El documento presenta diferentes arquitecturas para conectar un centro de datos corporativo a AWS, incluyendo VPN gestionada por AWS, VPN implementada con EC2, y AWS Direct Connect. Explica las opciones de conexión, consideraciones de costo, rendimiento y resiliencia para cada arquitectura. También cubre escenarios híbridos que combinan estas soluciones para lograr mayor disponibilidad y tolerancia a fallos.
3. ¿Cuáles son las opciones para conectarse a AWS?
¿Qué es lo más apropiado para mis cargas de trabajo?
¿Cómo puedo iniciar y seguir creciendo?
Preguntas comunes
18. • Amazon VPC NO es igual a VPN
• Autenticación IPsec & cifrado
• Opciones de conexión hacía AWS
• VPN gestionada por AWS (AWS Managed VPN)
• VPN por software (EC2)
Información general sobre VPN
36. Costos
Rendimiento
Flexibilidad
Resiliencia
• Fácil de instalar, setup en minutos
• Cifrado de última generación NAT-T,
AES-256, SHA-2 y DH groups
• Estático (1 prefijo) o BGP (<100
prefijos)
• Repetir por cada VPC
• $0.05/hora por conexión VPN
• Data transfer
• Alta disponibilidad por defecto, 2
túneles por VPC
• Considerar redundancia de CGW (4
túneles por VPC)
• Se pueden conseguir velocidades
Multi Gbps por VPC (limitado por el
VGW)
VPN gestionada por AWS
43. Costos
Rendimiento
Flexibilidad
Resiliencia
• Open Source o productos comerciales
• Abierto a funcionalidad propietaria
• HA y escalado responsabilidad del cliente
• Soluciones avanzadas usando
automatización
• Licenciamiento del proveedor
• Costo por hora de EC2
• Costo de alta disponibilidad
• Data transfer
• HA vía instancia EC2 adicional en una
segunda AZ
• Se recomienda HA para clientes
• Determinado por tipo de instancia EC2
• Velocidades Multi Gbps por instancia
VPN (para todos los túneles)
• Es posible utilizar múltiples instancias
para la misma VPC
VPN por Software (EC2)
44. London DX
Seattle DX
Branch
Remote
workforce
Global HQ
Regional HQ
us-west-2 region
Transit VPCVPC
VPC
eu-west-1 region
Transit VPC VPC
VPC
ap-northeast-1
region
Transit VPC VPC
VPC
VPN
VPN
Transit VPC Global VPN backbone
https://aws.amazon.com/answers/networking/transit-vpc/
46. • Ofrecido desde 2011
• Conexión privada, separado de Internet
• Rendimiento de red consistente
• Más de 51 ubicaciones alrededor del mundo para conectarse
• Cada conexión se establece hacía 1 región AWS
• Múltiples ubicaciones para cada región AWS
• Reduce los costos de ancho de banda
AWS Direct Connect (DX)
48. Oregon
N. California
AWS Direct Connect (DX) en USA
SuperNAP
Equinix SE
CoreSite LA
N. Virginia
CoreSite NY
Equinix DC
CoreSite SV
OhioEquinix CH
QTS Chicago
Equinix DA
CoreSite VA
Equinix LA
Equinix SV
TierPoint
EdgeConneX
Pittock Block
49. Oregon
N. California
AWS Direct Connect (DX) en USA
SuperNAP
Equinix SE
CoreSite LA
N. Virginia
CoreSite NY
Equinix DC
CoreSite SV
OhioEquinix CH
QTS Chicago
Equinix DA
CoreSite VA
Equinix LA
Equinix SV
TierPoint
EdgeConneX
Pittock Block
50. Frankfurt
AWS Direct Connect (DX) en Europa y Asia Pacífico
Digital RealtyEircom Interxion Frankfurt
Sydney
Ireland
Tokyo
Singapore
Equinix OS
Beijing
Equinix TY
Equinix FR
Equinix SY
Global Switch
Equinix SG
CIDS
Sinnet
Eqinix LDInterxion
Interxion Madrid
Interxion Stockholm
Equinix AM
Global Switch
Mumbai
GPXSify Rabale
Seoul
KINX
Telehouse
54. 2) Circuito entre el datacenter del cliente y ubicación DX
3) Extendiendo la red del proveedor hacía ubicación DX
1) El cliente tiene presencia en ubicación DX
Escenarios de conexión AWS Direct Connect
56. Letter of Authorization and Connecting Facility Assignment
Please consider this letter as notification for connecting facility assignment for the purpose of
establishing or augmenting connectivity between the parties identified above. This document authorizes
a connection to the ports indicated above. All charges for the physical connection are the sole
responsibility of company.
