aws direct connect€¦ · registrar em log chamadas de api ... • você está trabalhando com um...

AWS Direct ConnectGuia do usuário

AWS Direct Connect: Guia do usuárioCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

AWS Direct Connect Guia do usuário

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsO que é o AWS Direct Connect? .......................................................................................................... 1

Componentes do AWS Direct Connect .......................................................................................... 1Requisitos de rede ...................................................................................................................... 2Definição de preços do AWS Direct Connect .................................................................................. 2Acessar uma região remota da AWS ............................................................................................. 3

Acessar serviços públicos em uma região remota .................................................................... 3Acessar VPCs em uma região remota ................................................................................... 3Opções de conectividade de rede para Amazon VPC .............................................................. 3

Políticas de roteamento e comunidades BGP ................................................................................. 4Políticas de roteamento de interface virtual pública .................................................................. 4Comunidades BGP de interface virtual pública ........................................................................ 4Políticas de roteamento da interface virtual privada e da interface virtual de trânsito ...................... 5Exemplo de roteamento de interface virtual privada ................................................................. 7

Usar o Toolkit de resiliência do Direct Connect AWS para começar ............................................................ 8Prerequisites .............................................................................................................................. 9Resiliência máxima ................................................................................................................... 10

Passo 1: Cadastre-se no AWS ........................................................................................... 12Passo 2: Configurar o modelo de resiliência ......................................................................... 12Passo 3: Crie as suas interfaces virtuais .............................................................................. 13Passo 4: Verifique a sua configuração de resiliência da interface virtual ..................................... 17Passo 5: Verifique a conectividade das suas interfaces virtuais ................................................ 17

Alta resiliência .......................................................................................................................... 17Passo 1: Cadastre-se no AWS ........................................................................................... 19Passo 2: Configurar o modelo de resiliência ......................................................................... 19Passo 3: Crie as suas interfaces virtuais .............................................................................. 20Passo 4: Verifique a sua configuração de resiliência da interface virtual ..................................... 24Passo 5: Verifique a conectividade das suas interfaces virtuais ................................................ 24

Desenvolvimento e testes .......................................................................................................... 24Passo 1: Cadastre-se no AWS ........................................................................................... 25Passo 2: Configurar o modelo de resiliência ......................................................................... 25Passo 3: Criar uma interface virtual ..................................................................................... 26Passo 4: Verifique a sua configuração de resiliência da interface virtual ..................................... 30Passo 5: Verifique a sua interface virtual .............................................................................. 30

Clássica ................................................................................................................................... 30Prerequisites .................................................................................................................... 31Etapa 1: Cadastrar-se na AWS ........................................................................................... 31Etapa 2: Solicitar uma conexão dedicada do AWS Direct Connect ou aceitar uma conexãohospedada ....................................................................................................................... 31(Conexão dedicada) Etapa 3: Fazer download da LOA-CFA .................................................... 33Etapa 4: Criar uma interface virtual ..................................................................................... 34Etapa 5: Fazer download da configuração do roteador ........................................................... 38Etapa 6: Verificar a interface virtual ..................................................................................... 38(Recomendado) Etapa 7: Configurar conexões redundantes .................................................... 39

Teste de failover do AWS Direct Connect ..................................................................................... 40Histórico do teste .............................................................................................................. 40Permissões de validação ................................................................................................... 40Iniciar o teste de failover da interface virtual ......................................................................... 40Visualizar o histórico do teste de failover da interface virtual .................................................... 41Interromper o teste de failover da interface virtual .................................................................. 41

Conexões ........................................................................................................................................ 43Conexões dedicadas ................................................................................................................. 43Conexões hospedadas .............................................................................................................. 44Criar uma conexão ................................................................................................................... 44

Como baixar a LOA-CFA ................................................................................................... 45

iii


Visualizar detalhes da conexão ................................................................................................... 46Atualizar uma conexão .............................................................................................................. 46Excluir conexões ....................................................................................................................... 47Aceitar uma conexão hospedada ................................................................................................ 47

Conexões cruzadas ........................................................................................................................... 49África (Cidade do Cabo) ............................................................................................................ 50Ásia Pacífico (Mumbai) .............................................................................................................. 50Ásia-Pacífico (Seul) ................................................................................................................... 50Ásia-Pacífico (Cingapura) ........................................................................................................... 51Ásia-Pacífico (Sydney) ............................................................................................................... 51Ásia-Pacífico (Tóquio) ................................................................................................................ 51AWS GovCloud (Leste dos EUA) ................................................................................................ 52AWS GovCloud (US-West) ......................................................................................................... 52Canadá (Central) ...................................................................................................................... 52China (Pequim) ........................................................................................................................ 52China (Ningxia) ......................................................................................................................... 53Europa (Frankfurt) ..................................................................................................................... 53Europa (Irlanda) ........................................................................................................................ 54Europa (Itália) .......................................................................................................................... 54Europa (Londres) ...................................................................................................................... 54Europa (Paris) .......................................................................................................................... 55Europa (Estocolmo) ................................................................................................................... 55Oriente Médio (Bahrein) ............................................................................................................. 55Oriente Médio (Israel) ................................................................................................................ 56América do Sul (São Paulo) ....................................................................................................... 56Leste dos EUA (Ohio) ............................................................................................................... 56Leste dos EUA (Norte da Virgínia) .............................................................................................. 56Oeste dos EUA (Norte da Califórnia) ........................................................................................... 57Oeste dos EUA (Oregon) ........................................................................................................... 57

Interfaces virtuais .............................................................................................................................. 59Regras de anúncio de prefixo da interface virtual pública ................................................................ 59Interfaces virtuais hospedadas .................................................................................................... 59Pré-requisitos para interfaces virtuais ........................................................................................... 62Criar uma interface virtual .......................................................................................................... 64

Criar uma interface virtual pública ....................................................................................... 64Criar uma interface virtual privada ....................................................................................... 65Criar uma interface virtual de trânsito para o gateway Direct Connect ........................................ 67Fazer download do arquivo de configuração do roteador ......................................................... 68

Visualizar detalhes da interface virtual ......................................................................................... 71Adicionar ou excluir um par BGP ................................................................................................ 72

Adicionar um par BGP ....................................................................................................... 72Excluir um par BGP .......................................................................................................... 73

Configuração da MTU de rede para interfaces virtuais privadas ou interfaces virtuais de trânsito ............ 73Adicionar ou remover tags da interface virtual ............................................................................... 74Excluir interfaces virtuais ............................................................................................................ 75Criar uma interface virtual hospedada .......................................................................................... 75

Criar uma interface virtual privada hospedada ....................................................................... 75Criar uma interface virtual pública hospedada ....................................................................... 76Criar uma interface virtual de trânsito hospedada ................................................................... 77

Aceitar uma interface virtual hospedada ....................................................................................... 78Migrar uma interface virtual ........................................................................................................ 79

LAGs .............................................................................................................................................. 81Como criar um LAG .................................................................................................................. 82Como atualizar um LAG ............................................................................................................ 83Associar uma conexão a um LAG ............................................................................................... 84Desassociar uma conexão de um LAG ........................................................................................ 85Exclusão de LAGs .................................................................................................................... 85

iv


Trabalhar com gateways Direct Connect .............................................................................................. 86Gateways Direct Connect ........................................................................................................... 86

Associações de gateways privados virtuais ........................................................................... 86Associações de gateways privados virtuais entre contas ......................................................... 87Associações de gateways de trânsito ................................................................................... 87Associações de gateways de trânsito entre contas ................................................................. 88Criar um gateway Direct Connect ........................................................................................ 89Excluir gateways Direct Connect ......................................................................................... 89Migrar de um gateway privado virtual para um gateway Direct Connect ..................................... 89

Associações de gateways privados virtuais ................................................................................... 90Criar um gateway privado virtual ......................................................................................... 91Associar e desassociar gateways privados virtuais ................................................................. 91Criar uma interface virtual privada para o gateway Direct Connect ............................................ 92Associar um gateway privado virtual entre contas .................................................................. 94

Associações de gateways de trânsito ........................................................................................... 97Associar e desassociar gateways de trânsito ........................................................................ 97Criar uma interface virtual de trânsito para o gateway Direct Connect ........................................ 98Associar um gateway de trânsito entre contas ....................................................................... 99

Interações de prefixos permitidos .............................................................................................. 102Associações de gateways privados virtuais ......................................................................... 102Associações de gateways de trânsito ................................................................................. 103Exemplo: permitido para prefixos em uma configuração de gateway de trânsito ......................... 103

Marcação de recursos ..................................................................................................................... 105Restrições de tags .................................................................................................................. 106Trabalhar com tags usando a CLI ou a API ................................................................................ 106

Examples ....................................................................................................................... 107Segurança ...................................................................................................................................... 108

Proteção de dados .................................................................................................................. 108Privacidade do tráfego entre redes .................................................................................... 109Encryption (Criptografia) ................................................................................................... 109

Identity and Access Management .............................................................................................. 110Audience ........................................................................................................................ 110Autenticar com identidades ............................................................................................... 110Gerenciamento do acesso usando políticas ......................................................................... 112Como o AWS Direct Connect funciona com o IAM ............................................................... 113Exemplos de políticas baseadas em identidade ................................................................... 117Solução de problemas ..................................................................................................... 121

Registrar e monitorar ............................................................................................................... 123Validação de conformidade ....................................................................................................... 124Resiliência .............................................................................................................................. 124

Failover ......................................................................................................................... 125Segurança da infraestrutura ...................................................................................................... 125

Uso do AWS CLI ............................................................................................................................ 126Passo 1: Criar uma conexão .................................................................................................... 126Passo 2: Faça o download da LOA-CFA .................................................................................... 127Passo 3: Crie uma interface virtual e obtenha a configuração do router ............................................ 127

Registrar em log chamadas de API ................................................................................................... 132Informações sobre o AWS Direct Connect no CloudTrail ............................................................... 132Noções básicas das entradas dos arquivos de log do AWS Direct Connect ...................................... 133

Monitoramento ................................................................................................................................ 137Ferramentas de monitoramento ................................................................................................. 137

Ferramentas de monitoramento automatizadas .................................................................... 137Ferramentas de monitoramento manual .............................................................................. 138

Monitorar o com o Amazon CloudWatch ..................................................................................... 138AWS Direct ConnectMétricas e dimensões do ..................................................................... 138Visualizar métricas do CloudWatch do AWS Direct Connect ................................................... 141Criar alarmes do CloudWatch para monitorar conexões do AWS Direct Connect ....................... 142

v


Cotas ............................................................................................................................................ 144Cotas de BGP ........................................................................................................................ 145Considerações sobre balanceamento de carga ............................................................................ 145

Solução de problemas ..................................................................................................................... 146Solucionar problemas da camada 1 (física) ................................................................................. 146Solucionar problemas da camada 2 (link de dados) ...................................................................... 147Solucionar problemas das camadas 3/4 (rede/transporte) .............................................................. 150Solucionar problemas de roteamento ......................................................................................... 152

Histórico do documento .................................................................................................................... 154.................................................................................................................................................... clviii

vi

AWS Direct Connect Guia do usuárioComponentes do AWS Direct Connect

O que é o AWS Direct Connect?O AWS Direct Connect vincula sua rede interna a um local do AWS Direct Connect usando um cabo defibra óptica Ethernet padrão. Uma extremidade do cabo é conectada ao roteador, e a outra é conectada aum roteador do AWS Direct Connect. Com essa conexão, crie interfaces virtuais diretamente para serviçospúblicos da AWS (por exemplo, Amazon S3) ou para a Amazon VPC, ignorando provedores de serviço daInternet no caminho da rede. Um local do AWS Direct Connect dá acesso à AWS na Região à qual estáassociado. Use uma única conexão em uma Região pública ou AWS GovCloud (US) para acessar serviçospúblicos da AWS em todas as outras Regiões públicas.

O diagrama a seguir mostra como o AWS Direct Connect mantém interface com a rede.

Tópicos• Componentes do AWS Direct Connect (p. 1)• Requisitos de rede (p. 2)• Definição de preços do AWS Direct Connect (p. 2)• Acessar uma região remota da AWS (p. 3)• Políticas de roteamento e comunidades BGP (p. 4)

Componentes do AWS Direct ConnectEstes são os principais componentes que você usará no AWS Direct Connect:

1

AWS Direct Connect Guia do usuárioRequisitos de rede

Conexões

Crie uma conexão em um local do AWS Direct Connect para estabelecer uma conexão de rededo local até uma região da AWS. Para obter mais informações, consulte Conexões AWS DirectConnect (p. 43).

Interfaces virtuais

Crie uma interface virtual para permitir o acesso a serviços da AWS. Uma interface virtual públicapermite acessar serviços públicos, como o Amazon S3. Uma interface virtual privada permite o acessoà VPC. Para obter mais informações, consulte AWS Direct ConnectInterfaces virtuais do (p. 59) ePré-requisitos para interfaces virtuais (p. 62).

Requisitos de redePara usar o AWS Direct Connect em um local do AWS Direct Connect, a rede deve atender a uma dasseguintes condições:

• A rede é co-locada com um local do AWS Direct Connect existente. Para obter mais informações sobrelocais do AWS Direct Connect disponíveis, consulte Detalhes do produto AWS Direct Connect.

• Você está trabalhando com um parceiro do AWS Direct Connect membro da APN. Para obterinformações, consulte APN Partners Supporting AWS Direct Connect.

• Você está trabalhando com um provedor de serviços independente para se conectar ao AWS DirectConnect.

Além disso, a rede deve atender às seguintes condições:

• A rede deve usar fibra monomodo com um transceptor 1000BASE-LX (1.310 nm) para Ethernet de 1gigabit ou um transceptor 10GBASE-LR (1.310 nm) para Ethernet de 10 gigabits.

• A negociação automática para a porta deve estar desabilitada. A velocidade da porta e o modo full-duplex devem ser configurados manualmente.

• O encapsulamento de VLAN 802.1Q deve ser compatível com toda a conexão, incluindo dispositivosintermediários.

• O dispositivo deve ser compatível com Border Gateway Protocol (BGP) e autenticação MD5 BGP.• (Opcional) Você também pode configurar Bidirectional Forwarding Detection (BFD - Detecção de

encaminhamento bidirecional) na rede. A BFD assíncrona é habilitada automaticamente para interfacesvirtuais do AWS Direct Connect, mas isso não entra em vigor até você configurá-la no roteador.

O AWS Direct Connect é compatível com os protocolos de comunicação IPv4 e IPv6. Os endereços IPv6fornecidos por serviços da AWS públicos são acessíveis por meio de interfaces virtuais públicas do AWSDirect Connect.

O AWS Direct Connect oferece suporte a um quadro Ethernet de 1.522 ou 9.023 bytes (cabeçalho Ethernetde 14 bytes + tag VLAN de 4 bytes + bytes para o datagrama IP + FCS de 4 bytes) na camada de link.Você pode definir a MTU de suas interfaces virtuais privadas. Para obter mais informações, consulteConfiguração da MTU de rede para interfaces virtuais privadas ou interfaces virtuais de trânsito (p. 73).

Definição de preços do AWS Direct ConnectO AWS Direct Connect tem dois elementos de faturamento: horas de porta e transferência de dados desaída. A definição de preço de porta-hora é determinada pela capacidade e pelo tipo de conexão (conexãodedicada ou hospedada).

2

http://aws.amazon.com/directconnect/details

https://aws.amazon.com//directconnect/partners/

AWS Direct Connect Guia do usuárioAcessar uma região remota da AWS

As cobranças de transferência de dados de saída de interfaces privadas e interfaces virtuais de trânsitosão alocadas para a conta da AWS responsável pela transferência de dados. Não há cobranças adicionaispara usar um gateway do AWS Direct Connect de várias contas.

Para recursos da AWS endereçáveis publicamente (por exemplo, buckets do Amazon S3, instâncias doEC2 Classic ou tráfego do EC2 que passa por um gateway da Internet), se o tráfego de saída for destinadoa prefixos públicos de propriedade da mesma conta pagante da AWS e anunciado ativamente para a AWSpor meio de uma interface virtual pública do AWS Direct Connect, o uso de transferência de dados desaída (DTO) será medido para o proprietário do recurso com a taxa de transferência de dados do AWSDirect Connect.

Para obter mais informações, consulte Definição de preço do Amazon Direct Connect.

Acessar uma região remota da AWSOs locais do AWS Direct Connect em regiões públicas ou AWS GovCloud (US) podem acessar serviçospúblicos em qualquer outra região pública (exceto China (Pequim e Ningxia)). Além disso, as conexões doAWS Direct Connect em regiões públicas ou AWS GovCloud (US) podem ser configuradas para acessaruma VPC em sua conta de qualquer outra região pública (exceto China (Pequim e Ningxia). Dessa forma,você pode usar uma única conexão do AWS Direct Connect para criar serviços em várias Regiões. Todoo tráfego de rede permanece no backbone da rede global da AWS, independentemente de você acessarserviços públicos da AWS ou uma VPC em outra Região.

Toda transferência de dados fora de uma Região remota é cobrada segundo a taxa de transferência dedados da Região remota. Para obter mais informações sobre a definição de preço da transferência dedados, consulte a seção Definição de preço na página de detalhes do AWS Direct Connect.

Para obter mais informações sobre as políticas de roteamento e comunidades BGP compatíveis para umaconexão do AWS Direct Connect, consulte Políticas de roteamento e comunidades BGP (p. 4).

Acessar serviços públicos em uma região remotaPara acessar recursos públicos em uma Região remota, é necessário configurar uma interface virtualpública e estabelecer uma sessão do Border Gateway Protocol (BGP). Para obter mais informações,consulte AWS Direct ConnectInterfaces virtuais do (p. 59).

Após a criação de uma interface virtual pública e o estabelecimento de uma sessão do BGP nela, oroteador aprenderá as rotas das outras Regiões públicas da AWS. Para obter mais informações sobre osprefixos anunciados pela AWS no momento, consulte Intervalos de endereços IP da AWS no Referênciageral do Amazon Web Services.

Acessar VPCs em uma região remotaVocê pode criar um Direct Connect gateway (Gateway Direct Connect) em qualquer região pública. Use-o para conectar sua conexão do AWS Direct Connect por meio de uma interface virtual privada às VPCsem sua conta localizadas em regiões diferentes ou a um gateway de trânsito. Para obter mais informações,consulte Trabalhar com gateways Direct Connect (p. 86).

Como alternativa, crie uma interface virtual pública para sua conexão do AWS Direct Connect e, emseguida, estabeleça uma conexão VPN com sua VPC na Região remota. Para obter mais informaçõessobre como configurar a conectividade VPN a uma VPC, consulte Cenários de uso da Amazon VirtualPrivate Cloud no Guia do usuário da Amazon VPC.

Opções de conectividade de rede para Amazon VPCA configuração a seguir pode ser usada para conectar redes remotas ao ambiente da Amazon VPC. Essasopções são úteis para integrar os recursos da AWS aos seus serviços locais existentes:

3

https://aws.amazon.com/directconnect/pricing/

http://aws.amazon.com/directconnect/pricing/

https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenarios.html

AWS Direct Connect Guia do usuárioPolíticas de roteamento e comunidades BGP

• AWS Direct Connect• AWS Direct Connect e AWS Virtual Private Network

Políticas de roteamento e comunidades BGPO AWS Direct Connect AWS aplica políticas de roteamento de entrada (do datacenter no local) e desaída (da região da AWS Direct Connect) para uma conexão pública do . Você também pode usar tagsda comunidade BGP (Border Gateway Protocol) em rotas anunciadas pela Amazon e aplicar tags dacomunidade BGP às rotas anunciadas para a Amazon.

Políticas de roteamento de interface virtual públicaSe estiver usando o AWS Direct Connect para acessar serviços públicos da AWS, você deve especificarprefixos IPv4 públicos ou prefixos IPv6 para anunciar via BGP.

As seguintes políticas de roteamento de entrada se aplicam:

• Você deve ter os prefixos públicos e eles devem estar registrados como tal no registro regional daInternet apropriado.

• O tráfego deve ser destinado a prefixos públicos da Amazon. Não há suporte para o roteamentotransitivo entre as conexões.

• AWS Direct ConnectO executa a filtragem de pacotes de entrada para validar se a origem do tráfegovem do prefixo anunciado.

As seguintes políticas de roteamento de saída se aplicam:

• A correspondência de prefixo AS-PATH e mais longa é usada para determinar o caminho de roteamento,e AWS Direct Connect é o caminho preferido para o tráfego originado da Amazon.

• O AWS Direct Connect anuncia todos os prefixos locais e remotos da Região da AWS quando disponívele inclui prefixos de rede de outros de presença (PoP) que não sejam de Regiões da AWS ondedisponível; por exemplo, o CloudFront e o Route 53.

• AWS Direct ConnectO anuncia prefixos com um tamanho de caminho mínimo de 3.• O AWS Direct Connect anuncia todos os prefixos públicos com a conhecida comunidade BGPNO_EXPORT

• Se você tiver várias conexões do AWS Direct Connect, poderá ajustar o compartilhamento da carga dotráfego de entrada anunciando prefixos com atributos de caminho semelhantes.

• Os prefixos anunciados pelo AWS Direct Connect não devem ser anunciados além dos limites derede da sua conexão. Por exemplo, esses prefixos não devem ser incluídos em nenhuma tabela deroteamento de Internet pública.

• A AWS Direct Connect mantém prefixos anunciados por clientes dentro da rede da Amazon. Nós nãoanunciamos novamente os prefixos de clientes aprendidos a partir de uma VIF pública para nenhum dosseguintes:• Outros clientes doAWS Direct Connect• Redes emparelhadas com a rede global doAWS• Provedores de trânsito da Amazon

Comunidades BGP de interface virtual públicaO AWS Direct Connect oferece suporte às tags de escopo de comunidades BGP e à tag de comunidadeBGP NO_EXPORT para ajudar a controlar o escopo (regional ou global) e a preferência de rota do tráfegoem interfaces virtuais públicas.

4

https://aws.amazon.com/answers/networking/aws-single-data-center-ha-network-connectivity/


AWS Direct Connect Guia do usuárioPolíticas de roteamento da interface virtual

privada e da interface virtual de trânsito

Definir o escopo de comunidades BGPVocê pode aplicar tags da comunidade BGP nos prefixos públicos anunciados na Amazon para indicar adistância de propagação de seus prefixos na rede da Amazon, somente para a região local da AWS, emtodas as regiões de um continente ou em todas as regiões públicas.

Você pode usar as seguintes comunidades BGP para seus prefixos:

• 7224:9100—Região local daAWS• 7224:9200— Todas as regiões da AWS para um continente

• América do Norte – toda a• Ásia-Pacífico• Europa, Oriente Médio e África

• 7224:9300— Global (todas as regiões públicas da AWS

Note

Se não aplicar nenhuma tag da comunidade, os prefixos serão anunciados a todas as Regiõespúblicas da AWS (global) por padrão.Os prefixos marcados com as mesmas comunidades e que contêm atributos AS_PATH idênticossão candidatos à utilização de vários caminhos.

As comunidades 7224:1 – 7224:65535 são reservadas pelo AWS Direct Connect.

AWS Direct ConnectO aplica as seguintes comunidades BGP às suas rotas anunciadas:

• 7224:8100— rotas originadas da mesma região da AWS com o qual o ponto de presença do AWSDirect Connect está associado.

• 7224:8200— rotas originadas do mesmo continente com o qual o ponto de presença do AWS DirectConnect está associado.

• Sem tag — Global (todas as regiões públicas da AWS

As comunidades que não têm suporte para uma conexão pública do AWS Direct Connect são removidas.

NO_EXPORTComunidade BGPA tag de comunidade BGP NO_EXPORT é compatível com interfaces virtuais públicas.

AWS Direct ConnectO também fornece tags da comunidade BGP em rotas anunciadas da Amazon. Seusar o AWS Direct Connect para acessar serviços públicos da AWS, você poderá criar filtros de acordocom essas tags da comunidade.

Para interfaces virtuais públicas, todas as rotas que a AWS Direct Connect anuncia para os clientes sãomarcadas com a tag de comunidade NO_EXPORT.

Políticas de roteamento da interface virtual privada eda interface virtual de trânsitoAs regras de roteamento a seguir se aplicam ao tráfego em interfaces virtuais privadas e interfaces virtuaisde trânsito:

• O AWS avalia primeiro a correspondência de prefixo mais longa

5

AWS Direct Connect Guia do usuárioPolíticas de roteamento da interface virtual

privada e da interface virtual de trânsito

• Por padrão, o AWS usa a distância da região local até o AWS Direct Connect para determinar ainterface virtual (ou de trânsito) para roteamento. Você pode modificar esse comportamento atribuindocomunidades de preferências locais a interfaces virtuais.

• Quando você tem várias interfaces virtuais em uma região, pode definir o atributo AS_PATH parapriorizar qual interface o AWS usa para rotear o tráfego.

Comunidades BGP de interface virtual privada e interface virtualde trânsitoAWS Direct ConnectO oferece suporte a tags de comunidade BGP de preferência local para ajudar acontrolar a preferência de rota do tráfego em interfaces virtuais privadas e interfaces virtuais de trânsito.

Para obter um exemplo de uma configuração de interface virtual privada, consulte the section called“Exemplo de roteamento de interface virtual privada” (p. 7).

Para obter um exemplo de uma configuração de interface virtual de trânsito, consulte the section called“Exemplo: permitido para prefixos em uma configuração de gateway de trânsito” (p. 103).

Comunidades BGP de preferência localVocê pode usar as tags de comunidade BGP de preferência local para obter o balanceamento de carga e apreferência de rota para o tráfego de entrada para sua rede. Para cada prefixo anunciado em uma sessãoBGP, você pode aplicar uma tag de comunidade para indicar a prioridade do caminho associado no qualretornar o tráfego.

As seguintes tags de comunidade BGP de preferência local têm suporte:

• 7224:7100— baixa preferência• 7224:7200— média preferência• 7224:7300— alta preferência

As tags de comunidade BGP de preferência local são mutuamente exclusivas. Para balancear a carga dotráfego entre várias conexões do AWS Direct Connect, aplique a mesma tag de comunidade aos prefixosdas conexões. Para oferecer suporte a failover em várias conexões do AWS Direct Connect, aplique umatag de comunidade com uma preferência mais alta aos prefixos da interface virtual principal ou ativa.Por exemplo, defina as tags da comunidade BGP de suas interfaces virtuais ativas ou primárias como7224:7300 (alta preferência).

As tags de comunidade BGP de preferência local são avaliadas antes de qualquer atributo AS_PATH e damenor para a maior preferência (quando a maior preferência tiver prioridade).

Se você não especificar tags de comunidade de preferência local, a preferência local padrão será baseadana distância até o local do AWS Direct Connect

NO_EXPORTComunidade BGPA tag de comunidade BGP NO_EXPORT oferece suporte a interfaces virtuais públicas, interfaces virtuaisprivadas e interfaces virtuais de trânsito.

AWS Direct ConnectO também fornece tags da comunidade BGP em rotas anunciadas da Amazon. Seusar o AWS Direct Connect para acessar serviços públicos da AWS, você poderá criar filtros de acordocom essas tags da comunidade.

Tags de comunidade BGP de interface virtualÉ possível usar essa técnica de engenharia de tráfego em anúncios BGP de interface virtual privada ede trânsito para obter uma distribuição de carga ativa/passiva em interfaces virtuais redundantes. Uma

6

AWS Direct Connect Guia do usuárioExemplo de roteamento de interface virtual privada

interface virtual ativa tem 7224:7300 (preferência alta) como tag e uma passiva tem 7224:7100 (preferênciabaixa) como tag.

Exemplo de roteamento de interface virtual privadaConsidere a configuração em que a região de origem da localização 1 do AWS Direct Connect (east)é igual à região de origem da VPC. Há uma localização 2 redundante do AWS Direct Connect em umaregião diferente (oeste). Há duas VIFs privadas da localização 1 do AWS Direct Connect para o gatewayDirect Connect. Há uma VIF privada da localização 2 do AWS Direct Connect para o gateway DirectConnect. Para que o tráfego de rotas da AWS pela VIF B antes da VIF A, defina o atributo AS_PATH daVIF B como mais curto que o atributo VIF A AS_PATH.

As VIFs têm as seguintes configurações:

• A VIF A (em us-east-1) anuncia 172.16.0.0/16 e tem um atributo AS_PATH de 65001, 65001, 65001• A VIF B (em us-east-1) anuncia 172.16.0.0/16 e tem um atributo AS_PATH de 65001, 65001• A VIF C (em us-west-1) anuncia 172.16.0.0/16 e tem um atributo AS_PATH de 65001

Caso você altere a configuração do intervalo CIDR da VIF C, as rotas que se enquadram no intervalo CIDRda VIF C usam a VIF C porque ela tem a correspondência de prefixo mais longa.

• A VIF C (em us-west-1) anuncia 172.16.0.0/24 e tem um atributo AS_PATH de 65001

7


Usar o Toolkit de resiliência do DirectConnect AWS para começar

A AWS oferece aos clientes a capacidade de alcançar conexões de rede altamente resilientes entre aAmazon Virtual Private Cloud (Amazon VPC) e sua infraestrutura local. O Toolkit de resiliência do DirectConnect AWS fornece um assistente de conexão com diversos modelos de resiliência. Esses modelosajudam você a determinar e solicitar o número de conexões dedicadas para atingir o objetivo de SLA. Vocêseleciona um modelo de resiliência e o Toolkit de resiliência do Direct Connect AWS o orientará duranteo processo de pedido de conexão dedicada. Os modelos de resiliência são projetados para garantir quevocê tenha o número apropriado de conexões dedicadas em vários locais.

O Toolkit de resiliência do Direct Connect AWS oferece os seguintes benefícios:

• Fornece orientações sobre como você determina e solicita as conexões dedicadas redundantesapropriadas do AWS Direct Connect.

• Garante que as conexões dedicadas redundantes tenham a mesma velocidade.• Configura automaticamente os nomes das conexões dedicadas.• Aprova automaticamente as conexões dedicadas quando você já tem uma conta da AWS e seleciona

um Parceiro do AWS Direct Connect conhecido. A Letter of Authority (LOA – Carta de autoridade) estádisponível para download imediato.

• Cria automaticamente um tíquete de suporte para aprovação de conexão dedicada quando você é umnovo cliente da AWS ou seleciona um parceiro desconhecido (Other (Outro)).

• Fornece um resumo de pedidos para as conexões dedicadas, com o SLA que você pode atingir e ocusto por hora de porta para conexões dedicadas solicitadas.

• Cria grupos de agregação de link (LAGs) e adiciona o número apropriado de conexões dedicadas aosLAGs quando você escolhe uma velocidade diferente de 1 Gbps ou 10 Gbps.

• Fornece um resumo do LAG com o SLA da conexão dedicada que você pode obter e o custo total porhora de porta para conexões dedicadas solicitadas como parte do LAG.

• Impede que você encerre as conexões dedicadas no mesmo dispositivo do AWS Direct Connect.• Fornece uma maneira de testar a configuração quanto à resiliência. Você trabalha com a AWS para

interromper a sessão de emparelhamento de BGP a fim de verificar se o tráfego é roteado para umadas interfaces virtuais redundantes. Para obter mais informações, consulte the section called “Teste defailover do AWS Direct Connect” (p. 40).

