Recomendaciones sobre resiliencia de AWS Direct Connect

Utilice AWS Direct Connect para una alta resistencia

Amazon Web Services (AWS) brinda a los clientes la capacidad de lograr conexiones de alta resiliencia entre Amazon Virtual Private Cloud (Amazon VPC) y la infraestructura en sus instalaciones. Esta capacidad amplía el acceso de los clientes a los recursos de AWS de una manera rentable, escalable y fiable. Esta página documenta nuestras prácticas recomendadas para garantizar una alta resiliencia con AWS Direct Connect.

Las conexiones de red tolerantes a fallos y de alta resiliencia son claves para lograr un sistema con una buena arquitectura. AWS recomienda conectarse desde varios centros de datos para lograr redundancia de ubicación física. Al diseñar conexiones remotas, considere utilizar proveedores de telecomunicaciones y hardware redundantes. De manera adicional, se recomienda utilizar conexiones activo/activo direccionadas dinámicamente para contar con balanceo de carga automático y conmutación por error en conexiones de red redundantes. Aprovisione suficiente capacidad de red para garantizar que si falla una conexión de red no se sobrecarguen ni degraden las conexiones redundantes.  

Tenga las siguientes directrices de topología en mente cuando se conecte a AWS:

Alta resiliencia para cargas de trabajo críticas

En el caso de cargas de trabajo de producción que requieren una alta resiliencia, se recomienda contar con una conexión en múltiples ubicaciones. Tal y como se muestra en la figura de arriba, una topología así asegura la resiliencia en caso de fallos de conectividad debido a un corte de la fibra, un error de un dispositivo o incluso de una ubicación entera. Puede utilizar AWS Direct Connect Gateway para acceder a cualquier región de AWS (excepto las regiones de AWS en China) desde cualquier ubicación de AWS Direct Connect. 

Máxima resiliencia para cargas de trabajo críticas

La máxima resiliencia se logra mediante conexiones separadas que finalizan en dispositivos separados en más de una ubicación. Esta configuración ofrece a los clientes la máxima resiliencia ante fallos. Tal y como se muestra en la figura de arriba, una topología así brinda resiliencia en caso de un error de un dispositivo, un error de conexión o de una ubicación entera. Puede utilizar AWS Direct Connect Gateway para acceder a cualquier región de AWS (excepto las regiones de AWS en China) desde cualquier ubicación de AWS Direct Connect.

Cargas de trabajo de producción que no son críticas y cargas de trabajo de desarrollo

En el caso de cargas de trabajo de producción que no son críticas y cargas de desarrollo que no requieren alta resiliencia, se recomienda contar con un mínimo de dos conexiones que terminen en dispositivos diferentes en una única ubicación. Tal y como se muestra en la figura anterior, una topología así ayuda en caso de que falle un dispositivo en una ubicación, pero no ayuda en caso de un error general en la ubicación.

Resiliencia multirregional

Para una mayor resiliencia, los clientes también pueden explorar el uso de la conmutación por error multirregional. Esto se puede hacer con la interconexión entre regiones de Transit Gateway y Direct Connect Gateway. En este blog se explica una de estas implementaciones.

Conexiones AWS Site-to-Site VPN como copia de seguridad para Direct Connect

Algunos clientes de AWS desearían disfrutar de los beneficios de una o más conexiones de AWS Direct Connect para su conectividad principal con AWS, junto con una conexión de copia de seguridad de menor costo. Para lograr este objetivo, pueden establecer conexiones de AWS Direct Connect con una copia de seguridad de VPN.

Es importante entender que AWS Site-to-Site VPN admite un rendimiento de hasta 1,25 Gbps por túnel de VPN y no es compatible con el enrutamiento de múltiples rutas de igual costo (ECMP) para la ruta de datos de salida en caso de varios túneles de AWS Site-to-Site VPN que finalicen en la misma VGW. Por tanto, no recomendamos que los clientes utilicen AWS Site-to-Site VPN como copia de seguridad para las conexiones de AWS Direct Connect con velocidades superiores a 1 Gbps.  

Para una mayor resiliencia, los clientes de AWS pueden considerar el uso de AWS Site-to-Site VPN que termina en AWS Transit Gateway como respaldo a sus conexiones de AWS Direct Connect. Al utilizar la VPN de sitio a sitio de AWS con Transit Gateway, puede ECMP el tráfico a través de múltiples túneles de VPN para lograr hasta 50 Gbps. Es importante tener en cuenta que el ancho de banda de un solo túnel VPN sigue estando limitado a 1,25 Gbps.

Recomendación de selección de socio de AWS Direct Connect

Los socios de AWS Direct Connect ayudan a los clientes a establecer conectividad de redes entre los centros de AWS Direct Connect y centros de datos, oficinas o entornos de coubicación. Al seleccionar socios de AWS Direct Connect, considere un enfoque de proveedor doble, si es posible a nivel financiero, para garantizar la diversidad de redes y privacidad. Cuando esté planificando su conectividad, trabaje con el socio o socios seleccionados para determinar cuál de las prácticas recomendadas mencionadas se ajustan a sus necesidades, y descubra cómo pueden ayudarlo los socios.

Resumen

AWS recomienda a los clientes utilizar conexiones direccionadas de forma dinámica en lugar de estática hacia AWS en múltiples ubicaciones de AWS Direct Connect. Esto permitirá la conmutación por error de conexiones remotas de manera automática. El enrutamiento dinámico también permite que las conexiones remotas utilicen de manera automática las rutas preferidas disponibles, en caso de ser posible, hacia la red en las instalaciones. Las conexiones de alta resiliencia requieren hardware redundante, incluso cuando se conectan desde la misma ubicación física. Evite depender de un único dispositivo en las instalaciones conectado a un único dispositivo de AWS Direct Connect. Considere el uso de la VPN de sitio a sitio de AWS que termina en AWS Transit Gateway como copia de seguridad para sus cargas de trabajo críticas. También puede considerar la conmutación por error multirregional con Transit Gateway Cross Region Peering y Direct Connect Gateway.