O blog da AWS

Padrões de design de rede híbrida no VMware Cloud on AWS

Por Sheng Chen, Arquiteto de Soluções Especializado Sênior na AWS. Traduzido ao Português por Vitor Euphrasio da Silva.

O VMware Cloud on AWS permite que os clientes implantem os datacenters definidos por software (SDDCs) da VMware e consumam cargas de trabalho do vSphere na infraestrutura global da Amazon Web Services (AWS) como um serviço gerenciado. Projetado em conjunto pela VMware e pela AWS, o VMware Cloud on AWS oferece uma verdadeira experiência de nuvem híbrida aos clientes.

À medida que os clientes adotam o VMware Cloud na AWS, tornou-se importante fornecer conectividade híbrida escalável e confiável para integrar seus SDDCs com serviços locais e nativos da nuvem. Os clientes também devem poder expandir a conectividade globalmente para atender perfeitamente às demandas de seus negócios.

Os clientes do VMware Cloud on AWS têm requisitos adicionais de segurança de rede, incluindo criptografia de rede, integração de firewall e segmentação de tráfego, que precisam ser atendidos.

Neste post, explorarei os padrões e considerações de design de rede híbrida no VMware Cloud on AWS. Analisarei várias opções de design de arquitetura de rede e casos de uso que atendem aos requisitos do cliente.

AWS Direct Connect

O AWS Direct Connect é um serviço de rede em nuvem que fornece conectividade dedicada de suas instalações para a AWS. Usando o AWS Direct Connect, você pode estabelecer conexões seguras e privadas entre a AWS e seu local com tipos de conexão flexíveis e velocidades de 50 Mbps a 100 Gbps. Como resultado, ele fornece desempenho de rede mais consistente, maior taxa de transferência e menor custo de transferência de dados (DTO) do que a conexão baseada na Internet.

Por esses motivos, é recomendável que os clientes implantem o AWS Direct Connect para conectar seu ambiente local com os SDDCs e serviços nativos da nuvem da VMware Cloud on AWS. Você pode consultar esta postagem no blog da AWS sobre como criar conexões no Direct Connect no VMware Cloud on AWS com as melhores práticas.

Interface virtual privada (VIF privada)

Com uma conexão dedicada do AWS Direct Connect, você pode usar as VLANs 802.1Q que são o padrão do setor para criar até 50 partições lógicas no link físico chamado interfaces virtuais (VIFs). Isso inclui VIFs privadas, públicas e de trânsito.

Para clientes com um pequeno espaço na nuvem que inclui um único SDDC e algumas Amazon Virtual Private Clouds (Amazon VPCs), você pode criar e atribuir uma VIF privada para cada VPC e SDDC para estabelecer conectividade com o ambiente local.

Uma VIF privada é estabelecida entre um gateway do cliente e um gateway privado virtual dentro da VPC. No caso do VMware Cloud on AWS, a VIF privada é encerrada no Virtual Private Gateway dentro da VPC sombra gerenciada pela VMware que hospeda o SDDC. Uma sessão do Border Gateway Protocol (BGP) estabelecida por meio da VIF privada é usada para aprender e anunciar rotas entre o local e a nuvem da AWS.

Figura 1 — Conectando VPCs e SDDC usando VIFs privados.

Figura 1 — Conectando VPCs e SDDC usando VIFs privados.

Embora esse design forneça conectividade privada simples, ele não oferece nenhum recurso de roteamento transitivo de VPC para VPC ou VPC para SDDC na região da AWS. Isso leva ao aumento da latência e a um possível gargalo na taxa de transferência no gateway do cliente.

Além disso, como cada VIF privada exige uma sessão BGP separada, esse design adiciona sobrecarga adicional de gerenciamento e limita a escalabilidade geral da rede.

Interface virtual de trânsito (VIF de trânsito)

Para obter um design de rede mais escalável, os clientes podem implantar uma VIF de trânsito (em vez de várias VIFs privadas), que agora é compatível com todos os tipos e velocidades de conexão do Direct Connect. Nesse caso, uma única sessão de BGP é estabelecida na VIF de trânsito e encerrada em um Direct Connect Gateway, o qual é então associado a um AWS Transit Gateway que fornece roteamento transitivo entre VPCs e entre locais e VPCs na mesma região da AWS.