• Fornece métricas do Amazon CloudWatch para conexões e interfaces virtuais. Para obter maisinformações, consulte Monitoramento (p. 137).

Os seguintes modelos de resiliência estão disponíveis no Toolkit de resiliência do Direct Connect AWS:

• Resiliência máxima: Este modelo proporciona-lhe uma forma de encomendar ligações dedicadaspara alcançar um SLA de 99,99%. Ele exige que você atenda a todos os requisitos para obter o SLAespecificado no Acordo de Nível de Serviço do AWS Direct Connect.

• Elevada resiliência: Este modelo oferece-lhe uma forma de encomendar ligações dedicadas paraalcançar um SLA de 99,9%. Ele exige que você atenda a todos os requisitos para obter o SLAespecificado no Acordo de Nível de Serviço do AWS Direct Connect.

• Desenvolvimento e Teste: Este modelo proporciona-lhe uma forma de conseguir desenvolver e testara resiliência para cargas de trabalho não críticas, utilizando ligações separadas que terminam emdispositivos separados num local.

• Classic (Clássica). Este modelo é destinado a usuários que já possuem conexões e desejam incluirconexões adicionais. Esse modelo não fornece um SLA.

8

https://aws.amazon.com/directconnect/sla/

https://aws.amazon.com/directconnect/sla/

AWS Direct Connect Guia do usuárioPrerequisites

A melhor prática é usar o Connection wizard (Assistente de conexão) no Toolkit de resiliência do DirectConnect AWS para solicitar as conexões dedicadas a fim de atingir seu objetivo de SLA.

Depois de selecionar o modelo de resiliência, o Toolkit de resiliência do Direct Connect AWS demonstrapasso a passo os seguintes procedimentos:

• Selecionar o número de conexões dedicadas• Selecionar a capacidade de conexão e o local da conexão dedicada• Solicitar as conexões dedicadas• Verificar se as conexões dedicadas estão prontas para uso• Fazer download da Letter of Authority (LOA-CFA – Carta de autoridade) para cada conexão dedicada• Verificar se a configuração atende aos requisitos de resiliência

PrerequisitesAWS Direct Connect suporta as seguintes velocidades de porta em fibra de modo único: 1 Gbps:1000BASE-LX (1310 nm) e 10 Gbps: 10GBASE-LR (1310 nm).

Você pode configurar uma conexão do AWS Direct Connect de uma das seguintes maneiras:

Model (Modelo) Bandwidth Método

Conexão dedicada 1 Gbps, 10 Gbps Trabalhe com um parceiro doAWS Direct Connect ou umprovedor de rede para conectarum roteador do datacenter,escritório ou ambiente decolocação a um local do AWSDirect Connect. O prestador darede não tem de ser um Parceirodo AWS Direct Connect paraligá-lo a uma ligação dedicada.AWS Direct Connect Umasligações dedicadas suportamestas velocidades de porta emfibra de modo único: 1 Gbps:1000BASE-LX (1310 nm) e 10Gbps: 10GBASE-LR (1310 nm)

Conexão hospedada 50 Mbps, 100 Mbps, 200 Mbps,300 Mbps, 400 Mbps, 500 Mbps,1 Gbps, 2 Gbps, 5 Gbps e 10Gbps

Trabalhe com um parceiro noPrograma de parceiros AWSDirect Connect para conectar umroteador do datacenter, escritórioou ambiente de colocação a umlocal do AWS Direct Connect.

Somente determinados parceirosoferecem conexões de maiorcapacidade.

Para conexões com o AWS Direct Connect com larguras de banda de 1 Gbps ou mais, verifique se a redeatende aos requisitos a seguir:

9

https://aws.amazon.com/directconnect/partners




AWS Direct Connect Guia do usuárioResiliência máxima






Verifique se você tem as seguintes informações antes de iniciar a configuração:

• O modelo de resiliência que você deseja usar.• A velocidade, o local e o parceiro de todas as conexões.

Você só precisa da velocidade para uma conexão.

Resiliência máximaVocê pode alcançar a máxima resiliência para cargas de trabalho críticas usando conexões separadasque são encerradas em dispositivos separados em mais de um local (conforme mostrado na figura).Esse modelo fornece resiliência contra falhas de dispositivo, conectividade e localização completa. Afigura seguinte mostra ambas as ligações de cada centro de dados do cliente que vão para as mesmaslocalizações AWS Direct Connect. Pode opcionalmente ter cada ligação de um centro de dados de clientesa ir para diferentes localizações Direct Connect.

10

AWS Direct Connect Guia do usuárioResiliência máxima

Os procedimentos a seguir demonstram como usar o Toolkit de resiliência do Direct Connect AWS paraconfigurar um modelo de resiliência máxima.

Tópicos• Passo 1: Cadastre-se no AWS (p. 12)• Passo 2: Configurar o modelo de resiliência (p. 12)• Passo 3: Crie as suas interfaces virtuais (p. 13)• Passo 4: Verifique a sua configuração de resiliência da interface virtual (p. 17)• Passo 5: Verifique a conectividade das suas interfaces virtuais (p. 17)

11

AWS Direct Connect Guia do usuárioPasso 1: Cadastre-se no AWS

Passo 1: Cadastre-se no AWSPara usar o AWS Direct Connect, você precisa de uma conta da AWS, caso ainda não tenha uma.

Para se cadastrar em uma conta da AWS

1. Abra https://portal.aws.amazon.com/billing/signup.2. Siga as instruções online.

Parte do procedimento de cadastro envolve uma chamada telefônica e a digitação de um código deverificação usando o teclado do telefone.

Passo 2: Configurar o modelo de resiliênciaConfigurar um modelo de resiliência máxima

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. Na tela do AWS Direct Connect, em Get started (Conceitos básicos), selecione Create a connection

(Criar uma conexão).3. Em Connection ordering type (Tipo de solicitação de conexão), escolha Connection wizard (Assistente

de conexão).4. Em Resiliency level (Nível de resiliência), escolha Maximum Resiliency (Resiliência máxima) e

selecione Next (Avançar).5. No painel Configure connections (Definir conexões), em Connection settings (Configurações de

conexão), faça o seguinte:

a. Em Bandwidth (Largura de banda), selecione a largura de banda da conexão dedicada.

Essa largura de banda se aplica a todas as conexões criadas.b. Em First location service provider (Provedor de serviço do primeiro local), selecione o local do AWS

Direct Connect apropriado para a conexão dedicada.c. Se aplicável, para First Sub Location (Primeiro sublocal), escolha o andar mais próximo de você

ou do provedor de rede. Essa opção só estará disponível se o local tiver meet-me rooms (MMRs –Salas de reunião) em vários andares do edifício.

d. Se você tiver selecionado Other (Outro) para First location service provider (Provedor de serviço doprimeiro local), em Name of other provider (Nome de outro provedor), insira o nome do parceiro quevocê usa.

e. Em Second location service provider (Provedor de serviço do segundo local), selecione o local doAWS Direct Connect apropriado.

f. Se aplicável, para Second Sub Location (Segundo sublocal), escolha o andar mais próximo de vocêou do provedor de rede. Essa opção só estará disponível se o local tiver meet-me rooms (MMRs –Salas de reunião) em vários andares do edifício.

g. Se você tiver selecionado Other (Outro) para Second location service provider (Provedor de serviçodo segundo local), em Name of other provider (Nome de outro provedor), insira o nome do parceiroque você usa.

h. (Opcional) Adicione ou remova uma tag.

[Adicionar uma tag] Selecione Add tag (Adicionar tag) e faça o seguinte:• Em Key (Chave), insira o nome da chave.• Em Value (Valor), insira o valor da chave.

[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).

12

https://portal.aws.amazon.com/billing/signup

https://console.aws.amazon.com/directconnect/v2/home

AWS Direct Connect Guia do usuárioPasso 3: Crie as suas interfaces virtuais

6. Selecione Next (Próximo).7. Revise suas conexões e escolha Continue (Continuar).

Se as LOAs estiverem prontas, você poderá escolher Download LOA (Fazer download de LOA) eclicar em Continue (Continuar).

Pode demorar até 72 horas para a AWS revisar a solicitação e provisionar uma porta para a conexão.Durante esse período, você pode receber um e-mail com uma solicitação para obter mais informaçõessobre o caso de uso ou o local especificado. O e-mail é enviado para o endereço de e-mail que vocêusou quando se cadastrou na AWS. Você deve responder em até 7 dias, ou a conexão será excluída.

Passo 3: Crie as suas interfaces virtuaisO modelo de resiliência máxima requer quatro interfaces virtuais.

Crie uma interface virtual privada para se conectar à VPC. Outra opção é criar uma interface virtual públicapara se conectar aos serviços públicos da AWS que não estejam em uma VPC. Ao criar uma interfacevirtual privada para uma VPC, você precisa de uma interface virtual privada para cada VPC à qual seconecta. Por exemplo, você precisa de três interfaces virtuais privadas para se conectar a três VPCs.

Antes de começar, verifique se você tem as seguintes informações:

Recurso Informações necessárias

Conexão A conexão do AWS Direct Connect ou o Link Aggregation Group (LAG – Grupo deagregação de links) para o qual você está criando a interface virtual.

Virtual interfacename (Nome dainterface virtual)

Um nome para a interface virtual.

Virtual interfaceowner (Proprietárioda interface virtual)

Se estiver criando a interface virtual para outra conta, você precisará do ID da outraconta da AWS.

(Somente interfacevirtual privada)Connection(Conexão)

Para se conectar a uma VPC na mesma região da AWS, você precisa do gatewayprivado virtual da sua VPC. O ASN para o lado da Amazon da sessão BGP éherdado do gateway privado virtual. Ao criar um gateway privado virtual, você podeespecificar seu próprio ASN privado. Caso contrário, a Amazon fornece um ASNpadrão. Para obter mais informações, consulte Criar um gateway privado virtual noGuia do usuário da Amazon VPC. Para se conectar a uma VPC por meio de umgateway Direct Connect, você precisa do gateway Direct Connect. Para obter maisinformações, consulte Gateways do Direct Connect.

VLAN Uma tag única da Virtual Local Area Network (VLAN – Rede local virtual) que aindanão está em uso na conexão. O valor deve estar entre 1 e 4094 e deve estar emconformidade com o padrão Ethernet 802.1Q. Esta tag é obrigatória para qualquertráfego que cruza a conexão do AWS Direct Connect.

Se você tiver uma conexão hospedada, seu Parceiro do AWS Direct Connectfornecerá esse valor. Não será possível modificar o valor depois que você tivercriado a interface virtual.

Peer IP addresses(Endereços IP depar)

Uma interface virtual pode oferecer suporte a uma sessão de par BGP para IPv4,IPv6 ou um de cada (pilha dupla). Você não pode criar várias sessões BGP paraa mesma família de endereços IP na mesma interface virtual. Os intervalos de

13

SetUpVPNConnections.html#vpn-create-vpg

direct-connect-gateways.html


Recurso Informações necessáriasendereços IP são atribuídos a cada extremidade da interface virtual para sessão depar BGP.

• IPv4:• (Somente interface virtual pública) Você deve especificar endereços IPv4

públicos exclusivos próprios. O valor pode ser um dos seguintes:• Um ASN de propriedade do cliente• Um ASN de propriedade do Parceiro do AWS Direct Connect ou ISP• Um CIDR /31 fornecido pela AWS. Entre em contato com o AWS Support

para solicitar um CIDR IPv4 público (forneça um caso de uso na solicitação)• (Somente interface virtual privado) - a Amazon pode gerar endereços IPv4

privadas para você. Se você especificar seu próprio, especifique ICDRsprivados somente para sua interface de roteador e a interface do AWS DirectConnect (por exemplo, não especifique outros endereços IP da sua rede local).

• IPv6: a Amazon aloca automaticamente um CIDR IPv6 /125 para você. Você nãopode especificar os próprios endereços IPv6 de mesmo nível.

Address family(Família deendereços)

Se a sessão de par BGP será via IPv4 ou IPv6.

BGP information(Informaçõessobre BGP)

• Um Número de sistema autônomo (ASN) do Border Gateway Protocol (BGP)público ou privado para o seu lado da sessão BGP. Caso esteja usando um ASNpúblico, você deve ser o proprietário dele. Caso você esteja usando um ASNprivado, ele deve estar no intervalo de 1 a 2147483647. O acréscimo do SistemaAutônomo (AS) não funcionará se você usar um ASN privado para uma interfacevirtual pública.

• A AWS habilita o MD5 por padrão. Não é possível modificar essa opção.• Uma chave de autenticação MD5 BGP. Você pode fornecer a sua ou permitir que

a Amazon gere uma para você.

(Somente interfacevirtual pública)Prefixes youwant to advertise(Prefixos que vocêquer anunciar)

Rotas de IPv4 públicas ou rotas de IPv6 para anunciar por BGP. Você deveanunciar pelo menos um prefixo usando BGP, até um máximo de 1.000 prefixos.

• IPv4: o CIDR IPv4 não deve substituir outro CIDR IPv4 público anunciadousando-se o AWS Direct Connect. Se você não possui endereços IPv4 públicos,seu provedor de rede pode fornecer um CIDR IPv4 público. Do contrário, entreem contato com o AWS Support para solicitar um CIDR IPv4 público (e fornecerum caso de uso na solicitação). É possível especificar qualquer comprimento deprefixo.

• IPv6: especifique um comprimento de prefixo /64 ou menor.

(Somente interfacevirtual privada)Jumbo frames(Quadros jumbo)

A unidade de transmissão máxima (MTU) de pacotes por AWS Direct Connect. Opadrão é 1500. Definir o MTU de uma interface virtual para 9001 (frames jumbo)pode resultar em uma atualização para a conexão física subjacente se ele não foiatualizado para oferecer suporte a frames jumbo. Atualizar a conexão interrompea conectividade de rede para todas as interfaces virtuais associadas à conexãopor até 30 segundos. Os frames jumbo se aplicam somente a rotas propagadas doAWS Direct Connect. Se você adicionar rotas estáticas a uma tabela de rotas queaponte para seu gateway privado virtual, o tráfego roteado pelas rotas estáticasserá enviado usando 1.500 MTU. Para verificar se uma conexão ou interface virtualoferece suporte a quadros jumbo, selecione-a no console do AWS Direct Connect elocalize Jumbo Frame Capable (Compatível com quadro jumbo) na guia Summary(Resumo).

14

support/createCase

support/createCase

support/createCase



(Somente interfacevirtual de trânsito)Jumbo frames(Quadros jumbo)

A unidade de transmissão máxima (MTU) de pacotes por AWS Direct Connect. Opadrão é 1500. Definir a MTU de uma interface virtual para 8500 (frames jumbo)pode resultar em uma atualização para a conexão física subjacente se ela não foiatualizada para oferecer suporte a frames jumbo. Atualizar a conexão interrompea conectividade de rede para todas as interfaces virtuais associadas à conexãopor até 30 segundos. Os frames jumbo se aplicam somente a rotas propagadas doAWS Direct Connect. Se você adicionar rotas estáticas a uma tabela de rotas queaponte para seu gateway privado virtual, o tráfego roteado pelas rotas estáticasserá enviado usando 1.500 MTU. Para verificar se uma conexão ou interface virtualoferece suporte a quadros jumbo, selecione-a no console do AWS Direct Connect elocalize Jumbo Frame Capable (Compatível com quadro jumbo) na guia Summary(Resumo).

Se os prefixos públicos ou os ASNs pertencerem a um ISP ou a uma operadora de rede, a AWS solicitaráinformações adicionais. Pode ser um documento que use papel timbrado oficial da empresa ou um e-maildo nome de domínio da empresa verificando se o prefixo de rede/ASN pode ser usado por você.

Quando você cria uma interface virtual pública, pode demorar até 72 horas para a AWS revisar e aprovar asolicitação.

Para provisionar uma interface virtual pública para serviços que não sejam VPC

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), para Type (Tipo), escolha Public (Pública).5. Em Public virtual interface settings (Configurações de interface virtual pública), faça o seguinte:

a. Em Virtual interface name (Nome da interface virtual), insira um nome para a interface virtual.b. Em Connection (Conexão), escolha a conexão do Direct Connect que deseja usar para essa

interface.c. Em VLAN, informe o número do ID para sua rede local virtual (VLAN).d. Em BGP ASN (ASN do BGP), informe o Número de sistema autônomo (ASN) do Border Gateway

Protocol (BGP) de seu gateway.

Os valores válidos são 1-2147483647.6. Em Additional settings (Configurações adicionais), faça o seguinte:

a. Para configurar um par BGP IPv4 ou IPv6, faça o seguinte:

[IPv4] Para configurar um par BGP IPv4, escolha IPv4 e siga um destes procedimentos:• Para especificar esses endereços IP por conta própria, em Your router peer ip (Seu IP de par do

roteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego.• Em Amazon router peer IP (IP de par do roteador da Amazon), insira o endereço CIDR IPv4 a ser

usado para enviar tráfego à AWS.

[IPv6] Para configurar um par BGP IPv6, selecione IPv6. Os endereços IPv6 de mesmo nível sãoatribuídos automaticamente com base no pool de endereços IPv6 da Amazon. Não é possívelespecificar endereços IPv6 personalizados.

b. Para fornecer sua própria chave BGP, insira sua chave MD5 BGP.

Se você não inserir um valor, a AWS gerará uma chave BGP.

15



c. Para anunciar prefixos na Amazon, em Prefixes you want to advertise (Prefixos que desejaanunciar), insira os endereços de destino CIDR IPv4 (separados por vírgulas) para os quais otráfego deve ser roteado pela interface virtual.

d. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).7. Selecione Create virtual interface (Criar interface virtual).

Para provisionar uma interface virtual privada para uma VPC

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), em Type (Tipo), selecione Private (Privada).5. Em Private virtual interface settings (Configurações de interface virtual privada), faça o seguinte:


interface.c. Em Gateway type (Tipo de gateway), selecione Virtual private gateway (Gateway privado virtual) ou

Direct Connect gateway (Gateway Direct Connect).d. Em Virtual interface owner (Proprietário da interface virtual), selecione Another AWS account (Outra

conta da AWS) e insira a conta da AWS.e. Em Virtual Private Gateway (Gateway privado virtual), selecione o gateway privado virtual a ser

usado para a interface.f. Em VLAN, informe o número do ID para sua rede local virtual (VLAN).g. Em BGP ASN insira o Número de sistema autônomo do Border Gateway Protocol do roteador de

mesmo nível no local para a nova interface virtual.




roteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego.• Em Amazon router peer ip (IP de par do roteador da Amazon), informe o endereço CIDR IPv4 a

ser usado para enviar tráfego para a AWS.

[IPv6] Para configurar um par BGP IPv6, selecione IPv6. Os endereços IPv6 de mesmo nível sãoatribuídos automaticamente com base no pool de endereços IPv6 da Amazon. Você não podeespecificar endereços IPv6 personalizados.

b. Para alterar a unidade de transmissão máxima (MTU) de 1500 (padrão) para 9001 (frames jumbo),selecione Jumbo MTU (MTU size 9001) (MTU jumbo [tamanho da MTU 9001]).

c. (Opcional) Adicione ou remova uma tag.

[Adicionar uma tag] Selecione Add tag (Adicionar tag) e faça o seguinte:16


AWS Direct Connect Guia do usuárioPasso 4: Verifique a sua configuração

de resiliência da interface virtual

• Em Key (Chave), insira o nome da chave.• Em Value (Valor), insira o valor da chave.


Passo 4: Verifique a sua configuração de resiliência dainterface virtualDepois de estabelecer interfaces virtuais para a Nuvem AWS ou para a Amazon VPC, execute um teste defailover de interface virtual para verificar se a configuração atende aos requisitos de resiliência. Para obtermais informações, consulte the section called “Teste de failover do AWS Direct Connect” (p. 40).

Passo 5: Verifique a conectividade das suas interfacesvirtuaisDepois que tiver estabelecido interfaces virtuais para a Nuvem AWS ou a Amazon VPC, você poderáverificar a conexão do AWS Direct Connect usando os procedimentos a seguir.

Para verificar a conexão da interface virtual com a Nuvem AWS

• Execute traceroute e verifique se o identificador do AWS Direct Connect está no rastreamento derede.

Para verificar a conexão da interface virtual com a Amazon VPC

1. Usando um AMI compatível com ping, como um Amazon Linux AMI, inicie uma instância EC2 na VPCconectada ao gateway privado virtual. Os AMIs Amazon Linux estão disponíveis na guia Quick Start(Início rápido) quando você usa o assistente de execução de instância no console do Amazon EC2.Para obter mais informações, consulte Iniciar uma instância no Guia do usuário do Amazon EC2 parainstâncias do Linux. Certifique-se de que o grupo de segurança associado à instância inclua umaregra que permita tráfego ICMP de entrada (para a solicitação de ping).

2. Depois que a instância estiver em execução, obtenha o endereço IPv4 privado (por exemplo,10.0.0.4). O console Amazon EC2 exibe o endereço como parte dos detalhes da instância.

3. Execute ping no endereço IPv4 privado e obtenha uma resposta.

Alta resiliênciaVocê pode obter alta resiliência para cargas de trabalho críticas usando duas conexões únicas para várioslocais (conforme mostrado na figura). Esse modelo fornece resiliência contra falhas de conectividadecausadas por um corte de fibra ou uma falha de dispositivo. Ele também ajuda a evitar uma falha completano local.

17

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-launch-instance_linux.html

AWS Direct Connect Guia do usuárioAlta resiliência

Os procedimentos a seguir demonstram como usar o Toolkit de resiliência do Direct Connect AWS paraconfigurar um modelo de alta resiliência.

Tópicos• Passo 1: Cadastre-se no AWS (p. 19)• Passo 2: Configurar o modelo de resiliência (p. 19)• Passo 3: Crie as suas interfaces virtuais (p. 20)• Passo 4: Verifique a sua configuração de resiliência da interface virtual (p. 24)• Passo 5: Verifique a conectividade das suas interfaces virtuais (p. 24)

18






Passo 2: Configurar o modelo de resiliênciaConfigurar um modelo de alta resiliência



de conexão).4. Em Resiliency level (Nível de resiliência), escolha High Resiliency (Alta resiliência) e selecione Next

(Avançar).5. No painel Configure connections (Definir conexões), em Connection settings (Configurações de


a. Para bandwidth (largura de banda), escolha a largura de banda da conexão.


Direct Connect apropriado.c. Se aplicável, para First Sub Location (Primeiro sublocal), escolha o andar mais próximo de você



e. Em Second location service provider (Provedor de serviço do segundo local), selecione o local doAWS Direct Connect apropriado.

f. Se aplicável, para Second Sub Location (Segundo sublocal), escolha o andar mais próximo de vocêou do provedor de rede. Essa opção só estará disponível se o local tiver meet-me rooms (MMRs –Salas de reunião) em vários andares do edifício.

g. Se você tiver selecionado Other (Outro) para Second location service provider (Provedor de serviçodo segundo local), em Name of other provider (Nome de outro provedor), insira o nome do parceiroque você usa.

h. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).

19




6. Selecione Next (Próximo).7. Revise suas conexões e escolha Continue (Continuar).



Passo 3: Crie as suas interfaces virtuaisO modelo de alta resiliência requer quatro interfaces virtuais.

Crie uma interface virtual privada para se conectar à VPC. Outra opção é criar uma interface virtual públicapara se conectar aos serviços públicos da AWS que não estejam em uma VPC. Ao criar uma interfacevirtual privada para uma VPC, você precisa de uma interface virtual privada para cada VPC à qual seconecta. Por exemplo, você precisa de três interfaces virtuais privadas para se conectar a três VPCs.













Uma interface virtual pode oferecer suporte a uma sessão de par BGP para IPv4,IPv6 ou um de cada (pilha dupla). Você não pode criar várias sessões BGP paraa mesma família de endereços IP na mesma interface virtual. Os intervalos de

20




Recurso Informações necessáriasendereços IP são atribuídos a cada extremidade da interface virtual para sessão depar BGP.


















21

support/createCase

support/createCase

support/createCase




















22







Passo 5: Verifique a conectividade das suas interfacesvirtuaisDepois que tiver estabelecido interfaces virtuais para a Nuvem AWS ou a Amazon VPC, você poderáverificar a conexão do AWS Direct Connect usando os procedimentos a seguir.







Desenvolvimento e testesVocê pode obter resiliência de desenvolvimento e teste para cargas de trabalho não críticas usandoconexões separadas que são encerradas em dispositivos separados em um único local (conformemostrado na figura). Esse modelo fornece resiliência contra falhas de dispositivo, mas não forneceresiliência contra falhas de localização.

Os procedimentos a seguir demonstram como usar o Toolkit de resiliência do Direct Connect AWS paraconfigurar um modelo de resiliência de desenvolvimento e teste.

Tópicos• Passo 1: Cadastre-se no AWS (p. 25)

24



• Passo 2: Configurar o modelo de resiliência (p. 25)• Passo 3: Criar uma interface virtual (p. 26)• Passo 4: Verifique a sua configuração de resiliência da interface virtual (p. 30)• Passo 5: Verifique a sua interface virtual (p. 30)





Passo 2: Configurar o modelo de resiliênciaConfigurar o modelo de resiliência



de conexão).4. Em Resiliency level (Nível de resiliência), escolha Development and test (Desenvolvimento e teste) e

selecione Next (Avançar).5. No painel Configure connections (Definir conexões), em Connection settings (Configurações de


a. Para bandwidth (largura de banda), escolha a largura de banda da conexão.


Direct Connect apropriado.c. Se aplicável, para First Sub Location (Primeiro sublocal), escolha o andar mais próximo de você



e. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).6. Selecione Next (Próximo).7. Revise suas conexões e escolha Continue (Continuar).

25



AWS Direct Connect Guia do usuárioPasso 3: Criar uma interface virtual



Passo 3: Criar uma interface virtualPara começar a usar a conexão do AWS Direct Connect, você deve criar uma interface virtual. Crie umainterface virtual privada para se conectar à VPC. Outra opção é criar uma interface virtual pública parase conectar aos serviços públicos da AWS que não estejam em uma VPC. Ao criar uma interface virtualprivada para uma VPC, você precisa de uma interface virtual privada para cada VPC à qual se conecta.Por exemplo, você precisa de três interfaces virtuais privadas para se conectar a três VPCs.













Uma interface virtual pode oferecer suporte a uma sessão de par BGP para IPv4,IPv6 ou um de cada (pilha dupla). Você não pode criar várias sessões BGP paraa mesma família de endereços IP na mesma interface virtual. Os intervalos deendereços IP são atribuídos a cada extremidade da interface virtual para sessão depar BGP.

• IPv4:

26




Recurso Informações necessárias• (Somente interface virtual pública) Você deve especificar endereços IPv4

















27

support/createCase

support/createCase

support/createCase




















28







Passo 5: Verifique a sua interface virtualDepois que tiver estabelecido interfaces virtuais para a Nuvem AWS ou a Amazon VPC, você poderáverificar a conexão do AWS Direct Connect usando os procedimentos a seguir.







ClassicSelecione Clássica quando você tiver conexões existentes.

Os procedimentos a seguir demonstram os cenários comuns a serem configurados com uma conexão doAWS Direct Connect

Tópicos• Prerequisites (p. 31)• Etapa 1: Cadastrar-se na AWS (p. 31)• Etapa 2: Solicitar uma conexão dedicada do AWS Direct Connect ou aceitar uma conexão

hospedada (p. 31)• (Conexão dedicada) Etapa 3: Fazer download da LOA-CFA (p. 33)• Etapa 4: Criar uma interface virtual (p. 34)• Etapa 5: Fazer download da configuração do roteador (p. 38)

30


AWS Direct Connect Guia do usuárioPrerequisites

• Etapa 6: Verificar a interface virtual (p. 38)• (Recomendado) Etapa 7: Configurar conexões redundantes (p. 39)

PrerequisitesPara conexões com o AWS Direct Connect com velocidades de porta de 1 Gbps ou mais, verifique se arede atende aos requisitos a seguir:






Etapa 1: Cadastrar-se na AWSPara usar o AWS Direct Connect, você precisa de uma conta da AWS, caso ainda não tenha uma.




Etapa 2: Solicitar uma conexão dedicada do AWSDirect Connect ou aceitar uma conexão hospedadaPara conexões dedicadas, é possível enviar uma solicitação de conexão usando o console do AWS DirectConnect Para conexões hospedadas, trabalhe com um Parceiro do AWS Direct Connect para solicitar umaconexão hospedada. Verifique se você tem as seguintes informações:

• A velocidade da porta que você precisa. Você não poderá alterar a velocidade da porta após a criaçãoda solicitação de conexão.

• O local do AWS Direct Connect no qual a conexão deverá ser encerrada.

Não é possível usar o console do AWS Direct Connect para solicitar uma conexão hospedada. Emvez disso, entre em contato com um Parceiro do AWS Direct Connect que possa criar uma conexãohospedada para você, que acabará aceitando. Ignore o procedimento a seguir e vá até Aceitar a conexãohospedada (p. 32).

Para criar uma nova conexão do AWS Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.

31



AWS Direct Connect Guia do usuárioEtapa 2: Solicitar uma conexão dedicada do AWS

Direct Connect ou aceitar uma conexão hospedada

2. Na tela do AWS Direct Connect, em Get started (Conceitos básicos), selecione Create a connection(Criar uma conexão).

3. Escolha Classic (Clássica).4. No painel Create Connection (Criar conexão), em Connection settings (Configurações da conexão),

faça o seguinte:

a. Em Name (Nome), insira um nome para a conexão.b. Em Location (Local), selecione o local do AWS Direct Connect apropriado.c. Se aplicável, em Sub Location (Sublocal), escolha o andar mais próximo de você ou do provedor de

rede. Essa opção só estará disponível se o local tiver Meet-Me Rooms (MMRs – Salas de reunião)em vários andares do edifício.

d. Em Port Speed (Velocidade da porta), escolha a largura de banda da conexão.e. Em On-premises, selecione Connect through an AWS Direct Connect partner ao usar essa conexão

para se conectar ao seu datacenter.f. Em Service provider (Provedor de serviços), selecione o Parceiro do AWS Direct Connect. Caso

use um parceiro que não esteja na lista, selecione Other (Outro).g. Se você selecionou Other (Outro) em Service provider (Provedor de serviços), em Name of other

provider (Nome de outro provedor), insira o nome do parceiro que você usa.h. (Opcional) Adicione ou remova uma tag.

[Adicionar uma tag] Escolha Add tag (Adicionar tag) e faça o seguinte:• Em Key (Chave), insira o nome da chave.• Em Value (Valor), insira o valor da chave.

[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).5. Selecione Create Connection (Criar conexão).

Pode demorar até 72 horas para a AWS revisar a solicitação e provisionar uma porta para a conexão.Durante esse período, você pode receber um e-mail com uma solicitação para obter mais informaçõessobre o caso de uso ou o local especificado. O e-mail é enviado para o endereço de e-mail que você usouquando se cadastrou na AWS. Você deve responder em até 7 dias, ou a conexão será excluída.

Para obter mais informações, consulte Conexões AWS Direct Connect (p. 43).

Aceitar a conexão hospedadaÉ necessário aceitar a conexão hospedada no console do AWS Direct Connect antes que você possa criaruma interface virtual.

Para aceitar uma interface virtual hospedada

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha View details (Visualizar detalhes).4. Escolha Accept (Aceitar).5. Isso se aplica a interfaces virtuais privadas e a interfaces virtuais de trânsito.

