View a markdown version of this page

Solução 1: criar endpoints VPC em uma conta de rede central para uma única região - AWS Orientação prescritiva
Caso de usoDesafiosSoluçãoArquiteturaEtapas de implementação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução 1: criar endpoints VPC em uma conta de rede central para uma única região

Caso de uso

Seus aplicativos são mapeados para diferentes unidades de negócios e você deseja migrá-los para contas de AWS destino diferentes da mesma forma Região da AWS para fins de cobrança e isolamento.

Desafios

Para conseguir isso em uma rede privada, você precisaria criar vários endpoints de interface VPC em cada conta de destino. Isso aumenta a sobrecarga administrativa e os custos de manutenção dos endpoints. (Veja AWS PrivateLink os preços.)

Solução

Crie endpoints VPC em uma conta de AWS rede central e use o Transit Gateway para se conectar às contas do aplicativo de destino.

Arquitetura

O diagrama a seguir ilustra a arquitetura dessa solução.

Fluxo de tráfego para rehospedar várias contas na mesma região.

No diagrama, os números representam o seguinte fluxo de tráfego:

  1. A instância do Amazon Elastic Compute Cloud (Amazon EC2) ou o servidor de replicação do Application Migration Service que precisa se conectar ao Amazon Simple Storage Service (Amazon S3), ao Application Migration Service ou ao Amazon EC2 por meio de um endpoint de interface localizado na conta de rede central. A VPC precisa primeiro resolver o nome de domínio consultando a VPC+resolvedor 2. A zona hospedada privada do endpoint está associada ao Serviço de Migração de Aplicativos que organiza a VPC na mesma região para concluir a resolução do domínio.

    nota

    Para cada zona hospedada privada que você associa a uma VPC, o resolvedor cria uma regra e a associa à VPC. Se você associar a zona hospedada privada a várias VPCs, o resolvedor associará a regra a todas as VPCs.

  2. Quando a instância conhece o IP privado ao qual se conectar, ela envia o tráfego para a ENI do gateway de trânsito. O tráfego é enviado para o gateway de trânsito e encaminhado para a VPC de recursos compartilhados, com base na tabela de rotas do gateway de trânsito.

  3. A ENI do gateway de trânsito no recurso compartilhado VPC encaminha o tráfego para o endpoint da interface correspondente.

  4. O VPC endpoint envia a resposta de volta para a ENI do gateway de trânsito.

  5. O tráfego é encaminhado para o gateway de trânsito. Conforme especificado na tabela de rotas do Transit Gateway, o tráfego é enviado para o Spoke Application Migration Service, configurando a VPC. A resposta é enviada pela ENI do gateway de trânsito para o destino, ou seja, para a instância do EC2 ou para o servidor de replicação do Application Migration Service.

  6. Um aplicativo cliente localizado no data center corporativo resolve um nome de domínio no formato <aws_service>.<aws_region>.amazonaws.com (por exemplo,mgn.us-east-1.amazonaws.com). Ele envia a consulta para seu resolvedor de DNS pré-configurado. O resolvedor de DNS no data center corporativo tem uma regra de encaminhamento que aponta qualquer consulta de DNS para amazonaws.com domínios para o endpoint de entrada do Resolvedor do Route 53. O Transit Gateway encaminha a consulta para o recurso compartilhado VPC, que encaminha a consulta DNS no endpoint de entrada do Route 53 Resolver.

    O endpoint de entrada do Route 53 Resolver usa o resolvedor VPC+2. A zona hospedada privada do endpoint associada ao recurso compartilhado VPC contém os registros de DNS amazonaws.com para que o Route 53 Resolver possa resolver a consulta.

  7. O endpoint de saída do Resolvedor do Route 53 retorna a resposta da consulta DNS para o aplicativo cliente local.

Etapas de implementação

Para configurar a arquitetura mostrada no diagrama anterior, siga estas etapas:

  1. Conecte seu data center corporativo à conta de rede central em AWS AWS Direct Connect ou AWS Site-to-Site VPN.

  2. Na conta de rede, use o Transit Gateway para fornecer conectividade entre VPCs. O gateway de trânsito é compartilhado Contas da AWS usando AWS RAM e conectado posteriormente à sub-rede intermediária da conta do aplicativo de destino por meio de um anexo VPC.

    nota

    Contas da AWS O Target não precisa fazer parte da mesma AWS organização. Para obter mais informações, consulte Recursos compartilháveis na AWS RAM documentação.

  3. Crie endpoints de interface VPC para Amazon EC2, Application Migration Service e Amazon S3 na conta da rede central sem ativar um nome DNS privado.

    nota

    Ao criar um VPC endpoint para um AWS service (Serviço da AWS), você pode habilitar o DNS privado. Quando ativada, a configuração cria uma zona hospedada privada gerenciada do Route 53 para você. Essa zona gerenciada resolve o nome DNS em uma VPC. No entanto, ele não funciona fora da VPC. Esse é o motivo para usar o compartilhamento de zona hospedada privada e o Route 53 Resolver para ajudar a obter uma resolução unificada de nomes para endpoints de VPC compartilhados.

  4. Crie uma zona hospedada privada para cada endpoint (Application Migration Service, Amazon EC2, Amazon S3). Por exemplo, para o Serviço de Migração de Aplicativos na us-east-1 Região:

    • Crie uma zona hospedada privada com o nome do domíniomgn.us-east-1.amazonaws.com.

    • Crie um registro de host do tipo A que aponte o nome do domínio para o endpoint IPs.

  5. Crie regras de entrada e saída do Route 53 Resolver para facilitar a resolução de DNS híbrido e compartilhe as regras com os necessários Conta da AWS na mesma região.