Blog de Amazon Web Services (AWS)
Redes híbridas, como establecer una conexión dedicada a AWS
Por Gerardo Vázquez Arquitecto de Soluciones para Telco Partners en AWS México.
¿Porque usar AWS Direct Connect?
Al iniciar un viaje de una empresa o un proyecto de migración a la nube, es importante tener un diseño de red híbrido que será la base para todos los servicios avanzados (analíticos, seguridad, computo, etc.) que se usarán de forma diaria y que incluso ayudarán a avanzar con un plan de migración de forma exitosa.
Existen 3 formas principales para conectarse a los servicios de la nube: acceso directo por Internet, establecer una VPN sitio a sitio, o un enlace dedicado. Dependiendo de los requerimientos que tengamos de nuestra aplicación es cómo se definirá cuál de estas opciones elegir.
Si lo que necesitamos es un desempeño constante tanto de subida como de bajada de información, un entorno de red exclusivo, soporte de red en caso de fallos, anchos de banda mayores o incluso reducir los costos de datos de salida, seguramente será necesario considerar extender la red corporativa hasta la nube con AWS Direct Connect.
Con AWS Direct Connect (DX) podremos establecer esta conexión dedicada desde nuestra red hasta alguno de los puntos de interconexión donde accederemos a la red global de AWS. Típicamente en Latinoamérica se ha tenido preferencia por las localidades de Miami, Dallas, Sao Paulo o Río de Janeiro por su cercanía, pero es importante no descartar todas las opciones de localidades y considerar la mejor según las necesidades y casos de uso. Se debe resaltar que estas ubicaciones de DX son distintas de nuestros puntos de presencia (Points of Presence).
Diferencias entre Conexiones Dedicadas (Dedicated Connections) y Conexiones Alojadas (Hosted Connections)
Dentro de los puntos de interconexión, se pueden tener dos tipos de conexiones: Conexiones Dedicadas (Dedicated Connections) y Conexiones Alojadas (Hosted Connections).
Los dispositivos de AWS proveen Dedicated Connections con anchos de banda de 1 Gbps, 10 Gbps y en algunas localidades ya se soportan conexiones a 100 Gbps; toda la velocidad del puerto esta disponible y soporta múltiples interfaces virtuales. Es importante notar que este tipo de conexión puede ser realizada por clientes, proveedores de telecomunicaciones y socios de DX aprobados.
Para solicitar una Dedicated Connection es necesario tener presencia en los puntos de interconexión para realizar una conexión física (cross connection) entre los dispositivos de AWS y del cliente. Es por esta razón que comúnmente los clientes solicitan Dedicated Connections a través deproveedores de telecomunicaciones y socios de DX aprobados que ya cuentan con infraestructura en estos lugares.
Los Socios de AWS Direct Connect son miembros de AWS Partner Network (APN) y pueden proveer conectividad a localidades de DX dentro de las geografías en que ofrecen sus servicios. Estos socios extienden la conectividad desde la infraestructura en nuestro centro de datos a las localidades de DX. Además, tienen la capacidad de entregar Hosted Connections para anchos de banda menores a los ofrecidos con Dedicated Connections (1GB/10GB). Se pueden aprovisionar Hosted Connections con anchos de banda desde 50 Mbps hasta 10Gbps. Cada Hosted Connection soporta únicamente una interfaz virtual. Las Hosted Connections solamente pueden ser solicitadas y administradas por socios de DX aprobados. Los clientes de AWS pueden solicitar Hosted Connections a través de estos socios. La lista completa de AWS DX Partners con experiencia avalada por AWS al seguir las mejores practicas se puede encontrar aquí.
Otras diferencias importantes se pueden observar en la siguiente tabla.
