O blog da AWS
Redes híbridas, como estabelecer uma conexão dedicada à AWS
Por Gerardo Vázquez Arquiteto de Solucões para Telco Partners na AWS México.
Por que usar o AWS Direct Connect?
Ao iniciar sua jornada para nuvem ou um projeto de migração, é importante ter um design de rede híbrida que além de ser a base para todos os serviços avançados da AWS (analytics, segurança, computação, etc.), também irá ajudá-lo a avançar com um plano de migração com sucesso.
Dependendo dos requisitos da sua aplicação, é possível escolher entre diferentes maneiras de usar os serviços em nuvem, como estabelecer uma VPN site-a-site ou mesmo usar um link dedicado.
Se você precisar de uma conectividade dedicada com desempenho consistente e maior largura de banda, você provavelmente precisará do AWS Direct Connect para estender sua rede corporativa para a nuvem.
Com o AWS Direct Connect (DX), você pode estabelecer essa conexão dedicada da sua rede para um dos pontos de interconexão onde existe acesso a rede global AWS. Existem várias opções para interconexão, como São Paulo, Rio de Janeiro, Miami, Dallas, dentre outros. É importante considerar a melhor localidade de acordo com os requisitos, necessidades e casos de uso. Importante ressaltar que esses locais DX são diferentes dos pontos de borda de distribuição de conteúdo ou pontos de presença.
Diferenças entre Conexões Dedicadas e Conexões Hospedadas
Existem dois tipos de conexões nas localidades de interconexão: Conexões Dedicadas e Conexões Hospedadas.
Os dispositivos da AWS fornecem conexões dedicadas com larguras de banda de 1 Gbps, 10 Gbps e, em alguns locais, conexões de 100 Gbps também já são suportadas; a velocidade total da porta está disponível e suporta várias interfaces virtuais. Importante notar que esse tipo de conexão pode ser criada pelos próprios clientes, provedores de telecomunicações e parceiros DX autorizados.
Para solicitar uma conexão dedicada, é necessário que você já tenha presença nos pontos de interconexão para que então seja estabelecida uma cross-conexão entre a AWS e seu dispositivo presente nesta localidade. É por este motivo que clientes geralmente solicitam conexões dedicadas através de provedores de telecomunicações e parceiros DX autorizados, que já possuem infraestrutura nesses locais.
Os parceiros do AWS Direct Connect são membros da AWS Partner Network (APN) e podem fornecer conectividade as localidades de DX dentro das geografias em que oferecem seus serviços. Esses parceiros estendem a conectividade da infraestrutura do seu datacenter para localidades DX. Além disso, eles têm a capacidade de fornecer conexões hospedadas para larguras de banda mais baixas comparadas as conexões dedicadas (1GB/10GB). Conexões hospedadas podem ser provisionadas com larguras de banda entre 50 Mbps a 10Gbps. Cada conexão hospedada suporta apenas uma interface virtual. Conexões hospedadas só podem ser solicitadas e gerenciadas por parceiros DX autorizados. Os clientes da AWS podem solicitar conexões hospedadas através desses parceiros. A lista completa de parceiros DX com experiência comprovada pela AWS de acordo com as melhores práticas pode ser encontrada aqui.
