Consumidores de serviços que operam no local - AWS Orientação prescritiva
AWS Site-to-Site VPNAWS Direct ConnectArquitetura Transit VPCInternet pública

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Consumidores de serviços que operam no local

Esta seção discute as opções de conectividade entre cargas de trabalho SaaS nos data centers locais e Nuvem AWS nos data centers. Muitos consumidores com requisitos locais, especialmente no nível corporativo, veem a nuvem como uma extensão de sua rede física e querem refletir isso em sua arquitetura. Isso significa conectividade privada com a oferta de SaaS na nuvem, seja por meio de túneis lógicos ou até mesmo por meio de uma conexão física privada. Outros consumidores aceitarão a conectividade por meio da Internet pública, o que também é discutido nesta seção.

O mapa de valores de rede a seguir resume a pontuação de cada uma dessas opções em cada métrica de avaliação. Para obter mais informações sobre as métricas de avaliação, consulte Métricas de avaliação neste guia. No mapa, cinco representa a melhor pontuação, como o menor TCO, o melhor isolamento de rede ou o menor tempo de reparo. Para obter mais informações sobre como ler esse gráfico de radar, consulte Mapa de valores de rede este guia.

nota

A opção VPC de trânsito gerenciada pelo provedor está excluída porque as pontuações dependem muito de quais serviços estão sendo operados.

Gráfico de radar que mostra as pontuações de cada métrica de avaliação.

O gráfico do radar mostra os seguintes valores.

Métrica de avaliação

AWS Site-to-Site VPN

AWS Direct Connect

VPC de trânsito gerenciada pelo consumidor

Acesso público à internet

Facilidade de integração

3

1

4

5

TCO

2

1

5

4

Escalabilidade

3

1

5

5

Adaptabilidade

3

2

4

5

Isolamento de rede

3

4

5

1

Observabilidade

3

4

5

5

Hora de reparar

3

2

5

5

Conectando-se com AWS Site-to-Site VPN

AWS Site-to-Site VPNas conexões podem terminar em um gateway privado virtual ou em um gateway de trânsito. Um gateway privado virtual é o endpoint VPN no AWS lado da sua conexão Site-to-Site VPN que pode ser conectado a uma única VPC. Um gateway de trânsito é um hub de trânsito que pode ser usado para interconectar várias VPCs redes locais. Ele também pode ser usado como um endpoint VPN para o AWS lado da conexão Site-to-Site VPN. Esta seção discute as duas opções.

Conexão por meio de um gateway privado virtual

Depois de criar um gateway privado virtual, você o anexa à VPC que contém sua oferta de SaaS. Em seguida, você ativa a propagação de rotas para propagar as rotas de VPN para a tabela de rotas da VPC. Essas rotas podem ser rotas estáticas ou dinâmicas anunciadas pelo BGP.

Para alta disponibilidade, uma conexão Site-to-Site VPN tem dois túneis VPN que terminam em duas zonas de disponibilidade na lateral. AWS Se um ficar indisponível, o segundo túnel pode assumir o controle. Um único túnel permite uma largura de banda máxima de 1,25 Gbps. Como os gateways privados virtuais não oferecem suporte ao roteamento multicaminho (ECMP) de custo igual, você pode usar somente um túnel por vez.

Para aumentar a tolerância a falhas, você pode configurar uma segunda conexão VPN com um segundo gateway físico do cliente. Depois que a conexão é estabelecida, o consumidor pode acessar recursos na VPC do provedor de SaaS.

O diagrama a seguir mostra essa arquitetura.

Conexões de data centers locais ao Nuvem AWS por meio de um gateway virtual.

Estes são os benefícios desta abordagem:

  • Hora do reparo: failover gerenciado para o túnel VPN secundário

  • Observabilidade: integração para monitoramento ativo gerenciado usando o Network Synthetic Monitor

  • Facilidade de integração: suporte de roteamento dinâmico por meio do BGP

  • Adaptabilidade: compatibilidade com a maioria dos equipamentos de rede locais

  • Adaptabilidade: suporte IPv6

  • TCO: AWS Site-to-Site VPN é um serviço totalmente gerenciado, portanto, requer menos esforço operacional

  • TCO: sem custo para gateways virtuais, embora haja cobranças pelos dois IPv4 endereços públicos em cada um

  • Isolamento de rede: permite comunicação privada segura pela Internet

A seguir estão as desvantagens dessa abordagem:

  • Facilidade de integração: o consumidor deve configurar o gateway do cliente

  • Escalabilidade: a falta de suporte a ECMP limita a largura de banda a 1,25 Gbps por gateway virtual

  • Escalabilidade: escalabilidade limitada devido ao aumento da complexidade da rede e da sobrecarga operacional

  • Adaptabilidade: IPv6 suporte somente para os endereços IP internos dos túneis VPN

  • Adaptabilidade: Sem roteamento transitivo

  • TCO: sobrecarga operacional para manter, gerenciar e configurar várias conexões VPN para o provedor de SaaS

Conexão por meio de um gateway de trânsito

As conexões por meio de gateways de trânsito são semelhantes às dos gateways virtuais. No entanto, há algumas diferenças que você deve ter em mente.

Primeiro, as rotas para o anexo VPN podem ser propagadas automaticamente na tabela de rotas do Transit Gateway, mas você deve adicionar manualmente as rotas ao anexo VPCs.

Comparado a um gateway virtual, o Transit Gateway suporta ECMP. Se o gateway do cliente suportar ECMP, ele poderá usar os dois túneis para atingir uma taxa de transferência máxima total de 2,5 Gbps. Você pode estabelecer várias conexões entre a mesma rede local e o gateway de trânsito. Usando essa abordagem, você pode aumentar a largura de banda máxima em até 2,5 Gbps por conexão.

O diagrama a seguir mostra essa arquitetura.

Conexões de data centers locais aos gateways Nuvem AWS de trânsito.

Estes são os benefícios desta abordagem:

  • Hora do reparo: failover gerenciado para o túnel VPN secundário

  • Observabilidade: integração para monitoramento ativo gerenciado usando o Network Synthetic Monitor

  • Facilidade de integração: suporte de roteamento dinâmico por meio do BGP

  • Escalabilidade: o suporte a ECMP permite escalar a taxa de transferência da VPN para atender aos grandes requisitos de largura de banda

  • Escalabilidade: grande número de conexões VPN suportadas por um único gateway de trânsito (até quase 5.000)

  • Escalabilidade: um lugar para gerenciar e monitorar todas as conexões VPN

  • Adaptabilidade: compatibilidade com a maioria dos equipamentos de rede locais

  • Adaptabilidade: suporte IPv6

  • Adaptabilidade: herde a flexibilidade do AWS Transit Gateway

  • TCO: AWS Transit Gateway é um serviço totalmente gerenciado, portanto, requer menos esforço operacional

  • TCO: sem custo para gateways virtuais, embora haja cobranças pelos dois IPv4 endereços públicos em cada um

  • Isolamento de rede: permite comunicação privada segura pela Internet

A seguir estão as desvantagens dessa abordagem:

  • Facilidade de integração: o consumidor deve configurar o gateway do cliente

  • Escalabilidade: escalabilidade limitada devido ao aumento da complexidade da rede e da sobrecarga operacional

  • Adaptabilidade: IPv6 suporte somente para os endereços IP internos dos túneis VPN

  • TCO: sobrecarga operacional para manter, gerenciar e configurar várias conexões VPN para o provedor de SaaS

  • TCO: taxas extras pelo uso de AWS Transit Gateway

  • TCO: complexidade adicional no gerenciamento das tabelas de rotas do gateway de trânsito

Conectando-se com AWS Direct Connect

AWS Direct Connectconecta sua rede interna a um Direct Connect local por meio de um cabo de fibra óptica Ethernet padrão. Diferentemente das outras opções de arquitetura, uma conexão dedicada não pode ser estabelecida em alguns minutos. Em vez disso, esse processo pode levar vários dias se todos os requisitos forem atendidos. Caso contrário, pode levar mais tempo. Portanto, sugerimos que você entre em contato com sua equipe de AWS contas ou AWS Support peça ajuda com essa abordagem. Opcionalmente, você pode escolher uma conexão hospedada fornecida por um AWS parceiro e compartilhada com outros clientes. Independentemente disso, a arquitetura é a mesma. Você pode escolher Direct Connect porque reduz a latência, melhora a largura de banda ou está em conformidade com os requisitos regulamentares.

Para usar a Direct Connect conexão, os consumidores devem criar uma interface virtual pública, privada ou de trânsito. Há diferentes opções de arquitetura disponíveis. A mais flexível para conectar vários locais locais ao Nuvem AWS é uma interface virtual de trânsito conectada a um Direct Connect gateway. Um Direct Connect gateway é um componente lógico global que permite ao provedor de serviços conectar até seis gateways de trânsito a ele. Além disso, você pode conectar até 30 interfaces virtuais ao gateway. Para escalar, você pode criar Direct Connect gateways adicionais. Na conta do provedor de SaaS, os gateways de trânsito então se conectam ao VPCs, conforme descrito anteriormente.