(Interface virtual de trânsito) Na caixa de diálogo Accept virtual interface (Aceitar interface virtual),escolha um gateway Direct Connect e selecione Accept virtual interface (Aceitar interface virtual).

(Interface virtual privada) Na caixa de diálogo Accept virtual interface (Aceitar interface virtual), escolhaum gateway privado virtual ou um gateway Direct Connect e selecione Accept virtual interface (Aceitarinterface virtual).

32


AWS Direct Connect Guia do usuário(Conexão dedicada) Etapa 3: Fazer download da LOA-CFA

6. Depois que aceitar a interface virtual hospedada, o proprietário da conexão do AWS DirectConnect poderá fazer download do arquivo de configuração do roteador. A opção Download routerconfiguration (Fazer download da configuração do roteador) não está disponível para a conta queaceita a interface virtual hospedada.

7. Vá para a Etapa 4 (p. 34) para continuar a configuração da conexão do AWS Direct Connect.

(Conexão dedicada) Etapa 3: Fazer download daLOA-CFADepois que você solicitar uma conexão, a AWS disponibilizará uma Letter of Authorization and ConnectingFacility Assignment (LOA-CFA – Carta de autorização e atribuição da instalação de conexão) paradownload ou enviará por e-mail uma solicitação para obter mais informações. LOA-CFA é a autorizaçãopara se conectar à AWS, e é exigida pelo provedor de colocação ou o provedor de rede para estabelecer aconexão de rede cruzada (conexão cruzada).

Para baixar a LOA-CFA

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Connections.3. Selecione a conexão e escolha View Details (Visualizar detalhes).4. Escolha Download LOA-CFA (Fazer download da LOA-CFA).

A LOA-CFA é baixada no computador como um arquivo PDF.

Note

Caso o link não esteja habilitado, a LOA-CFA ainda não está disponível para download.Consulte o e-mail para uma solicitação de mais informações. Caso ela ainda estejaindisponível, ou você não tenha recebido um e-mail após 72 horas, entre em contato com oAWS Support.

5. Após fazer download da LOA-CFA, siga um destes procedimentos:

• Se estiver trabalhando com um Parceiro do AWS Direct Connect ou um provedor da rede, enviea LOA-CFA para que ele possa solicitar uma conexão cruzada para você no local do AWS DirectConnect Caso ele não consiga solicitar a conexão cruzada, você pode entrar em contato com oprovedor de colocação (p. 49) diretamente.

• Caso você tenha equipamentos no local do AWS Direct Connect, entre em contato com o provedorde colocação para solicitar uma conexão de rede cruzada. É necessário ser um cliente do provedorde colocação. Também é necessário apresentar a LOA-CFA que autoriza a conexão com o roteadorda AWS e as informações necessárias para se conectar à rede.

AWS Direct ConnectOs locais do listados como vários sites (por exemplo, Equinix DC1-DC6 e DC10-DC11) são configurados como um campus. Se o equipamento do provedor de rede ou o seu estiver emum desses locais, solicite uma conexão cruzada com a porta atribuída, mesmo que resida em um prédiodiferente no campus.

Important

Um campus é considerado como um único local do AWS Direct Connect Para obter altadisponibilidade, configure conexões a locais diferentes do AWS Direct Connect

Se você ou seu provedor de rede tiver problemas para estabelecer uma conexão física, consulteSolucionar problemas da camada 1 (física) (p. 146).

33


https://aws.amazon.com/support/createCase

AWS Direct Connect Guia do usuárioEtapa 4: Criar uma interface virtual

Etapa 4: Criar uma interface virtualPara começar a usar a conexão do AWS Direct Connect, você deve criar uma interface virtual. Crie umainterface virtual privada para se conectar à VPC. Outra opção é criar uma interface virtual pública parase conectar aos serviços públicos da AWS que não estejam em uma VPC. Ao criar uma interface virtualprivada para uma VPC, você precisa de uma interface virtual privada para cada VPC à qual se conecta.Por exemplo, você precisa de três interfaces virtuais privadas para se conectar a três VPCs.

















privadas para você. Se você especificar seu próprio, especifique ICDRs

34



support/createCase


Recurso Informações necessáriasprivados somente para sua interface de roteador e a interface do AWS DirectConnect (por exemplo, não especifique outros endereços IP da sua rede local).
















35

support/createCase

support/createCase


A AWS solicitará informações adicionais suas se os prefixos públicos ou os ASNs pertencerem a um ISPou a uma operadora de rede. Pode ser um documento que use papel timbrado oficial da empresa ou um e-mail do nome de domínio da empresa verificando se o prefixo de rede/ASN pode ser usado por você.

Para interface virtual privada e interfaces virtuais públicas, a unidade máxima de transmissão (MTU) deuma conexão de rede é o tamanho, em bytes, do maior pacote permitido que pode ser transmitido pelaconexão. A MTU de uma interface virtual privada pode ser 1500 ou 9001 (frames jumbo). A MTU de umainterface virtual privada pode ser 1500 ou 8500 (frames jumbo). Você pode especificar a MTU ao criar ainterface ou atualizá-la depois que criá-la. Definir a MTU de uma interface virtual para 8500 (frames jumbo)pode resultar em uma atualização da conexão física subjacente se ela não foi atualizada para oferecersuporte a frames jumbo. Atualizar a conexão interrompe a conectividade de rede para todas as interfacesvirtuais associadas à conexão por até 30 segundos. Para verificar se uma conexão ou interface virtual écompatível com frames jumbo, selecione-a no console do AWS Direct Connect e localize Jumbo FrameCapable (Com capacidade de frames jumbo) na guia Summary (Resumo).




a. Em Virtual interface name (Nome da interface virtual), insira um nome para a interface virtual.b. Em Connection (Conexão), escolha a conexão do Direct Connect que você deseja usar para essa

interface.c. Em VLAN, insira o número do ID da Virtual Local Area Network (VLAN – Rede de área local virtual).d. Em BGP ASN (ASN do BGP), insira o Número de sistema autônomo do Border Gateway Protocol

do roteador de mesmo nível no local para a nova interface virtual.




roteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego.• Em IP de par do roteador da Amazon, informe o endereço CIDR IPv4 a ser usado para enviar

tráfego para a AWS.



Se você não inserir um valor, a AWS gerará uma chave BGP.c. Para anunciar prefixos na Amazon, em Prefixes you want to advertise, insira os endereços de

destino CIDR IPv4 (separados por vírgulas) para os quais o tráfego deve ser roteado pela interfacevirtual.


[Adicionar uma tag] Escolha Add tag (Adicionar tag) e faça o seguinte:

36






















[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).7. Selecione Create virtual interface (Criar interface virtual).8. Você precisa usar o dispositivo BGP para anunciar a rede usada para a conexão VIF pública.

37


AWS Direct Connect Guia do usuárioEtapa 5: Fazer download da configuração do roteador

Etapa 5: Fazer download da configuração do roteadorDepois que tiver criado uma interface virtual para a conexão do AWS Direct Connect, você poderá baixaro arquivo de configuração do roteador. O arquivo contém os comandos necessários para configurar oroteador para uso com a interface virtual pública ou privada.

Para baixar uma configuração do roteador

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a conexão e View Details (Visualizar detalhes).4. Selecione Download router configuration (Fazer download da configuração do roteador).5. Em Download router configuration (Fazer download da configuração do roteador), faça o seguinte:

a. Em Fornecedor, selecione o fabricante do roteador.b. Em Plataforma, selecione o modelo do roteador.c. Em Software, selecione a versão do software do roteador.

6. Escolha Download e use a configuração apropriada para o roteador a fim de garantir que você consigase conectar ao AWS Direct Connect.

Para obter arquivos de configuração de exemplo, consulte Arquivos de configuração do roteador deexemplo.

Depois que você configura o roteador, o status da interface virtual vai para UP. Se a interface virtualcontinuar desativada e você não conseguir executar ping no endereço IP par do dispositivo do AWSDirect Connect, consulte Solucionar problemas da camada 2 (link de dados) (p. 147). Se vocêconseguir executar ping no endereço IP par, consulte Solucionar problemas das camadas 3/4 (rede/transporte) (p. 150). Caso a sessão de mesmo nível BGP seja estabelecida, mas você não consigarotear o tráfego, consulte Solucionar problemas de roteamento (p. 152).

Etapa 6: Verificar a interface virtualDepois que tiver estabelecido interfaces virtuais para a Nuvem AWS ou a Amazon VPC, você poderáverificar a conexão do AWS Direct Connect usando os procedimentos a seguir.




1. Usando um AMI compatível com ping, como um Amazon Linux AMI, inicie uma instância EC2 na VPCconectada ao gateway privado virtual. As AMIs do Amazon Linux estão disponíveis na guia QuickStart (Início rápido) quando você usa o assistente de execução de instância no console do AmazonEC2. Para obter mais informações, consulte Iniciar uma instância no Guia do usuário do Amazon EC2para instâncias do Linux. Certifique-se de que o grupo de segurança associado à instância inclua umaregra que permita tráfego ICMP de entrada (para a solicitação de ping).



38


https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#vif-example-router-files

https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#vif-example-router-files


AWS Direct Connect Guia do usuário(Recomendado) Etapa 7: Configurar conexões redundantes

(Recomendado) Etapa 7: Configurar conexõesredundantesPara failover, recomendamos solicitar e configurar duas conexões dedicadas para a AWS, conformemostrado na figura a seguir. Essas conexões podem ser encerradas em um ou dois roteadores na rede.

Existem diferentes opções de configuração disponíveis quando você provisiona duas conexões dedicadas:

• Ativa/ativa (multicaminho BGP). Esta é a configuração padrão, em que ambas as conexões permanecemativas. O AWS Direct Connect dá suporte a vários caminhos para várias interfaces virtuais no mesmolocal, e o tráfego apresenta carga compartilhada entre interfaces com base no fluxo. Caso uma conexãofique indisponível, todo o tráfego é direcionado para outra conexão.

• Ativa/passiva (failover). Uma conexão lida com o tráfego, e a outra permanece em espera. Caso aconexão ativa fique indisponível, todo o tráfego é roteado por meio da conexão passiva. Você precisaacrescentar o caminho AS às rotas em um dos links para que este seja o link passivo.

A maneira como você configura as conexões não afeta a redundância, mas afeta as políticas quedeterminam como os dados são roteados em ambas as conexões. Recomendamos configurar ambas asconexões como ativas.

Se você usar uma conexão VPN para redundância, implemente uma verificação de integridade e ummecanismo de failover. Se você usar uma das seguintes configurações, será necessário verificar oroteamento da tabela de rotas para a nova interface de rede.

• Você usa suas próprias instâncias para roteamento, por exemplo, a instância é o firewall.• Você usa sua própria instância que encerra uma conexão VPN.

Para obter alta disponibilidade, recomendamos que você configure conexões a locais diferentes do AWSDirect Connect

Para obter mais informações sobre a resiliência do AWS Direct Connect, consulte Recomendações deresiliência do AWS Direct Connect.

39

https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-configure-routing

https://aws.amazon.com/directconnect/resiliency-recommendation/

https://aws.amazon.com/directconnect/resiliency-recommendation/

AWS Direct Connect Guia do usuárioTeste de failover do AWS Direct Connect

Teste de failover do AWS Direct ConnectOs modelos de resiliência do Toolkit de resiliência do Direct Connect AWS são projetados para garantirque você tenha o número apropriado de conexões da interface virtual em vários locais. Depois de concluiro assistente, use o teste de failover do Toolkit de resiliência do Direct Connect AWS para interromper asessão de emparelhamento de BGP a fim de verificar se o tráfego roteia para uma das interfaces virtuaisredundantes e atende aos requisitos de resiliência.

Use o teste para verificar se o tráfego roteia por interfaces virtuais redundantes quando uma interfacevirtual não está funcionando. Você inicia o teste selecionando uma interface virtual, uma sessão deemparelhamento de BGP e o tempo de execução do teste. A AWS coloca a sessão de emparelhamentode BGP da interface virtual selecionada no estado inativo. Quando a interface está nesse estado, otráfego deve passar por uma interface virtual redundante. Se a configuração não contiver as conexõesredundantes apropriadas, a sessão de emparelhamento de BGP falhará e o tráfego não será roteado.Quando o teste for concluído ou você interrompê-lo manualmente, a AWS restaurará a sessão de BGP.Após a conclusão do teste, você poderá usar o Toolkit de resiliência do Direct Connect AWS para ajustar aconfiguração.

Histórico do testeA AWS exclui o histórico de testes após 365 dias. O histórico de testes inclui o status dos testes que foramexecutados em todos os peers de BGP. O histórico inclui as sessões de pares de BGP que foram testadas,as horas de início e fim e o estado do teste, que podem ser quaisquer dos seguintes valores:

• Em andamento: o teste está sendo executado no momento.• Concluído: o teste foi executado pelo tempo especificado.• Cancelado: o teste foi cancelado antes do horário especificado.• Falhou: o teste não foi executado durante o tempo especificado. Isso pode acontecer quando há um

problema com o roteador.

Para obter mais informações, consulte the section called “Visualizar o histórico do teste de failover dainterface virtual” (p. 41).

Permissões de validaçãoA única conta que tem permissão para executar o teste de failover é a conta que é proprietária da interfacevirtual. O proprietário da conta recebe uma indicação por meio do AWS CloudTrail de que um teste foiexecutado em uma interface virtual.

Iniciar o teste de failover da interface virtualÉ possível iniciar o teste de failover da interface virtual usando o console do AWS Direct Connect ou aAWS CLI.

Como iniciar o teste de failover da interface virtual no console do AWS Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. Escolha Interfaces virtuais.3. Selecione as interfaces virtuais e escolha Ações, Reduzir o BGP.

É possível executar o teste em uma interface virtual pública, privada ou de trânsito.4. Na caixa de diálogo Iniciar teste de falha, faça o seguinte:

40


AWS Direct Connect Guia do usuárioVisualizar o histórico do teste de failover da interface virtual

a. Em Emparelhamentos a serem interrompidos para testagem, escolha quais sessões deemparelhamento testar, por exemplo, IPv4.

b. Em Tempo máximo de teste, insira o número de minutos da duração do teste.

O valor máximo é 180 minutos (3 horas).

O valor padrão é 180 minutos (3 horas).c. Em Para confirmar o teste, digite Confirmar.d. Selecione a opção Confirmar.

A sessão de emparelhamento de BGP é colocada no estado DOWN. É possível enviar tráfego paraverificar se não há interrupções. Se necessário, é possível interromper o teste imediatamente.

Como iniciar o teste de failover de interface virtual usando a AWS CLI

Use StartBgpFailoverTest.

Visualizar o histórico do teste de failover da interfacevirtualÉ possível visualizar o histórico de teste de failover da interface virtual usando o console do AWS DirectConnect ou a AWS CLI.

Como visualizar o histórico de teste de failover da interface virtual no console do AWS DirectConnect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. Escolha Interfaces virtuais.3. Selecione a interface virtual e escolha View details (Visualizar detalhes).4. Escolha Histórico de testes.

O console exibe os testes executados para a interface virtual.5. Para visualizar os detalhes de um teste específico, selecione o ID de teste.

Como visualizar o histórico de teste de failover da interface virtual usando a AWS CLI

Use ListVirtualInterfaceTestHistory.

Interromper o teste de failover da interface virtualÉ possível interromper o teste de failover da interface virtual usando o console do AWS Direct Connect oua AWS CLI.

Como interromper o teste de failover da interface virtual no console do AWS Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. Escolha Interfaces virtuais.3. Selecione a interface virtual e escolha Ações, Cancelar teste.4. Selecione a opção Confirmar.

41

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_StartBgpFailoverTest.html


https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ListVirtualInterfaceTestHistory.html


AWS Direct Connect Guia do usuárioInterromper o teste de failover da interface virtual

A AWS restaura a sessão de emparelhamento de BGP. O histórico de testes exibe “cancelado” para oteste.

Como interromper o teste de failover de interface virtual usando a AWS CLI

Use StopBgpFailoverTest.

42

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_StopBgpFailoverTest.html

AWS Direct Connect Guia do usuárioConexões dedicadas

Conexões AWS Direct ConnectO AWS Direct Connect permite que você estabeleça uma conexão de rede dedicada entre sua rede e umdos locais do AWS Direct Connect.

Há dois tipos de conexões:

• Ligação dedicada: Uma ligação Ethernet física associada a um único cliente. Os clientes podem solicitaruma conexão dedicada por meio do console do AWS Direct Connect, pela CLI ou pela API.

• Ligação alojada: Uma ligação Ethernet física que Parceiro do AWS Direct Connect disposições em nomede um cliente. Os clientes solicitam uma conexão hospedada entrando em contato com um parceiro noPrograma de parceiros AWS Direct Connect, que provisiona a conexão.

Conexões dedicadasPara criar uma conexão dedicada do AWS Direct Connect, são necessárias as seguintes informações:

AWS Direct Connect location

Trabalhe junto a um parceiro no Programa de parceiros AWS Direct Connect para ajudar aestabelecer os circuitos de rede entre um local do AWS Direct Connect e seu datacenter, escritório ouambiente de colocação. Eles também podem ajudar a oferecer espaço de colocação dentro da mesmainstalação do local. Para obter mais informações, consulte Parceiros da APN que oferecem suporte aoAWS Direct Connect.

Velocidade da porta

Os valores possíveis são 1 Gbps e 10 Gbps.

Você não poderá alterar a velocidade da porta após a criação da solicitação de conexão. Para alterar avelocidade da porta, é necessário criar e configurar uma nova conexão.

Depois que você solicitar a conexão, a AWS disponibilizará uma Letter of Authorization and ConnectingFacility Assignment (LOA-CFA — Carta de autorização e atribuição da instalação de conexão) paradownload ou enviará por e-mail uma solicitação para obter mais informações. Caso receba uma solicitaçãopara obter mais informações, você deve responder em até 7 dias, ou a conexão é excluída. A LOA-CFAé a autorização para se conectar à AWS, e é exigida pelo provedor de rede a fim de pedir uma conexãocruzada para você. Caso não possua equipamentos no local do AWS Direct Connect, não será possívelsolicitar uma conexão cruzada para si nesse local.

As operações a seguir estão disponíveis para conexões dedicadas:

• the section called “Criar uma conexão” (p. 44)• the section called “Visualizar detalhes da conexão” (p. 46)• the section called “Atualizar uma conexão” (p. 46)• the section called “Excluir conexões” (p. 47)

Pode adicionar uma ligação dedicada a um grupo de agregação de ligações (LAG), permitindo-lhe tratarmúltiplas ligações como uma única. Para obter informações, consulte Associar uma conexão a umLAG (p. 84).

43



AWS Direct Connect Guia do usuárioConexões hospedadas

Depois de criar uma conexão, crie uma interface virtual para se conectar a recursos públicos e privados daAWS. Para obter mais informações, consulte AWS Direct ConnectInterfaces virtuais do (p. 59).

Conexões hospedadasPara criar um AWS Direct Connect ligação alojada, necessita das seguintes informações:

AWS Direct Connect location

Trabalhe junto a um Parceiro do AWS Direct Connect no Programa de parceiros AWS DirectConnect para ajudar a estabelecer os circuitos de rede entre um local do AWS Direct Connect e seudatacenter, escritório ou ambiente de colocação. Eles também podem ajudar a oferecer espaço decolocação dentro da mesma instalação do local. Para obter mais informações, consulte Parceiros daAPN que oferecem suporte ao AWS Direct Connect.

Velocidade da porta

Para conexões hospedadas, os valores possíveis são 50 Mbps, 100 Mbps, 200 Mbps, 300 Mbps, 400Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps e 10 Gbps. Observe que apenas os parceiros do AWSDirect Connect que satisfazem os requisitos específicos podem criar uma conexão hospedada de 1Gbps, 2 Gbps, 5 Gbps ou 10 Gbps.

Você não poderá alterar a velocidade da porta após a criação da solicitação de conexão. Para alterar avelocidade da porta, é necessário criar e configurar uma nova conexão.

A AWS usa policiamento de tráfego em conexões hospedadas, o que significa que quando a taxa detráfego atinge a taxa máxima configurada, o excesso de tráfego é descartado. Isso pode resultar emtráfego intermitente com taxa de transferência mais baixa do que tráfego não intermitente.

As operações a seguir estão disponíveis para conexões hospedadas:

• the section called “Criar uma conexão” (p. 44)

Depois que o Parceiro do AWS Direct Connect configurar a conexão, ela será exibida no painelConnections (Conexões) do console do AWS Direct Connect. Você deve aceitar a conexão hospedadaantes de poder usá-la. Para obter mais informações, consulte the section called “Aceitar uma conexãohospedada” (p. 47).

• the section called “Visualizar detalhes da conexão” (p. 46)• the section called “Atualizar uma conexão” (p. 46)• the section called “Excluir conexões” (p. 47)

Depois de aceitar uma conexão, crie uma interface virtual para se conectar a recursos públicos e privadosda AWS. Para obter mais informações, consulte AWS Direct ConnectInterfaces virtuais do (p. 59).

Criar uma conexãoVocê pode criar uma conexão independente ou criar uma conexão a ser associada a um LAG na conta. Sevocê associar uma conexão a um LAG, ela será criada com a mesma velocidade de porta e o mesmo localespecificados no LAG.

Caso não possua equipamentos em um local do AWS Direct Connect, primeiro entre em contato comum Parceiro do AWS Direct Connect no Programa de parceiros AWS Direct Connect. Para obter maisinformações, consulte Parceiros da APN que oferecem suporte ao AWS Direct Connect.

44




AWS Direct Connect Guia do usuárioComo baixar a LOA-CFA

Para criar uma nova conexão do AWS Direct Connect


(Criar uma conexão).3. No painel Create Connection (Criar conexão), em Connection settings (Configurações de conexão),

faça o seguinte:

a. Em Name (Nome), insira um nome para a conexão.b. Em Location (Local), selecione o local do AWS Direct Connect apropriado.c. Se aplicável, para Sub Location (Sublocal), escolha o andar mais próximo de você ou do provedor

de rede. Essa opção só estará disponível se o local tiver Meet-Me Rooms (MMRs – Salas dereunião) em vários andares do edifício.

d. Em Port Speed (Velocidade da porta), selecione a largura de banda da conexão.4. Em On-premises (Local), selecione Connect through an AWS Direct Connect partner (Conectar

por meio de um parceiro do AWS Direct Connect) ao usar essa conexão para se conectar ao seudatacenter.

5. a. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).6. Selecione Create Connection (Criar conexão).

Para criar uma conexão usando a linha de comando ou a API

• create-connection (AWS CLI)• CreateConnection (API do AWS Direct Connect)

Como baixar a LOA-CFAAssim que a AWS processar sua solicitação de conexão, você poderá fazer download da LOA-CFA.

Se precisar de alterar a LOA-CFA depois de ter sido criada (por exemplo, precisa de alterar as portas),contacte a Assistência AWS.

Para baixar a LOA-CFA

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Connections (Conexões ).3. Selecione a conexão e escolha View details (Visualizar detalhes).4. Escolha Download LOA-CFA (Fazer download da LOA-CFA).

Note

Caso o link não esteja habilitado, a LOA-CFA ainda não está disponível para download.Verifique o seu e-mail para uma solicitação de informações. Caso ela ainda estejaindisponível, ou você não tenha recebido um e-mail após 72 horas, entre em contato com oAWS Support.

5. Envie a LOA-CFA ao provedor de rede ou de colocação, de maneira que ele possa solicitar umaconexão cruzada para você. O processo de contato pode variar para cada provedor de colocação.

45


https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-connection.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateConnection.html



AWS Direct Connect Guia do usuárioVisualizar detalhes da conexão

Para obter mais informações, consulte Solicitar conexões cruzadas em locais do AWS DirectConnect (p. 49).

A LOA-CFA irá expirar depois de 90 dias. Caso a conexão não esteja ativa após 90 dias, enviamos ume-mail alertando que a LOA-CFA expirou. Para atualizar a LOA-CFA com uma nova data de emissão,baixe-a novamente no console do AWS Direct Connect. Caso você não tome nenhuma ação, excluímos aconexão.

Note

O faturamento de porta/hora começará 90 dias depois que você tiver criado a conexão, oudepois que a conexão entre o roteador e o endpoint do AWS Direct Connectfor estabelecida, oque ocorrer primeiro. Para obter mais informações, consulte Definição de preço do AWS DirectConnect. Caso não queira mais a conexão após reemitir a LOA-CFA, exclua a conexão por contaprópria. Para obter mais informações, consulte Excluir conexões (p. 47).

Para baixar a LOA-CFA usando a linha de comando ou a API

• describe-loa (AWS CLI)• DescribeLoa (API do AWS Direct Connect)

Visualizar detalhes da conexãoVocê pode visualizar o status atual da conexão. Você também pode visualizar o ID de conexão (porexemplo, dxcon-12nikabc) e verificar se ele é compatível com o ID de conexão na LOA-CFA querecebeu ou obteve por download.

Para obter informações sobre como monitorar conexões, consulte Monitoramento (p. 137).

Para visualizar detalhes sobre uma conexão

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de à esquerda, selecione Connections (Conexões).3. Selecione uma conexão e escolha View details (Visualizar detalhes).

Para descrever uma conexão usando a linha de comando ou a API

• describe-connections (AWS CLI)• DescribeConnections (API do AWS Direct Connect)

Atualizar uma conexãoVocê pode atualizar o nome da conexão, adicionar uma tag à conexão ou remover uma tag da conexão.

Para atualizar uma conexão

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Connections (Conexões ).3. Selecione a conexão e escolha Edit (Editar).4. Modifique a conexão:

[Alterar o nome] Em Name (Nome), insira um novo nome para a conexão.

46



https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-loa.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeLoa.html


https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-connections.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html


AWS Direct Connect Guia do usuárioExcluir conexões


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).5. Escolha Edit connection (Editar conexão).

Para adicionar ou remover uma tag usando a linha de comando.

• tag-resource (AWS CLI)• untag-resource (AWS CLI)

Excluir conexõesVocê pode excluir uma conexão, desde que não haja interfaces virtuais conectadas. A exclusão daconexão interrompe todas as cobranças por hora da porta nesta conexão. As cobranças de transferênciade dados do AWS Direct Connect são associadas a interfaces virtuais. Toda cobrança por conexãocruzada ou circuito de rede independe do AWS Direct Connect e deve ser cancelada separadamente.Para obter mais informações sobre como excluir uma interface virtual, consulte Excluir interfacesvirtuais (p. 75).

Caso a conexão faça parte de um grupo de agregação de links (LAG), não será possível excluir a conexãocaso isso faça o LAG ficar abaixo da configuração do número mínimo de conexões operacionais.

Excluir uma conexão

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Connections (Conexões ).3. Selecione as conexões e escolha Delete (Excluir).4. Na caixa de diálogo de confirmação Delete (Excluir), escolha Delete (Excluir).

Para excluir uma conexão usando a linha de comando ou a API

• delete-connection (AWS CLI)• DeleteConnection (API do AWS Direct Connect)

Aceitar uma conexão hospedadaCaso tenha interesse em comprar uma conexão hospedada, entre em contato com um Parceiro do AWSDirect Connect no Programa de parceiros AWS Direct Connect. O parceiro provisiona a conexão paravocê. Depois que for configurada, a conexão será visualizada no painel Connections (Conexões) doconsole do AWS Direct Connect.

Para usar uma conexão hospedada, você deve aceitar a conexão.

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Connections (Conexões).3. Selecione a conexão hospedada e View details (Visualizar detalhes).4. Marque a caixa de seleção de confirmação e selecione Accept connection (Aceitar conexão).

47

https://docs.aws.amazon.com/cli/latest/reference/directconnect/tag-resource.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/untag-resource.html


https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-connection.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteConnection.html


AWS Direct Connect Guia do usuárioAceitar uma conexão hospedada

Para aceitar uma conexão hospedada usando a linha de comando ou a API

• confirm-connection (AWS CLI)• ConfirmConnection (API do AWS Direct Connect)

48

https://docs.aws.amazon.com/cli/latest/reference/directconnect/confirm-connection.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ConfirmConnection.html


Solicitar conexões cruzadas emlocais do AWS Direct Connect

Após fazer download da Letter of Authorization and Connecting Facility Assignment (LOA-CFA – Carta deautorização e atribuição da instalação de conexão), é necessário completar a conexão de rede cruzada,também conhecida como conexão cruzada. Se você já tiver equipamentos localizados em um local doAWS Direct Connect, entre em contato com o provedor apropriado para completar a conexão cruzada.Para obter instruções específicas para cada fornecedor, consulte a tabela abaixo. Entre em contato como provedor para saber a definição de preço da conexão cruzada. Depois que a conexão cruzada forestabelecida, você poderá criar as interfaces virtuais usando o console do AWS Direct Connect

Alguns locais estão configurados como um campus. Para obter mais informações, consulte Locais do AWSDirect Connect.

Se ainda não tiver equipamentos localizados em um local do AWS Direct Connect, você poderá trabalharcom um dos parceiros na AWS Partner Network (APN). Eles te ajudam a se conectar a um local doAWS Direct Connect Para obter mais informações, consulte Parceiros da APN que oferecem suporte aoAWS Direct Connect. É necessário compartilhar a LOA-CFA com o provedor selecionado para facilitar asolicitação de conexão cruzada.

Uma conexão do AWS Direct Connect pode fornecer acesso a recursos em outras Regiões. Para obtermais informações, consulte Acessar uma região remota da AWS (p. 3).

Note

Caso a conexão cruzada não seja completada dentro de 90 dias, a autoridade concedida pelaLOA-CFA expire. Para renovar uma LOA-CFA que tenha expirado, você pode baixá-la novamentedo console do AWS Direct Connect Para obter mais informações, consulte Como baixar a LOA-CFA (p. 45).

Tópicos• África (Cidade do Cabo) (p. 50)• Ásia Pacífico (Mumbai) (p. 50)• Ásia-Pacífico (Seul) (p. 50)• Ásia-Pacífico (Cingapura) (p. 51)• Ásia-Pacífico (Sydney) (p. 51)• Ásia-Pacífico (Tóquio) (p. 51)• AWS GovCloud (Leste dos EUA) (p. 52)• AWS GovCloud (US-West) (p. 52)• Canadá (Central) (p. 52)• China (Pequim) (p. 52)• China (Ningxia) (p. 53)• Europa (Frankfurt) (p. 53)• Europa (Irlanda) (p. 54)• Europa (Itália) (p. 54)• Europa (Londres) (p. 54)

49

https://aws.amazon.com/directconnect/details/#AWS_Direct_Connect_Locations

https://aws.amazon.com/directconnect/details/#AWS_Direct_Connect_Locations

http://aws.amazon.com/directconnect/partners/

http://aws.amazon.com/directconnect/partners/

AWS Direct Connect Guia do usuárioÁfrica (Cidade do Cabo)

• Europa (Paris) (p. 55)• Europa (Estocolmo) (p. 55)• Oriente Médio (Bahrein) (p. 55)• Oriente Médio (Israel) (p. 56)• América do Sul (São Paulo) (p. 56)• Leste dos EUA (Ohio) (p. 56)• Leste dos EUA (Norte da Virgínia) (p. 56)• Oeste dos EUA (Norte da Califórnia) (p. 57)• Oeste dos EUA (Oregon) (p. 57)

África (Cidade do Cabo)

Local Como solicitar uma conexão

Ponto de troca de Internet daCidade do Cabo/Datacenters daTeraco

Entre em contato com o Ponto de troca de Internet da Cidade doCabo ou com os datacenters da Teraco.

