Aws Amazon VPC Connectivity Options - ESPANIOLed

Traducido del inglés al español - www.onlinedoctranslator.
com
Nube privada virtual de Amazon

Opciones de conectividad
enero 2018
© 2018, Amazon Web Services, Inc. o sus afiliados. Reservados todos los derechos.
Avisos
Este documento es provisto únicamente con fines informativos. Representa las ofertas y
prácticas actuales de productos de AWS a la fecha de emisión de este documento, que
están sujetas a cambios sin previo aviso. Los clientes son responsables de realizar su
propia evaluación independiente de la información de este documento y cualquier uso de
los productos o servicios de AWS, cada uno de los cuales se proporciona "tal cual" sin
garantía de ningún tipo, ya sea expresa o implícita. Este documento no crea garantías,
representaciones, compromisos contractuales, condiciones o garantías de AWS, sus
afiliados, proveedores o licenciantes. Las responsabilidades y obligaciones de AWS con sus
clientes están controladas por los acuerdos de AWS, y este documento no forma parte ni
modifica ningún acuerdo entre AWS y sus clientes.
Contenido
Introducción 1
Opciones de conectividad de red a Amazon VPC 2
VPN administrada por AWS 4
Conexión directa de AWS 6
Conexión directa de AWS + VPN 8
Centro de nube de VPN de AWS 10
VPN de software 11
VPC de tránsito 13
Opciones de conectividad de Amazon VPC a Amazon VPC 14
Intercambio de tráfico de VPC dieciséis
VPN de software 17
VPN administrada de software a AWS 19
VPN administrada por AWS 20
Conexión directa de AWS 22
Enlace privado de AWS 25
Opciones de conectividad interna de usuario a Amazon VPC 26
Software VPN de acceso remoto 27
Conclusión 29
Apéndice A: Arquitectura HA de alto nivel para instancias de VPN de software 30
Supervisión de VPN 31
Colaboradores 31
Revisiones de documentos 32
Abstracto
Amazon Virtual Private Cloud (Amazon VPC) permite a los clientes aprovisionar una
sección privada y aislada de la nube de Amazon Web Services (AWS) donde pueden
lanzar recursos de AWS en una red virtual utilizando rangos de direcciones IP
definidos por el cliente. Amazon VPC ofrece a los clientes varias opciones para
conectar sus redes virtuales de AWS con otras redes remotas. Este documento
describe varias opciones comunes de conectividad de red disponibles para nuestros
clientes. Estos incluyen opciones de conectividad para integrar redes de clientes
remotos con Amazon VPC y conectar varias Amazon VPC en una red virtual contigua.
Este documento técnico está destinado a arquitectos e ingenieros de redes corporativas o

administradores de Amazon VPC que deseen revisar las opciones de conectividad disponibles.
Proporciona una descripción general de las diversas opciones para facilitar los debates sobre la
conectividad de la red, así como sugerencias para obtener documentación y recursos adicionales
con información o ejemplos más detallados.
Servicios web de Amazon –Opciones de conectividad de Amazon VPC
Introducción
Amazon VPC ofrece múltiples opciones de conectividad de red para que las aproveche
según los diseños y requisitos de su red actual. Estas opciones de conectividad
incluyen aprovechar Internet o una conexión de AWS Direct Connect como la columna
vertebral de la red y terminar la conexión en puntos finales de red administrados por
el usuario o de AWS. Además, con AWS, puede elegir cómo se entrega el
enrutamiento de red entre Amazon VPC y sus redes, aprovechando AWS o los equipos
y rutas de red administrados por el usuario. Este documento técnico considera las
siguientes opciones con una descripción general y una comparación de alto nivel de
cada una:
Opciones de conectividad de red de usuario a Amazon VPC

AWS Manager VPM
• VPN administrada por AWS – Describe el establecimiento de una conexión VPN
desde su equipo de red en una red remota al equipo de red administrado por
AWS conectado a su VPC de Amazon.
AWS Direct Connect
• Conexión directa de AWS – Describe el establecimiento de una conexión lógica
privada desde su red remota a Amazon VPC, aprovechando AWS Direct Connect.
AWS Direct Connect + VPN

• Conexión directa de AWS + VPN – Describe el establecimiento de una
conexión cifrada privada desde su red remota a Amazon VPC,
aprovechando AWS Direct Connect.
AWS VPN CloudHub
• Centro de nube de VPN de AWS – Describe el establecimiento de un modelo hub-and-
spoke para conectar sucursales remotas.
SoftWare VPN
• VPN de software – Describe el establecimiento de una conexión VPN desde su equipo
en una red remota a un dispositivo VPN de software administrado por el usuario que
se ejecuta dentro de una VPC de Amazon.
Transit VPC
• VPC de tránsito – Describe el establecimiento de una red de tránsito global en AWS
mediante el uso de Software VPN junto con la VPN administrada por AWS.
Opciones de conectividad de Amazon VPC a Amazon VPC

VPC ¨Peering
• Intercambio de tráfico de VPC – Describe el enfoque recomendado por AWS para
conectar varias Amazon VPC dentro y entre regiones mediante la función de
interconexión de Amazon VPC.
Página 1
• VPN de software – Describe la conexión de varias VPC de Amazon mediante conexiones

VPN establecidas entre dispositivos VPN de software administrados por el usuario que se
ejecutan dentro de cada VPC de Amazon.
Software To-AWS Managed VPN
• VPN administrada de software a AWS – Describe la conexión de varias
Amazon VPC con una conexión VPN establecida entre un dispositivo VPN
de software administrado por el usuario en una Amazon VPC y el equipo
de red administrado por AWS conectado a la otra Amazon VPC.
AWS Managed VPN
• VPN administrada por AWS – Describe la conexión de varias Amazon VPC,
aprovechando varias conexiones VPN entre su red remota y cada una de
sus Amazon VPC.
AWS Direct Connect
• Conexión directa de AWS – Describe la conexión de varias VPC de Amazon, aprovechando
las conexiones lógicas en los enrutadores de AWS Direct Connect administrados por el
cliente.
AWS Private Link
• Enlace privado de AWS – Describe la conexión de varias VPC de Amazon, aprovechando los
puntos de enlace de interfaz de VPC y los servicios de punto de enlace de VPC.
Opciones de conectividad interna de usuario a Amazon VPC
Software Remote-Access VPN

