Documentos de Académico
Documentos de Profesional
Documentos de Cultura
com
enero 2018
© 2018, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Avisos
Este documento es provisto únicamente con fines informativos. Representa las ofertas y
prácticas actuales de productos de AWS a la fecha de emisión de este documento, que
están sujetas a cambios sin previo aviso. Los clientes son responsables de realizar su
propia evaluación independiente de la información de este documento y cualquier uso de
los productos o servicios de AWS, cada uno de los cuales se proporciona "tal cual" sin
garantía de ningún tipo, ya sea expresa o implícita. Este documento no crea garantías,
representaciones, compromisos contractuales, condiciones o garantías de AWS, sus
afiliados, proveedores o licenciantes. Las responsabilidades y obligaciones de AWS con sus
clientes están controladas por los acuerdos de AWS, y este documento no forma parte ni
modifica ningún acuerdo entre AWS y sus clientes.
Contenido
Introducción 1
Opciones de conectividad de red a Amazon VPC 2
VPN administrada por AWS 4
Conexión directa de AWS 6
Conexión directa de AWS + VPN 8
Centro de nube de VPN de AWS 10
VPN de software 11
VPC de tránsito 13
Opciones de conectividad de Amazon VPC a Amazon VPC 14
Intercambio de tráfico de VPC dieciséis
VPN de software 17
VPN administrada de software a AWS 19
VPN administrada por AWS 20
Conexión directa de AWS 22
Enlace privado de AWS 25
Opciones de conectividad interna de usuario a Amazon VPC 26
Software VPN de acceso remoto 27
Conclusión 29
Apéndice A: Arquitectura HA de alto nivel para instancias de VPN de software 30
Supervisión de VPN 31
Colaboradores 31
Revisiones de documentos 32
Abstracto
Amazon Virtual Private Cloud (Amazon VPC) permite a los clientes aprovisionar una
sección privada y aislada de la nube de Amazon Web Services (AWS) donde pueden
lanzar recursos de AWS en una red virtual utilizando rangos de direcciones IP
definidos por el cliente. Amazon VPC ofrece a los clientes varias opciones para
conectar sus redes virtuales de AWS con otras redes remotas. Este documento
describe varias opciones comunes de conectividad de red disponibles para nuestros
clientes. Estos incluyen opciones de conectividad para integrar redes de clientes
remotos con Amazon VPC y conectar varias Amazon VPC en una red virtual contigua.
Introducción
Amazon VPC ofrece múltiples opciones de conectividad de red para que las aproveche
según los diseños y requisitos de su red actual. Estas opciones de conectividad
incluyen aprovechar Internet o una conexión de AWS Direct Connect como la columna
vertebral de la red y terminar la conexión en puntos finales de red administrados por
el usuario o de AWS. Además, con AWS, puede elegir cómo se entrega el
enrutamiento de red entre Amazon VPC y sus redes, aprovechando AWS o los equipos
y rutas de red administrados por el usuario. Este documento técnico considera las
siguientes opciones con una descripción general y una comparación de alto nivel de
cada una:
Página 1
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
La conectividad de VPC a las redes de clientes remotos se logra mejor cuando se utilizan
rangos de IP que no se superponen para cada red que se conecta. Por ejemplo, si
Página 2
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
desea conectar una o más VPC a su red doméstica, asegúrese de que estén configuradas con
rangos únicos de enrutamiento entre dominios sin clase (CIDR). Recomendamos asignar un
bloque CIDR único, contiguo y que no se superponga para que lo utilice cada VPC. Para
obtener información adicional sobre el enrutamiento y las restricciones de Amazon VPC,
consulte laPreguntas frecuentes sobre Amazon VPC .1
de protocolo (BGP)
enrutamiento dinámico)
AWS directo red dedicada Rendimiento de red más Puede requerir adicional
Conectar conexión terminada predecible Reducido telecomunicaciones y hospedaje
1 o 10 Gbps aprovisionado
enrutamiento BGP
AWS directo VPN IPsec Igual que la opción anterior Igual que la opción anterior con
Conectar + conexión terminada con la adición de una un poco de complejidad VPN