| Dedicated Connections | Hosted Connections | |
| Velocidades de anchos de banda | 1 Gbps, 10 Gbps y 100 Gbps* | 50 Mbps, 100 Mbps, 200 Mbps, 300 Mbps, 400 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps y 10 Gbps |
| ¿Quien puede realizarlo? | Clientes, Proveedores de Telecomunicaciones y Socios de DX aprobados | Solo Socios de DX aprobados |
| Numero de Interfaces Virtuales | 50 VIFs privadas o públicas y 1 VIF de tránsito | 1 VIF privada o pública o de tránsito |
| Ancho de banda dedicado | Si | Si |
| ¿Quien inicia el tramite? | El cliente en su consola | El socio de DX aprobado |
| ¿Interconexión física para un solo cliente? | Si | No, es manejada por el socio de DX |
| ¿Conexión directa a Transit GW? | Si, con una VIF de tránsito | Solo en conexiones superiores a 1 Gbps con una VIF de tránsito |
| Estimación base solo del puerto en AWS por un mes** | $ 219.00 para 1 Gbps | $ 21.90 para 50 Mbps |
| Tareas y tiempos de aprovisionamiento sin considerar VIFs | Aceptar conexión en consola, generar carta de autorización, realizar interconexión física (semanas) | Aceptar conexión en consola (días) |
| ADVERTENCIA En la tabla se muestran precios representativos para conexiones de AWS Direct Connect. Los valores actualizados y exactos deben ser obtenidos de la información descrita en la página del servicio, aquí. *Conexión dedicada de 100 Gbps solo disponible en ubicaciones especificas. **En la estimación presentada se utiliza como referencia el punto de interconexión de Dallas con 730 horas, no se consideró la transferencia de datos, enlace internacional ni última milla para una estimación completa. Todos los valores están en moneda “dólar”. |
Tipos de Interfaces Virtuales (Virtual Interfaces), su uso y diferencias
Para acceder a los recursos en AWS a través de DX es necesario establecer adyacencias de BGP y hacer el intercambio apropiado de rutas. Para esto se debe crear Virtual Interfaces (VIFs) que consisten de una VLAN (802.1Q) y las opciones asociadas con la sesión BGP. AWS Direct Connect soporta tres tipos de interfaces virtuales que son: publicas, privadas y de tránsito, y su uso dependerá de los recursos a los que se desea acceder.
VIF privada: permiten conectividad hacia las IPs privadas de los recursos definidos dentro del Amazon Virtual Private Cloud (VPC) pero no podremos conectarnos a un Transit Gateway o servicios globales directamente.
Direct Connect Gateway (DXGW) permite combinar una VIF privada con múltiples Virtual Private Gateways (VGWs) en la región local o en regiones remotas. De esta forma se puede establecer comunicación entre una localidad de Direct Connect y una región de AWS en una zona geográfica distinta. Una sesión BGP se establece entre el router del cliente y el Direct Connect Gateway. A diferencia de una conexión con VIFs publicas, no es necesario utilizar direccionamiento público y no se debe esperar el proceso de validación por lo que las sesiones BGP con VIFs privadas se pueden levantar en minutos.
De lado de AWS, la conexión hacia los recursos de la VPC se realiza a través de VGWs y no es posible utilizar Transit Gateway. Es importante considerar los limites de DX ya que se puede escalar hasta un máximo de 10 VGW attachments por cada DXGW y no se puede tener duplicidad de direccionamiento en las VPCs.
En un flujo de comunicación desde el centro de datos corporativo hacia los recursos en las VPCs se debe garantizar que no exista duplicidad de direccionamiento asignado a los recursos locales del sitio y los recursos en AWS. Para alcanzar servicios públicos de AWS como Amazon S3 se enviará el tráfico por Internet manteniendo un esquema más sencillo; por otro lado, existen mecanismos para mantener este tráfico por DX y no Internet, pero no se detallarán en este blog.
VIF pública: Se utilizan para alcanzar los servicios públicos de AWS a través de la red global de AWS, pero no podremos llegar a servicios privados dentro del Virtual Private Cloud (VPC) o Transit GW de forma directa.
En la conexión WAN entre AWS y el centro de datos, para establecer la sesión BGP, es necesario contar con IPs y ASN (Autonomous System Number) públicos. Como parte del proceso, es obligatorio tener la autorización para hacer uso de estas IPs por parte del dueño de estos insumos y es por esta razón que AWS realiza una validación en 72 horas aproximadamente (mayor detalle de este proceso aquí). En caso de no contar con IPs públicas estas podrán ser proporcionadas por AWS (contactar a AWS vía un caso de soporte).
Es importante mencionar que esta conexión nunca se establece por Internet manteniéndose vía el enlace dedicado y se usa direccionamiento público para evitar duplicidad de IPs en la red global de AWS.
Un flujo típico puede ser un usuario accediendo a servicios como Amazon S3 desde su red local. Para esto se deberá realizar un NAT antes de llegar a la red global de AWS y típicamente esto se realiza en el router frontera u otro dispositivo como un Firewall en el centro de datos corporativo. Además, en la red del cliente se deberá rutear el tráfico de Amazon S3 por el enlace dedicado y no por Internet. Finalmente, con mecanismos de BGP podremos controlar las rutas enviadas y recibidas para acceder a buckets de Amazon S3 en todo el mundo, el mismo continente o una región (mayor detalle en este articulo).