Os consumidores podem se conectar usando de uma a quatro Direct Connect conexões de um total de um ou dois Direct Connect locais, dependendo do nível de resiliência desejado. Para obter mais informações, consulte Configurar Direct Connect para máxima resiliência. Uma AWS Site-to-Site VPN conexão pela Internet também pode servir como um caminho de backup de baixo custo para uma Direct Connect conexão. As conexões Direct Connect dedicadas suportadas podem ser usadas MACsecpara criptografar o link na camada 2 entre o Direct Connect local e o data center. É comum ter uma conexão Site-to-Site VPN para maior confidencialidade dos dados. A conexão Site-to-Site VPN pode terminar no gateway de trânsito usando um anexo VPN normal. O diagrama a seguir mostra essa arquitetura.

Conexões de data centers locais Nuvem AWS até AWS Direct Connect o final.

Estes são os benefícios desta abordagem:

  • Observabilidade: integração para monitoramento ativo gerenciado usando o Network Synthetic Monitor

  • Escalabilidade: Support para maior taxa de transferência de largura de banda

  • Adaptabilidade: suporte IPv6

  • TCO: potencial para reduzir a transferência de dados

  • TCO: experiência de rede consistente

  • Isolamento de rede: conectividade privada que pode atender aos requisitos regulatórios

A seguir estão as desvantagens dessa abordagem:

  • Facilidade de integração: tempo e esforço manual para configurar

  • Escalabilidade: escalabilidade limitada além de dezenas de Direct Connect conexões porque há várias cotas para rastrear

  • Adaptabilidade: as opções de configuração dependem dos locais disponíveis Direct Connect

  • TCO: a Direct Connect manutenção programada pode causar tempo de inatividade que exige ação

Conexão com uma arquitetura VPC de trânsito

O Transit VPC é uma opção de arquitetura que oferece flexibilidade aos consumidores sobre como se conectar AWS e permite que os provedores de SaaS se beneficiem de ter acesso unificado a seus serviços por meio de. AWS PrivateLink O consumidor se conecta localmente a uma VPC de trânsito que contém somente um ponto de entrada (como um gateway privado virtual) e um endpoint VPC de interface, que é um recurso. AWS PrivateLink O trânsito VPCs deve ser de propriedade do provedor de SaaS ou dos consumidores. Esta seção discute as duas opções.

Você pode criar a VPC e as sub-redes de trânsito com intervalos CIDR compatíveis com o data center local. Se precisarem de conectividade privada, os consumidores podem se conectar a essa VPC por meio AWS Direct Connect de ou. AWS Site-to-Site VPN Você também pode configurar o acesso à conta de trânsito da Internet pública usando um Application Load Balancer ou Network Load Balancer que aponta para o VPC endpoint.

VPC de trânsito gerenciada pelo consumidor

Nessa abordagem, o provedor de SaaS deixa o gerenciamento do trânsito para VPCs os consumidores. Do ponto de vista técnico, a arquitetura do provedor de SaaS é a mesma da conexão direta com os consumidores. Nuvem AWS AWS PrivateLink Do ponto de vista das vendas e do produto, é um esforço adicional, porque alguns consumidores Contas da AWS ainda não o fizeram. Eles podem hesitar em abrir e operar uma conta. O provedor de SaaS deve orientar seus consumidores sobre como criar Contas da AWS e conectar seu data center local. O diagrama a seguir mostra uma combinação de acesso público e privado, em que os consumidores são donos do transporte público VPCs.

O consumidor gerencia uma VPC de trânsito no. Nuvem AWS

Estes são os benefícios desta abordagem:

  • Tempo de reparo: a sobrecarga operacional é em grande parte transferida para os consumidores de SaaS

  • Adaptabilidade: os consumidores de SaaS podem escolher entre diferentes opções de acesso

  • Adaptabilidade: Sem conflitos de alcance de CIDR, mesmo ao usar Site-to-Site VPN ou Direct Connect

  • Todas as métricas: o provedor de serviços herda os benefícios AWS PrivateLink

A seguir estão as desvantagens dessa abordagem:

  • Facilidade de integração: os consumidores de SaaS precisam de pelo menos um Conta da AWS

  • TCO: uma VPC de trânsito é uma arquitetura, não um serviço totalmente gerenciado, portanto, exige mais esforço operacional

