¿Cómo puedo configurar puntos de conexión de VPC entre regiones para los servicios de AWS?

Última actualización: 31/03/2022

Quiero configurar puntos de conexión entre regiones de Amazon Virtual Private Cloud (Amazon VPC) para poder acceder a un recurso de AWS, como los buckets de Amazon Simple Storage Cloud (Amazon S3), mediante un enlace privado. ¿Cómo lo hago?

Descripción corta

Puede implementar recursos como Amazon Elastic Compute Cloud (Amazon EC2), VPC y Amazon Relational Database Service (Amazon RDS), en diferentes regiones de AWS. Esta implementación ayuda a la alta disponibilidad de los recursos y proporciona a los usuarios un acceso más rápido a los datos. También puede implementar puntos de conexión de VPC para acceder a los recursos públicos de AWS, como Simple Storage Service (Amazon S3) y Amazon DynamoDB, a través de un enlace privado. Sin embargo, solo puede acceder a estos puntos de conexión de VPC desde la misma región. Por ejemplo, si implementa un punto de conexión de VPC de S3 en la región us-west-2, podrá acceder a los buckets de S3 en us-west-2 desde ese punto de conexión de VPC. El tráfico hacia los buckets de otras regiones viajará por Internet.

Resolución

Use los siguientes pasos para crear un emparejamiento de VPC entre las VPC para acceder a los puntos de conexión en una región diferente:

Nota: Para la resolución de este ejemplo, se utilizan las siguientes variables:

  • La VPC1 (10.100.10.0/24) se encuentra en la región us-east-1.
  • La VPC1 tiene un punto de conexión de S3.
  • La VPC2 (172.16.20.0/24) se encuentra en la región us-east-2.
  • Los usuarios de la región us-east-2 desean acceder al bucket de S3 en us-east-1 mediante el punto de conexión de S3 en la región us-east-1.

Configurar el emparejamiento de VPC entre VPC1 y VPC2

1.    Abra la consola de Amazon VPC. Asegúrese de que se encuentra en la región us-east-1.

2.    Seleccione VPC peering connections (Conexiones de emparejamiento de VPC).

3.    Seleccione Create peering connection (Crear conexión de emparejamiento).

4.    Ingrese un Nombre para la conexión de emparejamiento.

5.    En Select a local VPC to peer with (Seleccionar una VPC local a la que emparejarse), ingrese el ID de VPC (en este ejemplo, el ID de VPC1).

5.    En Select another VPC to peer with (Seleccionar una VPC local a la que emparejarse), en la opción Account (Cuenta), si se trata de una VPC remota que pertenece a la misma cuenta, seleccione My account (Mi cuenta). Si no se trata de una VPC remota que pertenezca a la misma cuenta, seleccione Another account (Otra cuenta) y, a continuación, ingrese el ID de cuenta.

7.    En Select another VPC to peer with(Seleccionar una VPC local a la que emparejarse), en la opción Region (Región), seleccione Another Region (Otra región) y, a continuación, ingrese el ID de VPC remota que desee. (en este ejemplo, el ID de VPC es del VPC2)

8.    Seleccione Create peering connection (Crear conexión de emparejamiento). El estado de la conexión de emparejamiento cambiará a pending acceptance (aceptación pendiente).

9.    Cambie la Región a us-east-2.

10.    En la consola de Amazon VPC, seleccione VPC peering connections (Conexiones de emparejamiento de VPC).

11.    Seleccione Actions (Acciones),Accept request (Aceptar solicitud).

Actualizar la tabla de enrutamiento de subred y el destino de la tabla de enrutamiento

1.    Agregue una ruta en la tabla de enrutamiento de subred para el punto de conexión us-east-1 para 172.16.20.0/24 (VPC2).

2.    Agregue una ruta en el destino de la tabla de enrutamiento del usuario en us-east-2 para 10.100.10.0/24 (VPC1) como conexión de emparejamiento (pcx-xxxxxxxxxxxxxx).

Acceder al bucket de S3

Acceda al bucket de S3 mediante el FQDN del punto de conexión de VPC desde la VPC remota:

aws s3 --region us-east-1 --endpoint-url https://bucket.vpce-xxxxxxxxxxx.s3.us-east-1.vpce.amazonaws.com ls s3://my-bucket/

Solución de problemas

  • Las tablas de enrutamiento de subredes de VPC locales y remotas deben tener rutas que se dirijan entre sí como conexiones de emparejamiento.
  • La política de permisos del punto de conexión de VPC debe permitir el ID de la VPC remota.
  • Los grupos de seguridad aplicados a los puntos de conexión de VPC deben permitir las subredes de la VPC remota.

¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?