Este flujo de ejemplo se ilustra de la siguiente forma:
En caso de necesitar conectividad con servicios privados alojados dentro de una VPC utilizando una VIF pública o cifrar el canal, DX es una conexión privada pero no cifrada por defecto, se debe realizar una VPN IPSEC dentro del DX. Esta conexión tampoco se expondrá por Internet y terminará en un elemento de AWS como Transit Gateway o VGW, este esquema se cubre a detalle aquí.
VIF de tránsito: Es la única interfaz que nos permite conectarnos directamente al AWS Transit Gateway vía DXGW y se debe realizar con Hosted connections o Dedicated connections de al menos 1 Gbps.
Similar a una VIF privada, con la VIF de tránsito nos podremos conectar principalmente a recursos definidos dentro de una VPC pero no a servicios globales de forma directa con la diferencia que esta conexión es vía un Transit Gateway.
Cuando tenemos ambientes multi-VPCs o multi-cuentas, para reducir la complejidad de mantener múltiples VPC Peerings, usualmente se usa Transit Gateway por sus beneficios de escalabilidad, simplicidad y segmentación. En estos escenarios privados la recomendación es utilizar Direct Connect Gateway con Transit Gateway permitiendo comunicar su centro de datos a múltiples VPCs en una región.
Es importante recordar que por cada Transit Gateway podremos anunciar hasta 20 prefijos desde AWS a su centro de datos, siendo estos prefijos los únicos a los que se podrá establecer comunicación. Además, el ASN del Transit Gateway y DXGW deben ser distintos para poder establecer la conexión entre ambos.
Finalmente, la arquitectura común es utilizar enlaces a 1Gbps para hacer conexiones directas con Transit Gateway. Si esto no es posible, y se deseara utilizar una Hosted Connection menor a 1 Gbps, se deberá evaluar costo-beneficio y complejidad técnica para poder desarrollar un escenario de VIF publica, VPN IPSEC y Transit Gateway.
Consideración Importante
Todos los enlaces dedicados de DX tanto Hosted Connection y Dedicated Connection por defecto no son redundantes en caso de fallos; por esta razón es importante pensar en más de un enlace dedicado o sistemas de respaldo vía VPN IPSEC Sitio a Sitio. Para poder realizar un diseño redundante, se cuenta con recomendaciones en AWS Direct Connect Resiliency Toolkit y estos diseños hacen uso de mecanismos avanzados de BGP para el control del tráfico.
Conclusiones
Una buena estrategia de conectividad híbrida es importante para el éxito de cualquier jornada a AWS, entre las diferentes alternativas de conectividad a la nube es importante validar la factibilidad de un enlace dedicado. AWS Direct Connect provee la capacidad de crear enlaces dedicados desde los centros de datos corporativos hacia AWS a través de múltiples localidades distribuidas globalmente.
Se tienen diferentes opciones de velocidades, tipos (Dedicated connections o Hosted connections) y formas de realizar las conexiones de DX (VIF privadas, públicas o de tránsito). Es por ello que antes de iniciar con un proyecto de implementación debemos tener visión integral, no solo como establecer conectividad vía BGP, y comprender las diferencias y los flujos completos desde nuestro centro de datos hasta AWS para poder elegir la mejor opción para nuestro escenario.
En este blog revisamos tres opciones de conectividad, pero es recomendable conocer todas las alternativas y otras arquitecturas de referencia que puedes encontrar aquí.
Acrónimos
- DX: Amazon Direct Connect.
- DXGW: Amazon Direct Connect Gateway.
- VGW: Virtual Private Gateway.
- CGW: Customer Gateway.
- TGW: Transit Gateway.
- ASN: Numero de Sistema Autónomo (Autonomous System Number).
- APN: AWS Partner Network.
- VIF: Interfaz Virtual (Virtual Interface).
- NAT: Network Address Translation.
Sobre el autor
Gerardo Vazquez es Arquitecto de Soluciones para Telco Partners en AWS México.
Revisores
Gabriela Díaz es Arquitecta de Soluciones en AWS.
Silvio Nunes es Arquitecto de Soluciones de Enterprize en AWS.