vpn lineas privadas conexión VPN IPsec segura adicional
Página 3
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
VPN de AWS Conectar control remoto Reutilice las conexiones de Internet La latencia, la variabilidad y la
CloudHub sucursales en un existentes y las conexiones VPN de disponibilidad de la red son
hub-and-spoke AWS (por ejemplo, use AWS VPN dependiente de internet
modelo para conectividad CloudHub como conectividad de Los terminales de las sucursales
primaria o de respaldo respaldo a una red MPLS de terceros) administrados por el usuario son
responsables de implementar
Software dispositivo de software- Admite una gama más amplia de proveedores, El cliente es responsable de
vpn VPN basada productos y servicios de VPN. implementar HA (alto
conexión sobre el protocolos disponibilidad) soluciones para todos los
solución
Tránsito dispositivo de software- Igual que la opción anterior con Igual que la sección
VPC VPN basada la adición de una conexión VPN anterior
conexión con concentrador administrada por AWS
VPC entre las VPC de concentrador y radio
VPN IPsec
conexión para habló
conexión VPC
Amazon VPC brinda la opción de crear una conexión VPN IPsec entre las redes de clientes
remotos y su Amazon VPC a través de Internet, como se muestra en la siguiente figura.
Considere la posibilidad de adoptar este enfoque cuando desee aprovechar un punto de enlace
de VPN administrado por AWS que incluye redundancia automatizada de varios centros de
datos y conmutación por error integrada en el lado de AWS de la conexión VPN. Aunque no se
muestra, la puerta de enlace privada virtual de Amazon representa dos puntos finales de VPN
distintos, ubicados físicamente en centros de datos separados para aumentar la disponibilidad
de su conexión VPN.
Página 4
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
La puerta de enlace privada virtual también admite y fomenta conexiones de puerta de enlace de
múltiples usuarios para que pueda implementar la redundancia y la conmutación por error en su
lado de la conexión VPN, como se muestra en la siguiente figura. Se proporcionan opciones de
enrutamiento dinámico y estático para brindarle flexibilidad en su configuración de enrutamiento. El
enrutamiento dinámico utiliza emparejamiento BGP para intercambiar información de enrutamiento
entre AWS y estos puntos de enlace remotos. Con el enrutamiento dinámico, también puede
especificar prioridades de enrutamiento, políticas y pesos (métricas) en sus anuncios de BGP e influir
en la ruta de red entre sus redes y AWS.
Es importante tener en cuenta que cuando utiliza BGP, las conexiones IPSec y BGP deben
terminar en el mismo dispositivo de puerta de enlace de usuario, por lo que debe ser
capaz de terminar las conexiones IPSec y BGP.
Página 5
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Recursos adicionales
• Adición de una puerta de enlace privada virtual a su VPC 2
• Dispositivos de Customer Gateway que se sabe que funcionan con Amazon VPC 4
Página 6
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Instancias de Amazon Elastic Compute Cloud (Amazon EC2) que se ejecutan dentro de una VPC
de Amazon utilizando direcciones IP privadas. Puede elegir entre un ecosistema de
proveedores de servicios WAN para integrar su punto de enlace de AWS Direct Connect en una
ubicación de AWS Direct Connect con sus redes remotas. La siguiente figura ilustra este patrón.
También puede trabajar con su proveedor para crear una conexión sub-1G o utilizar un grupo
de agregación de enlaces (LAG) para agregar varias conexiones de 1 gigabit o 10 gigabits en un
solo punto de enlace de AWS Direct Connect, lo que le permite tratarlas como una única
conexión administrada.
AWS Direct Connect le permite conectar su conexión de AWS Direct Connect a una o más VPC en su
cuenta que se encuentran en la misma o en diferentes regiones. Puede usar la puerta de enlace
Direct Connect para lograr esto. Una puerta de enlace Direct Connect es un recurso disponible
globalmente. Puede crear la puerta de enlace de Direct Connect en cualquier región pública y
acceder a ella desde todas las demás regiones públicas.