Além disso, você pode estabelecer uma rede privada virtual (VPN) entre o Appliance do NSX Edge do SDDC e o AWS Transit Gateway usando um anexo da VPN. O AWS Transit Gateway agora pode rotear o tráfego entre o SDDC, as VPCs e o local usando o mesmo Transit VIF. Até quatro túneis VPN IPsec baseados em rotas com Equal-Cost Multi-Path (ECMP) são suportados no NSX Edge para fornecer maior largura de banda e resiliência.

Figura 2 — Conectando VPCs e SDDC usando Transit VIF com Transit Gateway.

Figura 2 — Conectando VPCs e SDDC usando Transit VIF com Transit Gateway.

Clientes com vários SDDCs que exigem conectividade de alta largura de banda podem aproveitar o VMware Transit Connect para fornecer comunicação de alta velocidade entre os SDDCs.

O Transit Connect é uma solução do AWS Transit Gateway gerenciada pela VMware que interconecta SDDCs dentro de um grupo de SDDC e estabelece conectividade resiliente com o local por meio de um Direct Connect Gateway. Ele elimina a sobrecarga de gerenciamento de VPN e ajuda os clientes a simplificar as operações de rede em grande escala por meio de propagações automáticas de rotas para tabelas de rotas em cada SDDC.

Figura 3 — VMware Transit Connect.

Figura 3 — VMware Transit Connect.

No entanto, é importante observar que o VMware Transit Connect só oferece suporte ao fluxo de tráfego originado ou destinado a recursos em um SDDC. Conforme mostrado no diagrama abaixo, todos os fluxos ou tráfego entre VPCs e locais serão descartados no Transit Connect.

Figura 4 — Padrões de fluxo não suportados pelo Transit Connect.

Figura 4 — Padrões de fluxo não suportados pelo Transit Connect.

Arquitetura de rede escalável na AWS

Aproveite o emparelhamento intrarregional do AWS Transit Gateway

Durante o AWS re:Invent 2021, anunciamos o peering intrarregional do Transit Gateway, que pode superar as restrições de fluxo do VMware Transit Connect. Esse novo recurso traz conectividade externa de VPCs e da VIF de trânsito para grupos de SDDC, aproveitando o emparelhamento intrarregional entre o AWS Transit Gateway e o VMware Transit Connect.

O tráfego de VPC para VPC e de VPC para local será roteado diretamente no AWS Transit Gateway, ignorando as restrições do VMware Transit Connect. O tráfego de SDDC para VPC e SDDC para o local atravessará o VMware Transit Connect e, em seguida, pelo AWS Transit Gateway por meio do anexo de emparelhamento intrarregional.

Figura 5 — Conectando o AWS Transit Gateway e o VMware Transit Connect usando o peering intrarregional.

Figura 5 — Conectando o AWS Transit Gateway e o VMware Transit Connect usando o peering intrarregional.

Expanda para várias regiões com o AWS Transit Gateway Inter-Region Peering

Clientes com vários SDDCs e VPCs em várias regiões da AWS podem facilmente expandir a conectividade híbrida para uma escala global utilizando o recurso de emparelhamento entre regiões do Transit Gateway. O AWS Direct Connect Gateway, sendo um recurso global, é capaz de se associar a até três Transit Gateways para estabelecer conectividade entre várias regiões da AWS e no local por meio da VIF de trânsito existente.

Além disso, usando uma combinação de emparelhamento intrarregional e inter-regional do Transit Gateway, você pode criar conectividade entre SDDCs, VPCs e locais na mesma região ou em diferentes regiões da AWS. O diagrama a seguir ilustra vários fluxos de tráfego em uma implantação multirregional que compartilha a mesma conexão Direct Connect.

Figura 6 — Conexão compartilhada do Direct Connect para VPCs e SDDCs em uma implantação multirregional.

Figura 6 — Conexão compartilhada do Direct Connect para VPCs e SDDCs em uma implantação multirregional.

Clientes com requisitos sensíveis à latência entre locais e SDDCs, ou que preferem ter um uplink dedicado em grupos de SDDC, podem implantar uma conexão Direct Connect separada com uma VIF de trânsito diferente para conectar seu VMware Transit Connect.

Figura 7 — Conexões Direct Connect separadas para VPCs e SDDCs em uma implantação multirregional.

Figura 7 — Conexões Direct Connect separadas para VPCs e SDDCs em uma implantação multirregional.

Esse design ajuda a transferir o tráfego do SDDC para o local em um Direct Connect Gateway diferente e em trânsito VIF, reduzindo, assim, possíveis gargalos no peering intrarregional. Ele fornece escalabilidade máxima e os SDDCs em cada região têm largura de banda de até 50 Gbps para acessar recursos dentro de VPCs.