• Software VPN de acceso remoto – Además de las opciones de conectividad de red del
cliente a Amazon VPC para conectar usuarios remotos a recursos de VPC, esta
sección describe cómo aprovechar una solución de acceso remoto para proporcionar
acceso VPN de usuario final a Amazon VPC.
Opciones de conectividad de red a

Amazon VPC
Esta sección proporciona patrones de diseño para que pueda conectar redes remotas
con su entorno de Amazon VPC. Estas opciones son útiles para integrar los recursos de
AWS con sus servicios existentes en el sitio (por ejemplo, monitoreo, autenticación,
seguridad, datos u otros sistemas) al extender sus redes internas a la nube de AWS. Esta
extensión de red también permite que sus usuarios internos se conecten sin problemas a
los recursos alojados en AWS como cualquier otro recurso interno.
La conectividad de VPC a las redes de clientes remotos se logra mejor cuando se utilizan
rangos de IP que no se superponen para cada red que se conecta. Por ejemplo, si
Página 2
desea conectar una o más VPC a su red doméstica, asegúrese de que estén configuradas con
rangos únicos de enrutamiento entre dominios sin clase (CIDR). Recomendamos asignar un
bloque CIDR único, contiguo y que no se superponga para que lo utilice cada VPC. Para
obtener información adicional sobre el enrutamiento y las restricciones de Amazon VPC,
consulte laPreguntas frecuentes sobre Amazon VPC .1
Opción Caso de uso Ventajas Limitaciones
AWS administrado por AWS Reutilizar equipos y procesos La latencia, la variabilidad y la

Administrado VPN IPsec VPN existentes disponibilidad de la red son
vpn conexión sobre el Reutilizar las conexiones de dependiente de internet
Internet Internet existentes condiciones
Punto final administrado por AWS Gestionado por el cliente

el punto final es responsable de
incluye redundancia de varios centros de
implementar la redundancia y la
datos y conmutación por error
conmutación por error (si es necesario)
automatizada
El dispositivo del cliente debe

Admite rutas estáticas o
Border Gateway dinámicas admite BGP de un solo salto
Políticas de interconexión y enrutamiento

(al aprovechar BGP para el
de protocolo (BGP)
enrutamiento dinámico)
AWS directo red dedicada Rendimiento de red más Puede requerir adicional
Conectar conexión terminada predecible Reducido telecomunicaciones y hospedaje
lineas privadas costos de ancho de banda relaciones con proveedores o
Conexiones aprovisionadas de nuevos circuitos de red a ser
1 o 10 Gbps aprovisionado
Admite políticas de emparejamiento y
enrutamiento BGP
AWS directo VPN IPsec Igual que la opción anterior Igual que la opción anterior con
Conectar + conexión terminada con la adición de una un poco de complejidad VPN
vpn lineas privadas conexión VPN IPsec segura adicional
Página 3
VPN de AWS Conectar control remoto Reutilice las conexiones de Internet La latencia, la variabilidad y la
CloudHub sucursales en un existentes y las conexiones VPN de disponibilidad de la red son
hub-and-spoke AWS (por ejemplo, use AWS VPN dependiente de internet
modelo para conectividad CloudHub como conectividad de Los terminales de las sucursales
primaria o de respaldo respaldo a una red MPLS de terceros) administrados por el usuario son
responsables de implementar
La puerta de enlace privada virtual redundancia y conmutación por error (si
administrada por AWS incluye es necesario)
redundancia de varios centros de datos y
conmutación por error automatizada
Admite BGP para intercambiar rutas y

prioridades de enrutamiento (por
ejemplo, prefiera MPLS
conexiones a través de conexiones VPN
de AWS de respaldo)
Software dispositivo de software- Admite una gama más amplia de proveedores, El cliente es responsable de
vpn VPN basada productos y servicios de VPN. implementar HA (alto
conexión sobre el protocolos disponibilidad) soluciones para todos los
Internet Totalmente gestionado por el cliente

puntos finales de VPN (si es necesario)
solución
Tránsito dispositivo de software- Igual que la opción anterior con Igual que la sección
VPC VPN basada la adición de una conexión VPN anterior
conexión con concentrador administrada por AWS
VPC entre las VPC de concentrador y radio
administrado por AWS
VPN IPsec
conexión para habló
conexión VPC
VPN administrada por AWS
Amazon VPC brinda la opción de crear una conexión VPN IPsec entre las redes de clientes
remotos y su Amazon VPC a través de Internet, como se muestra en la siguiente figura.
Considere la posibilidad de adoptar este enfoque cuando desee aprovechar un punto de enlace
de VPN administrado por AWS que incluye redundancia automatizada de varios centros de
datos y conmutación por error integrada en el lado de AWS de la conexión VPN. Aunque no se
muestra, la puerta de enlace privada virtual de Amazon representa dos puntos finales de VPN
distintos, ubicados físicamente en centros de datos separados para aumentar la disponibilidad
de su conexión VPN.
Página 4
La puerta de enlace privada virtual también admite y fomenta conexiones de puerta de enlace de
múltiples usuarios para que pueda implementar la redundancia y la conmutación por error en su
lado de la conexión VPN, como se muestra en la siguiente figura. Se proporcionan opciones de
enrutamiento dinámico y estático para brindarle flexibilidad en su configuración de enrutamiento. El
enrutamiento dinámico utiliza emparejamiento BGP para intercambiar información de enrutamiento
entre AWS y estos puntos de enlace remotos. Con el enrutamiento dinámico, también puede
especificar prioridades de enrutamiento, políticas y pesos (métricas) en sus anuncios de BGP e influir
en la ruta de red entre sus redes y AWS.
Es importante tener en cuenta que cuando utiliza BGP, las conexiones IPSec y BGP deben
terminar en el mismo dispositivo de puerta de enlace de usuario, por lo que debe ser
capaz de terminar las conexiones IPSec y BGP.
Página 5
Conexiones VPN administradas por AWS redundantes
Recursos adicionales
• Adición de una puerta de enlace privada virtual a su VPC 2
• Requisitos mínimos del dispositivo Customer Gateway 3
• Dispositivos de Customer Gateway que se sabe que funcionan con Amazon VPC 4
Conexión directa de AWS

