Comunicação segura entre conexões do AWS Site-to-Site VPN usando VPN CloudHub
Caso haja várias conexões AWS Site-to-Site VPN, é possível fornecer uma comunicação segura entre os sites, usando o AWS VPN CloudHub. Isso permite que os sites comuniquem-se entre si e não somente com os recursos na VPC. O VPN CloudHub opera em um modelo simples de hub e spoke que pode ser usado com ou sem uma VPC. Esse design é adequado quando você tem várias filiais e conexões de internet e deseja implementar um modelo hub e spoke conveniente e possivelmente de baixo custo para a conectividade principal ou de backup entre os sites.
Visão geral
O diagrama a seguir mostra a arquitetura do VPN CloudHub. As linhas tracejadas mostram o tráfego de rede entre sites remotos roteado pelas conexões VPN. Os sites não devem ter intervalos de IP sobrepostos.
Para este cenário, faça o seguinte:
-
Crie um único gateway privado virtual.
-
Crie vários gateways do cliente, cada um com o endereço IP público do gateway. Você deve usar um número de sistema autônomo (ASN) do Protocolo de Gateway da Borda (BGP) exclusivo para cada gateway do cliente.
-
Crie uma conexão da Site-to-Site VPN encaminhada dinamicamente de cada gateway do cliente com um gateway privado virtual comum.
-
Configure cada dispositivo de gateway do cliente para anunciar um prefixo específico do site (como 10.0.0.0/24, 10.0.1.0/24) para o gateway privado virtual. Esses anúncios de roteamento são recebidos e novamente anunciados para cada ponto BGP, permitindo o envio e o recebimento de dados entre os sites. Isso é feito por meio das instruções da rede, localizadas nos arquivos de configuração para a conexão da Site-to-Site VPN. As instruções da rede diferem ligeiramente, dependendo do tipo de roteador usado.
-
Configure as rotas em suas tabelas de rotas de sub-rede para permitir que as instâncias em sua VPC se comuniquem com seus sites. Para obter mais informações, consulte (Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas. É possível configurar uma rota agregada na tabela de rotas (por exemplo, 10.0.0.0/16). Use prefixos mais específicos entre os dispositivos de gateway do cliente e o gateway privado virtual.
Sites que usam as conexões do Direct Connect para o gateway privado virtual também podem fazer parte do AWS VPN CloudHub. Por exemplo, a sede de sua empresa em Nova York pode ter uma conexão do Direct Connect com a VPC e as filiais podem usar conexões do Site-to-Site VPN com a VPC. A sede corporativa e as filiais em Los Angeles e Miami podem enviar e receber dados entre si, todas usando o AWS VPN CloudHub.
Preços
Ao usar o AWS VPN CloudHub, as taxas usuais de conexão da Site-to-Site VPN típicas da Amazon VPC são cobradas. A quantia devida pela taxa de conexão é calculada pelo total de horas em que cada VPN esteve conectada ao gateway privado virtual. Ao enviar dados de um local para outro usando o AWS VPN CloudHub, não há nenhum custo para enviar dados de um local de sua empresa ao gateway privado virtual. Você só paga as taxas de transferência de dados padrão da AWS referentes aos dados que são retransmitidos do gateway privado virtual para o endpoint.
Por exemplo, se você tiver um site em Los Angeles e um segundo site em Nova York, e ambos os sites tiverem uma conexão da Site-to-Site VPN com o gateway privado virtual, você pagará a taxa por hora para cada conexão da Site-to-Site VPN (portanto, se a taxa fosse de 0,05 USD por hora, a cobrança total será de 0,10 USD por hora). Você também paga as taxas de transferência de dados padrão da AWS para todos os dados enviados de Los Angeles para Nova York (e vice-versa) que atravessam cada conexão da Site-to-Site VPN. O tráfego de rede enviado pela conexão da Site-to-Site VPN ao gateway privado virtual é gratuito, mas o tráfego de rede enviado pela conexão da Site-to-Site VPN do gateway privado virtual para o endpoint é cobrado pela taxa de transferência de dados padrão da AWS.
Para obter mais informações, consulte Definição de preço da conexão da Site-to-Site VPN