Criptografia de rede

Alguns clientes podem planejar migrar cargas de trabalho sensíveis para dentro de SDDCs ou exigir criptografia de dados em trânsito. Nesse caso, você pode criar VPNs IPsec pela Internet ou por meio de uma VIF pública do AWS Direct Connect com desempenho mais confiável e consistente.

É recomendável executar túneis VPN centralizados do seu gateway local para o AWS Transit Gateway (em vez de para cada SDDC) e, em seguida, levar o tráfego para os SDDCs usando o peering intrarregional. Cada túnel IPsec fornece uma taxa de transferência máxima de 1,25 Gbps e os clientes podem utilizar o ECMP para escalar a taxa de transferência da VPN em até 50 Gbps para o AWS Transit Gateway. Esse design reduz a sobrecarga de gerenciamento de estabelecer túneis VPN em SDDCs individuais e evita restrições de VPN no VMware Transit Connect.

Em junho de 2022, a AWS anunciou o recurso de VPN IP privado que fornece uma opção alternativa para criptografar o tráfego do Direct Connect entre o local e a AWS por meio de uma VIF em trânsito, sem a necessidade de endereços IP públicos. Esse recurso melhora sua postura geral de segurança e permite maior privacidade na rede. Além disso, os clientes têm a flexibilidade de utilizar a VPN IP privada via Direct Connect como o caminho principal, enquanto usam a VPN pela Internet como caminho de backup.

Figura 8 — Use VPN IP privado como caminho primário e VPN pela Internet como backup.

Figura 8 — Use VPN IP privado como caminho primário e VPN pela Internet como backup.

Com a introdução da segurança MACsec (IEEE 802.1AE) em 2021, o AWS Direct Connect agora oferece uma nova opção de criptografia para clientes que executam conexões dedicadas de 10 Gbps ou 100 Gbps em locais selecionados. Com essa versão, o AWS Direct Connect oferece proteção nativa, proteção de links ponto a ponto na camada 2 criptografando o ethertype e a carga útil do quadro.

A criptografia MACsec oferece os seguintes benefícios:

  • Garante confidencialidade e integridade, protege os links Ethernet contra ameaças como espionagem intermediária e escutas telefônicas passivas.
  • Os dados criptografados são transmitidos em uma velocidade próxima à linha.
  • Padrão aberto — padrão IEEE 802.1ae suportado por vários fornecedores.
  • Elimina a complexidade do gerenciamento de vários túneis VPN IPsec.

Conforme mostrado no diagrama abaixo, a criptografia MACsec é configurada de forma transparente na camada 2 entre o dispositivo AWS Direct Connect e o gateway do cliente. Nenhuma sobreposição de VPN é necessária e toda a carga útil da camada 3 e superior é totalmente criptografada antes de chegar à rede da AWS.

Figura 9 — Conexão direta com criptografia MACsec.

Figura 9 — Conexão direta com criptografia MACsec.

Segurança e Segmentação de rede

Aproveitando o emparelhamento intrarregional do AWS Transit Gateway, os clientes podem integrar uma VPC de segurança ao grupo SDDC para inspeção centralizada do tráfego. Você pode implantar o serviço AWS Network Firewall que é altamente disponível e escalável ou serviços de firewall de terceiros na VPC de segurança usando o Gateway Load Balancer.

Com esse design, os seguintes fluxos de tráfego podem ser inspecionados usando a VPC de segurança:

  • Entre SDDC e VPC
  • Entre o SDDC e o local
  • Entre SDDC e internet
  • Entre VPC e VPC
  • Entre o VPC e o local
  • Entre VPC e internet

Observe que a inspeção de tráfego leste-oeste entre SDDCs dentro do mesmo grupo de SDDC não é suportada atualmente. Mais detalhes sobre os modelos de implantação de firewall e as melhores práticas estão disponíveis nas seguintes postagens do blog da AWS:

Figura 10 — Integração com uma VPC de segurança para inspeção de tráfego centralizada.

Figura 10 — Integração com uma VPC de segurança para inspeção de tráfego centralizada.

Além do caso de uso da criptografia de rede, outro cenário possível é usar VPNs com IPs privados para a segmentação de tráfego. Você pode estender diferentes instâncias virtuais de roteamento e encaminhamento (VRFs) locais para o Transit Gateway criando um anexo de VPN com IP privado por VRF.

