[go: up one dir, main page]
action.skip
Documentazione Megaport
Opzioni di crittografia AWS
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Opzioni di crittografia AWS per un’alta capacità di trasmissione e un’alta resilienza

Questo argomento descrive due scenari per la creazione di connessioni di rete crittografate ad AWS con alta capacità di trasmissione e alta resilienza.

Prerequisiti

  • Due posizioni abilitate Megaport con zone di diversità stabilite.
  • Una connessione AWS Direct Connect Hosted (utilizzata come esempio in questo argomento), o una connessione Hosted Virtual Interface (Hosted VIF).
  • Dimensione sufficiente dell’istanza Elastic Compute Cloud (EC2) che esegue la Network Virtual Appliance (NVA) all’interno di AWS per gestire la crittografia ad alta capacità di trasmissione.

Considerazioni principali

  • La capacità di trasmissione massima è principalmente determinata dalla quantità di calcolo disponibile sui dispositivi che gestiscono le crittografie (come le Network Virtual Appliances, i firewall o i router).
  • Gli obiettivi generali di tempo di attività determinano il numero di dispositivi, connessioni sottostanti e tunnel di sovrapposizione (ad esempio 99,9% o 99,99%, una metrica separata dal numero SLA).
  • Il protocollo di routing e la configurazione determinano il tempo di failover, e quanto velocemente un dispositivo rileva un guasto. In alcuni casi, potrebbe non essere possibile un arresto ordinato.

Scenario 1: Connessione crittografata a transit Virtual Private Cloud (VPC)

Strato fisico - Megaport e posizioni abilitate Megaport + posizioni al bordo di AWS

In ogni zona di diversità, è possibile avere un singolo Port o una coppia di Port in un Gruppo di aggregazione di link (LAG). Ogni posizione abilitata Megaport è protetta da percosi a fibra ottica doppia diversa verso la rete centrale globale di Megaport.

Strato fisico Transit VPC

Strato 2 - VXC

Sfruttando lo strato fisico protetto, crea un VXC (circuito dello strato 2) per connetterti a ogni rampa su cui Megaport incontra la rete di bordo AWS. Ogni location di connessione ospitata dispone di infrastruttura fisica diversa disponibile. Questa immagine mostra quattro VXC che collegano quattro dispositivi su Megaport ad AWS nelle posizioni di bordo AWS. Utilizza un’interfaccia virtuale privata su AWS Direct Connect, quindi è attaccata al target del gateway privato virtuale (VGW) o a un gateway Direct Connect su VGW.

Circuito dello strato 2 VXC TVPC

Strato 3 - IP e sessioni BGP

Assegna indirizzi IP e stabilisce una sessione BGP su ciascuno dei VXC precedentemente creati. Se una delle sessioni è interrotta, sono disponibili sessioni BGP attive per il failover.

Sessioni BGP

Network Virtual Appliance all’interno del transit VPC e firewall on-premises

Il requisito di tempo di attività determina il numero di dispositivi on-premise e di Network Virtual Appliances (NVAs) in AWS; può essere un cluster/stack di due o più dispositivi in ogni data center.

NVA su AWS

Tunnel crittografati

È possibile stabilire tunnel crittografati utilizzando protocolli standard dell’industria o protocolli proprietari del vendor. La capacità di trasmissione massima dipende dalla potenza di calcolo disponibile sulle NVA e sul firewall on-premise. Ogni tunnel crittografato è protetto dall’installazione dell’infrastruttura di rete.

Tunnel crittografati

Per un failover automatico più veloce, si consiglia di configurare protocolli di routing dinamico sui tunnel crittografati che sono separati dalla rete sottostante.

Scenario 2: Connessione crittografata a TGW

Strato fisico - Megaport e posizioni abilitate Megaport + posizioni al bordo di AWS

In ogni zona di diversità, è possibile avere un singolo Port o una coppia di Port con un LAG. Ogni posizione abilitata Megaport è protetta da percorsi a fibra ottica doppia diversa verso la rete centrale globale di Megaport.

Strato fisico TGW

Strato 2 - VXC

Sfrutta lo strato fisico protetto, crea un VXC per connetterti a ogni rampa su cui Megaport incontra la rete di bordo AWS. Ogni location di connessione ospitata dispone di infrastruttura fisica diversa disponibile. Questa immagine mostra quattro VXC che collegano quattro diversi dispositivi su Megaport ad AWS nelle posizioni di bordo AWS. Assicurati di utilizzare un’interfaccia virtuale pubblica su AWS Direct Connect per ricevere tutti i prefissi globali pubblici di AWS.

Circuito dello strato 2 TGW VXC

Strato 3 - IP e sessioni BGP

Assegna un indirizzo IP pubblico di tua proprietà a ciascun VXC che hai creato e stabilisci una sessione BGP. Se si verificano interruzioni, ci sono quattro sessioni BGP attive disponibili per un facile failover.

Nota

Se non possiedi indirizzi IP pubblici, vedi Creazione di connessioni MCR ad AWS.

Sessioni BGP TGW

Utilizzo di dispositivi on-premise per stabilire connessioni VPN IPsec a TGW

Il numero di dispositivi on-premise dipende dal tuo requisito di tempo di attività. Puoi avere un cluster o stack di due o più dispositivi in ogni data center.

TGW firewall

Stabilire tunnel VPN IPsec a gateway di transito

Ogni connessione VPN creata in AWS dispone di due tunnel disponibili per l’alta disponibilità (HA) con una capacità di trasmissione massima di 1,25 Gbps. Puoi sfruttare il routing ECMP (Equal-Cost Multi-Path) per creare più connessioni VPN per aggregare la capacità di trasmissione fino a 50 Gbps.

Tunnel VPN TGW