Hoje eu gostaria de falar sobre uma nova solução da AWS. Ela é legal por causa do que ela faz e de como funciona! Assim como o AWS Quick Starts, essa solução foi construída pela AWS Solutions Architects e incorpora as melhores práticas para segurança e alta disponibilidade.

A nova solução Transit VPC mostra como implementar uma construção de rede muito útil que nós chamamos uma VPC em trânsito. Você pode usar isso para conectar várias nuvens privadas virtuais (VPCs) que podem estar geograficamente díspares, em execução em contas separadas da AWS e/ou a um VPC comum que serve como um centro de trânsito de rede global. Essa topologia de rede simplifica o gerenciamento da rede e minimiza o número de conexões que você precisa configurar e gerenciar. Ainda melhor, ela é implementado virtualmente e não requer qualquer equipamento de rede física ou uma presença física em um hub de transito. Aqui está como ela se parece:

Nesse diagrama, o VPC de trânsito é central, rodeado por “spoke” VPCs adicionais, centros de dados corporativos e outras redes.

O VPC de trânsito suporta vários casos de uso importantes:

• Rede Privada – Você pode construir uma rede privada que se estende por dois ou mais regiões da AWS.
• Conectividade compartilhada – Vários VPCs podem compartilhar conexões com centros de dados, redes de parceiros e outras nuvens.
• Uso de contas cruzadas da AWS – Os VPCs e os recursos da AWS dentro deles podem residir em várias contas da AWS.

A solução usa uma pilha do AWS CloudFormation para lançar e configurar todos os recursos da AWS. Ela fornece três opções de rendimento variando de 500 Mbps a 2 Gbps, cada uma implementada ao longo de um par de conexões para alta disponibilidade. A pilha faz uso do Cisco Cloud Services Router (CSR), que já está disponível no AWS Marketplace. Você pode usar suas licenças de CSR existentes (o modelo BYOL) ou você pode pagar por seu uso de CSR numa base horária. O custo para executar um VPC de trânsito é baseado na opção de transferência e modelo de licenciamento que você escolher, e varia de US $ 0,21 a US $ 8,40 por hora, com um custo adicional (para os recursos da AWS) de US $ 0,10 por hora para cada spoke VPC. Há um custo adicional de US $ 1 por mês para uma chave mestre de clientes AWS Key Management Service (KMS) que é específica para a solução. Todos esses preços são exclusivos dos custos de trânsito de rede.

O modelo instala e usa um par de funções AWS Lambda de forma criativa!

A função VGW Poller é executada a cada minuto. Faz a varredura de todas as regiões da AWS na conta, procurando de forma adequada pelos Virtual Private Gateways tagueados em spoke VPCs que não tenham uma conexão VPN. Quando se encontra um, ele cria (se necessário) a porta de entrada correspondente ao cliente e as conexões VPN com o CSR, e depois salva as informações em um bucket S3.

A função Cisco Configurator é acionada pelo evento Put no bucket. Ela analisa as informações de conexão VPN e gera os arquivos de configuração necessários, em seguida, envias as instâncias de CSR usando SSH. Isso permite que os túneis de VPN aumentem e (através da magia do BGP) as relações de vizinhança sejam estabelecidas com os spokes VPCs.

Usando o Lambda dessa forma, novos spokes VPCs podem ser colocados online rapidamente sem a sobrecarga de manter uma instância EC2 subutilizada em funcionamento.

O guia de implementação da solução, como sempre, contém instruções passo a passo e recomendações de segurança.

Deixe suas dúvidas e/ou comentários aqui ou escreva diretamente para o autor (em inglês).

PS – Confira o guia das melhores práticas de rede adicionais para encontrar respostas a perguntas comuns de rede!