Esta característica también le permite conectarse a cualquiera de las VPC participantes desde
cualquier ubicación de Direct Connect, lo que reduce aún más los costos de uso de los
servicios de AWS entre regiones. La siguiente figura ilustra este patrón.
Página 7
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Recursos adicionales
• Página de producto de AWS Direct Connect 5
Puede usar AWS Direct Connect para establecer una conexión de red dedicada entre su
red y crear una conexión lógica con los recursos públicos de AWS, como un punto de
enlace IPsec de puerta de enlace privada virtual de Amazon. Esta solución combina los
beneficios administrados por AWS de la solución VPN con baja latencia, mayor
Página 8
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
ancho de banda, beneficios más consistentes de la solución AWS Direct Connect y una
conexión IPsec segura de extremo a extremo.
Privado
Instancias EC2
Remoto
Subred 2 de VPC
Servidores
VPC de Amazon
Recursos adicionales
• Página de producto de AWS Direct Connect 9
Página 9
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Sobre la base de la VPN administrada por AWS yConexión directa de AWS Con las
opciones descritas anteriormente, puede comunicarse de forma segura de un sitio a otro
mediante AWS VPN CloudHub. AWS VPN CloudHub funciona con un modelo concentrador
y radial simple que puede usar con o sin una VPC. Utilice este diseño si tiene varias
sucursales y conexiones a Internet existentes y desea implementar un modelo hub-and-
spoke conveniente y potencialmente económico para la conectividad principal o de
respaldo entre estas oficinas remotas.
La siguiente figura muestra la arquitectura de AWS VPN CloudHub, con líneas discontinuas
azules que indican el tráfico de red entre sitios remotos que se enrutan a través de sus
conexiones de AWS VPN.
Cliente
Red de clientes
Instancias EC2
Cliente
Zona de disponibilidad
Red de clientes
Virtual
Instancias EC2
Subred 2 de VPC
Cliente
Red de clientes
AWS VPN CloudHub aprovecha una puerta de enlace privada virtual de Amazon VPC con varias
puertas de enlace, cada una de las cuales utiliza números de sistema autónomo (ASN) de BGP
únicos. Sus puertas de enlace anuncian las rutas apropiadas (prefijos BGP) a través de sus
conexiones VPN. Estos anuncios de enrutamiento se reciben y
Página 10
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
vuelto a anunciar a cada par BGP para que cada sitio pueda enviar y recibir datos de
los otros sitios. Los prefijos de red remota para cada radio deben tener ASN únicos y
los sitios no deben tener rangos de IP superpuestos. Cada sitio también puede enviar
y recibir datos de la VPC como si estuviera usando una conexión VPN estándar.
Esta opción se puede combinar con AWS Direct Connect u otras opciones de VPN (por
ejemplo, varias puertas de enlace por sitio para redundancia o enrutamiento de red
troncal que proporcione) según sus requisitos.
Recursos adicionales
• Centro de nube de VPN de AWS 12
• Dispositivos de Customer Gateway que se sabe que funcionan con Amazon VPC 15
VPN de software
Amazon VPC le ofrece la flexibilidad de administrar completamente ambos lados de su
conectividad de Amazon VPC al crear una conexión VPN entre su red remota y un dispositivo
VPN de software que se ejecuta en su red de Amazon VPC. Se recomienda esta opción si debe
administrar ambos extremos de la conexión VPN, ya sea por motivos de cumplimiento o para
aprovechar los dispositivos de puerta de enlace que actualmente no son compatibles con la
solución VPN de Amazon VPC. La siguiente figura muestra esta opción.
Página 11
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Clientela Clientela
VPN de software
Aparato Internet
Zona de disponibilidad
Instancias EC2
Remoto
Subred 2 de VPC
Servidores
VPN de software
Tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de la red
porque el dispositivo VPN de software se ejecuta en una única instancia de Amazon EC2. Para
obtener información adicional, consulteApéndice A: Arquitectura HA de alto nivel para instancias
de VPN de software .