Outras diferenças importantes podem ser vistas na tabela a seguir:
Conexões dedicadas | Conexões hospedadas | |
Velocidades de largura de banda | 1 Gbps, 10 Gbps e 100 Gbps* | 50 Mbps, 100 Mbps, 200 Mbps, 300 Mbps, 400 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps e 10 Gbps |
Quem pode fazer usar o serviço? | Clientes DX aprovados, provedores de telecomunicações e parceiros | Apenas parceiros DX aprovados |
Número de Interfaces Virtuais | 50 VIFs privadas ou públicas e 1 VIF de trânsito | 1 VIF pública ou de trânsito VIF |
Largura de banda dedicada | Sim | Sim |
Quem inicia o processo? | O cliente em seu console na AWS | O parceiro DX aprovado |
Interconexão física para um único cliente? | Sim | Não, é tratado pelo parceiro da DX. |
Conexão direta com Transit GW? | Sim, com uma VIF de trânsito | Somente em conexões maiores que 1 Gbps com VIF de trânsito |
Estimativa base somente de porta no AWS por um mês** | $219.00 por 1 Gbps | $21.90 por 50 Mbps |
Tarefas e tempo de provisionamento sem considerar VIFs | Aceitar conexão de console, gerar guia de autorização, realizar interconexão física (semanas) | Aceitar conexão de console (dias) |
AVISO A tabela mostra preços representativos para conexões Direct Connect. Os valores atualizados e precisos devem ser obtidos a partir das informações descritas na página de serviço, aqui. *Conexão dedicada de 100 Gbps disponível apenas em locais específicos. **A estimativa apresentada utiliza o ponto de interconexão de Dallas com 730 horas como referência, nenhuma transferência de dados, link internacional ou última milha foi considerada para uma estimativa completa. Todos os valores estão em moeda “dólar”. |
Tipos de Interfaces Virtuais, seu uso e diferenças
Acessar recursos na AWS através do DX requer o estabelecimento de adjacências BGP (Border Gateway Protocol) para troca apropriada de rotas. Para isto, deve-se inicialmente criar Interfaces Virtuais (VIFs) constituíndo uma VLAN (802.1Q) e as opções associadas à sessão BGP. O AWS Direct Connect suporta três tipos de interfaces virtuais: pública, privada e trânsito, e seu uso depende dos recursos que você deseja acessar na AWS.
VIF privada – Permitir conectividade com IPs de recursos privados definidos dentro da Virtual Private Cloud (VPC). Com a VIF privada não é possível conectar-se diretamente a um Transit Gateway (TGW) ou mesmo a serviços globais.
O Direct Connect Gateway (DXGW) permite combinar um VIF privada com vários Gateways Virtuais Privados (VGWs) na região local ou em regiões remotas. Desta forma é possível estabelecer comunicação entre uma localidade de Direct Connect e
uma região AWS em uma área geográfica diferente. Uma sessão BGP é estabelecida entre o roteador do cliente e o Direct Connect Gateway. Ao contrário de uma conexão com VIFs públicas, , não é necessário usar endereçamento público e você não precisa esperar pelo processo de validação, sendo assim, as sessões de BGP com VIFs privadas podem ser configuradas em minutos.
No lado da AWS, a conexão com os recursos do VPC é feita através dos Virtual Gateways (VGWs), neste cenário o transit gateway não pode ser usado. É importante considerar os limites do DX, pois ele pode escalar até um máximo de 10 anexos VGW (attachments) por DXGW e não pode haver duplicidade de endereços entre os VPCs.
Em um fluxo de comunicação do datacenter corporativo para os recursos nos VPCs, você deve garantir que não haja duplicidade de endereçamento IP entre os recursos do seu datacenter e a AWS. Já para alcançar serviços públicos da AWS, como o S3, se encaminhará o tráfego pela Internet, mantendo um esquema mais simples; por outro lado, existem mecanismos para manter esse tráfego via DX e não pela Internet, mas eles não serão detalhados neste blog.
VIF pública: Utilizada para acessar os serviços públicos da AWS, mas não podemos usá-la para acessar serviços privados dentro do Virtual Private Cloud (VPC) ou mesmo para conexão direta com o Transit Gateway.
Na conexão WAN entre a AWS e o datacenter, o estabelecimento da sessão BGP requer endereçamento IP e ASNs públicas (Número do Sistema Autônomo). Como parte do processo, é obrigatório ser autorizado a fazer uso desses IPs pelo proprietário desses recursos e é por isso que a AWS realiza uma validação em aproximadamente 72 horas (mais detalhes desse processo aqui). Se você não tiver IPs públicos, eles podem ser fornecidos pela AWS (entre em contato com a AWS através de um caso de suporte).
É importante mencionar que essa conexão não é estabelecida pela Internet, e sim através do direct connect através de endereços públicos para evitar a duplicação de IPs na rede global AWS.
Um fluxo típico pode ser um usuário acessando serviços como o S3 a partir da sua rede local com endereçamento IP privado. Para isto, se deve realizar um NAT (Network Address Translation) antes de chegar à rede global AWS e normalmente isso é feito no roteador de borda ou em outro dispositivo como um firewall no seu datacenter corporativo. Além disso, o tráfego S3 deve ser roteado pela rede do cliente pelo link dedicado (DX) e não pela Internet. Finalmente, com os mecanismos BGP poderemos controlar as rotas enviadas e recebidas para acessar buckets no S3 ao redor do mundo, no mesmo continente ou região (mais detalhes neste artigo).
