principal não poderão migrar suas conexões ou interfaces virtuais do Direct Connect.

Veja a seguir os cenários nos quais você pode usar um gateway do Direct Connect.

Um gateway Direct Connect não permite que associações de gateway que estejam no mesmo gateway Direct Connect enviem tráfego uma para a outra (por exemplo, um gateway privado virtual para outro gateway privado virtual). Uma exceção a essa regra, implementada em novembro de 2021, é quando uma super-rede é anunciada em duas ou mais VPCs, que têm seus gateways privados virtuais (VGWs) anexados associados ao mesmo gateway do Direct Connect e na mesma interface virtual. Nesse caso, as VPCs podem se comunicar pelo endpoint do Direct Connect. Por exemplo, se você anunciar uma super-rede (p. ex., 10.0.0.0/8 ou 0.0.0.0/0) com sobreposição às VPCs anexadas a um gateway do Direct Connect (p. ex., 10.0.0.0/24 e 10.0.1.0/24) e na mesma interface virtual, as VPCs poderão se comunicar umas com as outras diretamente da sua rede on-premises.

Se você quiser bloquear a comunicação entre VPCs em um gateway do Direct Connect, faça o seguinte:

Um gateway do Direct Connect não impede o envio do tráfego de uma associação de gateway de volta para a própria associação de gateway (p. ex., quando você tiver uma rota de super-rede on-premises que contenha os prefixos da associação de gateway). Se você tiver uma configuração com várias VPCs conectadas a gateways de trânsito associados ao mesmo gateway do Direct Connect, as VPCs poderão se comunicar. Para impedir a comunicação entre as VPCs, associe uma tabela de rotas às anexações de VPC que têm a opção blackhole configurada.

Cenários

A seguir, são descritos apenas alguns cenários para o uso de gateways do Direct Connect.

No diagrama a seguir, o gateway do Direct Connect permite que você use sua conexão do Direct Connect na região Leste dos EUA (Norte da Virgínia) para acessar VPCs em sua conta nas regiões Leste dos EUA (Norte da Virgínia) e Oeste dos EUA (Norte da Califórnia).

Cada VPC tem um gateway privado virtual que se conecta ao gateway do Direct Connect usando uma associação de gateway privado virtual. O gateway do Direct Connect usa uma interface virtual privada para a conexão com o local do Direct Connect. Há uma conexão do Direct Connect proveniente do local para o data center do cliente.

Considere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietária do gateway Direct Connect. A Conta A e a Conta B desejam usar o gateway Direct Connect. A Conta A e a Conta B enviam uma proposta de associação à Conta Z. A Conta Z aceita as propostas de associação e pode, opcionalmente, atualizar os prefixos que são permitidos no gateway privado virtual da Conta A ou no gateway privado virtual da Conta B. Depois que a Conta Z aceitar as propostas, a Conta A e a Conta B poderão rotear o tráfego de seu gateway privado virtual para o gateway Direct Connect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.

O diagrama a seguir ilustra como o gateway do Direct Connect permite criar uma única conexão com a conexão do Direct Connect que pode ser usada por todas as suas VPCs.

A solução envolve os componentes abaixo:

• Um gateway de trânsito com três anexos de VPC.

• Gateway do Direct Connect

• Uma associação entre o gateway do Direct Connect e o gateway de trânsito.

• Uma interface virtual de trânsito que é anexada ao gateway do Direct Connect.

Essa configuração oferece os benefícios abaixo. É possível:

• Gerenciar uma única conexão para várias VPCs ou VPNs que estão na mesma região.

• Anunciar prefixos de on-premises para a AWS e da AWS para on-premises.

Para obter mais informações sobre como configurar os gateways de trânsito, consulte Como trabalhar com gateways de trânsito no Guia de gateways de trânsito da Amazon VPC.

Considere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietária do gateway Direct Connect. A Conta A é proprietária do gateway de trânsito e quer usar o gateway do Direct Connect. A Conta Z aceita as propostas de associação e pode, como opção, atualizar os prefixos que são permitidos no gateway de trânsito da Conta A. Depois que a Conta Z aceitar as propostas, as VPCs anexadas ao gateway de trânsito poderão rotear tráfego do gateway de trânsito para o gateway do Direct Connect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.