Recursos adicionales
• Dispositivos VPN de AWS Marketplace 17
Pagina 12
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
VPC de tránsito
Sobre la base del diseño de Software VPN mencionado anteriormente, puede crear
una red de tránsito global en AWS. Una VPC de tránsito es una estrategia común para
conectar varias VPC geográficamente dispersas y redes remotas para crear un centro
de tránsito de red global. Una VPC de tránsito simplifica la administración de la red y
minimiza la cantidad de conexiones necesarias para conectar varias VPC y redes
remotas. La siguiente figura ilustra este diseño.
Página 13
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Además de proporcionar enrutamiento de red directo entre las VPC y las redes locales, este
diseño también permite que la VPC de tránsito implemente reglas de enrutamiento más
complejas, como la traducción de direcciones de red entre rangos de red superpuestos, o para
agregar filtrado o inspección de paquetes a nivel de red adicional. El diseño de VPC de tránsito
se puede utilizar para admitir casos de uso importantes, como redes privadas, conectividad
compartida y uso de AWS entre cuentas.
Recursos adicionales
• Resumen técnico - Red de tránsito global
La conectividad de VPC entre VPC se logra mejor cuando se utilizan rangos de IP que no se
superponen para cada VPC que se conecta. Por ejemplo, si desea conectar varias VPC,
asegúrese de que cada VPC esté configurada con rangos únicos de enrutamiento entre
dominios sin clase (CIDR). Por lo tanto, le recomendamos que asigne un bloque CIDR único,
contiguo y que no se superponga para que lo utilice cada VPC. Para obtener información
adicional sobre el enrutamiento y las restricciones de Amazon VPC, consulte laPreguntas
frecuentes sobre Amazon VPC .21
Página 14
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Intercambio de tráfico de VPC Red proporcionada por AWS Aprovecha AWS La interconexión de VPC no
conectividad entre infraestructura de red admite relaciones de
dos VPC. No depende de instancias de interconexión transitivas.
es necesario)
Punto final administrado por AWS
administrado administrado por usted a través Conexiones VPN de VPC la variabilidad y la disponibilidad
vpn de conexiones VPN IPsec Punto final administrado por AWS dependen de internet
usando tu equipo incluye redundancia de múltiples condiciones
e internet centros de datos y El endpoint que administra es
conmutación por error automatizada responsable de
implementar redundancia y
Admite rutas estáticas y políticas
conmutación por error (si es necesario)
dinámicas de emparejamiento y
enrutamiento BGP
AWS directo Enrutamiento de VPC a VPC Red consistente Puede requerir adicional
Conectar administrado por usted actuación telecomunicaciones y hospedaje
Página 15
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
AWS Red proporcionada por AWS Aprovecha AWS Servicios de punto de enlace de la VPC
Una interconexión de VPC es una conexión de red entre dos VPC que permite el enrutamiento
utilizando las direcciones IP privadas de cada VPC como si estuvieran en la misma red. Este es
el método recomendado por AWS para conectar VPC. Las conexiones de interconexión de VPC
se pueden crear entre sus propias VPC o con una VPC en otra cuenta de AWS. La
interconexión de VPC también admite la interconexión entre regiones. El tráfico que usa VPC
Peering entre regiones siempre permanece en la red troncal global de AWS y nunca atraviesa
la Internet pública, lo que reduce los vectores de amenazas, como exploits comunes y
ataques DDoS.
Página 16
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
AWS utiliza la infraestructura existente de una VPC para crear interconexiones de VPC. Estas
conexiones no son una puerta de enlace ni una conexión VPN y no dependen de una pieza
separada de hardware físico. Por lo tanto, no introducen un posible punto único de falla o un
cuello de botella en el ancho de banda de la red entre las VPC. Además, las tablas de
enrutamiento de VPC, los grupos de seguridad y las listas de control de acceso a la red se
pueden aprovechar para controlar qué subredes o instancias pueden utilizar la interconexión
de VPC.