Ásia Pacífico (Mumbai)


GPX, Mumbai Entre em contato com a GPX pelo e-mail [email protected].

NetMagic DC2, Bangalore Entre em contato com o departamento de vendas e marketingda NetMagic gratuitamente em 18001033130 ou pelo [email protected].

Sify Rabale, Mumbai Entre em contato com a Sify pelo [email protected].

STT Delhi DC2, Delhi Entre em contato com a STT no [email protected].

Versão Ltd. VSB, Chennai Entre em contato com a STT no [email protected].

STT Hyderabad DC1, Hyderabad Entre em contato com a STT no [email protected].

Ásia-Pacífico (Seul)


KINX Gasan Data Center, Seul Entre em contato com a KINX pelo e-mail [email protected].

50

mailto:[email protected]







AWS Direct Connect Guia do usuárioÁsia-Pacífico (Cingapura)


LG U+ Pyeong-Chon MegaCenter, Seul

Envie o documento da LOA para [email protected] [email protected].

Ásia-Pacífico (Cingapura)Local Como solicitar uma conexão

Equinix SG2, Cingapura Entre em contato com a Equinix pelo [email protected].

Global Switch, Cingapura Entre em contato com a Global Switch pelo [email protected].

GPX, Mumbai Entre em contato com a GPX pelo e-mail [email protected].

iAdvantage Mega-i, Hong Kong Entre em contato com a iAdvantage pelo e-mail [email protected] faça um pedido por meio do formulário eletrônico iAdvantageCabling Order.

Menara AIMS, Kuala Lumpur Os clientes existentes da AIMS podem solicitar um pedido de X-Connect usando o portal de Atendimento ao cliente, preenchendo oformulário de solicitação de ordem de trabalho de engenharia. Entrarem contato com [email protected] se houver problemasao enviar a solicitação.

Ásia-Pacífico (Sydney)Local Como solicitar uma conexão

Equinix SY3, Sydney Entre em contato com a Equinix pelo [email protected].

Global Switch, Sydney Entre em contato com a Global Switch pelo [email protected].

NEXTDC C1, Canberra Entre em contato com a NEXTDC pelo e-mail [email protected].

NEXTDC M1, Melbourne Entre em contato com a NEXTDC pelo e-mail [email protected].

NEXTDC P1, Perth Entre em contato com a NEXTDC pelo e-mail [email protected].

Ásia-Pacífico (Tóquio)Local Como solicitar uma conexão

AT Tokyo Chuo Data Center,Tóquio

Entre em contato com a AT TOKYO no e-mail [email protected].

51







https://cable.iadvantage.net

https://cable.iadvantage.net









AWS Direct Connect Guia do usuárioAWS GovCloud (Leste dos EUA)


Chief Telecom LY, Taipei Entre em contato com a Chief Telecom pelo [email protected].

Chunghwa Telecom, Taipei Entre em contato com a CHT Taipei IDC NOC pelo [email protected].

Equinix OS1, Osaka Entre em contato com a Equinix pelo [email protected].

Equinix TY2, Tóquio Entre em contato com a Equinix pelo [email protected].

AWS GovCloud (Leste dos EUA)Você não pode solicitar conexões nessa região.

AWS GovCloud (US-West)Local Como solicitar uma conexão

Equinix SV5, San Jose Entre em contato com a Equinix pelo [email protected].

Canadá (Central)Local Como solicitar uma conexão

Allied 250 Front St W, Toronto Entre em contato pelo e-mail [email protected].

Cologix MTL3, Montreal Entre em contato com a Cologix pelo e-mail [email protected].

Cologix VAN2, Vancouver Entre em contato com a Cologix pelo e-mail [email protected].

eStruxture, Montreal Entre em contato com a eStruxture pelo [email protected].

China (Pequim)Local Como solicitar uma conexão

CIDS Jiachuang IDC, Beijing Entre em contato pelo e-mail [email protected].

Sinnet Jiuxianqiao IDC, Beijing Entre em contato pelo e-mail [email protected].

GDS No. 3 Data Center,Shanghai

Entre em contato pelo e-mail [email protected].

52













AWS Direct Connect Guia do usuárioChina (Ningxia)


GDS No. 3 Data Center,Shenzhen

Entre em contato pelo e-mail [email protected].

China (Ningxia)Local Como solicitar uma conexão

Industrial Park IDC, Ningxia Entre em contato pelo e-mail [email protected].

Shapotou IDC, Ningxia Entre em contato pelo e-mail [email protected].

Europa (Frankfurt)Local Como solicitar uma conexão

CE Colo, Praga Entre em contato com a CE Colo pelo e-mail [email protected].

DigiPlex Ulven, Oslo Entre em contato com a DigiPlex pelo e-mail [email protected].

Equinix AM3, Amsterdã Entre em contato com a Equinix pelo [email protected].

Equinix FR5, Frankfurt Entre em contato com a Equinix pelo [email protected].

Equinix HE6, Helsinki Entre em contato com a Equinix pelo [email protected].

Equinix MU1, Munique Entre em contato com a Equinix pelo [email protected].

Equinix WA1, Varsóvia Entre em contato com a Equinix pelo [email protected].

Interxion AMS7, Amsterdã Entre em contato com a Interxion pelo [email protected].

Interxion CPH2, Copenhague Entre em contato com a Interxion pelo [email protected].

Interxion FRA6, Frankfurt Entre em contato com a Interxion pelo [email protected].

Interxion MAD2, Madri Entre em contato com a Interxion pelo [email protected].

Interxion VIE2, Viena Entre em contato com a Interxion pelo [email protected].

Interxion ZUR1, Zurique Entre em contato com a Interxion pelo [email protected].

53

















AWS Direct Connect Guia do usuárioEuropa (Irlanda)


IPB, Berlim Entre em contato com a IPB pelo e-mail [email protected].

Equinix ITConic MD2, Madri Entre em contato com a Equinix pelo [email protected].

Europa (Irlanda)


Digital Realty (Reino Unido),Docklands

Entre em contato com a Digital Realty (Reino Unido) pelo [email protected].

Eircom Clonshaugh Entre em contato com a Eircom pelo e-mail [email protected].

Equinix DX1, Dubai Entre em contato com a Equinix pelo [email protected].

Equinix LD5, Londres (Slough) Entre em contato com a Equinix pelo [email protected].

Interxion DUB2, Dublin Entre em contato com a Interxion pelo [email protected].

Interxion MRS1, Marselha Entre em contato com a Interxion pelo [email protected].

Teraco CT1, Cidade do Cabo Entre em contato com a Teraco pelo e-mail [email protected] clientes Teraco existentes ou [email protected] para novosclientes.

Teraco JB1, Johanesburgo Entre em contato com a Teraco pelo e-mail [email protected] clientes Teraco existentes ou [email protected] para novosclientes.

Europa (Itália)


CDLAN srl Via Caldera 21, Milão Entre em contato com a CDLAN em [email protected].

Europa (Londres)


Digital Realty (Reino Unido),Docklands

Entre em contato com a Digital Realty (Reino Unido) pelo [email protected].

54













mailto:mailto:[email protected]


AWS Direct Connect Guia do usuárioEuropa (Paris)


Equinix LD5, Londres (Slough) Entre em contato com a Equinix pelo [email protected].

Equinix MA3, Manchester Entre em contato com a Equinix pelo [email protected].

Telehouse West, Londres Entre em contato com a Telehouse do Reino Unido pelo [email protected].

Europa (Paris)Local Como solicitar uma conexão

Equinix PA3, Paris Entre em contato com a Equinix pelo [email protected].

Interxion PAR7, Paris Entre em contato com a Interxion pelo [email protected].

Telehouse Voltaire, Paris Crie uma solicitação usando o Customer Portal. O tipo de solicitaçãoé layout DFM/SFM/conectividade/comissionamento do circuito MMR.

Europa (Estocolmo)Local Como solicitar uma conexão

Interxion STO1, Estocolmo Entre em contato com a Interxion pelo [email protected].

Oriente Médio (Bahrein)Local Como solicitar uma conexão

AWS Bahrain DC53, Manama Para concluir a conexão, você pode trabalhar com um denossos provedores de rede parceiros no local para estabelecerconectividade. Depois, você fornecerá uma Letter of Authorization(LOA – Carta de autorização) do provedor de rede para a AWS pormeio do AWS Support Center. A AWS concluirá a conexão cruzadanesse local.

AWS Bahrein DC52, Manama Para concluir a conexão, você pode trabalhar com um denossos provedores de rede parceiros no local para estabelecerconectividade. Depois, você fornecerá uma Letter of Authorization(LOA – Carta de autorização) do provedor de rede para a AWS pormeio do AWS Support Center. A AWS concluirá a conexão cruzadanesse local.

55






https://thparis.force.com/login


https://aws.amazon.com/directconnect/partners/

https://console.aws.amazon.com/support/home

https://aws.amazon.com/directconnect/partners/

https://console.aws.amazon.com/support/home

AWS Direct Connect Guia do usuárioOriente Médio (Israel)

Oriente Médio (Israel)Local Como solicitar uma conexão

MedOne em Haifa, Israel Entre em contato com a MedOne em [email protected]

América do Sul (São Paulo)Local Como solicitar uma conexão

Equinix RJ2, Rio de Janeiro Entre em contato com a Equinix pelo [email protected].

Equinix SP4, São Paulo Entre em contato com a Equinix pelo [email protected].

Tivit Entre em contato com a Tivit pelo e-mail [email protected].

Leste dos EUA (Ohio)Local Como solicitar uma conexão

Cologix COL2, Columbus Entre em contato com a Cologix pelo e-mail [email protected].

Cologix MIN3, Minneapolis Entre em contato com a Cologix pelo e-mail [email protected].

CyrusOne West III, Houston Envie uma solicitação usando o portal do cliente.

Equinix CH2, Chicago Entre em contato com a Equinix pelo [email protected].

QTS Chicago Entre em contato com a QTS pelo [email protected].

Netrality Properties, 1102 Grand,Kansas City

Entre em contato com a Netrality pelo e-mail [email protected].

Leste dos EUA (Norte da Virgínia)Local Como solicitar uma conexão

165 Halsey Street, Newark Entre em contato com [email protected].

CoreSite NY1, Nova York Faça um pedido usando o CoreSite Customer Portal. Depois depreencher o formulário, analise o pedido para verificar a precisão e,em seguida, aprová-lo usando o site.

CoreSite VA1, Reston Faça um pedido no CoreSite Customer Portal. Depois de preenchero formulário, analise o pedido para verificar a precisão e, emseguida, aprová-lo usando o site.

56







https://cyrusone.com/about-enterprise-data-center-provider/customer-support/





https://mycoresite.coresite.com/login


AWS Direct Connect Guia do usuárioOeste dos EUA (Norte da Califórnia)


Digital Realty ATL1, Atlanta Entre em contato com a Digital Realty pelo [email protected].

Equinix DC2/DC11, Ashburn Entre em contato com a Equinix pelo [email protected].

Equinix DA2, Dallas Entre em contato com a Equinix pelo [email protected].

Equinix MI1, Miami Entre em contato com a Equinix pelo [email protected].

CoroaCastle (anteriormenteLightower), Filadélfia, PA

Entre em contato com a CoroaCastle pelo [email protected].

Markley, One Summer Street,Boston

Crie uma solicitação usando o Customer Portal. Para novasconsultas, entre em contato pelo e-mail [email protected].

Oeste dos EUA (Norte da Califórnia)


CoreSite LA1, Los Angeles Faça um pedido usando o CoreSite Customer Portal. Depois depreencher o formulário, analise o pedido para verificar a precisão e,em seguida, aprová-lo usando o site.

CoreSite SV2, Milpitas Faça um pedido usando o CoreSite Customer Portal. Depois depreencher o formulário, analise o pedido para verificar a precisão e,em seguida, aprová-lo usando o site.

CoreSite SV4, Santa Clara Faça um pedido usando o CoreSite Customer Portal. Depois depreencher o formulário, analise o pedido para verificar a precisão e,em seguida, aprová-lo usando o site MyCoreSite.

Equinix LA3, El Segundo Entre em contato com a Equinix pelo [email protected].

Equinix SV5, San Jose Entre em contato com a Equinix pelo [email protected].

PhoenixNAP, Phoenix Entre em contato com a phoenixNAP pelo [email protected].

Oeste dos EUA (Oregon)


CoreSite DE1, Denver Faça um pedido usando o CoreSite Customer Portal. Depois depreencher o formulário, analise o pedido para verificar a precisão e,em seguida, aprová-lo usando o site.

57






https://portal.markleygroup.com









AWS Direct Connect Guia do usuárioOeste dos EUA (Oregon)


EdgeConneX, Portland Faça um pedido usando o EdgeOS Customer Portal. Depois quevocê tiver enviado o formulário, o EdgeConneX fornecerá umformulário de pedido de serviço para aprovação. Você pode enviarperguntas para o e-mail [email protected].

Equinix SE2, Seattle Entre em contato com a Equinix pelo e-mail [email protected].

Pittock Block, Portland Envie solicitações por e-mail para [email protected] ou pelotelefone +1 503 226 6777.

Switch SUPERNAP 8, Las Vegas Entre em contato com a Switch SUPERNAP pelo [email protected].

TierPoint Seattle Entre em contato com a TierPoint pelo e-mail [email protected].

58

https://edgeos.edgeconnex.com/portal/






AWS Direct Connect Guia do usuárioRegras de anúncio de prefixo da interface virtual pública

AWS Direct ConnectInterfacesvirtuais do

Você deve criar uma das interfaces virtuais a seguir para começar a usar a conexão do AWS DirectConnect

• Interface virtual privada: acesse uma Amazon VPC usando endereços IP privados.• Interface virtual pública: acesse os serviços da AWS em seu datacenter local. Permita que os serviços

da AWS ou os clientes da AWS acessem suas redes públicas pela interface, em vez de percorrer pelaInternet.

• Interface virtual de trânsito: acesse um ou mais Gateways de trânsito da Amazon VPC associados agateways Direct Connect. É possível usar interfaces virtuais de trânsito com conexões do AWS DirectConnect de 1/2/5/10 Gbps. Para obter informações sobre configurações de gateway Direct Connect,consulte the section called “Gateways Direct Connect” (p. 86).

Para se conectar a outros serviços da AWS usando endereços IPv6, consulte a documentação do serviçopara verificar se o endereçamento IPv6 tem suporte.

Regras de anúncio de prefixo da interface virtualpública

Anunciamos os prefixos da Amazon apropriados para você, de maneira que possa alcançar as VPCsou outros serviços da AWS. Você pode acessar todos os prefixos da AWS por meio dessa conexão; porexemplo, o Amazon EC2, o Amazon S3 e Amazon.com. Você não tem acesso a prefixos que não sejam daAmazon. Para obter uma lista de prefixos anunciados pela AWS, consulte Intervalos de endereços IP daAWS no Referência geral do Amazon Web Services.

Note

Recomendamos que você use um filtro de firewall (com base no endereço de origem/destinode pacotes) para controlar o tráfego de alguns prefixos e o tráfego para eles. Se você estiverusando um filtro de prefixos (mapa de rotas), certifique-se de que ele aceite prefixos com umacorrespondência exata ou maior. Os prefixos anunciados do AWS Direct Connect podem seragregados e podem ser diferentes dos prefixos definidos em seu filtro de prefixos.

Interfaces virtuais hospedadasPara usar a conexão do AWS Direct Connect com outra conta da AWS, você pode criar uma interfacevirtual hospedada para essa conta. O proprietário da outra conta deve aceitar a interface virtual hospedadapara começar a usá-la. Uma interface virtual hospedada funciona como uma interface virtual padrão epode se conectar a recursos públicos ou a uma VPC.

Uma conexão de menos de 1 Gbps é compatível apenas com uma interface virtual.

Para criar uma interface virtual, você precisa das seguintes informações:

59



AWS Direct Connect Guia do usuárioInterfaces virtuais hospedadas




















60



support/createCase

AWS Direct Connect Guia do usuárioInterfaces virtuais hospedadas














É possível criar uma interface virtual para contas em seu AWS Organizations ou em um AWSOrganizations diferente do seu. É necessário aceitar a interface virtual antes de poder usá-la. Paraobter informações sobre como criar e aceitar uma interface virtual, consulte the section called“Criar uma interface virtual hospedada” (p. 75) e the section called “Aceitar uma interface virtualhospedada” (p. 78).

61

support/createCase

support/createCase

AWS Direct Connect Guia do usuárioPré-requisitos para interfaces virtuais

Pré-requisitos para interfaces virtuaisAntes de criar uma interface virtual, faça o seguinte:

• Crie uma conexão. Para obter mais informações, consulte the section called “Criar uma conexão” (p. 44).• Crie um grupo de agregação de links (LAG) quando você tiver várias conexões que deseja tratar como

uma única. Para obter mais informações, consulte Associar uma conexão a um LAG (p. 84).

Para criar uma interface virtual, você precisa das seguintes informações:















para solicitar um CIDR IPv4 público (forneça um caso de uso na solicitação)

62



support/createCase

AWS Direct Connect Guia do usuárioPré-requisitos para interfaces virtuais

Recurso Informações necessárias• (Somente interface virtual privado) - a Amazon pode gerar endereços IPv4















63

support/createCase

support/createCase

AWS Direct Connect Guia do usuárioCriar uma interface virtual




Ao criar uma interface virtual, é possível especificar a conta que possui a interface virtual. Ao escolher umaconta da AWS que não seja sua, as seguintes regras se aplicam:

• Para VIFs privadas e VIFs de trânsito, a conta se aplica à interface virtual e ao destino do gatewayprivado virtual/gateway Direct Connect.

• Para VIFs públicas, a conta é usada para faturamento de interface virtual. O uso da transferênciaexterna de dados (DTO) é medido para o proprietário do recurso com a taxa de transferência de dadosdo AWS Direct Connect.

Criar uma interface virtualVocê pode criar uma interface virtual de trânsito para se conectar a um gateway de trânsito, uma interfacevirtual pública para se conectar a recursos públicos (serviços não VPC) ou uma interface virtual privadapara se conectar a uma VPC.

Para criar uma interface virtual para contas em seu AWS Organizations ou em um AWS Organizationsdiferente do seu, crie uma interface virtual hospedada. Para obter mais informações, consulte the sectioncalled “Criar uma interface virtual hospedada” (p. 75).

Prerequisites

Antes de começar, verifique se você leu as informações em Pré-requisitos para interfacesvirtuais (p. 62).

Criar uma interface virtual públicaQuando você cria uma interface virtual pública, pode demorar até 72 horas para a AWS revisar e aprovar asolicitação.

Para provisionar uma interface virtual pública


a. Em Virtual interface name (Nome da interface virtual), insira um nome para a interface virtual.

64


AWS Direct Connect Guia do usuárioCriar uma interface virtual privada

b. Em Connection (Conexão), escolha a conexão do Direct Connect que você deseja usar para essainterface.

c. Em VLAN, insira o número do ID da rede local virtual (VLAN).d. Em BGP ASN (ASN do BGP), insira o Número de sistema autônomo do Border Gateway Protocol




[IPv4] Para configurar um par BGP IPv4, escolha IPv4 e execute uma das seguintes ações:• Para especificar esses endereços IP por conta própria, em Your router peer ip (Seu IP de par do

roteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego.• Em IP de par do roteador da Amazon, informe o endereço CIDR IPv4 a ser usado para enviar

tráfego para a AWS.



Se você não inserir um valor, a AWS gerará uma chave BGP.c. Para anunciar prefixos na Amazon, em Prefixes you want to advertise, insira os endereços de

destino CIDR IPv4 (separados por vírgulas) para os quais o tráfego deve ser roteado pela interfacevirtual.



[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).7. Selecione Create virtual interface (Criar interface virtual).8. Faça download da configuração do roteador para o dispositivo. Para obter mais informações, consulte

Fazer download do arquivo de configuração do roteador (p. 68)A rede que está sendo usada para aconexão VIF pública precisa ser anunciada pelo dispositivo BGP do cliente

9. Você precisa usar o dispositivo BGP para anunciar a rede usada para a conexão VIF pública.

Para criar uma interface virtual pública usando a linha de comando ou a API

• create-public-virtual-interface (AWS CLI)• CreatePublicVirtualInterface (API do AWS Direct Connect

Criar uma interface virtual privadaVocê pode provisionar uma interface virtual privada para um gateway privado virtual na mesma regiãoque sua conexão do AWS Direct Connect Para obter mais informações sobre o provisionamento de umainterface virtual privada para um gateway AWS Direct Connect, consulte Trabalhar com gateways DirectConnect (p. 86).

Caso use o assistente de VPC para criar uma VPC, a propagação de rotas é habilitada automaticamentepara você. Com a propagação da rota, as rotas são preenchidas automaticamente para as tabelas de rotas

65

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-public-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreatePublicVirtualInterface.html


na VPC. Você pode desabilitar a propagação de rota, caso opte por isso. Para obter mais informações,consulte Habilitar propagação de rotas na tabela de rotas no Guia do usuário da Amazon VPC.

A unidade de transmissão máxima (MTU) de uma conexão de rede é o tamanho, em bytes, do maiorpacote permissível que pode ser passado pela conexão. A MTU de uma interface virtual privada pode ser1500 ou 9001 (frames jumbo). A MTU de uma interface virtual privada pode ser 1500 ou 8500 (framesjumbo). Você pode especificar a MTU ao criar a interface ou atualizá-la depois que criá-la. Definir a MTUde uma interface virtual para 8500 (frames jumbo) pode resultar em uma atualização da conexão físicasubjacente se ela não foi atualizada para oferecer suporte a frames jumbo. Atualizar a conexão interrompea conectividade de rede para todas as interfaces virtuais associadas à conexão por até 30 segundos.Para verificar se uma conexão ou interface virtual é compatível com frames jumbo, selecione-a no consoledo AWS Direct Connect e localize Jumbo Frame Capable (Com capacidade de frames jumbo) na guiaSummary (Resumo).

















[Adicionar uma tag] Selecione Add tag (Adicionar tag) e faça o seguinte:• Em Key (Chave), insira o nome da chave.

66

https://docs.aws.amazon.com/vpc/latest/userguide/SetUpVPNConnections.html#vpn-configure-routing


AWS Direct Connect Guia do usuárioCriar uma interface virtual de trânsito

para o gateway Direct Connect

• Em Value (Valor), insira o valor da chave.

[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).7. Selecione Create virtual interface (Criar interface virtual).8. Faça download da configuração do roteador para o dispositivo. Para obter mais informações, consulte

Fazer download do arquivo de configuração do roteador (p. 68).

Para criar uma interface virtual privada usando a linha de comando ou a API

• create-private-virtual-interface (AWS CLI)• CreatePrivateVirtualInterface (API do AWS Direct Connect

Criar uma interface virtual de trânsito para o gatewayDirect ConnectPara conectar sua conexão do AWS Direct Connect com o gateway de trânsito, você deve criar umainterface de trânsito para a conexão. Especifique o gateway Direct Connect ao qual se conectar.


Important

Se você associar o gateway de trânsito a um ou mais gateways do Direct Connect, o númerode sistema autônomo (ASN – Autonomous System Number) usado pelo gateway de trânsito e ogateway do Direct Connect deverá ser diferente. Por exemplo, se você usar o ASN padrão 64512para o gateway de trânsito e para o gateway do Direct Connect, a solicitação de associação vaifalhar.

Como provisionar uma interface virtual de trânsito para um gateway Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), em Type (Tipo), escolha Transit (Trânsito).5. Em Private virtual interface settings (Configurações de interface virtual privada), faça o seguinte:


interface.c. Em Virtual interface owner (Proprietário da interface virtual), selecione My AWS account (Minha

conta da AWS) caso a interface virtual seja para sua conta da AWS.d. Em Direct Connect gateway (Gateway Direct Connect), selecione o gateway Direct Connect.e. Em VLAN, informe o número do ID para sua rede local virtual (VLAN).

67

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-private-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreatePrivateVirtualInterface.html


AWS Direct Connect Guia do usuárioFazer download do arquivo de configuração do roteador

f. Em BGP ASN insira o Número de sistema autônomo do Border Gateway Protocol do roteador demesmo nível no local para a nova interface virtual.







b. Para alterar a unidade de transmissão máxima (MTU) de 1500 (padrão) para 8500 (frames jumbo),selecione Jumbo MTU (MTU size 8500) (MTU jumbo (tamanho da MTU 8500)).




Depois que tiver criado a interface virtual, você poderá fazer download da configuração do roteadorno dispositivo. Para obter mais informações, consulte Fazer download do arquivo de configuração doroteador (p. 68).

Para criar uma interface virtual de trânsito usando a linha de comando ou a API

• create-transit-virtual-interface (AWS CLI)• CreateTransitVirtualInterface (API do AWS Direct Connect

Como visualizar as interfaces virtuais que estão anexadas a um gateway Direct Connect usando alinha de comando ou a API

• describe-direct-connect-gateway-attachments (AWS CLI)• DescribeDirectConnectGatewayAttachments (API do AWS Direct Connect

Fazer download do arquivo de configuração doroteadorDepois que tiver criado a interface virtual e o estado da interface estiver ativo, você poderá fazer downloaddo arquivo de configuração do roteador para o roteador.

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha View details (Visualizar detalhes).

68

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-transit-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateTransitVirtualInterface.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-attachments.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.html



4. Selecione Download router configuration (Fazer download da configuração do roteador).5. Em Download router configuration (Fazer download da configuração do roteador), faça o seguinte:

a. Em Fornecedor, selecione o fabricante do roteador.b. Em Platform (Plataforma), selecione o modelo do roteador.c. Em Software, selecione a versão do software do roteador.

6. Escolha Download e use a configuração apropriada para o roteador a fim de garantir que você consigase conectar ao AWS Direct Connect.

Exemplos de arquivos de configuração do roteadorOs exemplos a seguir são de arquivos de configuração do roteador.

Cisco IOS

interface GigabitEthernet0/1no ip address

interface GigabitEthernet0/1.VLAN_NUMBERdescription "Direct Connect to your Amazon VPC or AWS Cloud"encapsulation dot1Q VLAN_NUMBERip address YOUR_PEER_IP

router bgp CUSTOMER_BGP_ASNneighbor AWS_PEER_IP remote-as AWS_ASNneighbor AWS_PEER_IP password MD5_keynetwork 0.0.0.0 exit

! Optionally configure Bidirectional Forwarding Detection (BFD).

interface GigabitEthernet0/1.VLAN_NUMBER bfd interval 300 min_rx 300 multiplier 3 router bgp CUSTOMER_BGP_ASN neighbor AWS_PEER_IP fall-over bfd

! NAT Configuration for Public Virtual Interfaces (Optional)

ip access-list standard NAT-ACLpermit (internal subnet IP address for NAT)exit

ip nat inside source list NAT-ACL interface GigabitEthernet0/1.VLAN_NUMBER overload

interface GigabitEthernet0/1.VLAN_NUMBER ip nat outsideexit

interface interface-towards-customer-local-network ip nat insideexit

Cisco NX-OS

feature interface-vlanvlan VLAN_NUMBERname "Direct Connect to your Amazon VPC or AWS Cloud"

interface VlanVLAN_NUMBER ip address YOUR_PEER_IP/30

69


no shutdown

interface Ethernet0/1 switchport switchport mode trunk switchport trunk allowed vlan VLAN_NUMBER no shutdown

router bgp CUSTOMER_BGP_ASN address-family ipv4 unicast network 0.0.0.0 neighbor AWS_PEER_IP remote-as AWS_ASN password 0 MD5_key address-family ipv4 unicast

! Optionally configure Bidirectional Forwarding Detection (BFD).

feature bfdinterface VlanVLAN_NUMBERno ip redirectsbfd interval 300 min_rx 300 multiplier 3router bgp CUSTOMER_BGP_ASNneighbor AWS_PEER_IP remote-as AWS_ASNbfd

! NAT Configuration for Public Virtual Interfaces (Optional)

ip access-list standard NAT-ACL permit any anyexit

ip nat inside source list NAT-ACL VlanVLAN_NUMBER overload

interface VlanVLAN_NUMBER ip nat outsideexit

interface interface-towards-customer-local-network ip nat insideexit

Juniper JunOS

configure exclusiveedit interfaces ge-0/0/1set description "Direct Connect to your Amazon VPC or AWS Cloud"set flexible-vlan-taggingset mtu 1522edit unit 0set vlan-id VLAN_NUMBERset family inet mtu 1500set family inet address YOUR_PEER_IPtop

edit policy-options policy-statement EXPORT-DEFAULTedit term DEFAULTset from route-filter 0.0.0.0/0 exactset then acceptupedit term REJECTset then rejecttop

set routing-options autonomous-system CUSTOMER_BGP_ASN

70

AWS Direct Connect Guia do usuárioVisualizar detalhes da interface virtual

edit protocols bgp group EBGPset type externalset peer-as AWS_ASN

edit neighbor AWS_PEER_IPset local-address YOUR_PEER_IPset export EXPORT-DEFAULTset authentication-key "MD5_key"topcommit checkcommit and-quit

# Optionally configure Bidirectional Forwarding Detection (BFD).

set protocols bgp group EBGP neighbor AWS_PEER_IP bfd-liveness-detection minimum-interval 300 set protocols bgp group EBGP neighbor AWS_PEER_IP bfd-liveness-detection multiplier 3

# NAT Configuration for Public Virtual Interfaces (Optional)

set security policies from-zone trust to-zone untrust policy PolicyName match source-address anyset security policies from-zone trust to-zone untrust policy PolicyName match destination-address anyset security policies from-zone trust to-zone untrust policy PolicyName match application anyset security policies from-zone trust to-zone untrust policy PolicyName then permit

set security nat source rule-set SNAT-RS from zone trustset security nat source rule-set SNAT-RS to zone untrustset security nat source rule-set SNAT-RS rule SNAT-Rule match source-address 0.0.0.0/0set security nat source rule-set SNAT-RS rule SNAT-Rule then source-nat interface

commit checkcommit and-quit

Visualizar detalhes da interface virtualVocê pode visualizar o status atual da interface virtual. Os detalhes incluem:

• Estado da conexão• Name• Local• VLAN• Detalhes de BGP• Endereços IP de par

Para visualizar detalhes sobre uma interface virtual

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel à esquerda, selecione Virtual Interfaces (Interfaces virtuais).3. Selecione a interface virtual e escolha View details (Visualizar detalhes).

Para descrever interfaces virtuais usando a linha de comando ou a API

• describe-virtual-interfaces (AWS CLI)

71


https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-virtual-interfaces.html

AWS Direct Connect Guia do usuárioAdicionar ou excluir um par BGP

• DescribeVirtualInterfaces (API do AWS Direct Connect

Adicionar ou excluir um par BGPAdicione ou exclua uma sessão de par BGP IPv4 ou IPv6 à interface virtual.

Uma interface virtual pode dar suporte a uma única sessão de mesmo nível BGP IPv4 e uma única sessãode mesmo nível BGP IPv6.

Você não pode especificar os próprios endereços IPv6 de mesmo nível para uma sessão de mesmo nívelBGP IPv6. A Amazon aloca automaticamente para você um CIDR IPv6 /125.

