Pular para conteúdo
Documentação da Megaport
Opções de Criptografia da AWS
PDF

Opções de Criptografia da AWS para Alto Throughput e Alta Resiliência

Este tópico descreve dois cenários para criar conexões de rede criptografadas com a AWS, com alta largura de banda e alta resiliência.

Pré-requisitos

  • Dois locais com a Megaport com zonas de diversidade estabelecidas.
  • Uma Conexão Hospedada AWS Direct Connect (usada como exemplo neste tópico) ou uma conexão de Interface Virtual Hospedada (Hosted VIF).
  • Tamanho suficiente da instância do Elastic Compute Cloud (EC2) executando o Network Virtual Appliance (NVA) dentro da AWS para lidar com criptografia de alto-throughput.

Principais considerações

  • O throughput máximo é determinado principalmente pela capacidade de computação disponível nos dispositivos que lidam com as criptografias (como Network Virtual Appliances, firewalls ou roteadores).
  • As metas de tempo de atividade determinam o número de dispositivos, conexões subjacentes e túneis sobrepostos (por exemplo, 99,9% ou 99,99%, uma métrica separada do número de SLA).
  • O protocolo de roteamento e a configuração determinam o tempo de failover e a rapidez com que um dispositivo detecta uma falha. Em alguns casos, um desligamento suave pode não ser possível.

Cenário 1: Conexão criptografada para a Virtual Private Cloud (VPC) de trânsito

Camada Física - Megaport e locais habilitados pela Megaport + locais de borda da AWS

Em cada zona de diversidade, você pode ter uma única Porta ou um par de Portas em um Grupo de Agregação de Links (LAG). Cada local habilitado pela Megaport é protegido por caminhos de fibra duplos e diversos na rede central global da Megaport.

Transit VPC physical layer

Camada 2 - Virtual Cross Connect (VXC)

Aproveitando a camada física protegida, crie um VXC (circuito de Camada 2) para conectar-se a cada ponto de entrada onde a Megaport encontra a rede de borda (edge) da AWS. Cada local de Conexão Hospedada possui infraestrutura física diversa disponível. Esta imagem mostra quatro VXCs conectando quatro dispositivos na Megaport à AWS nos locais de borda da AWS. Use uma interface virtual privada pelo AWS Direct Connect para que ela seja anexada ao Virtual Private Gateway (VGW) de destino ou a um Direct Connect Gateway no VGW.

TVPC VXC Layer 2 circuit

Camada 3 - Sessões de IP e BGP

Atribua endereços IP e estabeleça uma sessão BGP sobre cada um dos VXCs criados anteriormente. Se uma das sessões for interrompida, as sessões BGP ativas estarão disponíveis para failover.

BGP sessions

Network Virtual Appliances dentro da VPC de trânsito e firewalls nas instalações (on-premises)

O requisito de tempo de atividade (uptime) determina o número de dispositivos on-premises e Network Virtual Appliances (NVAs) na AWS; pode ser um cluster/stack de dois ou mais dispositivos em cada data center.

NVAs in AWS

Túneis criptografados

Você pode estabelecer túneis criptografados usando protocolos padrão da indústria ou protocolos proprietários do fornecedor. A largura de banda máxima depende da capacidade de computação disponível nos NVAs e no firewall on-premises. Cada túnel criptografado é protegido pela infraestrutura de rede configurada.

Encrypted tunnels

Para um failover mais rápido e automatizado, recomendamos que você configure protocolos de roteamento dinâmico sobre os túneis criptografados, separados da rede subjacente.

Cenário 2: Conexão criptografada para um TGW

Camada Física - Megaport e locais habilitados pela Megaport + locais de borda (edge) da AWS

Em cada zona de diversidade, você pode ter uma única Porta ou um par de Portas em um LAG. Cada local habilitado pela Megaport é protegido por caminhos de fibra duplos e diversos na rede central global da Megaport.

TGW physical layer

Camada 2 - VXC

Aproveitando a camada física protegida, crie um VXC para conectar-se a cada ponto de entrada onde a Megaport encontra a rede de borda da AWS. Cada local de Conexão Hospedada possui infraestrutura física diversa disponível. A imagem a seguir mostra quatro VXCs conectando quatro dispositivos diferentes na Megaport à AWS nos locais de borda da AWS. Certifique-se de usar uma interface virtual pública pelo AWS Direct Connect para receber todos os prefixos globais públicos da AWS.

TGW VXC Layer 2 circuit

Camada 3 - Sessões de IP e BGP

Atribua um endereço IP público que você possui a cada VXC que você criou e estabeleça uma sessão BGP. Se ocorrerem interrupções, há quatro sessões BGP ativas disponíveis para failover.

Aviso

Se você não tiver endereços IP públicos, veja Criando Conexões MCR para AWS.

TGW BGP sessions

Uso de dispositivos on-premises (nas instalações) para estabelecer conexões VPN IPsec para o TGW

O número de dispositivos on-premises depende do seu requisito de tempo de atividade (uptime). Você pode ter um cluster ou stack de dois ou mais dispositivos em cada data center.

TGW firewalls

Estabelecendo túneis VPN IPsec para o transit gateway

Cada conexão VPN criada na AWS possui dois túneis disponíveis para alta disponibilidade (HA) com uma largura de banda máxima de 1,25 Gbps. Você pode aproveitar o roteamento ECMP (Equal-Cost Multi-Path) para criar várias conexões VPN e agregar largura de banda de até 50 Gbps.

TGW VPN tunnels