AWS Direct Connect facilita el establecimiento de una conexión dedicada desde una
red local a Amazon VPC. Con AWS Direct Connect, puede establecer una
conectividad privada entre AWS y su centro de datos, oficina o entorno de
colocación. Esta conexión privada puede reducir los costos de la red, aumentar el
rendimiento del ancho de banda y brindar una experiencia de red más consistente
que las conexiones basadas en Internet.
AWS Direct Connect le permite establecer conexiones de red dedicadas de 1 Gbps

o 10 Gbps (o varias conexiones) entre redes de AWS y una de las ubicaciones de
AWS Direct Connect. Utiliza VLAN estándar de la industria para acceder
Página 6
Instancias de Amazon Elastic Compute Cloud (Amazon EC2) que se ejecutan dentro de una VPC
de Amazon utilizando direcciones IP privadas. Puede elegir entre un ecosistema de
proveedores de servicios WAN para integrar su punto de enlace de AWS Direct Connect en una
ubicación de AWS Direct Connect con sus redes remotas. La siguiente figura ilustra este patrón.
También puede trabajar con su proveedor para crear una conexión sub-1G o utilizar un grupo
de agregación de enlaces (LAG) para agregar varias conexiones de 1 gigabit o 10 gigabits en un
solo punto de enlace de AWS Direct Connect, lo que le permite tratarlas como una única
conexión administrada.
AWS Direct Connect le permite conectar su conexión de AWS Direct Connect a una o más VPC en su
cuenta que se encuentran en la misma o en diferentes regiones. Puede usar la puerta de enlace
Direct Connect para lograr esto. Una puerta de enlace Direct Connect es un recurso disponible
globalmente. Puede crear la puerta de enlace de Direct Connect en cualquier región pública y
acceder a ella desde todas las demás regiones públicas.
Esta característica también le permite conectarse a cualquiera de las VPC participantes desde
cualquier ubicación de Direct Connect, lo que reduce aún más los costos de uso de los
servicios de AWS entre regiones. La siguiente figura ilustra este patrón.
Página 7
Puerta de enlace de conexión directa de AWS
• Página de producto de AWS Direct Connect 5
• Ubicaciones de AWS Direct Connect 6
• Preguntas frecuentes sobre AWS Direct Connect
• LAG de AWS Direct Connect
• Pasarelas de conexión directa de AWS 7
• Primeros pasos con AWS Direct Connect 8
Conexión directa de AWS + VPN

Con AWS Direct Connect + VPN, puede combinar una o más conexiones de red dedicadas
de AWS Direct Connect con Amazon VPC VPN. Esta combinación proporciona una
conexión privada cifrada con IPsec que también reduce los costos de la red, aumenta el
rendimiento del ancho de banda y brinda una experiencia de red más consistente que las
conexiones VPN basadas en Internet.
Puede usar AWS Direct Connect para establecer una conexión de red dedicada entre su
red y crear una conexión lógica con los recursos públicos de AWS, como un punto de
enlace IPsec de puerta de enlace privada virtual de Amazon. Esta solución combina los
beneficios administrados por AWS de la solución VPN con baja latencia, mayor
Página 8
ancho de banda, beneficios más consistentes de la solución AWS Direct Connect y una
conexión IPsec segura de extremo a extremo.
La siguiente figura ilustra esta opción.
Instancias EC2 Público de AWS
Conexión directa WAN del cliente

Zona de disponibilidad
AWS directo vpn

Virtual
Privado
Instancias EC2
Remoto
Subred 2 de VPC
Servidores
VPC de Amazon
AWS Direct Connect y VPN
• Preguntas frecuentes sobre AWS Direct Connect 10
• Adición de una puerta de enlace privada virtual a su VPC 11
Página 9
Centro de nube de VPN de AWS
Sobre la base de la VPN administrada por AWS yConexión directa de AWS Con las
opciones descritas anteriormente, puede comunicarse de forma segura de un sitio a otro
mediante AWS VPN CloudHub. AWS VPN CloudHub funciona con un modelo concentrador
y radial simple que puede usar con o sin una VPC. Utilice este diseño si tiene varias
sucursales y conexiones a Internet existentes y desea implementar un modelo hub-and-
spoke conveniente y potencialmente económico para la conectividad principal o de
respaldo entre estas oficinas remotas.
La siguiente figura muestra la arquitectura de AWS VPN CloudHub, con líneas discontinuas
azules que indican el tráfico de red entre sitios remotos que se enrutan a través de sus
conexiones de AWS VPN.
Cliente
Red de clientes
Instancias EC2
Cliente
Red de clientes
Virtual
Instancias EC2
Subred 2 de VPC
Cliente
Red de clientes
Centro de nube de VPN de AWS
AWS VPN CloudHub aprovecha una puerta de enlace privada virtual de Amazon VPC con varias
puertas de enlace, cada una de las cuales utiliza números de sistema autónomo (ASN) de BGP
únicos. Sus puertas de enlace anuncian las rutas apropiadas (prefijos BGP) a través de sus
conexiones VPN. Estos anuncios de enrutamiento se reciben y
Página 10
vuelto a anunciar a cada par BGP para que cada sitio pueda enviar y recibir datos de
los otros sitios. Los prefijos de red remota para cada radio deben tener ASN únicos y
los sitios no deben tener rangos de IP superpuestos. Cada sitio también puede enviar
y recibir datos de la VPC como si estuviera usando una conexión VPN estándar.
Esta opción se puede combinar con AWS Direct Connect u otras opciones de VPN (por
ejemplo, varias puertas de enlace por sitio para redundancia o enrutamiento de red
troncal que proporcione) según sus requisitos.
• Centro de nube de VPN de AWS 12
• Guía de VPN de Amazon VPC 13
• Página de producto de AWS Direct Connect dieciséis
VPN de software
Amazon VPC le ofrece la flexibilidad de administrar completamente ambos lados de su
conectividad de Amazon VPC al crear una conexión VPN entre su red remota y un dispositivo
VPN de software que se ejecuta en su red de Amazon VPC. Se recomienda esta opción si debe
administrar ambos extremos de la conexión VPN, ya sea por motivos de cumplimiento o para
aprovechar los dispositivos de puerta de enlace que actualmente no son compatibles con la
solución VPN de Amazon VPC. La siguiente figura muestra esta opción.
Página 11
Clientela Clientela
VPN de software
Aparato Internet
Enrutador de VPC vpn VPN del cliente