Não há suporte a BGP multiprotocolo. IPv4 e IPv6 funcionam em modo de pilha dupla para interfacevirtual.

AWS habilita o MD5 por padrão. Essa opção não pode ser modificada.

Adicionar um par BGPUse o procedimento a seguir para adicionar um par BGP.

Para adicionar um BGP de mesmo nível

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha View details (Visualizar detalhes).4. Escolha Add peering (Adicionar emparelhamento).5. (Interface virtual privada) Para adicionar BGPs IPv4 de mesmo nível, faça o seguinte:

• Escolha IPv4.• Para especificar esses endereços IP por conta própria, em Your router peer ip (Seu IP de par do

roteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego. EmAmazon router peer ip (IP de par do roteador da Amazon), informe o endereço CIDR IPv4 a serusado para enviar tráfego para a AWS.

6. (Interface virtual pública) Para adicionar BGPs IPv4 de mesmo nível, faça o seguinte:

• Em Your router peer ip (Seu IP de par do roteador), insira o endereço de destino CIDR IPv4 para oqual o tráfego deve ser enviado.

• Em Amazon router peer IP (IP de par do roteador da Amazon), insira o endereço CIDR IPv4 a serusado para enviar tráfego à AWS.

7. (Interface virtual privada ou pública) Para adicionar pares BGP IPv6, escolha IPv6. Os endereços IPv6de mesmo nível são atribuídos automaticamente pelo grupo de endereços IPv6 da Amazon. Você nãopode especificar endereços IPv6 personalizados.

8. Em BGP ASN (ASN do BGP), insira o Número de sistema autônomo do Border Gateway Protocol doroteador de mesmo nível no local para a nova interface virtual.

Para obter uma interface virtual pública, o ASN deve ser privado ou já estar na lista de permissões dainterface virtual.

Os valores válidos são 1-2147483647.

Observe que, se você não inserir um valor, a AWS atribuirá um automaticamente.9. Para fornecer sua própria chave BGP, em BGP Authentication Key (Chave de autenticação BGP),

insira sua chave MD5 BGP.

72

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeVirtualInterfaces.html


AWS Direct Connect Guia do usuárioExcluir um par BGP

10. Escolha Add peering (Adicionar emparelhamento).

Para criar um BGP de mesmo nível usando a linha de comando ou a API

• create-bgp-peer (AWS CLI)• CreateBGPPeer (API do AWS Direct Connect

Excluir um par BGPCaso a interface virtual tenha uma sessão de mesmo nível BGP IPv4 e IPv6, você pode excluir uma dassessões de mesmo nível BGP (mas não ambas).

Para excluir um BGP de mesmo nível

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha View details (Visualizar detalhes).4. Em Peerings (Emparelhamentos), selecione o emparelhamento que deseja excluir e escolha Delete

(Excluir).5. Na caixa de diálogo Remove peering from virtual interface (Remover emparelhamento da interface

virtual), escolha Delete (Excluir).

Para excluir um BGP de mesmo nível usando a linha de comando ou a API

• delete-bgp-peer (AWS CLI)• DeleteBGPPeer (API do AWS Direct Connect

Configuração da MTU de rede para interfacesvirtuais privadas ou interfaces virtuais de trânsito

AWS Direct ConnectO oferece suporte a um quadro Ethernet de 1.522 ou 9.023 bytes (cabeçalho Ethernetde 14 bytes + tag VLAN de 4 bytes + bytes para o datagrama IP + FCS de 4 bytes) na camada de link.


Após habilitar frames jumbo para sua interface virtual privada, você só pode associá-la a uma conexãoou LAG que seja compatível com frames jumbo. Os frames jumbo são compatíveis com interfaces virtuaisprivadas conectadas a um gateway privado virtual ou um gateway Direct Connect. Os frames jumbo seaplicam somente a rotas propagadas do AWS Direct Connect. Se você adicionar rotas estáticas ao seugateway privado virtual, o tráfego roteado pela rota estática será padronizado para 1500 MTU. Se vocêtiver duas interfaces virtuais privadas que anunciam a mesma rota, mas usam valores de MTU diferentes,1500 MTU será usado.

73

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-bgp-peer.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateBGPPeer.html


https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-bgp-peer.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteBGPPeer.html

AWS Direct Connect Guia do usuárioAdicionar ou remover tags da interface virtual

Important

Os frames jumbo se aplicam somente a rotas propagadas do AWS Direct Connect . Se vocêadicionar rotas estáticas a uma tabela de rotas que aponte para seu gateway privado virtual, otráfego roteado pelas rotas estáticas será enviado usando 1.500 MTU.Se uma instância do EC2 não for compatível com frames jumbo, ela descarta esses framesdo AWS Direct Connect. Todos os tipos de instâncias do EC2 são compatíveis com framesjumbo, exceto C1, CC1, T1 e M1. Para obter mais informações, consulte Unidade de transmissãomáxima (MTU) de rede para sua instância do EC2 no Guia do usuário do Amazon EC2 parainstâncias do Linux.

Para definir a MTU de uma interface virtual privada

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha Edit (Editar).4. Em Jumbo MTU (MTU size 9001) (MTU jumbo (tamanho da MTU 9001)) ou em Jumbo MTU (MTU

size 8500) (Jumbo MTU (tamanho da MTU 8500)), selecione Enabled (Habilitado).5. Em Acknowledge (Confirmar), selecione I understand the selected connection(s) will go down for a

brief period (Entendo que as conexões selecionadas serão desativadas por um breve período detempo). O estado da interface virtual é pending até que a atualização seja concluída.

Para definir a MTU de uma interface virtual privada usando a linha de comando ou a API

• update-virtual-interface-attributes (AWS CLI)• UpdateVirtualInterfaceAttributes (API do AWS Direct Connect

Adicionar ou remover tags da interface virtualAs tags fornecem uma maneira de identificar a interface virtual. Você pode adicionar ou remover uma tagse for o proprietário da conta para a interface virtual.

Para adicionar ou remover uma tag da interface virtual

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha Edit (Editar).4. Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).5. Escolha Edit virtual interface (Editar interface virtual).



74

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html


https://docs.aws.amazon.com/cli/latest/reference/directconnect/update-virtual-interface-attributes.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UpdateVirtualInterfaceAttributes.html




AWS Direct Connect Guia do usuárioExcluir interfaces virtuais

Excluir interfaces virtuaisExclua uma ou mais interfaces virtuais. Para excluir uma conexão, você deve excluir a interface virtual. Aexclusão de uma interface virtual interrompe cobranças de transferência de dados do AWS Direct Connectassociados à interface virtual.

Para excluir uma interface virtual

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel à esquerda, selecione Virtual Interfaces (Interfaces virtuais).3. Selecione as interfaces virtuais e escolha Delete (Excluir).4. Na caixa de diálogo de confirmação Delete (Excluir), escolha Delete (Excluir).

Para excluir uma interface virtual usando a linha de comando ou a API

• delete-virtual-interface (AWS CLI)• DeleteVirtualInterface (API do AWS Direct Connect

Criar uma interface virtual hospedadaÉ possível criar uma interface virtual hospedada pública, de trânsito ou privada. Antes de começar,verifique se você leu as informações em Pré-requisitos para interfaces virtuais (p. 62).

Criar uma interface virtual privada hospedadaPara criar uma interface virtual privada hospedada

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), para Type (Tipo), escolha Private (Privado).5. Em Private virtual interface settings (Configurações de interface virtual privada), faça o seguinte:


interface.c. Em Virtual interface owner (Proprietário da interface virtual), escolha Another AWS account (Outra

conta da AWS) e, em Virtual interface owner (Proprietário da interface virtual), insira o ID da contada AWS à qual essa interface virtual será proprietária.

d. Em VLAN, insira o número do ID da rede local virtual (VLAN).e. Em BGP ASN (ASN do BGP), insira o Número de sistema autônomo do Border Gateway Protocol


Os valores válidos são 1-2147483647.6. Em Additional Settings (Configurações adicionais), faça o seguinte:


[IPv4] Para configurar um par BGP IPv4, escolha IPv4 e execute uma das seguintes ações:• Para especificar esses endereços IP por conta própria, em Your router peer ip (Seu IP de par do

roteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego.

75


https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteVirtualInterface.html


AWS Direct Connect Guia do usuárioCriar uma interface virtual pública hospedada

• Em Amazon router peer ip (IP de par do roteador da Amazon), informe o endereço CIDR IPv4 aser usado para enviar tráfego para a AWS.


b. Para alterar a unidade de transmissão máxima (MTU) de 1500 (padrão) para 9001 (frames jumbo),selecione Jumbo MTU (MTU size 9001).



[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).7. Depois que a interface virtual hospedada for aceita pelo proprietário da outra conta da AWS, você

poderá fazer download do arquivo de configuração do roteador (p. 68).

Para criar uma interface virtual privada hospedada usando a linha de comando ou a API

• allocate-private-virtual-interface (AWS CLI)• AllocatePrivateVirtualInterface (API do AWS Direct Connect

Criar uma interface virtual pública hospedadaPara criar uma interface virtual pública hospedada

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), para Type (Tipo), escolha Public (Pública).5. Em Public Virtual Interface Settings (Configurações de interface virtual pública), faça o seguinte:




d. Em VLAN, insira o número do ID da Virtual Local Area Network (VLAN – Rede de área local virtual).e. Em BGP ASN (ASN do BGP), insira o Número de sistema autônomo do Border Gateway Protocol


Os valores válidos são 1-2147483647.6. Para configurar um par BGP IPv4 ou IPv6, faça o seguinte:

[IPv4] Para configurar um par BGP IPv4, escolha IPv4 e siga um destes procedimentos:

• Para especificar esses endereços IP por conta própria, em Your router peer ip (Seu IP de par doroteador), insira o endereço de destino CIDR IPv4 para o qual a Amazon deve enviar tráfego.

• Em Amazon router peer ip (IP de par do roteador da Amazon), informe o endereço CIDR IPv4 a serusado para enviar tráfego para a AWS.

76

https://docs.aws.amazon.com/cli/latest/reference/directconnect/allocate-private-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AllocatePrivateVirtualInterface.html


AWS Direct Connect Guia do usuárioCriar uma interface virtual de trânsito hospedada


7. Para anunciar prefixos na Amazon, em Prefixes you want to advertise, insira os endereços de destinoCIDR IPv4 (separados por vírgulas) para os quais o tráfego deve ser roteado pela interface virtual.

8. Para fornecer sua própria chave para autenticar a sessão de BGP, em Additional Settings(Configurações adicionais), para BGP authentication key (Chave de autenticação de BGP), insira achave.

Se você não inserir um valor, a AWS gerará uma chave BGP.9. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).10. Selecione Create virtual interface (Criar interface virtual).11. Depois que a interface virtual hospedada for aceita pelo proprietário da outra conta da AWS, você


Para criar uma interface virtual pública hospedada usando a linha de comando ou a API

• allocate-public-virtual-interface (AWS CLI)• AllocatePublicVirtualInterface (API do AWS Direct Connect

Criar uma interface virtual de trânsito hospedadaPara criar uma interface virtual de trânsito hospedada

Important


1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), em Type (Tipo), selecione Transit (Trânsito).5. Em Transit virtual interface settings (Configurações de interface virtual de trânsito), faça o seguinte:




d. Em VLAN, insira o número do ID da Virtual Local Area Network (VLAN – Rede de área local virtual).

77

https://docs.aws.amazon.com/cli/latest/reference/directconnect/allocate-public-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AllocatePublicVirtualInterface.html


AWS Direct Connect Guia do usuárioAceitar uma interface virtual hospedada

e. Em BGP ASN (ASN do BGP), insira o Número de sistema autônomo do Border Gateway Protocoldo roteador de mesmo nível no local para a nova interface virtual.

Os valores válidos são 1-2147483647.6. Em Additional Settings (Configurações adicionais), faça o seguinte:







c. [Opcional] Adicione uma tag. Faça o seguinte:


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).7. Selecione Create virtual interface (Criar interface virtual).8. Depois que a interface virtual hospedada for aceita pelo proprietário da outra conta da AWS, você


Para criar uma interface virtual de trânsito hospedada usando a linha de comando ou a API

• allocate-transit-virtual-interface (AWS CLI)• AllocateTransitVirtualInterface (API do AWS Direct Connect

Aceitar uma interface virtual hospedadaPara usar uma interface virtual hospedada, você deve aceitar a interface virtual. Para uma interface virtualprivada, também é necessário ter um gateway privado virtual ou um gateway Direct Connect. Para obteruma interface virtual de trânsito, você deve ter um gateway de trânsito existente ou um gateway DirectConnect.

Para aceitar uma interface virtual hospedada

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha View details (Visualizar detalhes).4. Escolha Accept (Aceitar).5. Isso se aplica a interfaces virtuais privadas e a interfaces virtuais de trânsito.

(Interface virtual de trânsito) Na caixa de diálogo Accept virtual interface (Aceitar interface virtual),escolha um gateway Direct Connect e selecione Accept virtual interface (Aceitar interface virtual).

78

https://docs.aws.amazon.com/cli/latest/reference/directconnect/allocate-public-transit-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AllocateTransitVirtualInterface.html


AWS Direct Connect Guia do usuárioMigrar uma interface virtual

(Interface virtual privada) Na caixa de diálogo Accept virtual interface (Aceitar interface virtual), escolhaum gateway privado virtual ou um gateway Direct Connect e selecione Accept virtual interface (Aceitarinterface virtual).

6. Depois que aceitar a interface virtual hospedada, o proprietário da conexão do AWS DirectConnect poderá fazer download do arquivo de configuração do roteador. A opção Download routerconfiguration (Fazer download da configuração do roteador) não está disponível para a conta queaceita a interface virtual hospedada.

Para aceitar uma interface virtual privada hospedada usando a linha de comando ou a API

• confirm-private-virtual-interface (AWS CLI)• ConfirmPrivateVirtualInterface (API do AWS Direct Connect

Para aceitar uma interface virtual pública hospedada usando a linha de comando ou a API

• confirm-public-virtual-interface (AWS CLI)• ConfirmPublicVirtualInterface (API do AWS Direct Connect

Para aceitar uma interface virtual de trânsito hospedada usando a linha de comando ou a API

• confirm-transit-virtual-interface (AWS CLI)• ConfirmTransitVirtualInterface (API do AWS Direct Connect

Migrar uma interface virtualUtilize este procedimento quando quiser realizar qualquer uma das seguintes operações de migração deinterface virtual:

• Migrar uma interface virtual existente associada a uma conexão para outro LAG.• Migrar uma interface virtual existente associada a um LAG existente para um novo LAG.• Migrar uma interface virtual existente associada a uma conexão para outra conexão.

Note

Ao migrar ou associar uma interface virtual existente a uma nova conexão, os parâmetrosde configuração associados às interfaces virtuais são os mesmos. Você pode preparar aconfiguração na conexão e, depois, atualizar a configuração do BGP.

Important

A interface virtual ficará inativa por um breve período. Recomendamos que você execute esseprocedimento durante uma janela de manutenção.

Como migrar uma interface virtual

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione a interface virtual e escolha Editar.4. Em Conexão, selecione o LAG ou a conexão.5. Escolha Edit virtual interface (Editar interface virtual).

79

https://docs.aws.amazon.com/cli/latest/reference/directconnect/confirm-private-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ConfirmPrivateVirtualInterface.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/confirm-public-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ConfirmPublicVirtualInterface.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/confirm-transit-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_ConfirTransitVirtualInterface.html


AWS Direct Connect Guia do usuárioMigrar uma interface virtual

Como migrar uma interface virtual usando a linha de comando ou a API

• associate-virtual-interface (AWS CLI)• AssociateVirtualInterface (API do AWS Direct Connect

80

https://docs.aws.amazon.com/cli/latest/reference/directconnect/associate-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AssociateVirtualInterface.html


Grupos de agregação de linkPode utilizar várias ligações para redundância. Um grupo de agregação de ligações (LAG) é uma interfacelógica que utiliza o Protocolo de Controlo de Agregação de Ligações (LACP) para agregar múltiplasligações dedicadas num único AWS Direct Connect permitindo-lhe tratá-los como uma única ligaçãogerida. Os LAG facilitam a configuração porque a configuração LAG aplica-se a todas as ligações dogrupo.

No diagrama seguinte, existem quatro ligações dedicadas, com duas ligações para cada localização. Vocêpode criar um LAG para as conexões que são encerradas no mesmo local e, depois, usar os dois LAGsem vez das quatro conexões para configuração e gerenciamento.

Pode criar um LAG a partir de conexões dedicadas existentes ou pode fornecer novas conexõesdedicadas. Depois de criar o LAG, é possível associar conexões dedicadas existentes (quer autónomas oucomo parte de outro LAG) ao LAG.

As seguintes regras se aplicam:

• Todas as ligações devem ser ligações dedicadas e ter uma velocidade de porta de 1 Gbps ou 10 Gbps.• Todas as conexões no LAG devem usar a mesma largura de banda.• Você pode ter, no máximo, quatro conexões em um LAG. Cada conexão no LAG é contabilizada no

limite geral de conexões para a Região.• Todas as conexões no LAG devem ser encerradas no mesmo endpoint do AWS Direct Connect.

Ao criar um LAG, você pode baixar a Letter of Authorization and Connecting Facility Assignment (LOA-CFA - Carta de autorização e atribuição da instalação de conexão) para cada nova conexão físicaindividualmente no console do AWS Direct Connect. Para obter mais informações, consulte Como baixar aLOA-CFA (p. 45).

Todos os LAGs têm um atributo que determina o número mínimo de conexões no LAG que deve estarfuncionando para o LAG propriamente dito estar operacional. Por padrão, novos LAGs têm esse atributodefinido como 0. Você pode atualizar o LAG para especificar um valor diferente — isso significa que todoo LAG se torna não operacional caso o número de conexões operacionais fique abaixo desse limite. Esteatributo pode ser usado para evitar a utilização em excesso das conexões restantes.

Todas as conexões em um LAG funcionam em modo ativo/ativo.Note

Quando você cria um LAG ou associa mais conexões ao LAG, não podemos garantir portasdisponíveis o suficiente em um determinado endpoint do AWS Direct Connect.

Tarefas• Como criar um LAG (p. 82)

81

AWS Direct Connect Guia do usuárioComo criar um LAG

• Como atualizar um LAG (p. 83)• Associar uma conexão a um LAG (p. 84)• Desassociar uma conexão de um LAG (p. 85)• Exclusão de LAGs (p. 85)

Como criar um LAGVocê pode criar um LAG provisionando novas conexões ou agregando conexões existentes.

Você não pode criar um LAG com novas conexões caso isso resulte no excesso do limite geral deconexões para a Região.

Para criar um LAG com base em conexões existentes, as conexões devem estar no mesmo dispositivoda AWS (encerrar no mesmo endpoint do AWS Direct Connect). Também devem usar a mesma largurade banda. Não é possível migrar uma conexão de um LAG existente caso a remoção da conexão originaldeixe o LAG original abaixo da configuração para o número mínimo de conexões operacionais.

Important

Para conexões existentes, a conectividade com a AWS é interrompida durante a criação do LAG.

Para criar um LAG com novas conexões

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, selecione LAGs.3. Escolha Criar LAG.4. Em Lag creation type (Tipo de criação de LAG), escolha Request new connections (Solicitar novas

conexões) e forneça as seguintes informações:

• Nome LAG: Um nome para o LAG.• Localização: A localização do LAG.• Velocidade da porta: A velocidade da porta para as ligações. Os valores possíveis são 1 Gbps ou 10

Gbps.• Número de novas ligações: O número de novas ligações a criar.

5. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).6. Escolha Criar LAG.

Para criar um LAG com base em conexões existentes

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, selecione LAGs.3. Escolha Criar LAG.4. Em Lag creation type (Tipo de criação de LAG), escolha Use existing connections (Usar conexões

existentes) e forneça as seguintes informações:

• Nome LAG: Um nome para o LAG.• Ligação: A ligação directa a utilizar para o LAG.

82



AWS Direct Connect Guia do usuárioComo atualizar um LAG

• Ligações mínimas: O número mínimo de ligações necessárias para que o próprio LAG estejaoperacional. Caso você não especifique um valor, atribuímos um valor padrão de 0.

5. (Opcional) Adicione ou remova uma tag.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).6. Escolha Criar LAG.

Depois que tiver criado um LAG, você poderá visualizar os detalhes no console do AWS Direct Connect.

Para visualizar informações sobre o LAG

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, selecione LAGs.3. Selecione o LAG e escolha View details (Visualizar detalhes).4. Você pode visualizar informações sobre o LAG, incluindo o ID e o endpoint do AWS Direct Connect no

qual as conexões são encerradas.

Depois de criar um LAG, pode associar ou desassociar ligações do mesmo. Para obter mais informações,consulte Associar uma conexão a um LAG (p. 84) e Desassociar uma conexão de um LAG (p. 85).

Para criar um LAG usando a linha de comando ou a API

• create-lag (AWS CLI)• CreateLag (API do AWS Direct Connect)

Para descrever os LAGs usando a linha de comando ou a API

• describe-lags (AWS CLI)• DescribeLags (API do AWS Direct Connect)

Para baixar a LOA-CFA usando a linha de comando ou a API

• describe-loa (AWS CLI)• DescribeLoa (API do AWS Direct Connect)

Como atualizar um LAGPode atualizar um LAG para alterar o seu nome ou para alterar o valor do número mínimo de ligaçõesoperacionais, para adicionar uma etiqueta ou para remover uma etiqueta.

Note

Caso você ajuste o valor limite para o número mínimo de conexões operacionais, certifique-se deque o novo valor não faça o LAG ficar abaixo do limite e ficar não operacional.

Para atualizar um LAG

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.

83


https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-lag.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateLag.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-lags.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeLags.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-loa.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeLoa.html


AWS Direct Connect Guia do usuárioAssociar uma conexão a um LAG

2. No painel de navegação, selecione LAGs.3. Selecione o LAG e escolha Edit (Editar).4. Modificar o LAG

[Alterar o nome] Em LAG Name (Nome do LAG), insira um novo nome para o LAG.

[Ajustar o número mínimo de conexões] Em Minimum Links (Links mínimos), insira o número mínimode conexões operacionais.


[Remover uma tag] Ao lado da tag, escolha Remove tag (Remover tag).5. Escolha Edit LAG (Editar LAG).

Para atualizar um LAG usando a linha de comando ou a API

• update-lag (AWS CLI)• UpdateLag (API do AWS Direct Connect)



Associar uma conexão a um LAGVocê pode associar uma conexão existente a um LAG. A conexão pode ser independente ou fazer partede outro LAG. A conexão deve estar no mesmo dispositivo da AWS e usar a mesma largura de banda doLAG. Caso a conexão já esteja associada a outro LAG, não será possível reassociá-la caso a remoção daconexão faça o LAG ficar abaixo do limite para o número mínimo de conexões operacionais.

A associação de uma conexão a um LAG reassocia automaticamente as interfaces virtuais ao LAG.

Important

A conectividade com a AWS pela conexão é interrompida durante a associação.

Para associar uma conexão a um LAG

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, selecione LAGs.3. Selecione o LAG e escolha View details (Visualizar detalhes).4. Em Connections (Conexões), escolha Associate connection (Associar conexão).5. Em Connection (Conexão), escolha a conexão do Direct Connect a ser usada para o LAG.6. Escolha Associate Connection (Associar conexão).

Para associar uma conexão usando a linha de comando ou a API

• associate-connection-with-lag (AWS CLI)• AssociateConnectionWithLag (API do AWS Direct Connect)

84

https://docs.aws.amazon.com/cli/latest/reference/directconnect/update-lag.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UpdateLag.html




https://docs.aws.amazon.com/cli/latest/reference/directconnect/associate-connection-with-lag.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AssociateConnectionWithLag.html

AWS Direct Connect Guia do usuárioDesassociar uma conexão de um LAG

Desassociar uma conexão de um LAGConverta uma conexão para independente desassociando-a de um LAG. Você não poderá desassociaruma conexão se ela fizer o LAG ficar abaixo do limite para o número mínimo de conexões operacionais.

A desassociação de uma conexão de um LAG não desassocia automaticamente interfaces virtuais.

Important

Sua conexão com a AWS é interrompida durante a desassociação.

Para desassociar uma conexão de um LAG

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel à esquerda, selecioneLAGs.3. Selecione o LAG e escolha View details (Visualizar detalhes).4. Em Connections (Conexões), selecione a conexão na lista de conexões disponíveis e escolha

Disassociate (Desassociar).5. Na caixa de diálogo de confirmação, escolha Disassociate (Desassociar).

Para desassociar uma conexão usando a linha de comando ou a API

• disassociate-connection-from-lag (AWS CLI)• DisassociateConnectionFromLag (API do AWS Direct Connect)

Exclusão de LAGsVocê poderá excluir LAGs quando não precisar mais deles. Não será possível excluir um LAG se ele tiverinterfaces virtuais associadas a ele. Primeiro é necessário excluir as interfaces virtuais ou associá-las aoutro LAG ou a outra conexão. A exclusão de um LAG não remove as conexões no LAG; você deve excluiras conexões do tipo "faça você mesmo". Para obter mais informações, consulte Excluir conexões (p. 47).

Para excluir um LAG

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, selecione LAGs.3. Selecione os LAGs e escolha Delete (Excluir).4. Na caixa de diálogo de confirmação, escolha Delete (Excluir).

Para excluir um LAG usando a linha de comando ou a API

• delete-lag (AWS CLI)• DeleteLag (API do AWS Direct Connect)

85


https://docs.aws.amazon.com/cli/latest/reference/directconnect/disassociate-connection-from-lag.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DisassociateConnectionFromLag.html


https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-lag.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteLag.html

AWS Direct Connect Guia do usuárioGateways Direct Connect

Trabalhar com gateways DirectConnect

Você pode trabalhar com gateways AWS Direct Connect usando o console da Amazon VPC ou a CLI daAWS.

Tópicos• Gateways Direct Connect (p. 86)• Associações de gateways privados virtuais (p. 90)• Associações de gateways de trânsito (p. 97)• Interações de prefixos permitidos (p. 102)

Gateways Direct ConnectUse o gateway AWS Direct Connect para conectar suas VPCs. Você associa um gateway AWS DirectConnect com um dos seguintes gateways:

• Um gateway de trânsito quando você tem várias VPCs na mesma região• Um gateway privado virtual

Um gateway Direct Connect é um recurso disponível globalmente. Você pode criar o gateway DirectConnect em qualquer região e acessá-lo de todas as outras regiões. Você pode usar um gateway DirectConnect nos cenários a seguir.

Um gateway Direct Connect não permite que associações de gateway que estejam no mesmo gatewayDirect Connect enviem tráfego uma para a outra (por exemplo, um gateway privado virtual para outrogateway privado virtual). Um gateway Direct Connect não impede que o tráfego seja enviado de umaassociação de gateway de volta para a própria associação de gateway (por exemplo, quando vocêtem uma rota de super-rede no local que contém os prefixos da associação de gateway). Se você tiveruma configuração com várias VPCs conectadas ao mesmo gateway de trânsito, as VPCs poderão secomunicar. Para evitar que as VPCs se comuniquem, use anexos do gateway de trânsito separados eassocie uma tabela de rotas aos anexos que tenham a opção de buraco negro definida.

Associações de gateways privados virtuaisNo diagrama a seguir, o gateway Direct Connect permite que você use sua conexão do AWS DirectConnect na região Leste dos EUA (Norte da Virgínia) para acessar VPCs em sua conta nas regiões Lestedos EUA (Norte da Virgínia) e Oeste dos EUA (Norte da Califórnia)

Cada VPC tem um gateway privado virtual que se conecta ao gateway Direct Connect usando umaassociação de gateway privado virtual. O gateway Direct Connect usa uma interface virtual privada paraa conexão com o local do AWS Direct Connect. Existe uma conexão AWS Direct Connect do local para odatacenter do cliente.

86

AWS Direct Connect Guia do usuárioAssociações de gateways privados virtuais entre contas

Associações de gateways privados virtuais entrecontasConsidere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietáriado gateway Direct Connect. A Conta A e a Conta B desejam usar o gateway Direct Connect. A Conta A ea Conta B enviam uma proposta de associação à Conta Z. A Conta Z aceita as propostas de associaçãoe pode, opcionalmente, atualizar os prefixos que são permitidos no gateway privado virtual da Conta A ouno gateway privado virtual da Conta B. Depois que a Conta Z aceitar as propostas, a Conta A e a Conta Bpoderão rotear o tráfego de seu gateway privado virtual para o gateway Direct Connect. A Conta Z tambémé proprietária do roteamento para os clientes porque a Conta Z é proprietária do gateway.

Associações de gateways de trânsitoO diagrama a seguir ilustra como o gateway Direct Connect permite que você crie uma única conexão coma conexão do Direct Connect que todas as suas VPCs podem usar.

87

AWS Direct Connect Guia do usuárioAssociações de gateways de trânsito entre contas

A solução envolve os componentes abaixo:

• Um gateway de trânsito que tenha anexos de VPC.• Gateway Direct Connect• Uma associação entre o gateway Direct Connect e o gateway de trânsito.• Uma interface virtual de trânsito que é anexada ao gateway Direct Connect.

Essa configuração oferece os benefícios abaixo. É possível:

• Gerenciar uma única conexão para várias VPCs ou VPNs que estão na mesma região.• Anunciar prefixos do ambiente local para a AWS e da AWS para o ambiente local.

Para obter informações sobre como configurar os gateway de trânsitos, consulte Trabalhar com gatewaysde trânsito no Gateways de trânsito da Amazon VPC Guide.

Associações de gateways de trânsito entre contasConsidere este cenário de uma conta proprietária do gateway Direct Connect (Conta Z) que é proprietáriado gateway Direct Connect. A Conta A é proprietária do gateway de trânsito e quer usar o gateway DirectConnect. A Conta Z aceita as propostas de associação e pode opcionalmente atualizar os prefixos quesão permitidos no da Conta A.gateway de trânsito. Depois que a Conta Z aceitar as propostas, as VPCsanexadas ao gateway de trânsito poderão rotear o tráfego do gateway de trânsito para o gateway DirectConnect. A Conta Z também é proprietária do roteamento para os clientes porque a Conta Z é proprietáriado gateway.

Tópicos• Criar um gateway Direct Connect (p. 89)• Excluir gateways Direct Connect (p. 89)• Migrar de um gateway privado virtual para um gateway Direct Connect (p. 89)

88

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html

https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html

AWS Direct Connect Guia do usuárioCriar um gateway Direct Connect

Criar um gateway Direct ConnectVocê pode criar um gateway Direct Connect em qualquer região da com suporte.

Para criar um gateway Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Gateways Direct Connect.3. Escolha Create Direct Connect gateway (Criar gateway Direct Connect).4. Especifique as informações a seguir e selecione Create Direct Connect gateway (Criar gateway Direct

Connect).

• Nome: digite um nome para ajudá-lo a identificar o gateway Direct Connect.• ASN do lado da Amazon: especifique o ASN para o lado da Amazon da sessão BGP. O ASN deve

estar no intervalo 64.512 a 65.534 ou 4.200.000.000 a 4.294.967.294.• Virtual private gateway (Gateway privado virtual): para associar um gateway privado virtual,

selecione-o.