Una interconexión de VPC puede ayudarlo a facilitar la transferencia de datos entre VPC.
Puede usarlos para conectar VPC cuando tiene más de una cuenta de AWS, para conectar una
VPC de administración o servicios compartidos a VPC específicas de la aplicación o del cliente,
o para conectarse sin problemas con la VPC de un socio. Para obtener más ejemplos de
escenarios en los que puede usar una interconexión de VPC, consulte laGuía de
emparejamiento de Amazon VPC. 22
Recursos adicionales
• Guía del usuario de Amazon VPC 23
VPN de software
Amazon VPC proporciona flexibilidad de enrutamiento de red. Esto incluye la capacidad
de crear túneles VPN seguros entre dos o más dispositivos VPN de software para
conectar múltiples VPC en una red privada virtual más grande para que las instancias en
cada VPC puedan conectarse sin problemas entre sí utilizando direcciones IP privadas.
Esta opción se recomienda cuando desea conectar VPC en varias regiones de AWS y
administrar ambos extremos de la conexión VPN con su proveedor de software de VPN
preferido. Esta opción utiliza una puerta de enlace de Internet adjunta a cada VPC para
facilitar la comunicación entre los dispositivos VPN de software.
Página 17
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de la
red, ya que el dispositivo VPN de software se ejecuta en una única instancia de Amazon EC2.
Para obtener información adicional, consulteApéndice A: Arquitectura HA de alto nivel para
instancias de VPN de software .
Recursos adicionales
• Dispositivos VPN de AWS Marketplace 25
Página 18
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Página 19
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de la
red, ya que el dispositivo VPN de software se ejecuta en una única instancia de Amazon EC2.
Para obtener información adicional, consulteApéndice A: Arquitectura HA de alto nivel para
instancias de VPN de software .
Recursos adicionales
• Resumen técnico: Conexión de varias VPC con Sophos Security Gateway 28
Amazon VPC ofrece la opción de crear una VPN IPsec para conectar sus redes
remotas con sus VPC de Amazon a través de Internet. Puede aprovechar varias
conexiones VPN para enrutar el tráfico entre sus VPC de Amazon, como se muestra
en la siguiente figura.
Página 20
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Página 21
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Recomendamos este enfoque cuando desee aprovechar los puntos de enlace de VPN administrados
por AWS, incluida la redundancia automatizada de varios centros de datos y la conmutación por
error integrada en el lado de AWS de cada conexión de VPN. Aunque no se muestra, la puerta de
enlace privada virtual de Amazon representa dos puntos finales de VPN distintos, ubicados
físicamente en centros de datos separados para aumentar la disponibilidad de cada conexión de
VPN.
La puerta de enlace privada virtual de Amazon también admite varias conexiones de puerta de
enlace de cliente (como se describe en laOpciones de VPC de la red del cliente a Amazon y VPN
administrada por AWS y que se muestra en la figura Conexiones VPN administradas por AWS
redundantes), lo que le permite implementar la redundancia y la conmutación por error en su lado
de la conexión VPN. Esta solución también puede aprovechar la interconexión de BGP para
intercambiar información de enrutamiento entre AWS y estos puntos finales remotos. Puede
especificar prioridades de enrutamiento, políticas y pesos (métricas) en sus anuncios de BGP para
influir en la ruta de la red que tomará el tráfico hacia y desde sus redes y AWS.
Recursos adicionales
• Guía del usuario de Amazon VPC 30
• Dispositivos de Customer Gateway que se sabe que funcionan con Amazon VPC 32
Página 22
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Puede dividir una conexión física de AWS Direct Connect en varias conexiones lógicas, una
para cada VPC. Luego puede usar estas conexiones lógicas para enrutar el tráfico entre las
VPC, como se muestra en la siguiente figura. Además del enrutamiento dentro de la
región, puede conectar ubicaciones de AWS Direct Connect en otras regiones utilizando
sus proveedores de WAN existentes y aprovechar AWS Direct Connect para enrutar el
tráfico entre regiones a través de su red troncal de WAN.