Internet
Instancias EC2
Remoto
Subred 2 de VPC
Servidores
VPN de software
Puede elegir entre un ecosistema de múltiples socios y comunidades de código abierto

que han producido dispositivos VPN de software que se ejecutan en Amazon EC2. Estos
incluyen productos de empresas de seguridad conocidas como Check Point, Astaro,
OpenVPN Technologies y Microsoft, así como herramientas populares de código abierto
como OpenVPN, Openswan e IPsec-Tools. Junto con esta elección viene la
responsabilidad de administrar el dispositivo de software, incluida la configuración, los
parches y las actualizaciones.
Tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de la red
porque el dispositivo VPN de software se ejecuta en una única instancia de Amazon EC2. Para
obtener información adicional, consulteApéndice A: Arquitectura HA de alto nivel para instancias
de VPN de software .
• Dispositivos VPN de AWS Marketplace 17
• Resumen técnico: conexión de Cisco ASA a la instancia VPC EC2 (IPSec) 18
Pagina 12
• Resumen técnico: conexión de varias VPC con instancias EC2 (IPSec) 19
• Resumen técnico: conexión de varias VPC con instancias EC2 (SSL) 20
VPC de tránsito
Sobre la base del diseño de Software VPN mencionado anteriormente, puede crear
una red de tránsito global en AWS. Una VPC de tránsito es una estrategia común para
conectar varias VPC geográficamente dispersas y redes remotas para crear un centro
de tránsito de red global. Una VPC de tránsito simplifica la administración de la red y
minimiza la cantidad de conexiones necesarias para conectar varias VPC y redes
remotas. La siguiente figura ilustra este diseño.
VPN de software y VPC de tránsito
Página 13
Además de proporcionar enrutamiento de red directo entre las VPC y las redes locales, este
diseño también permite que la VPC de tránsito implemente reglas de enrutamiento más
complejas, como la traducción de direcciones de red entre rangos de red superpuestos, o para
agregar filtrado o inspección de paquetes a nivel de red adicional. El diseño de VPC de tránsito
se puede utilizar para admitir casos de uso importantes, como redes privadas, conectividad
compartida y uso de AWS entre cuentas.
• Resumen técnico - Red de tránsito global
• Solución: VPC de tránsito
Opciones de conectividad de Amazon VPC a

Amazon VPC
Utilice estos patrones de diseño cuando desee integrar varias VPC de Amazon en una
red virtual más grande. Esto es útil si necesita varias VPC debido a la seguridad, la
facturación, la presencia en varias regiones o los requisitos internos de reembolso para
integrar más fácilmente los recursos de AWS entre las VPC de Amazon. También puedes
combinar estos estampados con losOpciones de conectividad de red a Amazon VPC
para crear una red corporativa que abarque redes remotas y varias VPC.
La conectividad de VPC entre VPC se logra mejor cuando se utilizan rangos de IP que no se
superponen para cada VPC que se conecta. Por ejemplo, si desea conectar varias VPC,
asegúrese de que cada VPC esté configurada con rangos únicos de enrutamiento entre
dominios sin clase (CIDR). Por lo tanto, le recomendamos que asigne un bloque CIDR único,
contiguo y que no se superponga para que lo utilice cada VPC. Para obtener información
adicional sobre el enrutamiento y las restricciones de Amazon VPC, consulte laPreguntas
frecuentes sobre Amazon VPC .21
Página 14
Intercambio de tráfico de VPC Red proporcionada por AWS Aprovecha AWS La interconexión de VPC no
conectividad entre infraestructura de red admite relaciones de
dos VPC. No depende de instancias de interconexión transitivas.
VPN ni de una pieza separada

de hardware físico
Sin punto único de falla Sin cuello
de botella en el ancho de banda
VPN de software dispositivo de software- Aprovecha AWS Usted es responsable de

conexiones VPN basadas equipos de red en la implementar HA
entre VPC región y conductos de soluciones para todos los puntos
Internet entre regiones finales de VPN (si es necesario)
Admite una gama más amplia de Las instancias de VPN podrían
proveedores de VPN, productos, convertirse en una red

y protocolos embotellamiento
Gestionado completamente por usted
Software a Dispositivo de software para Aprovecha AWS Usted es responsable de

