As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conta de rede
A conta de rede serve como o hub central para o roteamento de rede entre contas de landing zone com várias contas do AMS, sua rede local e o tráfego de saída para a Internet. Além disso, essa conta contém bastiões públicos da DMZ que são o ponto de entrada para os engenheiros do AMS acessarem os hosts no ambiente AMS. Para obter detalhes, consulte o diagrama de alto nível da conta de rede a seguir.
![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)
# Arquitetura da conta de rede
O diagrama a seguir mostra o ambiente de landing zone de várias contas do AMS, mostrando os fluxos de tráfego de rede em todas as contas, e é um exemplo de uma configuração altamente disponível.
![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)
![\[Diagram showing network traffic flow between Contas da AWS, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)
O AMS configura todos os aspectos da rede para você com base em nossos modelos padrão e nas opções selecionadas fornecidas durante a integração. Um design de rede padrão da AWS é aplicado à sua conta da AWS, e uma VPC é criada para você e conectada ao AMS por VPN ou Direct Connect. Para obter mais informações sobre o Direct Connect, consulte [AWS Direct Connect](https://aws.amazon.com/directconnect/). VPCs Os padrões incluem a DMZ, serviços compartilhados e uma sub-rede de aplicativos. Durante o processo de integração, outros VPCs podem ser solicitados e criados para atender às suas necessidades (por exemplo, divisões de clientes, parceiros). Após a integração, você recebe um diagrama de rede: um documento de ambiente que explica como sua rede foi configurada.
**nota**
Para obter informações sobre limites e restrições de serviço padrão para todos os serviços ativos, consulte a documentação de [limites de serviços da AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Nosso design de rede é construído em torno do [“Princípio do Privilégio Mínimo”](https://en.wikipedia.org/wiki/Principle_of_least_privilege) da Amazon. Para fazer isso, roteamos todo o tráfego, entrada e saída, por meio de uma DMZ, exceto o tráfego proveniente de uma rede confiável. A única rede confiável é aquela configurada entre seu ambiente local e a VPC por meio do uso de uma and/or VPN e do AWS Direct Connect (DX). O acesso é concedido por meio do uso de instâncias bastion, impedindo assim o acesso direto a quaisquer recursos de produção. Todos os seus aplicativos e recursos residem em sub-redes privadas que podem ser acessadas por meio de balanceadores de carga públicos. O tráfego de saída pública flui pelos Gateways NAT na VPC de saída (na conta de rede) para o Internet Gateway e depois para a Internet. Como alternativa, o tráfego pode fluir pela VPN ou pelo Direct Connect para o ambiente local.
# Conectividade de rede privada com o ambiente AMS Multi-account landing zone
A AWS oferece conectividade privada por meio de conectividade de rede privada virtual (VPN) ou linhas dedicadas com o AWS Direct Connect. A conectividade privada em seu ambiente de várias contas é configurada usando um dos métodos descritos a seguir:
+ Conectividade de borda centralizada usando o Transit Gateway
+ Conectando a and/or VPN Direct Connect (DX) às nuvens privadas virtuais da conta () VPCs
# Conectividade de borda centralizada usando o Transit Gateway
O AWS Transit Gateway é um serviço que permite que você conecte sua rede VPCs e sua rede local a um único gateway. O Transit Gateway (TGW) pode ser usado para consolidar sua conectividade de borda existente e roteá-la por meio de um único ingress/egress ponto. O Transit Gateway é criado na conta de rede do seu ambiente de várias contas do AMS. Para obter mais detalhes sobre o gateway de trânsito, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
O gateway AWS Direct Connect (DX) é usado para conectar sua conexão DX por meio de uma interface virtual de trânsito ao VPCs ou VPNs que estão conectados ao seu gateway de trânsito. Você associa um gateway do Direct Connect com o gateway de trânsito. Em seguida, crie uma interface virtual de trânsito para sua conexão do AWS Direct Connect com o gateway Direct Connect. Para obter informações sobre interfaces virtuais DX, consulte Interfaces virtuais do [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html).
Essa configuração oferece os benefícios abaixo. Você pode:
+ Gerencie uma única conexão para várias VPCs ou VPNs que estejam na mesma região da AWS.
+ Anuncie prefixos do local para a AWS e da AWS para o local.
**nota**
[Para obter informações sobre o uso de um DX com serviços da AWS, consulte a seção Classic do Resiliency Toolkit.](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html) Para obter mais informações, consulte [Associações do Transit Gateway](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html).