VPC de trânsito gerenciada pelo provedor

Essa abordagem usa as mesmas tecnologias, mas os limites e as responsabilidades da conta mudam. Aqui, o provedor de SaaS possui o trânsito VPCs, de preferência em uma conta separada da oferta de SaaS. Essa dissociação reduz custos, reduz riscos e permite que a conta de transporte público seja dimensionada de forma independente. Para ambientes que exigem um alto grau de isolamento, você pode criar uma separação adicional entre os locatários usando uma sub-rede ou criando uma VPC de trânsito separada para cada consumidor. Os consumidores podem então escolher como se conectar à VPC de trânsito. Essa abordagem oferece mais opções para expandir o mercado endereçável total, mas tem um TCO mais alto para o provedor de SaaS devido à necessidade de operar e monitorar componentes arquitetônicos adicionais.

O provedor de SaaS gerencia um ou mais trânsitos VPCs no. Nuvem AWS

Estes são os benefícios desta abordagem:

  • Adaptabilidade: os consumidores de SaaS podem escolher entre diferentes opções de acesso

  • Adaptabilidade: os consumidores de SaaS não precisam ter um Conta da AWS

  • Adaptabilidade: Sem conflitos de alcance de CIDR, mesmo ao usar Site-to-Site VPN ou Direct Connect

A seguir estão as desvantagens dessa abordagem:

  • TCO: uma VPC de trânsito é uma arquitetura, não um serviço totalmente gerenciado, portanto, exige mais esforço operacional

  • TCO: o provedor de SaaS precisa operar e monitorar componentes arquitetônicos adicionais

Conectando-se pela Internet pública

O acesso público à Internet também é uma opção válida para fornecer acesso a uma oferta de SaaS, embora não ofereça conectividade privada no sentido tradicional. Alguns consumidores ainda podem preferir uma abordagem de acesso público porque ela não requer infraestrutura de rede adicional entre eles e o provedor de SaaS. Ele reduz a complexidade, o custo e o tempo de integração em troca de uma maior superfície de ataque. Mecanismos fortes de autenticação e autorização podem ajudar a mitigar o aumento do nível de ameaça, e você deve sempre criptografar o tráfego. Ainda é recomendável que você tenha uma camada adicional de segurança nesse cenário, como usando AWS WAF.

A arquitetura nesse cenário é simples. O consumidor se conecta a um host público (o provedor de SaaS) pela Internet. O aplicativo pode ser hospedado diretamente em uma instância pública do Amazon Elastic Compute Cloud (Amazon EC2) com um endereço IP elástico. A opção preferida é hospedá-lo por trás de um Application Load Balancer ou serviço similar. Para melhor desempenho e armazenamento em cache de ativos estáticos, você pode usar uma rede de distribuição de conteúdo, como a Amazon CloudFront. Para servir um aplicativo com latência mínima em dois endereços IP Anycast estáticos globais, você pode colocá-lo AWS Global Acceleratorna frente de uma instância do Amazon EC2, Network Load Balancer ou Application Load Balancer. Além disso CloudFront, os Application Load Balancers e o Amazon API Gateway se integram ao AWS WAF. AWS AppSync O diagrama a seguir fornece uma visão geral das opções de conectividade de acesso público à Internet.

Conectividade a uma oferta de SaaS por meio da Internet pública.

A tabela a seguir descreve os protocolos e integrações compatíveis com esse cenário.

Serviço ou recurso

IPv6

AWS WAF integração

Pode ser um endpoint do Global Accelerator

Amazon CloudFront

Compatível

Compatível

Não compatível

Amazon API Gateway

Compatível

Compatível

Não compatível

AWS AppSync

Suporte parcial

Compatível

Não compatível

Amazon EC2 com um endereço IP elástico

Compatível

Não compatível

Compatível

Application Load Balancer

Compatível

Compatível

Compatível

Network Load Balancer

Compatível

Não compatível

Compatível

Estes são os benefícios desta abordagem:

  • Facilidade de integração: simplicidade e acessibilidade

  • Escalabilidade: escala ilimitada

  • Adaptabilidade: Nenhum conflito de intervalo CIDR é possível

  • Adaptabilidade: suporte CloudFront

A seguir estão as desvantagens dessa abordagem:

  • Isolamento de rede: sem conectividade privada

  • Isolamento de rede: são necessárias fortes medidas de segurança

Outros benefícios e desvantagens se aplicam, dependendo dos serviços que você escolher.