Para criar um gateway Direct Connect usando a linha de comando ou a API

• create-direct-connect-gateway (AWS CLI)• CreateDirectConnectGateway (API do AWS Direct Connect

Excluir gateways Direct ConnectCaso não precise mais de um gateway Direct Connect, exclua-o. Você deve primeiro desassociar todos osgateways privados virtuais e excluir a interface virtual privada conectada.

Para excluir um gateway Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Gateways Direct Connect.3. Selecione os gateways e selecione Delete (Excluir).

Para excluir um gateway Direct Connect usando a linha de comando ou a API

• delete-direct-connect-gateway (AWS CLI)• DeleteDirectConnectGateway (API do AWS Direct Connect

Migrar de um gateway privado virtual para um gatewayDirect ConnectSe você tiver um gateway privado virtual associado a uma interface virtual e quiser migrar para umgateway Direct Connect, realize as seguintes etapas:

Como migrar para um gateway Direct Connect

1. Crie um gateway Direct Connect. Para obter mais informações, consulte the section called “Criar umgateway Direct Connect” (p. 89).

89


https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGateway.html


https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-direct-connect-gateway.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteDirectConnectGateway.html

AWS Direct Connect Guia do usuárioAssociações de gateways privados virtuais

2. Crie uma interface virtual para o gateway Direct Connect. Para obter mais informações, consulte thesection called “Criar uma interface virtual” (p. 64).

3. Associe o gateway privado virtual ao gateway Direct Connect. Para obter mais informações, consultethe section called “Associar e desassociar gateways privados virtuais” (p. 91).

4. Exclua a interface virtual que estava associada ao gateway privado virtual. Para obter maisinformações, consulte the section called “Excluir interfaces virtuais” (p. 75).

Associações de gateways privados virtuaisÉ possível usar um gateway AWS Direct Connect para conectar a conexão do AWS Direct Connect pormeio de uma interface virtual privada a uma ou mais VPCs em qualquer conta localizada na mesma regiãoou em regiões diferentes. Associe o gateway Direct Connect a um gateway privado virtual para a VPC.Em seguida, crie uma interface virtual privada para a conexão do AWS Direct Connect ao gateway DirectConnect. Você pode anexar várias interfaces virtuais privadas ao seu gateway Direct Connect.

As regras a seguir se aplicam às associações de gateway privado virtual:

• Há limites para criação e uso de gateways Direct Connect. Para obter mais informações, consulteCotas (p. 144).

• As VPCs às quais você se conecta por meio de um gateway Direct Connect não podem ter blocos CIDRsobrepostos. Se você adicionar um bloco CIDR IPv4 a uma VPC associada com um gateway DirectConnect, verifique se o bloco CIDR não se sobrepõe a um bloco CIDR existente de nenhuma outra VPCassociada. Para obter mais informações, consulte Adicionar blocos CIDR IPv4 a uma VPC no Guia dousuário da Amazon VPC.

• Você não pode criar uma interface virtual pública para um gateway Direct Connect.• Um gateway Direct Connect oferece suporte à comunicação apenas entre interfaces virtuais privadas

conectadas e gateways privados virtuais. Não há suporte para os seguintes fluxos de tráfego:• Comunicação direta entre as VPCs associadas a um único gateway Direct Connect. Isso inclui o

tráfego de uma VPC para outra usando uma passagem por meio de uma rede local por meio de umúnico gateway Direct Connect.

• Comunicação direta entre as interfaces virtuais que estão associadas a um único gateway DirectConnect.

• Comunicação direta entre as interfaces virtuais associadas a um único gateway Direct Connect e umaconexão VPN em um gateway privado virtual associado ao mesmo gateway Direct Connect.

• Você não pode associar um gateway privado virtual com mais de um gateway Direct Connect e nãopode conectar uma interface virtual privada a mais de um gateway Direct Connect.

• Um gateway privado virtual que você associa a um gateway Direct Connect deve ser conectado a umaVPC.

• Uma proposta de associação do gateway privado virtual expira sete dias após ser criada.• Uma proposta de gateway privado virtual aceita ou uma proposta de gateway privado virtual excluída

permanece visível por três dias.• Um gateway privado virtual pode ser associado a um gateway Direct Connect e também associado a

uma interface virtual.

Para conectar sua conexão do AWS Direct Connect a uma VPC somente na mesma Região, crie umgateway Direct Connect. Outra opção é criar uma interface virtual privada e anexá-la ao gateway privadovirtual da VPC. Para obter mais informações, consulte Criar uma interface virtual privada (p. 65) e VPNCloudHub.

Para usar sua conexão do AWS Direct Connect com uma VPC em outra conta, você pode criar umainterface virtual privada hospedada para essa conta. Ao aceitar a interface virtual hospedada, o proprietário

90

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-resize

https://docs.aws.amazon.com/vpc/latest/userguide/VPN_CloudHub.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPN_CloudHub.html

AWS Direct Connect Guia do usuárioCriar um gateway privado virtual

da outra conta pode optar por anexá-la a um gateway privado virtual ou a um gateway Direct Connect naconta. Para obter mais informações, consulte AWS Direct ConnectInterfaces virtuais do (p. 59).

Tópicos• Criar um gateway privado virtual (p. 91)• Associar e desassociar gateways privados virtuais (p. 91)• Criar uma interface virtual privada para o gateway Direct Connect (p. 92)• Associar um gateway privado virtual entre contas (p. 94)

Criar um gateway privado virtualO gateway privado virtual deve estar conectado à VPC com a qual você deseja se conectar.

Note

Se você está planejando usar o gateway privado virtual para um gateway Direct Connect e umaconexão VPN dinâmica, defina o ASN no gateway privado virtual como o valor de que vocêprecisa para a conexão VPN. Caso contrário, o ASN no gateway privado virtual pode ser definidocomo qualquer valor permitido. O gateway Direct Connect anuncia todas as VPCs conectadaspelo ASN atribuído a ele.

Depois que você criar um gateway privado virtual, você deve anexá-lo à sua VPC.

Para criar um gateway privado virtual e anexá-lo à sua VPC.

1. No painel de navegação, escolha Gateways privados virtuais, Criar gateways privados virtuais.2. (Opcional) Insira um nome para o gateway privado virtual. Ao fazer isso, é criada uma tag com a

chave Name e o valor especificado.3. Em ASN, deixe a seleção padrão para usar o ASN padrão da Amazon. Caso contrário, escolha

Custom ASN (ASN personalizado) e insira um valor. Para um ASN de 16 bits, o valor deve estar nointervalo de 64512 a 65534. Para um ASN de 32 bits, o valor deve estar no intervalo de 4200000000 a4294967294.

4. Escolha Criar gateway privado virtual.5. Selecione o gateway privado virtual e, em seguida, escolha Ações, Anexar à VPC.6. Selecione a VPC na lista e escolha Sim, anexar.

Para criar um gateway privado virtual usando a linha de comando ou a API

• CreateVpnGateway (API de consulta do Amazon EC2• create-vpn-gateway (AWS CLI)• New-EC2VpnGateway (AWS Tools para Windows PowerShell)

Para anexar um gateway privado virtual a uma VPC usando a linha de comando ou a API

• AttachVpnGateway (API de consulta do Amazon EC2• attach-vpn-gateway (AWS CLI)• Add-EC2VpnGateway (AWS Tools para Windows PowerShell)

Associar e desassociar gateways privados virtuaisÉ possível associar ou desassociar um gateway privado virtual e um gateway Direct Connect. Oproprietário da conta do gateway privado virtual executa essas operações.

91

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-CreateVpnGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpnGateway.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ApiReference-query-AttachVpnGateway.html

https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-vpn-gateway.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Add-EC2VpnGateway.html



Para associar um gateway privado virtual

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Direct Connect Gateways (Gateways Direct Connect) e selecione o

gateway Direct Connect.3. Escolha View details (Exibir detalhes).4. Selecione Gateways associations (Associações de gateways) e Associate gateway (Associar

gateway).5. Em Gateways, escolha os gateways privados virtuais a serem associados e selecione Associate

gateway (Associar gateway).

Você pode visualizar todos os gateways privados virtuais que estão associados com o gateway DirectConnect selecionando Gateway associations (Associações de gateways).

Para desassociar um gateway privado virtual


gateway Direct Connect.3. Escolha View details (Exibir detalhes).4. Escolha Gateway associations (Associações de gateways) e selecione o gateway privado virtual.5. Escolha Disassociate (Desassociar).

Para associar um gateway privado virtual usando a linha de comando ou a API

• create-direct-connect-gateway-association (AWS CLI)• CreateDirectConnectGatewayAssociation (API do AWS Direct Connect

Para visualizar os gateways privados virtuais associados a um gateway Direct Connect usando alinha de comando ou a API

• describe-direct-connect-gateway-associations (AWS CLI)• DescribeDirectConnectGatewayAssociations (API do AWS Direct Connect

Para desassociar um gateway privado virtual usando a linha de comando ou a API

• delete-direct-connect-gateway-association (AWS CLI)• DeleteDirectConnectGatewayAssociation (API do AWS Direct Connect

Criar uma interface virtual privada para o gatewayDirect ConnectPara conectar sua conexão do AWS Direct Connect à VPC remota, é necessário criar uma interface virtualprivada para a conexão. Especifique o gateway Direct Connect ao qual se conectar.

Note

Caso esteja aceitando uma interface virtual privada hospedada, você pode associá-la a umgateway Direct Connect na conta. Para obter mais informações, consulte Aceitar uma interfacevirtual hospedada (p. 78).

92



https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway-association.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGatewayAssociation.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-associations.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-direct-connect-gateway-association.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteDirectConnectGatewayAssociation.html



Para provisionar uma interface virtual privada para um gateway Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), escolha Private (Privada).5. Em Private virtual interface settings (Configurações de interface virtual privada), faça o seguinte:



conta da AWS) caso a interface virtual seja para sua conta da AWS.d. Em Direct Connect gateway (Gateway Direct Connect), selecione o gateway Direct Connect.e. Em VLAN, informe o número do ID para sua rede local virtual (VLAN).f. Em BGP ASN insira o Número de sistema autônomo do Border Gateway Protocol do roteador de












Depois que você tiver criado a interface virtual, você poderá fazer download da configuração do roteadorno dispositivo. Para obter mais informações, consulte Fazer download do arquivo de configuração doroteador (p. 68).

Para criar uma interface virtual privada usando a linha de comando ou a API

• create-private-virtual-interface (AWS CLI)• CreatePrivateVirtualInterface (API do AWS Direct Connect

93


https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-private-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreatePrivateVirtualInterface.html

AWS Direct Connect Guia do usuárioAssociar um gateway privado virtual entre contas



Associar um gateway privado virtual entre contasÉ possível associar um gateway Direct Connect a um gateway privado virtual pertencente a qualquer contada AWS. O gateway Direct Connect pode ser um gateway existente ou é possível criar um novo gateway.O proprietário do gateway privado virtual cria uma proposta de associação e o proprietário do gatewayDirect Connect deve aceitá-la.

Uma proposta de associação pode conter prefixos que serão permitidos a partir do gateway privado virtual.O proprietário do gateway Direct Connect pode opcionalmente substituir qualquer prefixo solicitado naproposta de associação.

Prefixos permitidosQuando associa um gateway privado virtual com um gateway Direct Connect, você especifica uma lista deprefixos da Amazon VPC a serem anunciados no gateway Direct Connect. A lista de prefixos atua comoum filtro que permite que os mesmos CIDRs, ou CIDRs menores, sejam anunciados no gateway DirectConnect. Você deve definir os Allowed prefixes (Prefixos permitidos) como um intervalo que seja o mesmoou maior que o CIDR da VPC porque provisionamos todo o CIDR da VPC no gateway privado virtual.

Considere o caso em que o CIDR da VPC seja 10.0.0.0/16. É possível definir os Allowed prefixes (Prefixospermitidos) como 10.0.0.0/16 (o valor do CIDR da VPC) ou 10.0.0.0/15 (um valor maior do que o CIDR daVPC).

Para obter mais informações sobre como os prefixos permitidos interagem com gateways privados virtuaise gateway de trânsitos, consulte the section called “Interações de prefixos permitidos” (p. 102).

Tarefas• Criar uma proposta de associação (p. 94)• Aceitar ou rejeitar uma proposta de associação (p. 95)• Atualizar os prefixos permitidos para uma associação (p. 96)• Excluir uma proposta de associação (p. 96)

Criar uma proposta de associaçãoSe você for proprietário do gateway privado virtual, deverá criar uma proposta de associação. O gatewayprivado virtual deve estar anexado a uma VPC em sua conta da AWS. O proprietário do gateway DirectConnect deve compartilhar o ID do gateway Direct Connect e o ID de sua conta da AWS. Depois que aproposta for criada, o proprietário do gateway Direct Connect deverá aceitá-la para que você tenha acessoà rede local pelo AWS Direct Connect.

Para criar uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Virtual private gateways (Gateways privados virtuais) e selecione o

gateway privado virtual.3. Escolha View details (Exibir detalhes).

94





4. Selecione Direct Connect gateway associations (Associações de gateway Direct Connect) e selecioneAssociate Direct Connect gateway (Associar gateway Direct Connect).

5. Em Association account type (Tipo de conta de associação), em Account owner (Proprietário daconta), selecione Another account (Outra conta).

6. Em Direct Connect gateway owner (Proprietário do gateway Direct Connect), insira o ID da conta daAWS proprietária do gateway Direct Connect.

7. Em Association settings (Configurações da associação), faça o seguinte:

a. Em Direct Connect gateway ID (ID do gateway Direct Connect), insira o ID do gateway DirectConnect.

b. Em Direct Connect gateway owner (Proprietário do gateway Direct Connect), insira o ID da conta daAWS proprietária do gateway Direct Connect para a associação.

c. (Opcional) Para especificar uma lista de prefixos a serem permitidos a partir do gateway privadovirtual, adicione os prefixos a Allowed prefixes (Prefixos permitidos), separando-os com vírgulas ouinserindo-os em linhas separadas.

8. Escolha Associate Direct Connect gateway (Associar gateway Direct Connect).

Para criar uma proposta de associação usando a linha de comando ou a API

• create-direct-connect-gateway-association-proposal (AWS CLI)• CreateDirectConnectGatewayAssociationProposal (API do AWS Direct Connect

Aceitar ou rejeitar uma proposta de associaçãoSe for proprietário do gateway Direct Connect, você deverá aceitar a proposta de associação para criá-la.Caso contrário, você poderá rejeitar a associação proposta.

Para aceitar uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Direct Connect gateways (Gateways Direct Connect).3. Selecione o gateway Direct Connect com propostas pendentes e selecione View details (Visualizar

detalhes).4. Na guia Pending proposals (Propostas pendentes), selecione a proposta e depois Accept proposal

(Aceitar proposta).5. (Opcional) Para especificar uma lista de prefixos a serem permitidos a partir do gateway privado

virtual, adicione os prefixos a Allowed prefixes (Prefixos permitidos), separando-os com vírgulas ouinserindo-os em linhas separadas.

6. Escolha Accept proposal (Aceitar proposta).

Para rejeitar uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Direct Connect gateways (Gateways Direct Connect).3. Selecione o gateway Direct Connect com propostas pendentes e selecione View details (Visualizar

detalhes).4. Na guia Pending proposals (Propostas pendentes), selecione o gateway privado virtual e depois

Reject proposal (Rejeitar proposta).5. Na caixa de diálogo Reject proposal (Rejeitar proposta), insira Delete (Excluir) e selecione Reject

proposal (Rejeitar proposta).

95

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway-association-proposal.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGatewayAssociationProposal.html




Para visualizar propostas de associação usando a linha de comando ou a API

• describe-direct-connect-gateway-association-proposals (AWS CLI)• DescribeDirectConnectGatewayAssociationProposals (API do AWS Direct Connect

Para aceitar uma proposta de associação usando a linha de comando ou a API

• accept-direct-connect-gateway-association-proposal (AWS CLI)• AcceptDirectConnectGatewayAssociationProposal (API do AWS Direct Connect

Para rejeitar uma proposta de associação usando a linha de comando ou a API

• delete-direct-connect-gateway-association-proposal (AWS CLI)• DeleteDirectConnectGatewayAssociationProposal (API do AWS Direct Connect

Atualizar os prefixos permitidos para uma associaçãoVocê pode atualizar os prefixos que são permitidos a partir do gateway privado virtual pelo gateway DirectConnect.

Se você for o proprietário do gateway privado virtual, crie uma nova proposta de associação (p. 94) parao mesmo gateway Direct Connect e gateway privado virtual, especificando os prefixos a serem permitidos.

Se você for o proprietário do gateway Direct Connect, atualize os prefixos permitidos quando aceitar aproposta de associação (p. 95) ou atualize os prefixos permitidos para uma associação existente daseguinte forma.

Para atualizar os prefixos permitidos para uma associação existente usando a linha de comandoou a API

• update-direct-connect-gateway-association (AWS CLI)• UpdateDirectConnectGatewayAssociation (API do AWS Direct Connect

Excluir uma proposta de associaçãoO proprietário do gateway privado virtual poderá excluir a proposta de associação do gateway DirectConnect se ela ainda estiver aguardando aceitação. Depois que uma proposta de associação for aceita,ela não poderá ser excluída, mas você poderá desassociar o gateway privado virtual do gateway DirectConnect. Para obter mais informações, consulte the section called “Associar e desassociar gatewaysprivados virtuais” (p. 91).

Para excluir uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Virtual private gateways (Gateways privados virtuais) e selecione o

gateway privado virtual.3. Escolha View details (Exibir detalhes).4. Selecione Pending Direct Connect gateway associations (Associações de gateway Direct Connect

pendentes), selecione a associação e escolha Delete association (Excluir associação).5. Na caixa de diálogo Delete association proposal (Excluir proposta de associação), insira Delete e

selecione Delete (Excluir).

96

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-association-proposals.htm

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociationProposals.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/accept-direct-connect-gateway-association-proposal.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AcceptDirectConnectGatewayAssociationProposal.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-direct-connect-gateway-association-proposal.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteDirectConnectGatewayAssociationProposal.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/update-direct-connect-gateway-association.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UpdateDirectConnectGatewayAssociation.html


AWS Direct Connect Guia do usuárioAssociações de gateways de trânsito

Para excluir uma proposta de associação usando a linha de comando ou a API


Associações de gateways de trânsitoVocê pode usar um gateway AWS Direct Connect para conectar sua conexão do AWS Direct Connectpor meio de uma interface virtual de trânsito às VPCs ou VPNs que estão anexadas ao seu gateway detrânsito. Associe um gateway Direct Connect com o gateway de trânsito. Em seguida, crie uma interfacevirtual privada para sua conexão do AWS Direct Connect com o gateway Direct Connect.

As seguintes regras se aplicam às associações do gateway de trânsito

• Você não pode anexar um gateway Direct Connect a um gateway de trânsito quando o gateway DirectConnect já está associado a um gateway privado virtual ou está anexado a uma interface virtual privada.

• Há limites para criação e uso de gateways Direct Connect. Para obter mais informações, consulteCotas (p. 144).

• Um gateway Direct Connect oferece suporte à comunicação entre interfaces virtuais de trânsitoanexadas e gateway de trânsitos associados.

• Se você se conectar a várias gateway de trânsitos que estão em regiões diferentes, use ASNsexclusivos para cada gateway de trânsito.

Associar e desassociar gateways de trânsitoPara associar um gateway de trânsito


gateway Direct Connect.3. Escolha View details (Exibir detalhes).4. Escolha Gateways associations (Associações de gateways) e Associate gateway (Associar gateway).5. Em Gateways, escolha o gateway de trânsito a ser associado.6. Em Allowed prefixes (Prefixos permitidos), insira os prefixos (separados por uma vírgula ou em uma

nova linha) que o gateway Direct Connect anuncia para o datacenter local.7. Escolha Associate gateway (Associar gateway).

Você pode visualizar todos os gateways que estão associados com o gateway Direct Connectselecionando Gateway associations (Associações de gateways).

Para desassociar um gateway de trânsito

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Direct Connect gateways (Gateways Direct Connect) e selecione o

gateway Direct Connect.3. Escolha View details (Exibir detalhes).4. Escolha Gateway associations (Associações de gateways) e selecione o gateway de trânsito.5. Escolha Disassociate (Desassociar).

97





AWS Direct Connect Guia do usuárioCriar uma interface virtual de trânsito


Para associar um gateway de trânsito usando a linha de comando ou a API

• create-direct-connect-gateway-association (AWS CLI)• CreateDirectConnectGatewayAssociation (API do AWS Direct Connect

Para visualizar os gateway de trânsitos associados a um gateway Direct Connect usando a linhade comando ou a API

• describe-direct-connect-gateway-associations (AWS CLI)• DescribeDirectConnectGatewayAssociations (API do AWS Direct Connect

Para desassociar um gateway de trânsito usando a linha de comando ou a API

• delete-direct-connect-gateway-association (AWS CLI)• DeleteDirectConnectGatewayAssociation (API do AWS Direct Connect

Criar uma interface virtual de trânsito para o gatewayDirect ConnectPara conectar sua conexão do AWS Direct Connect ao gateway de trânsito, você deve criar uma interfacede trânsito para sua conexão. Especifique o gateway Direct Connect ao qual se conectar.

Important


Como provisionar uma interface virtual de trânsito para um gateway Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Interfaces virtuais.3. Selecione Create virtual interface (Criar interface virtual).4. Em Virtual interface type (Tipo de interface virtual), em Type (Tipo), escolha Transit (Trânsito).5. Em Private virtual interface settings (Configurações de interface virtual privada), faça o seguinte:



conta da AWS) caso a interface virtual seja para sua conta da AWS.d. Em Direct Connect gateway (Gateway Direct Connect), selecione o gateway Direct Connect.e. Em VLAN, informe o número do ID para sua rede local virtual (VLAN).f. Em BGP ASN insira o Número de sistema autônomo do Border Gateway Protocol do roteador de




98

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway-association.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGatewayAssociation.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-associations.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/delete-direct-connect-gateway-association.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DeleteDirectConnectGatewayAssociation.html


AWS Direct Connect Guia do usuárioAssociar um gateway de trânsito entre contas









Depois que você tiver criado a interface virtual, você poderá fazer download da configuração do roteadorno dispositivo. Para obter mais informações, consulte Fazer download do arquivo de configuração doroteador (p. 68).

Para criar uma interface virtual de trânsito usando a linha de comando ou a API

• create-transit-virtual-interface (AWS CLI)• CreateTransitVirtualInterface (API do AWS Direct Connect



Associar um gateway de trânsito entre contasÉ possível associar um gateway Direct Connect existente ou um novo gateway Direct Connect a umgateway de trânsito pertencente a qualquer conta da AWS. O proprietário do gateway de trânsito cria umaproposta de associação e o proprietário do gateway Direct Connect deve aceitá-la.

Uma proposta de associação pode conter prefixos que serão permitidos a partir do gateway de trânsito.O proprietário do gateway Direct Connect pode opcionalmente substituir qualquer prefixo solicitado naproposta de associação.

Prefixos permitidosPara uma associação de gateway de trânsito, provisione a lista de prefixos permitidos no gateway DirectConnect. A lista é usada para rotear o tráfego do ambiente local para a AWS no gateway de trânsitomesmo que as VPCs anexadas ao gateway de trânsito não tenham CIDRs atribuídos. Os prefixos nalista de prefixos permitidos do gateway Direct Connect são originados no gateway Direct Connect e sãoanunciados para a rede local. Para obter mais informações sobre como os prefixos permitidos interagem

99

https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-transit-virtual-interface.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateTransitVirtualInterface.html




com gateway de trânsitos e gateways privados virtuais, consulte the section called “Interações de prefixospermitidos” (p. 102).

Tarefas• Criar uma proposta de associação a um gateway de trânsito (p. 100)• Aceitar ou rejeitar uma proposta de associação a um gateway de trânsito (p. 100)• Atualizar os prefixos permitidos para uma associação do gateway de trânsito (p. 101)• Excluir uma proposta de associação a um gateway de trânsito (p. 102)

Criar uma proposta de associação a um gateway de trânsitoSe você for proprietário do gateway de trânsito, deverá criar a proposta de associação. O gateway detrânsito deve ser anexado a uma VPC ou VPN em sua conta da AWS. O proprietário do gateway DirectConnect deve compartilhar o ID do gateway Direct Connect e o ID de sua conta da AWS. Depois que aproposta for criada, o proprietário do gateway Direct Connect deverá aceitá-la para que você tenha acessoà rede local pelo AWS Direct Connect.

Para criar uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Transit gateways (Gateways de trânsito) e selecione o gateway de

trânsito.3. Escolha View details (Exibir detalhes).4. Selecione Direct Connect gateway associations (Associações de gateway Direct Connect) e selecione

Associate Direct Connect gateway (Associar gateway Direct Connect).5. Em Association account type (Tipo de conta de associação), em Account owner (Proprietário da

conta), selecione Another account (Outra conta).6. Em Direct Connect gateway owner (Proprietário do gateway Direct Connect), insira o ID da conta da

AWS proprietária do gateway Direct Connect.7. Em Association settings (Configurações da associação), faça o seguinte:

a. Em Direct Connect gateway ID (ID do gateway Direct Connect), insira o ID do gateway DirectConnect.

b. Em Virtual interface owner (Proprietário da interface virtual), insira o ID da conta da AWSproprietária da interface virtual da associação.

c. (Opcional) Para especificar uma lista de prefixos a serem permitidos a partir do gateway de trânsito,adicione os prefixos a Allowed prefixes (Prefixos permitidos), separando-os com vírgulas ouinserindo-os em linhas separadas.

8. Escolha Associate Direct Connect gateway (Associar gateway Direct Connect).

Para criar uma proposta de associação usando a linha de comando ou a API

• create-direct-connect-gateway-association-proposal (AWS CLI)• CreateDirectConnectGatewayAssociationProposal (API do AWS Direct Connect

Aceitar ou rejeitar uma proposta de associação a um gateway detrânsitoSe for proprietário do gateway Direct Connect, você deverá aceitar a proposta de associação para criá-la.Você também tem a opção de rejeitar a proposta de associação.

100


https://docs.aws.amazon.com/cli/latest/reference/directconnect/create-direct-connect-gateway-association-proposal.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_CreateDirectConnectGatewayAssociationProposal.html


Para aceitar uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Direct Connect gateways (Gateways Direct Connect).3. Selecione o gateway Direct Connect com propostas pendentes e escolha View details (Visualizar

detalhes).4. Na guia Pending proposals (Propostas pendentes), escolha a proposta e depois Accept proposal

(Aceitar proposta).5. (Opcional) Para especificar uma lista de prefixos a serem permitidos a partir do gateway de trânsito,

adicione os prefixos a Allowed prefixes (Prefixos permitidos), separando-os com vírgulas ou inserindo-os em linhas separadas.

6. Escolha Accept proposal (Aceitar proposta).

Para rejeitar uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Direct Connect gateways (Gateways Direct Connect).3. Selecione o gateway Direct Connect com propostas pendentes e escolha View details (Visualizar

detalhes).4. Na guia Pending proposals (Propostas pendentes), selecione o gateway de trânsito e, e escolha

Reject proposal (Rejeitar proposta).5. Na caixa de diálogo Reject proposal (Rejeitar proposta), insira Delete (Excluir) e escolha Reject

proposal (Rejeitar proposta).

Para visualizar propostas de associação usando a linha de comando ou a API

• describe-direct-connect-gateway-association-proposals (AWS CLI)• DescribeDirectConnectGatewayAssociationProposals (API do AWS Direct Connect

Para aceitar uma proposta de associação usando a linha de comando ou a API

• accept-direct-connect-gateway-association-proposal (AWS CLI)• AcceptDirectConnectGatewayAssociationProposal (API do AWS Direct Connect

Para rejeitar uma proposta de associação usando a linha de comando ou a API


Atualizar os prefixos permitidos para uma associação do gatewayde trânsitoVocê pode atualizar os prefixos que são permitidos no gateway de trânsito pelo gateway Direct Connect.

Se você for o proprietário do gateway de trânsito, crie uma nova proposta de associação (p. 100) para omesmo gateway Direct Connect e gateway privado virtual, especificando os prefixos a serem permitidos.

Se você for o proprietário do gateway Direct Connect, atualize os prefixos permitidos quando aceitar aproposta de associação (p. 100) ou atualize os prefixos permitidos para uma associação existente daseguinte forma.

101



https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-direct-connect-gateway-association-proposals.htm

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociationProposals.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/accept-direct-connect-gateway-association-proposal.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_AcceptDirectConnectGatewayAssociationProposal.html



AWS Direct Connect Guia do usuárioInterações de prefixos permitidos

Para atualizar os prefixos permitidos para uma associação existente usando a linha de comandoou a API

• update-direct-connect-gateway-association (AWS CLI)• UpdateDirectConnectGatewayAssociation (API do AWS Direct Connect

Excluir uma proposta de associação a um gateway de trânsitoO proprietário do gateway de trânsito poderá excluir a proposta de associação do gateway Direct Connectse ela ainda estiver aguardando aceitação. Depois que uma proposta de associação for aceita, ela nãopoderá ser excluída, mas você poderá desassociar o gateway de trânsito do gateway Direct Connect. Paraobter mais informações, consulte the section called “Criar uma proposta de associação a um gateway detrânsito” (p. 100).

Para excluir uma proposta de associação

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/v2/home.2. No painel de navegação, escolha Transit gateways (Gateways de trânsito) e selecione o gateway de

trânsito.3. Escolha View details (Exibir detalhes).4. Escolha Pending gateway associations (Associações de gateway pendentes), selecione a associação

e escolha Delete association (Excluir associação).5. Na caixa de diálogo Delete association proposal (Excluir proposta de associação), insira Delete

(Excluir) e selecione Delete (Excluir).

Para excluir uma proposta de associação usando a linha de comando ou a API


Interações de prefixos permitidosSaiba como os prefixos permitidos interagem com gateway de trânsitos e gateways privados virtuais. Paraobter mais informações, consulte the section called “Políticas de roteamento e comunidades BGP” (p. 4).

Associações de gateways privados virtuaisA lista de prefixos (IPv4 e IPv6) atua como um filtro que permite que os mesmos CIDRs ou um intervalomenor de CIDRs sejam anunciados no gateway Direct Connect. É necessário definir os prefixos para umintervalo que seja o mesmo ou maior que o bloco CIDR da VPC.

Considere o cenário em que você tem uma VPC com CIDR 10.0.0.0/16 anexada a um gateway privadovirtual.

• Quando a lista de prefixos permitidos é definida como 22.0.0.0/24, você não recebe nenhuma rotaporque 22.0.0.0/24 não é igual nem maior do que 10.0.0.0/16.

• Quando a lista de prefixos permitidos é definida como 10.0.0.0/24, você não recebe nenhuma rotaporque 10.0.0.0/24 não é igual a 10.0.0.0/16.

• Quando a lista de prefixos permitidos é definida como 10.0.0.0/15, você recebe 10.0.0.0/16 porque oendereço IP é maior do que 10.0.0.0/16.

