Interconectar suas VPCs - Recomendações da AWS

Interconectar suas VPCs

As tabelas a seguir mostram as principais considerações ao interconectar suas VPCs.

Segurança VPC com emparelhamento de VPC Segurança VPC com AWS Transit Gateway VPC de segurança com interconexão VPN
Vantagens Desvantagens Vantagens Desvantagens Vantagens Desvantagens

  • Fácil e rápido de configurar

  • Roteamento simples

  • Alta redundância

  • Alta largura de banda

  • Só suporta tráfego de intervalos CIDR atribuídos por VPC

  • Não é possível inserir a inspeção de segurança entre VPCs

  • Complexo de gerenciar em grande escala (todos são ponto-a-ponto)

  • Fácil de configurar

  • Roteamento flexível sem SNAT

  • Alta redundância

  • Alta largura de banda

  • Fácil de gerenciar em grande escala

  • O roteamento é mais complexo (tabelas de rotas VPC e tabelas de rotas do AWS Transit Gateway)

  • Topologia complexa para inserir inspeção de segurança entre VPCs

  • Roteamento flexível sem SNAT

  • Inserção fácil de inspeção de segurança entre VPCs

  • Largura de banda baixa

  • Failover complexo, dependente e específico do fornecedor

  • Complexo de gerenciar em grande escala (todos são ponto-a-ponto)
Cliente (envia SYN) AWS Transit Gateway emparelhamento da VPC VPN entre VPCs Visão geral da solução e possíveis preocupações
Internet ou Direct Connect para serviços em uma única VPC com uma sub-rede pública ou privada. N/D N/D N/D

O tráfego atravessa o gateway da Internet ou o gateway virtual - não precisa cruzar mais do que o limite da VPC. A VPC atua como redes stub projetadas. Entradas de tráfego on-premises para a AWS Cloud (Direct Connect, VPN).
Internet ou Direct Connect em uma VPC com clientes em outras VPCs (por exemplo, membros do pool em outra VPC), sem SNAT. Sim Não Sim

O AWS Transit Gateway ou VPNs permite que o tráfego ignore o filtro de emparelhamento de VPC que somente CIDRs atribuídos à VPC podem passar.

As soluções de VPN serão restritas. Sem roteamento multicaminho (ECMP) de custo igual (somente uma única rota) e sem largura de banda (cerca de 1,2 GB-segundo por túnel, em geral, apenas um túnel).
Internet ou Direct Connect para um serviço em uma VPC com clientes em outras VPCs (por exemplo, membros do pool em outra VPC), com SNAT. Sim (mas não obrigatório) Sim Sim (mas não obrigatório)

Como a interconexão entre as VPCs vê o tráfego dos CIDRs atribuídos à VPC, qualquer uma funcionará.

As soluções de VPN serão restritas. Sem ECMP (somente uma única rota) e sem largura de banda (cerca de 1,2 GB-segundo por túnel, em geral, apenas um túnel).
Dentro da VPC para atender na mesma VPC. N/D N/D N/D Todo o tráfego é restrito a uma única VPC. Não é necessária uma conexão.
Dentro de uma VPC para uma VPC de serviço. O serviço está no CIDR da VPC de destino. Sim (mas não obrigatório) Sim Sim (mas não obrigatório) Como a interconexão entre as VPCs vê o tráfego dos CIDRs atribuídos à VPC, qualquer uma funcionará.
Dentro da VPC para uma VPC de serviço. O serviço está fora do intervalo CIDR da VPC. Sim Não Sim

Como a interconexão entre as VPCs vê o tráfego dos CIDRs atribuídos à VPC, qualquer uma funcionará.

As soluções de VPN serão restritas. Sem ECMP (somente uma única rota) e sem largura de banda (cerca de 1,2 GB-segundo por túnel, em geral, apenas um túnel).
Dentro de uma única VPC para um serviço de internet. N/D N/D N/D O tráfego é proveniente de um CIDR atribuído pela VPC. Se as estruturas de IP elástico, NAT ou tabela de rotas estiverem em linha, o tráfego fluirá.
Dentro de uma VPC para um serviço de internet, roteamento por meio de uma VPC de segurança ou inspeção. Sim Não Sim

Como a interconexão entre as VPCs vê o tráfego de fora de um intervalo CIDR atribuído pela VPC, o emparelhamento de VPC não pode ser usado.

As soluções de VPN serão restritas. Sem ECMP (somente uma única rota) e sem largura de banda (cerca de 1,2 GB-segundo por túnel, em geral, apenas um túnel).