AWS conexión VPN equipos de red en la implementar HA
VPN gestionada entre VPC región y conductos de soluciones para los puntos finales
Internet entre regiones VPN del dispositivo de software (si
es necesario)
Punto final administrado por AWS
incluye redundancia de múltiples Las instancias de VPN podrían
centros de datos y convertirse en una red

conmutación por error automatizada embotellamiento
AWS Enrutamiento de VPC a VPC Reutilizar Amazon existente Latencia de conexion,
administrado administrado por usted a través Conexiones VPN de VPC la variabilidad y la disponibilidad
vpn de conexiones VPN IPsec Punto final administrado por AWS dependen de internet
usando tu equipo incluye redundancia de múltiples condiciones
e internet centros de datos y El endpoint que administra es
conmutación por error automatizada responsable de
implementar redundancia y
Admite rutas estáticas y políticas
conmutación por error (si es necesario)
dinámicas de emparejamiento y
enrutamiento BGP
AWS directo Enrutamiento de VPC a VPC Red consistente Puede requerir adicional
Conectar administrado por usted actuación telecomunicaciones y hospedaje
usando su equipo en un Costos de ancho de banda reducidos relaciones con proveedores
AWS Direct Connect

Conexiones aprovisionadas de
ubicación y privado
1 o 10 Gbps
líneas
Admite rutas estáticas y políticas
de enrutamiento y
emparejamiento BGP
Página 15
AWS Red proporcionada por AWS Aprovecha AWS Servicios de punto de enlace de la VPC
Enlace privado conectividad entre infraestructura de red solo están disponibles en la

dos VPC utilizando Ningún punto único de falla región de AWS en la que se
puntos finales de la interfaz. crean.
Intercambio de tráfico de VPC
Una interconexión de VPC es una conexión de red entre dos VPC que permite el enrutamiento
utilizando las direcciones IP privadas de cada VPC como si estuvieran en la misma red. Este es
el método recomendado por AWS para conectar VPC. Las conexiones de interconexión de VPC
se pueden crear entre sus propias VPC o con una VPC en otra cuenta de AWS. La
interconexión de VPC también admite la interconexión entre regiones. El tráfico que usa VPC
Peering entre regiones siempre permanece en la red troncal global de AWS y nunca atraviesa
la Internet pública, lo que reduce los vectores de amenazas, como exploits comunes y
ataques DDoS.
Emparejamiento de VPC a VPC
Página 16
AWS utiliza la infraestructura existente de una VPC para crear interconexiones de VPC. Estas
conexiones no son una puerta de enlace ni una conexión VPN y no dependen de una pieza
separada de hardware físico. Por lo tanto, no introducen un posible punto único de falla o un
cuello de botella en el ancho de banda de la red entre las VPC. Además, las tablas de
enrutamiento de VPC, los grupos de seguridad y las listas de control de acceso a la red se
pueden aprovechar para controlar qué subredes o instancias pueden utilizar la interconexión
de VPC.
Una interconexión de VPC puede ayudarlo a facilitar la transferencia de datos entre VPC.
Puede usarlos para conectar VPC cuando tiene más de una cuenta de AWS, para conectar una
VPC de administración o servicios compartidos a VPC específicas de la aplicación o del cliente,
o para conectarse sin problemas con la VPC de un socio. Para obtener más ejemplos de
escenarios en los que puede usar una interconexión de VPC, consulte laGuía de
emparejamiento de Amazon VPC. 22
• Guía del usuario de Amazon VPC 23
• Guía de intercambio de tráfico de Amazon VPC 24
VPN de software
Amazon VPC proporciona flexibilidad de enrutamiento de red. Esto incluye la capacidad
de crear túneles VPN seguros entre dos o más dispositivos VPN de software para
conectar múltiples VPC en una red privada virtual más grande para que las instancias en
cada VPC puedan conectarse sin problemas entre sí utilizando direcciones IP privadas.
Esta opción se recomienda cuando desea conectar VPC en varias regiones de AWS y
administrar ambos extremos de la conexión VPN con su proveedor de software de VPN
preferido. Esta opción utiliza una puerta de enlace de Internet adjunta a cada VPC para
facilitar la comunicación entre los dispositivos VPN de software.
Página 17
Enrutamiento de VPC a VPC entre regiones
Puede elegir entre un ecosistema de múltiples socios y comunidades de código abierto

que han producido dispositivos VPN de software que se ejecutan en Amazon EC2. Estos
incluyen productos de empresas de seguridad conocidas como Check Point, Sophos,
OpenVPN Technologies y Microsoft, así como herramientas populares de código abierto
como OpenVPN, Openswan e IPsec-Tools. Junto con esta elección viene la
responsabilidad de administrar el dispositivo de software, incluida la configuración, los
parches y las actualizaciones.
Tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de la
red, ya que el dispositivo VPN de software se ejecuta en una única instancia de Amazon EC2.
Para obtener información adicional, consulteApéndice A: Arquitectura HA de alto nivel para
instancias de VPN de software .
• Resumen técnico: conexión de varias VPC con instancias EC2 (IPSec) 26
• Resumen técnico: conexión de varias VPC con instancias EC2 (SSL) 27
Página 18
VPN administrada de software a AWS

Amazon VPC brinda la flexibilidad de combinar la VPN administrada por AWS y las opciones de
VPN de software para conectar varias VPC. Con este diseño, puede crear túneles VPN seguros
entre un dispositivo VPN de software y una puerta de enlace privada virtual para conectar
varias VPC a una red privada virtual más grande, lo que permite que las instancias de cada VPC
se conecten sin problemas entre sí mediante direcciones IP privadas. Esta opción se
recomienda cuando desea conectar VPC en varias regiones de AWS y desea aprovechar el
punto de enlace de VPN administrado por AWS, incluida la redundancia automatizada de varios
centros de datos y la conmutación por error integrada en el lado de la puerta de enlace privada
virtual de la conexión VPN. Esta opción utiliza una puerta de enlace privada virtual en una VPC
de Amazon y una combinación de una puerta de enlace de Internet y un dispositivo VPN de
software en otra VPC de Amazon, como se muestra en la siguiente figura.
Enrutamiento de VPC a VPC dentro de la región
Página 19
Tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de la
red, ya que el dispositivo VPN de software se ejecuta en una única instancia de Amazon EC2.
Para obtener información adicional, consulteApéndice A: Arquitectura HA de alto nivel para
instancias de VPN de software .
• Resumen técnico: Conexión de varias VPC con Sophos Security Gateway 28
• Configuración de Windows Server 2008 R2 como puerta de enlace de cliente para