Página 23
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Página 24
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Recursos adicionales
• Página de producto de AWS Direct Connect 34
Un punto de enlace de la VPC de interfaz (AWS PrivateLink) le permite conectarse a servicios con
tecnología de AWS PrivateLink. Estos servicios incluyen algunos servicios de AWS, servicios
alojados por otras cuentas de AWS (denominadosservicios de punto final) y servicios de socios de
AWS Marketplace compatibles. Los puntos de enlace de la interfaz se crean directamente dentro
de su VPC, utilizando interfaces de red elásticas y direcciones IP en las subredes de su VPC. El
servicio ahora está en su VPC, lo que permite la conectividad a los servicios de AWS o al servicio
impulsado por AWS PrivateLink a través de direcciones IP privadas. Eso significa que los grupos
de seguridad de VPC se pueden usar para administrar el acceso a los puntos finales. Además, se
puede acceder a los puntos de enlace de la interfaz desde sus instalaciones a través de AWS
Direct Connect.
Página 25
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Recomendamos este enfoque si desea utilizar los servicios ofrecidos por otra VPC de forma segura a
través de una conexión privada. Puede crear un punto de enlace de interfaz para mantener todo el
tráfico dentro de la red de AWS.
Recursos adicionales
• Interfaz VCE Endpoints
Página 26
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Opciones de VPC de la red del cliente a Amazon está más allá del alcance de este
documento.
Consoftware VPN de acceso remoto , puede aprovechar los servicios de AWS seguros, elásticos
y de bajo costo para implementar soluciones de acceso remoto y, al mismo tiempo, brindar
una experiencia fluida al conectarse a los recursos alojados en AWS. Además, puede combinar
VPN de acceso remoto de software con sus opciones de VPC de red a Amazon para
proporcionar acceso remoto a redes internas si lo desea. Esta opción suele ser preferida por
empresas más pequeñas con redes remotas menos extensas o que aún no han creado e
implementado soluciones de acceso remoto para sus empleados.
Software remoto- Control remoto basado en la nube Aprovecha el bajo costo, Podría ser redundante si
Acceder a VPN solución de acceso a servicios web elásticos y es interno y remoto
Amazon VPC y/o seguros proporcionados por implementaciones de acceso
redes internas AWS por implementar una ya existe
solución de acceso remoto
Página 27
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Página 28
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Al igual que con las opciones de software VPN, el cliente es responsable de administrar el software
de acceso remoto, incluida la administración de usuarios, la configuración, los parches y las
actualizaciones.
Además, tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de
la red, ya que el servidor de acceso remoto se ejecuta en una sola instancia de Amazon EC2. Para
obtener información adicional, consulte el Apéndice A: Arquitectura HA de alto nivel para instancias
de VPN de software.
Recursos adicionales
• Dispositivos VPN de AWS Marketplace 38
Conclusión
AWS proporciona una serie de opciones de conectividad eficientes y seguras para
ayudarlo a aprovechar al máximo AWS al integrar sus redes remotas con Amazon VPC.
Página 29
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Las opciones proporcionadas en este documento técnico destacan varias de las opciones y
patrones de conectividad que los clientes han utilizado para integrar con éxito sus redes
remotas o varias redes de Amazon VPC. Puede utilizar la información proporcionada aquí para
determinar el mecanismo más adecuado para conectar la infraestructura necesaria para hacer
funcionar su negocio, independientemente de dónde esté ubicado físicamente o alojado.
Recomendamos configurar sus tablas de enrutamiento de VPC para aprovechar todas las instancias
de VPN simultáneamente al dirigir el tráfico de todas las subredes en una Disponibilidad
Página 30
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Zone a través de sus respectivas instancias de VPN en la misma zona de disponibilidad. Luego, cada
instancia de VPN proporciona conectividad de VPN para las instancias que comparten la misma zona de
disponibilidad.