No exemplo abaixo, você pode ver duas tabelas de rotas separadas do Transit Gateway criadas para ambientes de produção e não produção. VPCs de produção, conexão de VPN de produção e emparelhamento intrarregional do Transit Connect de produção são associados e propagados para a tabela de rotas de produção.

Uma configuração semelhante é aplicada à tabela de rotas de não produção. Isso cria uma segmentação de rede de ponta a ponta de VRFs locais para VPCs e SDDCs para cada ambiente correspondente.

Figura 11 — Segmentação de tráfego com VPNs IP privadas.

Figura 11 — Segmentação de tráfego com VPNs IP privadas.

VPC conectada

Os clientes do VMware Cloud on AWS podem integrar perfeitamente seus SDDCs aos serviços nativos da AWS. Durante um processo de integração do SDDC, os clientes podem estabelecer conectividade de alta largura de banda e baixa latência com uma VPC designada, que geralmente é chamada de VPC conectada. Essa conectividade é estabelecida usando a interface de rede elástica (X-ENI) entre contas entre o dispositivo do NSX Edge na conta paralela gerenciada pela VMware e uma sub-rede dentro da VPC conectada na conta gerenciada pelo cliente.

A transferência de dados entre o SDDC e a VPC conectada não incorrerá em nenhum custo de saída, desde que o SDDC e os serviços nativos destinados residam na mesma zona de disponibilidade (AZ) da AWS.

Uma única VPC conectada consolidada também pode ser usada para simplificar o compartilhamento de serviços nativos com vários SDDCs. As cargas de trabalho de máquinas virtuais (VM) executadas em vários SDDCs e acessando serviços nativos hospedados na VPC conectada utilizarão o X-enis em vez de atravessar o VMware Transit Connect, melhorando assim a eficiência das operações e minimizando os custos de transferência de dados. É recomendável reservar um bloco /26-CIDR na sub-rede X-ENI para cada SDDC, conforme discutido neste whitepaper.

No exemplo a seguir, temos um SDDC de produção implantado no AZ1 e um SDDC de recuperação de desastres (DR) implantado no AZ2. Ambos os SDDCs são conectados à mesma VPC conectada via X-enis conectados a sub-redes separadas em suas AZs correspondentes onde os SDDCs residem.

Como melhor prática, habilitamos o suporte Multi-AZ em serviços nativos, como o Amazon FSx e o Amazon Relational Database Service (Amazon RDS) na VPC conectada. Isso garante que as cargas de trabalho da VM ainda possam acessar esses serviços por meio do X-ENI após o failover para o DR SDDC durante uma falha no AZ. Além disso, as instâncias ativas desses serviços nativos devem ser configuradas na mesma AZ do SDDC de produção para evitar cobranças de dados entre AZ durante as operações normais.

Figura 12 — Usando uma VPC conectada compartilhada com vários SDDCs.

Figura 12 — Usando uma VPC conectada compartilhada com vários SDDCs.

Considerações adicionais

O AWS Direct Connect é o pilar fundamental para estabelecer conectividade híbrida com o VMware Cloud on AWS e em ambientes nativos da nuvem. É altamente recomendável usar conexões de mais de um local do AWS Direct Connect para garantir a resiliência contra falhas no dispositivo ou no colocation. Saiba mais sobre as topologias recomendadas e as melhores práticas para alcançar vários níveis de resiliência usando o AWS Direct Connect.

Se você tiver requisitos de acesso de baixa latência a serviços essenciais, como o Amazon Aurora, ou aplicativos com uso intenso de E/S, como backup de SDDCs para o Amazon Simple Storage Service (Amazon S3), é recomendável implantar esses serviços na VPC conectada para melhorar o desempenho do aplicativo e otimizar os custos de transferência de dados.

Com o recente anúncio da redução do preço da transferência de dados, a transferência de dados entre AZ dentro da mesma região da AWS para o AWS PrivateLink, o AWS Transit Gateway e o AWS Client VPN agora é gratuita. Isso ajuda nossos clientes a reduzir ainda mais os custos ao transferir dados entre SDDCs ou acessar serviços nativos em diferentes AZs por meio do VMware Transit Connect, ou do AWS Transit Gateway.

Resumo

Neste post, discuti os padrões de design de rede híbrida VMware Cloud on AWS e as considerações para interconectar seus SDDCs com serviços locais e da AWS, aproveitando as construções de rede da AWS.

Para saber mais, recomendamos que você analise esses recursos adicionais:

Este conteúdo é uma tradução do blog original em inglês link aqui.