Amazon Virtual Private Cloud 29
Amazon VPC ofrece la opción de crear una VPN IPsec para conectar sus redes
remotas con sus VPC de Amazon a través de Internet. Puede aprovechar varias
conexiones VPN para enrutar el tráfico entre sus VPC de Amazon, como se muestra
en la siguiente figura.
Página 20
Enrutamiento de tráfico entre VPC
Página 21
Recomendamos este enfoque cuando desee aprovechar los puntos de enlace de VPN administrados
por AWS, incluida la redundancia automatizada de varios centros de datos y la conmutación por
error integrada en el lado de AWS de cada conexión de VPN. Aunque no se muestra, la puerta de
enlace privada virtual de Amazon representa dos puntos finales de VPN distintos, ubicados
físicamente en centros de datos separados para aumentar la disponibilidad de cada conexión de
VPN.
La puerta de enlace privada virtual de Amazon también admite varias conexiones de puerta de
enlace de cliente (como se describe en laOpciones de VPC de la red del cliente a Amazon y VPN
administrada por AWS y que se muestra en la figura Conexiones VPN administradas por AWS
redundantes), lo que le permite implementar la redundancia y la conmutación por error en su lado
de la conexión VPN. Esta solución también puede aprovechar la interconexión de BGP para
intercambiar información de enrutamiento entre AWS y estos puntos finales remotos. Puede
especificar prioridades de enrutamiento, políticas y pesos (métricas) en sus anuncios de BGP para
influir en la ruta de la red que tomará el tráfico hacia y desde sus redes y AWS.
Este enfoque es subóptimo desde la perspectiva del enrutamiento, ya que el tráfico

debe atravesar Internet para llegar y salir de su red, pero le brinda mucha flexibilidad
para controlar y administrar el enrutamiento en sus redes locales y remotas, y la
capacidad potencial de reutilizar VPN. conexiones
• Guía del usuario de Amazon VPC 30
• Resumen técnico: Conexión de un solo enrutador a varias VPC 33

AWS Direct Connect facilita el establecimiento de una conexión de red dedicada desde
sus instalaciones a su Amazon VPC o entre Amazon VPC. Esta opción puede reducir
potencialmente los costos de la red, aumentar el rendimiento del ancho de banda y
brindar una experiencia de red más consistente que las otras opciones de conectividad
de VPC a VPC.
Página 22
Puede dividir una conexión física de AWS Direct Connect en varias conexiones lógicas, una
para cada VPC. Luego puede usar estas conexiones lógicas para enrutar el tráfico entre las
VPC, como se muestra en la siguiente figura. Además del enrutamiento dentro de la
región, puede conectar ubicaciones de AWS Direct Connect en otras regiones utilizando
sus proveedores de WAN existentes y aprovechar AWS Direct Connect para enrutar el
tráfico entre regiones a través de su red troncal de WAN.
Página 23
Enrutamiento de VPC a VPC dentro de la región con AWS Direct Connect
Página 24
Recomendamos este enfoque si ya es cliente de AWS Direct Connect o desea

aprovechar los costos de red reducidos de AWS Direct Connect, el mayor rendimiento
del ancho de banda y una experiencia de red más consistente. AWS Direct Connect
puede proporcionar un enrutamiento muy eficiente, ya que el tráfico puede
aprovechar las conexiones de fibra de 1 Gbps o 10 Gbps conectadas físicamente a la
red de AWS en cada región. Además, este servicio le brinda la mayor flexibilidad para
controlar y administrar el enrutamiento en sus redes locales y remotas, así como la
posibilidad de reutilizar las conexiones de AWS Direct Connect.
• Ubicaciones de AWS Direct Connect 35
• Preguntas frecuentes sobre AWS Direct Connect 36
• Comience con AWS Direct Connect 37
Enlace privado de AWS
Un punto de enlace de la VPC de interfaz (AWS PrivateLink) le permite conectarse a servicios con
tecnología de AWS PrivateLink. Estos servicios incluyen algunos servicios de AWS, servicios
alojados por otras cuentas de AWS (denominadosservicios de punto final) y servicios de socios de
AWS Marketplace compatibles. Los puntos de enlace de la interfaz se crean directamente dentro
de su VPC, utilizando interfaces de red elásticas y direcciones IP en las subredes de su VPC. El
servicio ahora está en su VPC, lo que permite la conectividad a los servicios de AWS o al servicio
impulsado por AWS PrivateLink a través de direcciones IP privadas. Eso significa que los grupos
de seguridad de VPC se pueden usar para administrar el acceso a los puntos finales. Además, se
puede acceder a los puntos de enlace de la interfaz desde sus instalaciones a través de AWS
Direct Connect.
En el siguiente diagrama, el propietario de la cuenta de la VPC B es un proveedor de servicios y el propietario de

la cuenta de la VPC A es un consumidor de servicios.
Página 25
Enrutamiento de VPC a VPC con AWS PrivateLink
Recomendamos este enfoque si desea utilizar los servicios ofrecidos por otra VPC de forma segura a
través de una conexión privada. Puede crear un punto de enlace de interfaz para mantener todo el
tráfico dentro de la red de AWS.
• Interfaz VCE Endpoints
• Servicios de punto de enlace de la VPC
Opciones de conectividad interna de usuario a