For location specific information on requesting a cross-connect, visit the "Requesting Cross-Connects"
section of the user guide:
http://docs.aws.amazon.com/DirectConnect/latest/UserGuide/Colocation.html
The requester(s) use of AWS services will be governed by the terms of the AWS Customer Agreement
(available at http://aws.amazon.com/agreement), or a separate agreement between the requester(s)
and AWS.
EXPIRATION NOTICE The authorized connectivity must be completed within 90 days of this LOA-CFA's
issue date or this LOA-CFA will expire.
* Amazon Corporate LLC is a subsidiary of Amazon.com, Inc.
Issue Date .
Oct 13, 2016
Issued By* .
Amazon Web Services Spain S.L.
Facility - Meet Me Room .
Interxion MAD2 – MAD2.211
Customer Demarcation/ZSide .
Rack: R77B1.R99B09
Patch Panel: PP2:SOUTH
Strands: 40818
Requested By .
Company requesting name
Issued To .
Interxion, Madrid, ESP
Connection ID ..
MAD50_Test
Optic and Connector Types ..
1000BASE-LX Single Mode Fiber (SMF)
Lucent Connector (LC)
Letter of Authorization
and Connecting
Facility Assignment
AWS Direct Connect
65. 2) Circuito entre el datacenter del cliente y ubicación DX
3) Red del proveedor extendiendo hacía ubicación DX
Cuenta del cliente, control de interface, ruteo. Costo: puerto + data transfer
Depende de la oferta del proveedor de interconexión
1) El cliente tiene presencia en ubicación DX
Consideraciones de conexión DX
Igual que el punto anterior; más costo del circuito (partner)
66. Datos de entrada $0; datos de salida difieren por región
Considerar costos del circuito
Calcular costos de conexión vía VPN
Consideraciones de costos DX
Hora de puerto + data transfer
81. Costos
Rendimiento
Flexibilidad
Resiliencia
• 16 regiones AWS, 51 POPs worldwide
• LOA provista en menos de 72 horas
• El tiempo de habilitación del circuito
podría tomar semanas
• Hora puerto
• Transferencia saliente
• Proveedor del circuito / MPLS
• Rack para Colo (en caso de aplicar)
2 DX en 2 ubicaciones + VPN
2 DX en 2 ubicaciones separadas
2 DX en 1 ubicación DX
DX + VPN
DX
• Puerto de 1 Gbps o 10 Gbps
• Velocidades de 50, 100, 200, 300,
400 o 500 Mbps vía Partners
AWS Direct Connect (DX)
82. • Comenzar con 1 VPN gestionada por AWS
• Usar VPN mientras DX es habilitado
• El puerto se cobra cuando DX esta arriba o después de 90 días
• DX tiene preferencia sobre VPN cuando existen ambos
• Agregar puertos DX adicionales para resistencia / ancho de banda
• Planear para fallas, incluir falla de instalaciones
• Control de flujo de tráfico usando BGP y ruteo
• Levantar tickets de soporte en AWS en caso de dudas
Adaptación de la arquitectura
83. ¿A que nos estamos conectando?
Arquitecturas de conexión