102

https://docs.aws.amazon.com/cli/latest/reference/directconnect/update-direct-connect-gateway-association.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UpdateDirectConnectGatewayAssociation.html




AWS Direct Connect Guia do usuárioAssociações de gateways de trânsito

Associações de gateways de trânsitoPara uma associação de gateway de trânsito, provisione a lista de prefixos permitidos no gateway DirectConnect. A lista roteia o tráfego do ambiente no local à AWS e ao gateway de trânsito mesmo quandoas VPCs anexadas ao gateway de trânsito não têm CIDRs atribuídos. Os prefixos na lista de prefixospermitidos do gateway Direct Connect são originados no gateway Direct Connect e são anunciados para arede local.

Considere o cenário em que você tem uma VPC com CIDR 10.0.0.0/16 anexada a um gateway de trânsito.

• Quando a lista de prefixos permitidos é definida como 22.0.0.0/24, você recebe 22.0.0.0/24 via BGP emsua interface virtual de trânsito. Você não receberá 10.0.0.0/16 porque provisionamos diretamente osprefixos que estão na lista de prefixos permitidos.

• Quando a lista de prefixos permitidos é definida como 10.0.0.0/24, você recebe 10.0.0.0/24 via BGP emsua interface virtual de trânsito. Você não receberá 10.0.0.0/16 porque provisionamos diretamente osprefixos que estão na lista de prefixos permitidos.

• Quando a lista de prefixos permitidos é definida como 10.0.0.0/8, você recebe 10.0.0.0/8 via BGP emsua interface virtual de trânsito.

Exemplo: permitido para prefixos em umaconfiguração de gateway de trânsitoConsidere a configuração em que você tem a instância em duas regiões da AWS diferentes que precisamacessar o datacenter corporativo. Você pode usar os seguintes recursos para essa configuração:

• Um gateway de trânsito em cada região.• Uma conexão de emparelhamento de gateway de trânsito.• Um gateway Direct Connect.• Uma associação de gateway de trânsito entre um dos gateways de trânsito (aquela em us-east-1) e o

gateway Direct Connect.• Uma interface virtual de trânsito no local e no local do AWS Direct Connect.

103

AWS Direct Connect Guia do usuárioExemplo: permitido para prefixos em

uma configuração de gateway de trânsito

Configure as seguintes opções para os recursos.

• Gateway Direct Connect: defina o ASN para como 65030. Para obter mais informações, consulte thesection called “Criar um gateway Direct Connect” (p. 89).

• Interface virtual de trânsito: defina a VLAN como 899 e o ASN como 65020. Para obter maisinformações, consulte the section called “Criar uma interface virtual de trânsito para o gateway DirectConnect” (p. 67).

• Associação do gateway Direct Connect com o gateway de trânsito: defina a permissão para prefixoscomo 10.0.0.0/8.

Esse bloco CIDR abrange ambos os blocos CIDR da VPC. Para obter mais informações, consulte thesection called “Associar e desassociar gateways de trânsito” (p. 97).

• Rota da VPC: para rotear o tráfego da VPC 10.2.0.0, crie uma rota na tabela de rotas da VPC que tenhaum destino 0.0.0.0/0 e o ID do gateway de trânsito como destino. Para obter mais informações sobre oroteamento para um gateway de trânsito, consulte Roteamento para um gateway de trânsito no Guia dousuário da Amazon VPC.

104

https://docs.aws.amazon.com/vpc/latest/userguide/route-table-options.html#route-tables-tgw


Marcar recursos do AWS DirectConnect

Uma tag é um rótulo que um proprietário de recursos atribui aos recursos do AWS Direct Connect. Cadatag consiste de uma chave e um valor opcional, ambos definidos por você. As tags permitem que oproprietário de recursos categorize os recursos do AWS Direct Connect de diferentes maneiras, como porfinalidade ou por ambiente. Isso é útil quando há muitos recursos do mesmo tipo – você pode identificarrapidamente um recurso específico com base nas tags atribuídas a ele.

Por exemplo, você tem duas conexões do AWS Direct Connect em uma Região, cada uma em locaisdiferentes. Ligação dxcon-11aa22bb é uma ligação que serve o tráfego de produção e está associadaà interface virtual dxvif-33cc44dd. Ligação dxcon-abcabcab é uma ligação redundante (cópia desegurança) e está associada à interface virtual dxvif-12312312. Pode escolher marcar as suas ligaçõese interfaces virtuais da seguinte forma, para ajudar a distingui-las:

Resource ID (ID do recurso) Chave da tag Valor da tag

Finalidade Produçãodxcon-11aa22bb

Location Amsterdã

dxvif-33cc44dd Finalidade Produção

Finalidade Backupdxcon-abcabcab

Location Frankfurt

dxvif-12312312 Finalidade Backup

Recomendamos que você desenvolva um conjunto de chave de tags que atenda suas necessidades paracada tipo de recurso. Usar um conjunto consistente de chaves de tags facilita para você gerenciar seusrecursos. As tags não têm significado semântico no AWS Direct Connect e são interpretadas estritamentecomo uma string de caracteres. Além disso, as tags não são automaticamente atribuídas aos seusrecursos. Você pode editar chaves de tags e valores, e você pode remover as tags de um recurso aqualquer momento. Você pode definir o valor de uma tag a uma string vazia, mas não pode configurar ovalor de um tag como nula. Se você adicionar uma tag que tenha a mesma chave de uma tag existentenesse recurso, o novo valor substituirá o antigo. Se você excluir um recurso, todas as tags do recursotambém serão excluídas.

É possível marcar os recursos do AWS Direct Connect a seguir usando o console do AWS Direct Connect,a API do AWS Direct Connect, a AWS CLI, o AWS Tools para Windows PowerShell ou um SDK da AWS.Ao usar essas ferramentas para gerenciar tags, é necessário especificar o nome de recurso da Amazon(ARN) para o recurso. Para obter mais informações sobre ARNs, consulte Nomes de recurso da Amazon(ARNs) e namespaces do serviço da AWS no Referência geral do Amazon Web Services.

Recurso Compatível comtags

Oferece suporte atags na criação

Oferece suporte atags que controlamo acesso e aalocação derecursos

Oferece suporte àalocação de custos

Conexões Sim Sim Sim Sim

105

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html


AWS Direct Connect Guia do usuárioRestrições de tags

Recurso Compatível comtags

Oferece suporte atags na criação

Oferece suporte atags que controlamo acesso e aalocação derecursos

Oferece suporte àalocação de custos

Interfaces virtuais Sim Sim Sim Não

Link aggregationgroups (LAG— Grupos deagregação delinks)

Sim Sim Sim Sim

Interconexões Sim Sim Sim Sim

Gateways DirectConnect

Não Não Não Não

Restrições de tagsAs seguintes regras e restrições se aplicam a tags:

• Número máximo de etiquetas por recurso: 50• Comprimento máximo da chave: 128 caracteres Unicode• Comprimento máximo do valor: 265 carateres Unicode• As chaves e os valores de tags diferenciam maiúsculas de minúsculas.• O prefixo aws: é reservado para uso da AWS. Não é possível editar nem excluir a chave ou o valor de

uma tag quando ela tem uma chave de tag com o prefixo aws:. As tags com chave de tag com o prefixoaws: não são contabilizadas para o limite de tags por recurso.

• Os caracteres permitidos são letras, espaços e números representáveis em UTF-8, além dos seguintescaracteres especiais: + - = . _ : / @

• Somente o proprietário do recurso pode adicionar ou remover tags. Por exemplo, se houver umaconexão hospedada, o parceiro não poderá adicionar, remover ou visualizar as tags.

• As tags de alocação de custos são compatíveis somente com conexões, interconexões e LAGs.Para obter informações sobre como usar tags com o gerenciamento de custos, consulte Usar tags dealocação de custos no Guia do usuário do AWS Billing and Cost Management.

Trabalhar com tags usando a CLI ou a APIUse o seguinte para adicionar, atualizar, listar e excluir as tags para seus recursos.

Tarefa API CLI

Adicione ou sobrescreva uma oumais tags.

TagResource tag-resource

Exclua uma ou mais tags. UntagResource untag-resource

Descreva uma ou mais tags. DescribeTags describe-tags

106

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/API_TagResource.html


https://docs.aws.amazon.com/directconnect/latest/APIReference/API_UntagResource.html


https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeTags.html

https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-tags.html

AWS Direct Connect Guia do usuárioExamples

ExamplesUse o comando tag-resource para marcar a conexão dxcon-11aa22bb.

aws directconnect tag-resource --resource-arn arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb --tags "key=Purpose,value=Production"

Use o comando describe-tags para descrever as tags da conexão dxcon-11aa22bb.

aws directconnect describe-tags --resource-arn arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb

Use o comando untag-resource para remover uma tag da conexão dxcon-11aa22bb.

aws directconnect untag-resource --resource-arn arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb --tag-keys Purpose

107


https://docs.aws.amazon.com/cli/latest/reference/directconnect/describe-tags.html


AWS Direct Connect Guia do usuárioProteção de dados

Segurança em AWS Direct ConnectA segurança da nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você se beneficiaráde um datacenter e de uma arquitetura de rede criados para atender aos requisitos das empresas com asmaiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidadecompartilhada descreve isto como segurança da nuvem e segurança na nuvem:

• Segurança da nuvem – a AWS é responsável pela proteção da infraestrutura que executa serviçosda AWS na nuvem da AWS. A AWS também fornece serviços que você pode usar com segurança.Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dosprogramas de conformidade da AWS. Para saber mais sobre os programas de conformidade que seaplicam ao AWS Direct Connect, consulte Serviços da AWS no escopo pelo programa de conformidade.

• Segurança na nuvem – Sua responsabilidade é determinada pelo serviço da AWS que você usa. Vocêtambém é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos desua empresa e as leis e regulamentos aplicáveis.

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usaro AWS Direct Connect. Os tópicos a seguir mostram como configurar o AWS Direct Connect para atenderaos seus objetivos de segurança e de conformidade. Você também aprenderá a usar outros serviços daAWS que ajudam a monitorar e proteger os recursos do AWS Direct Connect.

Tópicos• Proteção de dados no AWS Direct Connect (p. 108)• Identity and Access Management para o AWS Direct Connect (p. 110)• Registrar e monitorar no AWS Direct Connect (p. 123)• Validação de conformidade do AWS Direct Connect (p. 124)• Resiliência no AWS Direct Connect (p. 124)• Segurança da infraestrutura no AWS Direct Connect (p. 125)

Proteção de dados no AWS Direct ConnectO modelo de responsabilidade compartilhada da AWS se aplica à proteção de dados no AWS DirectConnect. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global queexecuta toda a Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedadonessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dosserviços da AWS que você usa. Para obter mais informações sobre a privacidade de dados, consulteas Perguntas frequentes sobre privacidade de dados. Para obter mais informações sobre a proteção dedados na Europa, consulte o blog AWS Shared Responsibility Model and GDPR no Blog de segurança daAWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da conta da AWS econfigure as contas de usuário individuais com o AWS Identity and Access Management (IAM). Dessamaneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações detrabalho. Recomendamos também que você proteja seus dados das seguintes formas:

• Use uma autenticação multifator (MFA) com cada conta.• Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2 ou posterior.• Configure a API e o registro em log das atividades do usuário com o AWS CloudTrail.

108

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/


http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

AWS Direct Connect Guia do usuárioPrivacidade do tráfego entre redes

• Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nosserviços da AWS.

• Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar eproteger dados pessoais que são armazenados no Amazon S3.

• Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio deuma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informaçõessobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, comonúmeros de conta dos seus clientes, em campos de formato livre, como um campo Name (Nome). Issoinclui quando você trabalhar com o AWS Direct Connect ou outros serviços da AWS usando o console,a API, a AWS CLI ou os AWS SDKs. Todos os dados inseridos por você no AWS Direct Connect ou emoutros serviços podem ser separados para inclusão em logs de diagnóstico. Ao fornecer um URL para umservidor externo, não inclua informações de credenciais no URL para validar a solicitação a esse servidor.

Para obter mais informações sobre proteção de dados, consulte a publicação AWS Shared ResponsibilityModel and GDPR (Modelo de responsabilidade compartilhada da AWS e GDPR) no Blog de segurança daAWS.

Tópicos• Privacidade do tráfego entre redes na AWS Direct Connect (p. 109)• Criptografia no AWS Direct Connect (p. 109)

Privacidade do tráfego entre redes na AWS DirectConnectTráfego entre clientes de serviço e no local e os aplicativosVocê tem duas opções de conectividade entre sua rede privada e a AWS:

• Uma associação a um AWS Site-to-Site VPN. Para obter mais informações, consulte the section called“Segurança da infraestrutura” (p. 125).

• Uma associação a VPCs. Para obter mais informações, consulte the section called “Associações degateways privados virtuais” (p. 90) e the section called “Associações de gateways de trânsito” (p. 97).

Tráfego entre recursos da AWS na mesma regiãoVocê tem duas opções de conectividade:

• Uma associação a um AWS Site-to-Site VPN. Para obter mais informações, consulte the section called“Segurança da infraestrutura” (p. 125).

• Uma associação a VPCs. Para obter mais informações, consulte the section called “Associações degateways privados virtuais” (p. 90) e the section called “Associações de gateways de trânsito” (p. 97).

Criptografia no AWS Direct ConnectO AWS Direct Connect não criptografa o tráfego que está em trânsito. Para criptografar os dados emtrânsito que atravessam o AWS Direct Connect, é necessário usar as opções de criptografia em trânsitopara esse serviço. Para saber mais sobre a encriptação de tráfego de instância EC2, consulte Encriptaçãoem trânsito na Guia do usuário do Amazon EC2 para instâncias do Linux.

109

http://aws.amazon.com/compliance/fips/

https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit

AWS Direct Connect Guia do usuárioIdentity and Access Management

com AWS Direct Connect e AWS Site-to-Site VPN, pode combinar um ou mais AWS Direct Connectligações de rede dedicadas com o VPN VPC Amazon. Essa combinação fornece uma conexão privadaencriptada por IPsec que também reduz os custos de rede, aumenta o rendimento de largura de banda efornece uma experiência de rede mais consistente do que as conexões de VPN baseadas na internet. Paraobter mais informações, consulte Opções de conectividade do Amazon VPC ao Amazon VPC.

Identity and Access Management para o AWSDirect Connect

O AWS Identity and Access Management (IAM) é um serviço da AWS que ajuda um administrador acontrolar com segurança o acesso aos recursos da AWS. Os administradores do IAM controlam quempode ser autenticado (conectado) e autorizado (ter permissões) para usar os recursos do Direct Connect.O IAM é um serviço da AWS que pode ser usado sem custo adicional.

Tópicos• Audience (p. 110)• Autenticar com identidades (p. 110)• Gerenciamento do acesso usando políticas (p. 112)• Como o AWS Direct Connect funciona com o IAM (p. 113)• Exemplos de políticas baseadas em identidade do AWS Direct Connect (p. 117)• Solução de problemas de identidade e acesso do AWS Direct Connect (p. 121)

AudienceO uso do AWS Identity and Access Management (IAM) varia, dependendo do trabalho realizado no DirectConnect.

Usuário do serviço – se você usar o Direct Connect para fazer sua tarefa, o administrador fornecerá ascredenciais e as permissões de que você precisa. À medida que usar mais recursos do Direct Connectpara fazer seu trabalho, você poderá precisar de permissões adicionais. Entender como o acesso égerenciado pode ajudar você a solicitar as permissões corretas ao seu administrador. Se não for possívelacessar um recurso no Direct Connect, consulte Solução de problemas de identidade e acesso do AWSDirect Connect (p. 121).

Administrador do serviço – se você for o responsável pelos recursos do Direct Connect em sua empresa,você provavelmente terá acesso total ao Direct Connect. Seu trabalho é determinar quais recursos doDirect Connect seus funcionários devem acessar. Assim, é necessário enviar solicitações ao administradordo IAM para alterar as permissões dos usuários de seu serviço. Revise as informações nesta página paraentender os conceitos básicos do IAM. Para saber mais sobre como sua empresa pode usar o IAM com oDirect Connect, consulte Como o AWS Direct Connect funciona com o IAM (p. 113).

Administrador do IAM – se você é um administrador do IAM, talvez queira saber detalhes sobre comopode escrever políticas para gerenciar o acesso ao Direct Connect. Para visualizar exemplos de políticasbaseadas em identidade do Direct Connect que podem ser usadas no IAM, consulte Exemplos de políticasbaseadas em identidade do AWS Direct Connect (p. 117).

Autenticar com identidadesA autenticação é a forma como você faz login na AWS usando suas credenciais de identidade. Para obtermais informações sobre como fazer login usando o Console de gerenciamento da AWS, consulte Fazerlogin no Console de gerenciamento da AWS como um usuário do IAM ou usuário raiz no Guia do usuáriodo IAM.

110


https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

AWS Direct Connect Guia do usuárioAutenticar com identidades

Você deve ser autenticado (fazer login na AWS) como o Usuário raiz da conta da AWS, um usuário doIAM, ou assumindo uma função do IAM. Também é possível usar a autenticação de logon único da suaempresa ou até mesmo fazer login usando o Google ou o Facebook. Nesses casos, seu administradorconfigurou anteriormente a federação de identidades usando funções do IAM. Ao acessar a AWS usandocredenciais de outra empresa, você estará assumindo uma função indiretamente.

Para fazer login diretamente no Console de gerenciamento da AWS, use sua senha com o e-mail dousuário raiz ou seu nome de usuário do IAM. É possível acessar a AWS de maneira programática usandoseu usuário raiz ou as chaves de acesso do usuário do IAM. A AWS fornece ferramentas de linha decomando e SDK para assinar sua solicitação de forma criptográfica usando suas credenciais. Se você nãoutilizar as ferramentas da AWS, você deverá assinar a solicitação por conta própria. Faça isso usando oSignature versão 4, um protocolo para autenticação de solicitações de API de entrada. Para obter maisinformações sobre a autenticação de solicitações, consulte Processo de cadastramento do Signatureversão 4 na AWS General Reference.

Independentemente do método de autenticação usado, também pode ser exigido que você forneçainformações adicionais de segurança. Por exemplo, a AWS recomenda o uso da autenticação multifator(MFA) para aumentar a segurança de sua conta. Para saber mais, consulte Usar a autenticação multifator(MFA) na AWS no Guia do usuário do IAM.

Usuário raiz da conta da AWSAo criar uma conta da AWS, você começa com uma única identidade de login que tenha acesso total atodos os recursos e serviços da AWS na conta. Essa identidade é chamada de AWS da conta da usuárioraiz e é acessada pelo login com o endereço de e-mail e a senha que você usou para criar a conta.Recomendamos que não use o usuário raiz para suas tarefas diárias, nem mesmo as administrativas.Em vez disso, siga as melhores práticas de uso do usuário raiz somente para criar seu primeiro usuáriodo IAM. Depois, armazene as credenciais usuário raiz com segurança e use-as para executar apenasalgumas tarefas de gerenciamento de contas e de serviços.

Grupos e usuários do IAMUm usuário do IAM é uma identidade em sua conta da AWS que tem permissões específicas para umaúnica pessoa ou um único aplicativo. Um usuário do IAM pode ter credenciais de longo prazo, como umnome de usuário e uma senha ou um conjunto de chaves de acesso. Para saber como gerar chaves deacesso, consulte Gerenciar chaves de acesso para usuários do IAM no Guia do usuário do IAM. Ao gerarchaves de acesso para um usuário do IAM, visualize e salve o par de chaves de maneira segura. Não serápossível recuperar a chave de acesso secreta futuramente. Em vez disso, você deverá gerar outro par dechaves de acesso.

Um grupo do IAM é uma identidade que especifica uma coleção de usuários do IAM. Não é possívelfazer login como um grupo. É possível usar grupos para especificar permissões para vários usuários deuma vez. Os grupos facilitam o gerenciamento de permissões para grandes conjuntos de usuários. Porexemplo, você pode ter um grupo chamado Administradores do IAM e atribuir a esse grupo permissõespara administrar recursos do IAM.

Usuários são diferentes de funções. Um usuário é exclusivamente associado a uma pessoa ou a umaplicativo, mas uma função pode ser assumida por qualquer pessoa que precisar dela. Os usuários têmcredenciais permanentes de longo prazo, mas as funções fornecem credenciais temporárias. Para sabermais, consulte Quando criar um usuário do IAM (em vez de uma função) no Guia do usuário do IAM.

Funções do IAMUma função do IAM é uma identidade dentro de sua conta da AWS que tem permissões específicas.Ela é semelhante a um usuário do IAM, mas não está associada a uma pessoa específica. É possívelassumir temporariamente uma função do IAM no Console de gerenciamento da AWS alternando funções.É possível assumir uma função chamando uma operação de API da AWS CLI ou da AWS, ou usando um

111

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

AWS Direct Connect Guia do usuárioGerenciamento do acesso usando políticas

URL personalizado. Para obter mais informações sobre os métodos para o uso de funções, consulte Usarfunções do IAM no Guia do usuário do IAM.

As funções do IAM com credenciais temporária são úteis nas seguintes situações:

• Permissões temporárias para usuários do IAM – um usuário do IAM pode assumir uma função do IAMpara obter temporariamente permissões diferentes para uma tarefa específica.

• Acesso de usuário federado – Em vez de criar um usuário do IAM, você pode usar identidadesexistentes do AWS Directory Service, do diretório de usuário da sua empresa ou de um provedor deidentidades da Web. Estes são conhecidos como usuários federados. A AWS atribui uma função a umusuário federado quando o acesso é solicitado por meio de um provedor de identidades. Para obter maisinformações sobre usuários federados, consulte Usuários federados e funções no Guia do usuário doIAM.

• Acesso entre contas – é possível usar uma função do IAM para permitir que alguém (um principalconfiável) em outra conta acesse recursos em sua conta. As funções são a principal forma de concederacesso entre contas. No entanto, alguns serviços da AWS permitem que você anexe uma políticadiretamente a um recurso (em vez de usar uma função como proxy). Para saber a diferença entrefunções e políticas baseadas em recurso para acesso entre contas, consulte Como as funções do IAMdiferem das políticas baseadas em recurso no Guia do usuário do IAM.

• Acesso entre serviços: Some AWS services use features in other AWS services. For example, when youmake a call in a service, it's common for that service to run applications in Amazon EC2 or store objectsin Amazon S3. A service might do this using the calling principal's permissions, using a service role, orusing a service-linked role.• Permissões de principal: When you use an IAM user or role to perform actions in AWS, you are

considered a principal. Policies grant permissions to a principal. When you use some services, youmight perform an action that then triggers another action in a different service. In this case, you musthave permissions to perform both actions. To see whether an action requires additional dependentactions in a policy, see Actions, Resources, and Condition Keys for AWS Direct Connect in the ServiceAuthorization Reference.

• Função de serviço: A função de serviço é uma função do IAM que um serviço assume para realizarações em seu nome. As funções de serviço fornecem acesso apenas dentro de sua conta e nãopodem ser usadas para conceder acesso a serviços em outras contas. Um administrador do IAM podecriar, modificar e excluir uma função de serviço do IAM. Para obter mais informações, consulte Criaruma função para delegar permissões a um serviço da AWS no Guia do usuário do IAM.

• Função vinculada ao serviço: A service-linked role is a type of service role that is linked to an AWSservice. The service can assume the role to perform an action on your behalf. Service-linked rolesappear in your IAM account and are owned by the service. An IAM administrator can view, but not editthe permissions for service-linked roles.

• Aplicativos em execução no Amazon EC2 –Você pode usar uma função do IAM para gerenciarcredenciais temporárias para aplicativos que estão sendo executados em uma instância do EC2 e quefazem solicitações de API da AWS CLI ou AWS. É preferível fazer isso do que armazenar chaves deacesso na instância do EC2. Para atribuir uma função da AWS a uma instância do EC2 e disponibilizá-la para todos os seus aplicativos, crie um perfil de instância que esteja anexado à instância. Um perfilde instância contém a função e permite que programas que estão em execução na instância do EC2obtenham credenciais temporárias. Para obter mais informações, consulte Usar uma função do IAM paraconceder permissões a aplicações em execução nas instâncias do Amazon EC2 no Guia do usuário doIAM.

Para saber se você deve usar funções do IAM ou usuários do IAM, consulte Quando criar uma função doIAM (em vez de um usuário) no Guia do usuário do IAM.

Gerenciamento do acesso usando políticasVocê controla o acesso na AWS criando políticas e anexando-as às identidades do IAM ou aos recursosda AWS. Uma política é um objeto na AWS que, quando associado a uma identidade ou recurso, define

112

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

AWS Direct Connect Guia do usuárioComo o AWS Direct Connect funciona com o IAM

suas permissões. É possível fazer login como usuário usuário raiz ou IAM ou assumir uma função do IAM.Quando você faz uma solicitação, a AWS avalia as políticas relacionadas baseadas em identidade oubaseadas em recursos. As permissões nas políticas determinam se a solicitação será permitida ou negada.A maioria das políticas são armazenadas na AWS como documentos JSON. Para obter mais informaçõessobre a estrutura e o conteúdo de documentos de políticas JSON, consulte Visão geral de políticas JSONno Guia do usuário do IAM.

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.

Cada entidade do IAM (usuário ou função) começa sem permissões. Em outras palavras, por padrão, osusuários não podem fazer nada, nem mesmo alterar sua própria senha. Para dar permissão a um usuáriopara fazer algo, um administrador deve anexar uma política de permissões ao usuário. Ou o administradorpode adicionar o usuário a um grupo que tenha as permissões pretendidas. Quando um administradorconcede permissões a um grupo, todos os usuários desse grupo recebem essas permissões.

As políticas do IAM definem permissões para uma ação, independentemente do método usadopara executar a operação. Por exemplo, suponha que você tenha uma política que permite a açãoiam:GetRole. Um usuário com essa política pode obter informações de funções do Console degerenciamento da AWS, da AWS CLI ou da API da AWS.

Políticas baseadas em identidadeIdentity-based policies are JSON permissions policy documents that you can attach to an identity, such asan IAM user, group of users, or role. These policies control what actions users and roles can perform, onwhich resources, and under what conditions. To learn how to create an identity-based policy, see CreatingIAM policies in the Guia do usuário do IAM.

As políticas baseadas em identidade podem ser categorizadas ainda mais como políticas em linha oupolíticas gerenciadas. As políticas em linha são anexadas diretamente a um único usuário, grupo oufunção. As políticas gerenciadas são políticas independentes que podem ser anexadas a vários usuários,grupos e funções em sua conta da AWS. As políticas gerenciadas incluem políticas gerenciadas pela AWSe políticas gerenciadas pelo cliente. Para saber como escolher entre uma política gerenciada ou umapolítica em linha, consulte Escolher entre políticas gerenciadas e políticas em linha no Guia do usuário doIAM.

Políticas baseadas em recursosResource-based policies are JSON policy documents that you attach to a resource. Examples of resource-based policies are IAM role trust policies and Amazon S3 bucket policies. In services that support resource-based policies, service administrators can use them to control access to a specific resource. For theresource where the policy is attached, the policy defines what actions a specified principal can perform onthat resource and under what conditions. You must specify a principal in a resource-based policy. Principalscan include accounts, users, roles, federated users, or AWS services.

Políticas baseadas em recursos são políticas em linha que estão localizadas nesse serviço. Você não podeusar as políticas gerenciadas da AWS do IAM em uma política baseada em recursos.

Como o AWS Direct Connect funciona com o IAMAntes de usar o IAM para gerenciar o acesso ao Direct Connect, entenda quais recursos do IAM estãodisponíveis para uso com o Direct Connect. Para obter uma visão de alto nível de como o Direct Connecte outros serviços da AWS funcionam com o IAM, consulte Serviços da AWS que funcionam com o IAM noGuia do usuário do IAM.

Tópicos• Políticas baseadas em identidade do Direct Connect (p. 114)

113

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html


• Políticas baseadas em recursos do Direct Connect (p. 116)• Autorização baseada em tags do Direct Connect (p. 117)• Funções do IAM do Direct Connect (p. 117)

Políticas baseadas em identidade do Direct ConnectCom as políticas baseadas em identidade do IAM, você pode especificar ações permitidas ou negadas erecursos, bem como as condições sob as quais as ações são permitidas ou negadas. O Direct Connectoferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos oselementos que você usa em uma política JSON, consulte Referência de elementos de política JSON doIAM no Guia do usuário do IAM.

ActionsAdministrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.

O elemento Action de uma política JSON descreve as ações que você pode usar para permitir ou negaracesso em uma política. As ações de política geralmente têm o mesmo nome que a operação de APIda AWS associada. Existem algumas exceções, como ações somente de permissão, que não têm umaoperação de API correspondente. Há também algumas operações que exigem várias ações em umapolítica. Essas ações adicionais são chamadas de ações dependentes.

Inclua ações em uma política para conceder permissões para executar a operação associada.

Ações políticas em Direct Connect use o seguinte prefixo antes da ação: directconnect:. Porexemplo, para conceder a alguém permissão para executar um Amazon EC2 com o Amazon EC2DescribeVpnGateways operação API, inclui a ec2:DescribeVpnGateways ação na sua política. Asdeclarações de política devem incluir um elemento Action ou NotAction. O Direct Connect define seupróprio conjunto de ações que descrevem as tarefas que podem ser executadas com esse serviço.

A política de exemplo a seguir concede acesso de leitura ao AWS Direct Connect.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ]}

A política de exemplo a seguir concede acesso total ao AWS Direct Connect.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:*", "ec2:DescribeVpnGateways" ], "Resource": "*"

114

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html


} ]}

Para ver uma lista de ações do Direct Connect, consulte Actions Defined by AWS Direct Connect no Guiado usuário do IAMlist_awsdirectconnect.html.

ResourcesAdministrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.

O elemento Resource de política JSON especifica o objeto ou os objetos aos quais a ação se aplica.As instruções devem incluir um elemento Resource ou um elemento NotResource. Como práticarecomendada, especifique um recurso usando seu Nome de recurso da Amazon (ARN). Isso pode ser feitopara ações que oferecem suporte a um tipo de recurso específico, conhecido como permissões em nívelde recurso.

Para ações que não oferecem suporte a permissões em nível de recurso, como operações de listagem,use um curinga (*) para indicar que a instrução se aplica a todos os recursos.

"Resource": "*"

O Direct Connect usa os seguintes ARNs:

ARNs de recursos do Direct Connect

Tipo de recurso ARN

dxcon arn:${Partition}:directconnect:${Region}:${Account}:dxcon/${ConnectionId}

dxlag arn:${Partition}:directconnect:${Region}:${Account}:dxlag/${LagId}

dx-vif arn:${Partition}:directconnect:${Region}:${Account}:dxvif/${VirtualInterfaceId}

dx-gateway arn:${Partition}:directconnect::${Account}:dx-gateway/${DirectConnectGatewayId}

Para obter mais informações sobre o formato de ARNs, consulte Nomes de recursos da Amazon (ARNs) enamespaces de serviços da AWS.

Por exemplo, para especificar a interface dxcon-11aa22bb em sua instrução, use o seguinte ARN:

"Resource": "arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb

Para especificar todas as instâncias de banco de dados que pertencem a uma conta específica, use ocaractere curinga (*):

"Resource": "arn:aws:directconnect:*:*:dxvif/*"

115

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-actions-as-permissions





Algumas ações do Direct Connect, como as ações para a criação de recursos, não podem ser executadasem um recurso específico. Nesses casos, você deve usar o caractere curinga (*).

"Resource": "*"

Para ver uma lista de tipos de recursos do Direct Connect e seus ARNs, consulte Tipos de recursosdefinidos pelo AWS Direct Connect no Guia do usuário do IAM. Para saber com quais ações você podeespecificar o ARN de cada recurso, consulte Actions Defined by AWS Direct Connect.