Abaixo fluxo de exemplo:
Se você precisa de conectividade com serviços privados hospedados dentro de um VPC usando uma VIF pública ou criptografando o canal, o DX é uma conexão privada padrão, mas não criptografada. Neste caso uma VPN IPSEC deve ser estabelecida por dentro do DX. Essa conexão também não será exposta pela Internet, e será terminada em um elemento AWS como TGW ou VGW, este esquema é coberto em detalhes aqui.
VIF de Trânsito: Este é o único tipo de interface que nos permite conectar diretamente ao AWS Transit Gateway via DXGW e deve ser feito com conexões hospedadas ou conexões dedicadas de pelo menos 1 Gbps.
Semelhante a uma VIF privada, com o VIF de trânsito, poderemos nos conectar principalmente aos recursos definidos dentro de um VPC, mas não aos serviços globais de forma direta, com a diferença de que essa conexão é através de um TGW.
Quando temos multi-VPCs ou ambientes com várias contas, se usa o Transit Gateway normalmente para reduzir a complexidade de vários peerings VPC, ele geralmente é usado por seus benefícios de escalabilidade, simplicidade e segmentação. Nestes cenários privados, a recomendação é usar o Direct Connect Gateway com o Transit Gateway, permitindo que você comunique seu data center a vários VPCs em uma região.
É importante lembrar que para cada TGW podemos anunciar até 20 prefixos da AWS para o seu datacenter, sendo esses prefixos os únicos que se poderá estabelecer comunicação. Além disso, o ASN do TGW e o DXGW devem ser diferentes para estabelecer a conexão entre eles.
Finalmente, a arquitetura comum é usar links de 1Gbps para fazer conexões diretas com o TGW. Se isso não for possível, e você quiser usar uma conexão Hosted inferior a 1 Gbps, será necessário avaliar o custo-benefício e complexidade técnica para desenvolver um cenário de VIF pública, IPSEC VPN e TGW.
Consideração importante
Por padrão, todos os links DX dedicados tanto de conexão hospedada quanto de conexão dedicada não são resilientes em caso de falhas; por essa razão, é importante pensar em mais de um link ou sistemas de backup através de VPN IPSEC site-a-site Para fazer um design resiliente, você pode utilizar as redomendações do AWS Direct Connect Resiliency Toolkit, estes designs fazem uso de mecanismos BGP avançados para controle de tráfego.
Conclusões
Uma boa estratégia de conectividade híbrida é importante para o sucesso da sua jornada para a AWS, entre as diferentes alternativas de conexão à nuvem é importante validar a viabilidade de um link dedicado. O AWS Direct Connect oferece a capacidade de criar links dedicados entre datacenters corporativos para AWS em vários locais distribuídos globalmente.
Eles estão disponíveis em diferentes opções de velocidades, tipos (conexões dedicadas ou conexões hospedadas) e maneiras de fazer conexões DX (VIFs privadas, públicas ou de trânsito). É por isso que antes de começarmos com um projeto de implantação devemos ter uma visão abrangente, não apenas como estabelecer conectividade via BGP, mas principalmente entender as diferenças e os fluxos de dados entre seu datacenter e a AWS, a fim de escolher então a melhor opção para o seu cenário.
Neste blog revisamos três opções de conectividade mas é aconselhável conhecer todas as alternativas e outras arquiteturas de referência que você pode encontrar aqui.
Acrônimos
- DX: Amazon Direct Connect.
- DXGW: Amazon Direct Connect Gateway.
- VGW: Virtual Private Gateway.
- CGW: Customer Gateway.
- TGW: Gateway de trânsito.
- ASN: Número do sistema autônomo.
- APN: AWS Partner Network.
- VIF: Interface Virtual.
- NAT: Tradução de endereço de rede.
Este artigo foi traduzido do Blog da AWS em Espanhol
Sobre o autor
Gerardo Vazquez es Arquitecto de Soluciones para Telco Partners en AWS México.
Revisores
Gabriela Díaz é Arquiteta de Soluções na AWS.
Silvio Nunes é Arquiteto de Soluções de Enterprize.