Amazon VPC
El acceso de los usuarios internos a los recursos de Amazon VPC generalmente se logra a
través desus opciones de VPC de red a Amazon o el uso de VPN de acceso remoto de software
para conectar a los usuarios internos a los recursos de VPC. Con la primera opción, puede
reutilizar sus soluciones locales y de acceso remoto existentes para administrar el acceso de los
usuarios finales, al mismo tiempo que brinda una experiencia fluida al conectarse a los
recursos alojados en AWS. Describir las soluciones de acceso interno y remoto en las
instalaciones con más detalle de lo que se ha descrito en
Página 26
Opciones de VPC de la red del cliente a Amazon está más allá del alcance de este
documento.
Consoftware VPN de acceso remoto , puede aprovechar los servicios de AWS seguros, elásticos
y de bajo costo para implementar soluciones de acceso remoto y, al mismo tiempo, brindar
una experiencia fluida al conectarse a los recursos alojados en AWS. Además, puede combinar
VPN de acceso remoto de software con sus opciones de VPC de red a Amazon para
proporcionar acceso remoto a redes internas si lo desea. Esta opción suele ser preferida por
empresas más pequeñas con redes remotas menos extensas o que aún no han creado e
implementado soluciones de acceso remoto para sus empleados.
La siguiente tabla describe las ventajas y limitaciones de estas opciones.
Red a Extensión virtual de Aprovecha las políticas Requiere final existente

VPC de Amazon su centro de datos en internas y de acceso remoto implementaciones de acceso
Conectividad AWS del usuario final existentes y interno y remoto del usuario
Opciones tecnologías
Software remoto- Control remoto basado en la nube Aprovecha el bajo costo, Podría ser redundante si
Acceder a VPN solución de acceso a servicios web elásticos y es interno y remoto
Amazon VPC y/o seguros proporcionados por implementaciones de acceso
redes internas AWS por implementar una ya existe
solución de acceso remoto
Software VPN de acceso remoto

Puede elegir entre un ecosistema de múltiples socios y comunidades de código abierto que
han producido soluciones de acceso remoto que se ejecutan en Amazon EC2. Estos incluyen
productos de empresas de seguridad conocidas como Check Point, Sophos, OpenVPN
Technologies y Microsoft. La siguiente figura muestra una solución de acceso remoto simple
que aprovecha una base de datos interna de usuarios remotos.
Página 27
Solución de acceso remoto
Las soluciones de acceso remoto varían en complejidad, admiten varias opciones de

autenticación de clientes (incluida la autenticación multifactor) y se pueden integrar con
Amazon VPC o con soluciones de gestión de acceso e identidad alojadas de forma remota
(aprovechando una de las opciones de red a Amazon VPC) como Microsoft Active Directorio u
otras soluciones de autenticación LDAP/multifactor. La siguiente figura muestra esta
combinación, lo que permite que el servidor de acceso remoto aproveche las soluciones de
administración de acceso interno si lo desea.
Página 28
Solución combinada de acceso remoto
Al igual que con las opciones de software VPN, el cliente es responsable de administrar el software
de acceso remoto, incluida la administración de usuarios, la configuración, los parches y las
actualizaciones.
Además, tenga en cuenta que este diseño introduce un posible punto único de falla en el diseño de
la red, ya que el servidor de acceso remoto se ejecuta en una sola instancia de Amazon EC2. Para
obtener información adicional, consulte el Apéndice A: Arquitectura HA de alto nivel para instancias
de VPN de software.
• Guía de inicio rápido del servidor de acceso OpenVPN 39
Conclusión
AWS proporciona una serie de opciones de conectividad eficientes y seguras para
ayudarlo a aprovechar al máximo AWS al integrar sus redes remotas con Amazon VPC.
Página 29
Las opciones proporcionadas en este documento técnico destacan varias de las opciones y
patrones de conectividad que los clientes han utilizado para integrar con éxito sus redes
remotas o varias redes de Amazon VPC. Puede utilizar la información proporcionada aquí para
determinar el mecanismo más adecuado para conectar la infraestructura necesaria para hacer
funcionar su negocio, independientemente de dónde esté ubicado físicamente o alojado.
Apéndice A: Arquitectura HA de alto nivel para

instancias de VPN de software
La creación de una conexión de VPC totalmente resistente para instancias de VPN de software
requiere la instalación y configuración de varias instancias de VPN y una instancia de monitoreo
para monitorear el estado de las conexiones de VPN.
Diseño HA de alto nivel
Recomendamos configurar sus tablas de enrutamiento de VPC para aprovechar todas las instancias
de VPN simultáneamente al dirigir el tráfico de todas las subredes en una Disponibilidad
Página 30
Zone a través de sus respectivas instancias de VPN en la misma zona de disponibilidad. Luego, cada
instancia de VPN proporciona conectividad de VPN para las instancias que comparten la misma zona de
disponibilidad.
Supervisión de VPN
Para monitorear el dispositivo VPN basado en software, puede crear un Monitor VPN. El
monitor de VPN es una instancia personalizada que necesitará para ejecutar los scripts de
monitoreo de VPN. Esta instancia está diseñada para ejecutar y monitorear el estado de la
conexión VPN y las instancias VPN. Si una instancia o conexión de VPN deja de funcionar, el
monitor debe detener, terminar o reiniciar la instancia de VPN mientras también redirige el
tráfico de las subredes afectadas a la instancia de VPN en funcionamiento hasta que ambas
conexiones vuelvan a funcionar. Dado que los requisitos de los clientes varían, AWS
actualmente no brinda orientación prescriptiva para configurar esta instancia de monitoreo.
Sin embargo, un script de ejemplo para habilitarHA entre instancias NAT podría usarse como
punto de partida para crear una solución HA para instancias de VPN de software. Le
recomendamos que piense en la lógica empresarial necesaria para proporcionar una
notificación o intentar reparar automáticamente la conectividad de la red en caso de que falle
la conexión VPN.
Además, puede monitorear los túneles de VPN administrados por AWS con las métricas
de Amazon CloudWatch, que recopila puntos de datos del servicio VPN en métricas
legibles casi en tiempo real. Cada conexión VPN recopila y publica una variedad de
métricas de túnel en Amazon CloudWatch. Estas métricas le permitirán monitorear el
estado y la actividad del túnel y crear acciones automatizadas.
Colaboradores
Las siguientes personas contribuyeron a este documento:
• Garvit Singh, Creador de soluciones, Arquitectura de soluciones de AWS
• Steve Morad, gerente sénior, creadores de soluciones, arquitectura de