Supervisión de VPN
Para monitorear el dispositivo VPN basado en software, puede crear un Monitor VPN. El
monitor de VPN es una instancia personalizada que necesitará para ejecutar los scripts de
monitoreo de VPN. Esta instancia está diseñada para ejecutar y monitorear el estado de la
conexión VPN y las instancias VPN. Si una instancia o conexión de VPN deja de funcionar, el
monitor debe detener, terminar o reiniciar la instancia de VPN mientras también redirige el
tráfico de las subredes afectadas a la instancia de VPN en funcionamiento hasta que ambas
conexiones vuelvan a funcionar. Dado que los requisitos de los clientes varían, AWS
actualmente no brinda orientación prescriptiva para configurar esta instancia de monitoreo.
Sin embargo, un script de ejemplo para habilitarHA entre instancias NAT podría usarse como
punto de partida para crear una solución HA para instancias de VPN de software. Le
recomendamos que piense en la lógica empresarial necesaria para proporcionar una
notificación o intentar reparar automáticamente la conectividad de la red en caso de que falle
la conexión VPN.
Además, puede monitorear los túneles de VPN administrados por AWS con las métricas
de Amazon CloudWatch, que recopila puntos de datos del servicio VPN en métricas
legibles casi en tiempo real. Cada conexión VPN recopila y publica una variedad de
métricas de túnel en Amazon CloudWatch. Estas métricas le permitirán monitorear el
estado y la actividad del túnel y crear acciones automatizadas.
Colaboradores
Las siguientes personas contribuyeron a este documento:
Página 31
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Revisiones de documentos
Fecha Descripción
enero 2018 Información actualizada en todo momento. Concéntrese en los siguientes diseños/características: VPC de
notas
1http://aws.amazon.com/vpc/faqs/
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_VP
N.html
3
https://docs.aws.amazon.com/vpc/latest/adminguide/
Introduction.html#CGRequisitos
4
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#Dispositivo
probado
5http://aws.amazon.com/directconnect/
6http://aws.amazon.com/directconnect/#detalles
7http://aws.amazon.com/directconnect/faqs/
http://docs.amazonwebservices.com/DirectConnect/latest/GettingStartedGui de/
Welcome.html
9http://aws.amazon.com/directconnect/
10http://aws.amazon.com/directconnect/faqs/
11
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_VP
N.html
12
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPN_Cl
oudHub.html
13
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_VP
Página 32
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
N.html
Página 33
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
14http://aws.amazon.com/vpc/faqs/#C8
15http://aws.amazon.com/vpc/faqs/#C9
dieciséishttp://aws.amazon.com/directconnect/
17
https://aws.amazon.com/marketplace/search/results/ref%3Dbrs_navgno_se
arch_box?searchTerms=vpn
18http://aws.amazon.com/articles/8800869755706543
19http://aws.amazon.com/articles/5472675506466066
20https://aws.amazon.com/articles/0639686206802544
21http://aws.amazon.com/vpc/faqs/
22http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/
23http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-
mirando.html
24http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/
25
https://aws.amazon.com/marketplace/search/results/ref%3Dbrs_navgno_se
arch_box?searchTerms=vpn
26http://aws.amazon.com/articles/5472675506466066
27http://aws.amazon.com/articles/0639686206802544
28http://aws.amazon.com/articles/1909971399457482
29
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/
CustomerGateway-Windows.html
30
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_VP
N.html
31
https://docs.aws.amazon.com/vpc/latest/adminguide/
Introduction.html#CGRequisitos
Página 34
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
32
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#Dispositivo
probado
Página 35
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
33http://aws.amazon.com/vpc/faqs/#C9
34http://aws.amazon.com/directconnect/
35http://aws.amazon.com/directconnect/#detalles
36http://aws.amazon.com/directconnect/faqs/
37
http://docs.amazonwebservices.com/DirectConnect/latest/GettingStartedGui de/
Welcome.html
38
https://aws.amazon.com/marketplace/search/results/ref%3Dbrs_navgno_se
arch_box?searchTerms=vpn
39http://docs.openvpn.net/how-to-tutorialsguides/virtual-platforms/amazon-
ec2-appliance-ami-guia-de-inicio-rápido/
Página 36