![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/pt_br/managedservices/latest/onboardingguide/images/malz-cent-edge.png)
Para aumentar a resiliência da sua conectividade, recomendamos que você conecte pelo menos duas interfaces virtuais de trânsito de diferentes locais do AWS Direct Connect ao gateway Direct Connect. Para obter mais informações, consulte a [recomendação de resiliência do AWS Direct Connect](https://aws.amazon.com/directconnect/resiliency-recommendation/).
# Conectando DX ou VPN à conta VPCs
Com essa opção, os ambientes VPCs de landing zone com várias contas do AMS são conectados diretamente ao Direct Connect ou VPN. O tráfego flui diretamente do VPCs para o Direct Connect ou VPN sem passar pelo gateway de trânsito.
# Recursos na conta de rede
Conforme mostrado no diagrama da conta de rede, os componentes a seguir são criados na conta e exigem sua entrada.
**A conta de rede contém duas VPCs: VPC de **saída e VPC** **DMZ, também conhecida como VPC** de perímetro.**
# Gerente de rede da AWS
O AWS Network Manager é um serviço que permite que você visualize suas redes de gateway de trânsito (TGW) sem custo adicional para o AMS. Ele fornece monitoramento de rede centralizado em recursos da AWS e em redes locais, uma visão global única de sua rede privada em um diagrama de topologia e em um mapa geográfico e métricas de utilização, como status de conexão de bytes. in/out, packets in/out, packets dropped, and alerts for changes in the topology, routing, and up/down Para mais informações, consulte [AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/).
Use uma das seguintes funções para acessar esse recurso:
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole
# VPC de saída
A VPC de saída é usada principalmente para tráfego de saída para a Internet e é composta por sub-redes em até três zonas public/private de disponibilidade (). AZs Os gateways de conversão de endereços de rede (NAT) são provisionados nas sub-redes públicas e os anexos VPC do gateway de trânsito (TGW) são criados nas sub-redes privadas. O tráfego de saída ou saída da Internet de todas as redes entra pela sub-rede privada via TGW, onde é então roteado para um NAT por meio de tabelas de rotas VPC.
Para aqueles VPCs que contêm aplicativos voltados para o público em uma sub-rede pública, o tráfego proveniente da Internet está contido nessa VPC. O tráfego de retorno não é roteado para o TGW ou para a VPC de saída, mas é roteado de volta pelo gateway da Internet (IGW) na VPC.
**nota**
Intervalo CIDR da VPC em rede: ao criar uma VPC, você deve especificar uma faixa de endereços IPv4 para a VPC na forma de um bloco de roteamento entre domínios sem classe (CIDR); por exemplo, 10.0.16.0/24. Este é o bloco CIDR principal da VPC.
A equipe de várias contas da landing zone do AMS recomenda o intervalo de 24 (com mais endereço IP) para fornecer algum buffer caso outros recursos/dispositivos sejam implantados no futuro.
# Perímetro (DMZ) VPC
O VPC Perimeter, ou DMZ, contém os recursos necessários para que os engenheiros de operações do AMS acessem as redes AMS. Ele contém sub-redes públicas de 2 a 3 AZs, com hosts SSH Bastions em um grupo de Auto Scaling (ASG) para os engenheiros de operações do AMS acessarem ou passarem por túneis. **Os grupos de segurança conectados aos bastiões da DMZ contêm regras de entrada da porta 22 da Amazon Corp Networks.**
Intervalo *CIDR DMZ VPC: ao criar uma VPC, você deve especificar uma faixa* de endereços IPv4 para a VPC na forma de um bloco de roteamento entre domínios sem classe (CIDR); por exemplo, 10.0.16.0/24. Este é o bloco CIDR principal da VPC.
**nota**
A equipe do AMS recomenda o intervalo de 24 (com mais endereço IP) para fornecer algum buffer caso outros recursos, como um firewall, sejam implantados no futuro.
# AWS Transit Gateway
O AWS Transit Gateway (TGW) é um serviço que permite conectar suas Amazon Virtual Private Clouds (VPCs) e suas redes locais a um único gateway. O Transit Gateway é o backbone de rede que gerencia o roteamento entre redes de contas AMS e redes externas. Para obter informações sobre o Transit Gateway, consulte [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/).
Forneça a seguinte entrada para criar esse recurso:
+ *Número ASN do Transit Gateway* \$1: forneça o Número do Sistema Autônomo (ASN) privado para seu gateway de trânsito. Ele deve ser o ASN para o lado da AWS de uma sessão de Border Gateway Protocol (BGP). O intervalo é de 64512 a 65534 para 16 bits. ASNs