soluciones de AWS
• Sohaib Tahir, arquitecto de soluciones, arquitectura de soluciones de AWS
Página 31
Revisiones de documentos
Fecha Descripción
enero 2018 Información actualizada en todo momento. Concéntrese en los siguientes diseños/características: VPC de
tránsito, puerta de enlace de conexión directa y enlace privado
julio de 2014 Primera publicación
notas
1http://aws.amazon.com/vpc/faqs/
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPC_VP
N.html
3
https://docs.aws.amazon.com/vpc/latest/adminguide/
Introduction.html#CGRequisitos
4
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#Dispositivo
probado
5http://aws.amazon.com/directconnect/
6http://aws.amazon.com/directconnect/#detalles
7http://aws.amazon.com/directconnect/faqs/
http://docs.amazonwebservices.com/DirectConnect/latest/GettingStartedGui de/
Welcome.html
11
N.html
12
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/VPN_Cl
oudHub.html
13
Página 32
N.html
Página 33
14http://aws.amazon.com/vpc/faqs/#C8
dieciséishttp://aws.amazon.com/directconnect/
17
https://aws.amazon.com/marketplace/search/results/ref%3Dbrs_navgno_se
arch_box?searchTerms=vpn
18http://aws.amazon.com/articles/8800869755706543
Si bien estas guías abordan específicamente la conexión de varias VPC de Amazon, se

pueden adaptar fácilmente para admitir esta configuración de red al sustituir una de las
VPC con un dispositivo VPN local que se conecta a un dispositivo VPN de software IPsec
o SSL que se ejecuta en una VPC de Amazon.
20https://aws.amazon.com/articles/0639686206802544
21http://aws.amazon.com/vpc/faqs/
22http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/
23http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-
mirando.html
24http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/
25
29
http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide/
CustomerGateway-Windows.html
30
N.html
31
https://docs.aws.amazon.com/vpc/latest/adminguide/
Introduction.html#CGRequisitos
Página 34
32
https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html#Dispositivo
probado
Página 35
35http://aws.amazon.com/directconnect/#detalles
37
http://docs.amazonwebservices.com/DirectConnect/latest/GettingStartedGui de/
Welcome.html
38
39http://docs.openvpn.net/how-to-tutorialsguides/virtual-platforms/amazon-
ec2-appliance-ami-guia-de-inicio-rápido/
Página 36

Aws Amazon VPC Connectivity Options - ESPANIOLed

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aws Amazon VPC Connectivity Options - ESPANIOLed

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

Nube privada virtual de Amazon

Este documento técnico está destinado a arquitectos e ingenieros de redes corporativas o

Opciones de conectividad de red de usuario a Amazon VPC

AWS Direct Connect + VPN

Opciones de conectividad de Amazon VPC a Amazon VPC

• VPN de software – Describe la conexión de varias VPC de Amazon mediante conexiones

puntos de enlace de interfaz de VPC y los servicios de punto de enlace de VPC.

Opciones de conectividad interna de usuario a Amazon VPC

Software Remote-Access VPN

Opciones de conectividad de red a

Opción Caso de uso Ventajas Limitaciones

AWS administrado por AWS Reutilizar equipos y procesos La latencia, la variabilidad y la

Punto final administrado por AWS Gestionado por el cliente

El dispositivo del cliente debe

Políticas de interconexión y enrutamiento

lineas privadas costos de ancho de banda relaciones con proveedores o

Conexiones aprovisionadas de nuevos circuitos de red a ser

Admite políticas de emparejamiento y

Opción Caso de uso Ventajas Limitaciones

La puerta de enlace privada virtual redundancia y conmutación por error (si

administrada por AWS incluye es necesario)

redundancia de varios centros de datos y

conmutación por error automatizada

Admite BGP para intercambiar rutas y

Internet Totalmente gestionado por el cliente

administrado por AWS

VPN administrada por AWS

VPN administrada por AWS

Conexiones VPN administradas por AWS redundantes

• Requisitos mínimos del dispositivo Customer Gateway 3

Conexión directa de AWS

AWS Direct Connect le permite establecer conexiones de red dedicadas de 1 Gbps

Conexión directa de AWS

Puerta de enlace de conexión directa de AWS

• Ubicaciones de AWS Direct Connect 6

• Preguntas frecuentes sobre AWS Direct Connect

• LAG de AWS Direct Connect

• Pasarelas de conexión directa de AWS 7

• Primeros pasos con AWS Direct Connect 8

Conexión directa de AWS + VPN

La siguiente figura ilustra esta opción.

Instancias EC2 Público de AWS

Conexión directa WAN del cliente

AWS directo vpn

AWS Direct Connect y VPN

• Preguntas frecuentes sobre AWS Direct Connect 10

• Adición de una puerta de enlace privada virtual a su VPC 11

Centro de nube de VPN de AWS

Centro de nube de VPN de AWS

• Guía de VPN de Amazon VPC 13

• Requisitos mínimos del dispositivo Customer Gateway 14

• Página de producto de AWS Direct Connect dieciséis

Enrutador de VPC vpn VPN del cliente

Puede elegir entre un ecosistema de múltiples socios y comunidades de código abierto

• Resumen técnico: conexión de Cisco ASA a la instancia VPC EC2 (IPSec) 18

• Resumen técnico: conexión de varias VPC con instancias EC2 (IPSec) 19

• Resumen técnico: conexión de varias VPC con instancias EC2 (SSL) 20

VPN de software y VPC de tránsito

• Solución: VPC de tránsito

Opciones de conectividad de Amazon VPC a

Opción Caso de uso Ventajas Limitaciones