Chaves de condiçãoAdministrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.

O elemento Condition (ou bloco de Condition) permite que você especifique condições nas quaisuma instrução está em vigor. O elemento Condition é opcional. É possível criar expressões condicionaisque usam operadores de condição, como “igual a” ou “menor que”, para fazer a condição da políticacorresponder aos valores na solicitação.

Se você especificar vários elementos Condition em uma instrução ou várias chaves em um únicoelemento Condition, a AWS os avaliará usando uma operação lógica AND. Se você especificar váriosvalores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica OR.Todas as condições devem ser atendidas para que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar as condições. Por exemplo, vocêpode conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcadocom seu nome de usuário do IAM. Para obter mais informações, consulte Elementos de política do IAM:variáveis e tags no Guia do usuário do IAM.

A AWS oferece suporte a chaves de condição globais e chaves de condição específicas do serviço. Paraconsultar todas as chaves de condição global da AWS, consulte Chaves de contexto de condição global daAWS no Guia do usuário do IAM.

A Direct Connect define seu próprio conjunto de chaves de condição e também oferece suporte ao usode algumas chaves de condição globais. Para consultar todas as chaves de condição global da AWS,consulte Chaves de contexto de condição global da AWS no Guia do usuário do IAM.

Você pode usar chaves de condição com o recurso de tag. Para obter mais informações, consulteExemplo: Restringir o acesso a uma região específica.

Para ver uma lista de chaves de condição do Direct Connect, consulte Condition Keys for AWS DirectConnect no Guia do usuário do IAM. Para saber com quais ações e recursos que você pode usar umachave de condição, consulte Actions Defined by AWS Direct Connect.

Examples

Para visualizar exemplos de políticas baseadas em identidade do Direct Connect, consulte the sectioncalled “Exemplos de políticas baseadas em identidade” (p. 117).

Políticas baseadas em recursos do Direct ConnectÉ possível controlar o acesso a recursos e solicitações usando condições de chave de tag. Também épossível usar uma condição em sua política do IAM para controlar se chaves de tag específicas podem serusadas em um recurso ou em uma solicitação.

Para obter informações sobre como usar tags com políticas do AWS Identity and Access Management,consulte Como controlar o acesso com tags no Guia do usuário do IAM.

116

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsdirectconnect.html#awsdirectconnect-resources-for-iam-policies


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html



https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html

AWS Direct Connect Guia do usuárioExemplos de políticas baseadas em identidade

Examples

Para visualizar exemplos de políticas baseadas em recursos do Direct Connect, consulte the section called“Exemplos de políticas baseadas em recursos” (p. 120).

Autorização baseada em tags do Direct ConnectVocê pode anexar tags a recursos do Direct Connect ou passar tags em uma solicitação ao DirectConnect. Para controlar o acesso baseado em tags, forneça informações sobre as tags no elementode condição de uma política usando as chaves de condição directconnect:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys. Para obter mais informações sobre recursos demarcação do Direct Connect, consulte Marcação de recursos (p. 105).

Para visualizar um exemplo de política baseada em identidade que visa limitar o acesso a um recursobaseado nas tags desse recurso, consulte the section called “Associar interfaces virtuais do Direct Connectcom base em tags” (p. 120).

Funções do IAM do Direct ConnectUma função do IAM é uma entidade dentro de sua conta da AWS que tem permissões específicas.

Usar credenciais temporárias com o Direct Connect

Você pode usar credenciais temporárias para fazer login com federação, assumir uma função do IAMou assumir uma função entre contas. As credenciais de segurança temporárias são obtidas chamandooperações da API do AWS STS, como AssumeRole ou GetFederationToken.

O Direct Connect oferece suporte ao uso de credenciais temporárias.

Funções vinculadas ao serviço

Funções vinculadas ao serviço permitem que os serviços da AWS acessem recursos em outros serviçospara concluir uma ação em seu nome. As funções vinculadas ao serviço aparecem em sua conta doIAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar aspermissões para funções vinculadas ao serviço.

O Direct Connect não oferece suporte às funções vinculadas ao serviço.

Funções de serviço

Esse recurso permite que um serviço assuma uma função de serviço em seu nome. A função permite queo serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviçoaparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador doIAM pode alterar as permissões para essa função. Porém, fazer isso pode alterar a funcionalidade doserviço.

O Direct Connect oferece suporte às funções de serviço.

Exemplos de políticas baseadas em identidade doAWS Direct ConnectPor padrão, os usuários e as funções do IAM não têm permissão para criar ou modificar recursos doDirect Connect. Eles também não podem executar tarefas usando o Console de gerenciamento da AWS,a AWS CLI ou uma API da AWS. Um administrador do IAM deve criar políticas do IAM que concedam aosusuários e funções permissão para executarem operações da API específicas nos recursos especificados

117

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html



https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role


de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigemessas permissões.

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos dedocumentos de política JSON, consulte Criar políticas no guia JSON no Guia do usuário do IAM.

Melhores práticas de políticasAs políticas baseadas em identidade são muito eficientes. Elas determinam se alguém pode criar, acessarou excluir recursos do Direct Connect em sua conta. Essas ações podem incorrer em custos para suaconta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

• Comece usando políticas gerenciadas pela AWS – para começar a usar o Direct Connect rapidamente,use as políticas gerenciadas pela AWS para conceder a seus funcionários as permissões de queprecisam. Essas políticas já estão disponíveis em sua conta e são mantidas e atualizadas pelaAWS. Para obter mais informações, consulte Conceitos básicos do uso de permissões com políticasgerenciadas pela AWS no Guia do usuário do IAM.

• Conceder privilégio mínimo – ao criar políticas personalizadas, conceda apenas as permissõesnecessárias para executar uma tarefa. Comece com um conjunto mínimo de permissões e concedapermissões adicionais conforme necessário. Fazer isso é mais seguro do que começar com permissõesque são muito lenientes e tentar restringi-las posteriormente. Para obter mais informações, consulteConceder privilégio mínimo, no Guia do usuário do IAM.

• Habilitar o MFA para operações confidenciais – para segurança adicional, exija que os usuários do IAMusem o Multi-Factor Authentication (MFA) para acessar recursos ou operações de API confidenciais.Para obter mais informações, consulte Usar a Multi-Factor Authentication (MFA) na AWS no Guia dousuário do IAM.

• Usar condições de política para segurança adicional – na medida do possível, defina as condições sobas quais suas políticas baseadas em identidade permitem o acesso a um recurso. Por exemplo, vocêpode gravar condições para especificar um intervalo de endereços IP permitidos do qual a solicitaçãodeve partir. Você também pode escrever condições para permitir somente solicitações em uma dataespecificada ou período ou para exigir o uso de SSL ou MFA. Para obter mais informações, consulteElementos da política JSON do IAM: condição no Guia do usuário do IAM.

Usar o console do Direct ConnectPara acessar o console do AWS Direct Connect, é necessário ter um conjunto mínimo de permissões.Essas permissões devem permitir que você liste e visualize detalhes dos recursos do Direct Connect emsua conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva que aspermissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários oufunções do IAM) com essa política.

Para garantir que essas entidades ainda possam usar o console do Direct Connect, anexe também aseguinte política gerenciada pela AWS às entidades. Para obter mais informações, consulte Adicionarpermissões a um usuário no Guia do usuário do IAM:

directconnect

Não é necessário conceder permissões mínimas do console para usuários que fazem chamadas somenteà AWS CLI ou à API da AWS. Em vez disso, permita o acesso somente às ações que correspondem àoperação da API que você está tentando executar.

Permitir que os usuários visualizem suas próprias permissõesEste exemplo mostra como você pode criar uma política que permite que os usuários do IAM visualizemas políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissõespara concluir essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS.

118

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console


{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

Acesso somente leitura ao AWS Direct ConnectA política de exemplo a seguir concede acesso de leitura ao AWS Direct Connect.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ]}

Acesso total ao AWS Direct ConnectA política de exemplo a seguir concede acesso total ao AWS Direct Connect.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow",

119


"Action": [ "directconnect:*", "ec2:DescribeVpnGateways" ], "Resource": "*" } ]}

Exemplos de políticas baseadas em recursos do AWS DirectConnectÉ possível controlar o acesso a recursos e solicitações usando condições de chave de tag. Também épossível usar uma condição em sua política do IAM para controlar se chaves de tag específicas podem serusadas em um recurso ou em uma solicitação.

Para obter informações sobre como usar tags com políticas do AWS Identity and Access Management,consulte Como controlar o acesso com tags no Guia do usuário do IAM.

Associar interfaces virtuais do Direct Connect com base em tags

O exemplo a seguir mostra como você pode criar uma política que permite associar uma interface virtualsomente se a tag contiver a chave de ambiente e os valores de produção ou pré-produção.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:AssociateVirtualInterface" ], "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": [ "preprod", "production" ] } } }, { "Effect": "Allow", "Action": "directconnect:DescribeVirtualInterfaces", "Resource": "*" } ] }

Controlar o acesso a solicitações com base em tags

É possível usar condições em suas políticas do IAM para controlar quais pares de chave-valor da tagpodem ser transmitidos em uma solicitação que marca um recurso da AWS. O exemplo a seguir mostracomo você pode criar uma política que permite usar a ação TagResource do AWS Direct Connect paraanexar tags a uma interface virtual somente se a tag contiver a chave de ambiente e os valores deprodução ou pré-produção. Como uma prática recomendada, use o modificador ForAllValues coma chave de condição aws:TagKeys para indicar que somente a chave de ambiente é permitida nasolicitação.

120

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html

AWS Direct Connect Guia do usuárioSolução de problemas

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "arn:aws:directconnect:*:*:dxvif/*", "Condition": { "StringEquals": { "aws:RequestTag/environment": [ "preprod", "production" ] }, "ForAllValues:StringEquals": {"aws:TagKeys": "environment"} } } }

Controlar as chaves de tag

É possível usar uma condição em suas políticas do IAM para controlar se chaves de tag específicaspodem ser usadas em um recurso ou em uma solicitação.

O exemplo a seguir mostra como você pode criar uma política que permite marcar recursos, mas somentecom a chave de tag de ambiente.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "directconnect:TagResource", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "environment" ] } } } }

Solução de problemas de identidade e acesso doAWS Direct ConnectUse as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem serencontrados ao trabalhar com o Direct Connect e o IAM.

Tópicos• Não tenho autorização para executar uma ação no Direct Connect (p. 122)• Não estou autorizado a executar iam:PassRole (p. 122)• Quero visualizar minhas chaves de acesso (p. 122)• Sou administrador e desejo conceder acesso ao Direct Connect para outros usuários. (p. 123)• Desejo permitir que pessoas fora da minha conta da AWS acessem meus recursos do Direct

Connect (p. 123)

121

AWS Direct Connect Guia do usuárioSolução de problemas

Não tenho autorização para executar uma ação no DirectConnectSe o Console de gerenciamento da AWS informar que você não está autorizado a executar uma ação,você deverá entrar em contato com o administrador para obter assistência. O administrador é a pessoaque forneceu a você o seu nome de usuário e senha.

O seguinte erro de exemplo ocorre quando o johndoe IAM utilizador tenta utilizar a consola para verdetalhes sobre um connection mas não tem directconnect:DeleteConnection permissões.

User: arn:aws:directconnect:us-east-1:123456789012:dxcon/dxcon-11aa22bb:user/johndoe is not authorized to perform: directconnect:DeleteConnection on resource: MyExampleConnection

Neste caso, John solicita ao administrador que atualize suas políticas para permitir a ele o acesso aorecurso MyExampleConnection usando a ação directconnect:DeleteConnection.

Não estou autorizado a executar iam:PassRoleSe você receber uma mensagem de erro informando que você não está autorizado a executar a açãoiam:PassRole, entre em contato com o administrador para obter assistência. O administrador é a pessoaque forneceu a você o seu nome de usuário e senha. Peça a essa pessoa para atualizar suas políticaspara permitir que você passe uma função para o Direct Connect.

Alguns serviços da AWS permitem que você passe uma função existente para o serviço, em vez decriar uma nova função de serviço ou função vinculada ao serviço. Para fazer isso, um usuário deve terpermissões para passar a função para o serviço.

O erro de exemplo a seguir ocorre quando uma usuária do IAM chamada marymajor tenta usar o consolepara executar uma ação no Direct Connect. No entanto, a ação exige que o serviço tenha permissõesconcedidas por uma função de serviço. Mary não tem permissões para passar a função para o serviço.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Neste caso, Mary pede ao administrador para atualizar suas políticas para permitir que ela execute a açãoiam:PassRole.

Quero visualizar minhas chaves de acessoDepois de criar suas chaves de acesso de usuário do IAM, é possível visualizar seu ID de chave de acessoa qualquer momento. No entanto, você não pode visualizar sua chave de acesso secreta novamente. Sevocê perder sua chave secreta, crie um novo par de chaves de acesso.

As chaves de acesso consistem em duas partes: um ID de chave de acesso (por exemplo,AKIAIOSFODNN7EXAMPLE) e uma chave de acesso secreta (por exemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Como um nome de usuário e uma senha, você deve usar o ID da chave deacesso e a chave de acesso secreta em conjunto para autenticar suas solicitações. Gerencie suas chavesde acesso de forma tão segura quanto você gerencia seu nome de usuário e sua senha.

Important

Não forneça as chaves de acesso a terceiros, mesmo que seja para ajudar a encontrar seu ID deusuário canônico. Ao fazer isso, você pode dar a alguém acesso permanente à sua conta.

Ao criar um par de chaves de acesso, você é solicitado a guardar o ID da chave de acesso e a chave deacesso secreta em um local seguro. A chave de acesso secreta só está disponível no momento em que é

122

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

AWS Direct Connect Guia do usuárioRegistrar e monitorar

criada. Se você perder sua chave de acesso secreta, você deverá adicionar novas chaves de acesso paraseu usuário do IAM. Você pode ter no máximo duas chaves de acesso. Se você já tiver duas, você deveráexcluir um par de chaves para poder criar um novo. Para visualizar as instruções, consulte Gerenciarchaves de acesso no Guia do usuário do IAM.

Sou administrador e desejo conceder acesso ao Direct Connectpara outros usuários.Para permitir que outros usuários acessem o Direct Connect, é necessário criar uma entidade do IAM(usuário ou função) para a pessoa ou o aplicativo que precisa do acesso. Eles usarão as credenciaisdessa entidade para acessar a AWS. Você deve anexar uma política à entidade que concede a eles aspermissões corretas no Direct Connect.

Para começar a usar imediatamente, consulte Criar os primeiros usuário e grupo delegados do IAM noGuia do usuário do IAM.

Desejo permitir que pessoas fora da minha conta da AWSacessem meus recursos do Direct ConnectVocê pode criar uma função que os usuários de outras contas ou pessoas fora da sua organização podemusar para acessar seus recursos. Você pode especificar quem é confiável para assumir a função. Paraserviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs),você pode usar essas políticas para conceder às pessoas acesso a seus recursos.

Para saber mais, consulte o seguinte:

• Para saber se o Direct Connect oferece suporte a esses recursos, consulte Como o AWS Direct Connectfunciona com o IAM (p. 113).

• Para saber como conceder acesso aos seus recursos em todas as contas da AWS pertencentes a você,consulte Conceder acesso a um usuário do IAM em outra conta da AWS pertencente a você no Guia dousuário do IAM.

• Para saber como conceder acesso aos seus recursos para contas da AWS de terceiros, consulteConceder acesso a contas da AWS pertencentes a terceiros no Guia do usuário do IAM.

• Para saber como fornecer acesso por meio de federação de identidades, consulte Fornecer acesso ausuários autenticados externamente (federação de identidades) no Guia do usuário do IAM.

• Para saber a diferença entre usar funções e políticas baseadas em recurso para acesso entre contas,consulte Como as funções do IAM diferem de políticas baseadas em recursos no Guia do usuário doIAM.

Registrar e monitorar no AWS Direct ConnectÉ possível usar as seguintes ferramentas automatizadas de monitoramento para supervisionar o AWSDirect Connect e gerar relatórios quando algo estiver errado:

• Amazon CloudWatch Alarms (Alarmes do Amazon CloudWatch) – observe uma única métrica duranteum período especificado. Execute uma ou mais ações com base no valor da métrica, relativa a um limiteespecificado em um número de períodos. A ação é uma notificação enviada a um tópico do AmazonSNS. Os alarmes do CloudWatch não invocam ações simplesmente porque estão em um estadoespecífico. O estado deve ter sido alterado e mantido por um número específico de períodos. Para obtermais informações, consulte Monitorar o com o Amazon CloudWatch (p. 138).

• AWS CloudTrail Log Monitoring (Monitoramento de log do AWS CloudTrail) – compartilhe arquivosde log entre contas e monitore os arquivos de log do CloudTrail em tempo real enviando-os para

123

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html


AWS Direct Connect Guia do usuárioValidação de conformidade

o CloudWatch Logs. Também é possível criar aplicativos de processamento de log em Java econfirme se os arquivos de log não foram alterados após a entrega pelo CloudTrail. Para obter maisinformações, consulte Registrar em log chamadas de API do AWS Direct Connect usando o AWSCloudTrail (p. 132) e Trabalho com arquivos de log do CloudTrail no AWS CloudTrail User Guide.

Para obter mais informações, consulte Monitoramento (p. 137).

Validação de conformidade do AWS Direct ConnectOs auditores externos avaliam a segurança e a conformidade do AWS Direct Connect como parte devários programas de conformidade da AWS. Isso inclui ISO, SOC, PCI, FedRAMP, DoD, CC SRG, HIPAABAA, IRP e MTCS. C5, K-ISMS e ENS-High.

Para obter uma lista de serviços da AWS no escopo de programas de conformidade específicos, consulteServiços da AWS em escopo por programa de conformidade. Para obter informações gerais, consulteProgramas de conformidade da AWS.

Você pode fazer download de relatórios de auditoria de terceiros usando o AWS Artifact. Para obter maisinformações, consulte Download de relatórios no AWS Artifact.

Sua responsabilidade de conformidade ao usar o AWS Direct Connect é determinada pelaconfidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentose leis aplicáveis. A AWS fornece os seguintes recursos para ajudar com a conformidade:

• Guias Quick Start de segurança e conformidade – esses guias de implantação discutem asconsiderações de arquitetura e fornecem etapas para implantação de ambientes de linha de basefocados em conformidade e segurança na AWS.

• Whitepaper Arquitetura para segurança e conformidade com a HIPAA: esse whitepaper descreve comoas empresas podem usar a AWS para criar aplicativos em conformidade com a HIPAA.

• Recursos de conformidade da AWS – esta coleção de manuais e guias pode ser aplicada ao seu setor elocal.

• AWS Config – Esse serviço da AWS avalia até que ponto suas configurações de recursos atendemadequadamente a práticas internas e a diretrizes e regulamentações da indústria.

• AWS Security Hub: esse serviço da AWS fornece uma visão abrangente do estado de sua segurança naAWS que ajuda você a verificar sua conformidade com padrões e práticas recomendadas de segurançado setor.

Resiliência no AWS Direct ConnectA infraestrutura global da AWS é criada com base em regiões e zonas de disponibilidade da AWS.AWSAs regiões da fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que sãoconectadas com baixa latência, altas taxas de transferência e redes altamente redundantes. Com as zonasde disponibilidade, você pode projetar e operar aplicativos e bancos de dados que executam o failoverautomaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são maisaltamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data centertradicionais.

Para obter mais informações sobre regiões e zonas de disponibilidade da AWS, consulte Infraestruturaglobal da AWS.

Além da infraestrutura global da AWS, o AWS Direct Connect oferece vários recursos para ajudar aoferecer suporte às suas necessidades de backup e de resiliência de dados.

124

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html

http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

http://aws.amazon.com/about-aws/global-infrastructure/

http://aws.amazon.com/about-aws/global-infrastructure/

AWS Direct Connect Guia do usuárioFailover

FailoverO Toolkit de resiliência do Direct Connect AWS fornece um assistente de conexão com vários modelos deresiliência que ajuda você a solicitar conexões dedicadas para atingir seu objetivo de SLA. Você selecionaum modelo de resiliência e o Toolkit de resiliência do Direct Connect AWS o orientará durante o processode pedido de conexão dedicada. Os modelos de resiliência são projetados para garantir que você tenha onúmero apropriado de conexões dedicadas em vários locais.

• Maximum Resiliency (Resiliência máxima): você pode alcançar a máxima resiliência para cargas detrabalho críticas usando conexões separadas que são encerradas em dispositivos separados em maisde um local. Esse modelo fornece resiliência contra falhas de dispositivo, conectividade e localizaçãocompleta.

• High Resiliency (Alta resiliência): é possível obter alta resiliência para cargas de trabalho críticas usandoduas conexões únicas para vários locais. Esse modelo fornece resiliência contra falhas de conectividadecausadas por um corte de fibra ou uma falha de dispositivo. Ele também ajuda a evitar uma falhacompleta no local.

• Desenvolvimento e teste do : você pode obter resiliência de desenvolvimento e teste para cargas detrabalho não críticas usando conexões separadas que são encerradas em dispositivos separados emum único local. Esse modelo fornece resiliência contra falhas de dispositivo, mas não fornece resiliênciacontra falhas de localização.

Para obter mais informações, consulte Usar o Toolkit de resiliência do Direct Connect AWS paracomeçar (p. 8).

Para obter informações sobre como usar VPN com o AWS Direct Connect, consulte AWS Direct ConnectPlus VPN.

Segurança da infraestrutura no AWS DirectConnect

Como um serviço gerido, AWS Direct Connect está protegido pelo AWS de segurança global da rede quesão descritos no Amazon Web Services: Visão geral dos processos de segurança livro branco.

Use chamadas de API publicadas pela AWS para acessar o AWS Direct Connect pela rede. Os clientesdevem oferecer suporte a Transport Layer Security (TLS) 1.0 ou posterior. Recomendamos TLS 1.2 ouposterior. Os clientes também devem ter suporte a pacotes de criptografia com sigilo de encaminhamentoperfeito (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE).A maioria dos sistemas modernos como Java 7 e versões posteriores oferece suporte a esses modos.

Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave deacesso secreta associada a uma entidade principal do IAM. Ou você pode usar o AWS Security TokenService (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Você pode chamar essas operações de API de qualquer local da rede, mas o AWS Direct Connect oferecesuporte a políticas de acesso com base em recursos, que podem incluir restrições com base no endereçoIP de origem. Também é possível usar políticas específicas do AWS Direct Connect para controlar oacesso de VPCs ou Amazon Virtual Private Cloud (Amazon VPC) endpoints específicos. Efetivamente,isso isola o acesso à rede para um determinado recurso do AWS Direct Connect somente da VPCespecífica dentro da rede da AWS. Para obter exemplos, consulte the section called “Exemplos de políticasbaseadas em recursos” (p. 120).

125

https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-plus-vpn-network-to-amazon.html

https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-plus-vpn-network-to-amazon.html

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

AWS Direct Connect Guia do usuárioPasso 1: Criar uma conexão

Uso do AWS CLIVocê pode usar a AWS CLI para criar e trabalhar com recursos do AWS Direct Connect.

O exemplo a seguir usa os comandos da AWS CLI para criar uma conexão do AWS Direct Connect. Vocêtambém pode fazer download da Letter of Authorization and Connecting Facility Assignment (LOA-CFA –Carta de autorização e atribuição da instalação de conexão) ou provisionar uma interface virtual privada oupública.

Antes de começar, certifique-se de que você tenha instalado e configurado a AWS CLI. Para obter maisinformações, consulte Guia do usuário do AWS Command Line Interface.

Tópicos• Passo 1: Criar uma conexão (p. 126)• Passo 2: Faça o download da LOA-CFA (p. 127)• Passo 3: Crie uma interface virtual e obtenha a configuração do router (p. 127)

Passo 1: Criar uma conexãoA primeira etapa é enviar uma solicitação de conexão. Certifique-se de que você saiba a velocidade daporta de que precisa e o local do AWS Direct Connect. Para obter mais informações, consulte ConexõesAWS Direct Connect (p. 43).

Para criar uma solicitação de conexão

1. Descreva os locais do AWS Direct Connect da sua Região atual. Na saída retornada, anote o códigodo local no qual você deseja estabelecer a conexão.

aws directconnect describe-locations

{ "locations": [ { "locationName": "City 1, United States", "locationCode": "Example Location 1" }, { "locationName": "City 2, United States", "locationCode": "Example location" } ]}

2. Crie a conexão e especifique um nome, a velocidade da porta e o código do local. Na saída retornada,anote a ID da conexão. Você precisa da ID para obter a LOA-CFA na próxima etapa.

aws directconnect create-connection --location Example location --bandwidth 1Gbps --connection-name "Connection to AWS"

126

https://docs.aws.amazon.com/cli/latest/userguide/

AWS Direct Connect Guia do usuárioPasso 2: Faça o download da LOA-CFA

{ "ownerAccount": "123456789012", "connectionId": "dxcon-EXAMPLE", "connectionState": "requested", "bandwidth": "1Gbps", "location": "Example location", "connectionName": "Connection to AWS", "region": "sa-east-1"}

Passo 2: Faça o download da LOA-CFADepois que tiver solicitado uma conexão, você poderá obter a LOA-CFA usando o comando describe-loa. A saída é codificada em base64. Você deve extrair o conteúdo LOA relevante, decodificá-lo e criarum arquivo PDF.

Para obter a LOA-CFA usando Linux ou macOS

Neste exemplo, a parte final do comando decodifica o conteúdo usando o utilitário base64 e envia a saídapara um arquivo PDF.

aws directconnect describe-loa --connection-id dxcon-fg31dyv6 --output text --query loaContent|base64 --decode > myLoaCfa.pdf

Para obter a LOA-CFA usando o Windows

Neste exemplo, a saída é extraída para um arquivo chamado myLoaCfa.base64. O segundo comando usao utilitário certutil para decodificar o arquivo e enviar a saída a um arquivo PDF.

aws directconneawsct describe-loa --connection-id dxcon-fg31dyv6 --output text --query loaContent > myLoaCfa.base64

certutil -decode myLoaCfa.base64 myLoaCfa.pdf

Depois que você tiver baixado a LOA-CFA, envie-a para o provedor de rede ou colocação.

Passo 3: Crie uma interface virtual e obtenha aconfiguração do router

Depois de ter feito o pedido de uma conexão do AWS Direct Connect, você deverá criar uma interfacevirtual para começar a usá-la. Crie uma interface virtual privada para se conectar à VPC. Outra opção écriar uma interface virtual pública para se conectar aos serviços da AWS que não estejam em uma VPC.Você pode criar uma interface virtual compatível com tráfego IPv4 ou IPv6.

Antes de começar, certifique-se de que você tenha lido os pré-requisitos em Pré-requisitos para interfacesvirtuais (p. 62).

Ao criar uma interface virtual usando a AWS CLI, a saída inclui informações de configuração do roteadorgenéricas. Para criar uma configuração de roteador específica para o dispositivo, use o console do AWS

127

AWS Direct Connect Guia do usuárioPasso 3: Crie uma interface virtuale obtenha a configuração do router

Direct Connect. Para obter mais informações, consulte Fazer download do arquivo de configuração doroteador (p. 68).

Para criar uma interface virtual privada

1. Obtenha a ID do gateway privado virtual (vgw-xxxxxxxx) conectado à VPC. Você precisará da ID paracriar a interface virtual na próxima etapa.

aws ec2 describe-vpn-gateways

{ "VpnGateways": [ { "State": "available", "Tags": [ { "Value": "DX_VGW", "Key": "Name" } ], "Type": "ipsec.1", "VpnGatewayId": "vgw-ebaa27db", "VpcAttachments": [ { "State": "attached", "VpcId": "vpc-24f33d4d" } ] } ]}

2. Crie uma interface virtual privada. Você deve especificar um nome, uma ID de VLAN e umAutonomous System Number (ASN - Número de sistema autônomo) BGP.

Para tráfego IPv4, você precisa de endereços IPv4 privados para cada fim de sessão de mesmo nívelBGP. Você pode especificar os próprios endereços IPv4 ou permitir que a Amazon gere endereçospara você. No exemplo a seguir, os endereços IPv4 são gerados para você.

aws directconnect create-private-virtual-interface --connection-id dxcon-fg31dyv6 --new-private-virtual-interface virtualInterfaceName=PrivateVirtualInterface,vlan=101,asn=65000,virtualGatewayId=vgw-ebaa27db,addressFamily=ipv4

{ "virtualInterfaceState": "pending", "asn": 65000, "vlan": 101, "customerAddress": "192.168.1.2/30", "ownerAccount": "123456789012", "connectionId": "dxcon-fg31dyv6", "addressFamily": "ipv4", "virtualGatewayId": "vgw-ebaa27db", "virtualInterfaceId": "dxvif-ffhhk74f", "authKey": "asdf34example", "routeFilterPrefixes": [], "location": "Example location", "bgpPeers": [ { "bgpStatus": "down", "customerAddress": "192.168.1.2/30",

128


"addressFamily": "ipv4", "authKey": "asdf34example", "bgpPeerState": "pending", "amazonAddress": "192.168.1.1/30", "asn": 65000 } "customerRouterConfig": "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<logical_connection id=\"dxvif-ffhhk74f\">\n <vlan>101</vlan>\n <customer_address>192.168.1.2/30</customer_address>\n <amazon_address>192.168.1.1/30</amazon_address>\n <bgp_asn>65000</bgp_asn>\n <bgp_auth_key>asdf34example</bgp_auth_key>\n <amazon_bgp_asn>7224</amazon_bgp_asn>\n <connection_type>private</connection_type>\n</logical_connection>\n", "amazonAddress": "192.168.1.1/30", "virtualInterfaceType": "private", "virtualInterfaceName": "PrivateVirtualInterface"}

Para criar uma interface virtual privada compatível com tráfego IPv6, use o mesmo comando acimae especifique ipv6 para o parâmetro addressFamily. Você não pode especificar os própriosendereços IPv6 para a sessão de mesmo nível BGP; a Amazon aloca endereços IPv6 para você.

3. Para visualizar as informações de configuração do roteador em formato XML, descreva ainterface virtual criada por você. Use o parâmetro --query para extrair as informaçõescustomerRouterConfig e o parâmetro --output para organizar o texto em linhas delimitadas portabulações.

aws directconnect describe-virtual-interfaces --virtual-interface-id dxvif-ffhhk74f --query virtualInterfaces[*].customerRouterConfig --output text

<?xml version="1.0" encoding="UTF-8"?><logical_connection id="dxvif-ffhhk74f"> <vlan>101</vlan> <customer_address>192.168.1.2/30</customer_address> <amazon_address>192.168.1.1/30</amazon_address> <bgp_asn>65000</bgp_asn> <bgp_auth_key>asdf34example</bgp_auth_key> <amazon_bgp_asn>7224</amazon_bgp_asn> <connection_type>private</connection_type></logical_connection>

Para criar uma interface virtual pública

1. Para criar uma interface virtual pública, você deve especificar um nome, uma ID VLAN e um ASNBGP.

Para tráfego IPv4, você também deve especificar endereços IPv4 públicos para cada fim de sessão demesmo nível BGP e rotas IPv4 que anunciará via BGP. O exemplo a seguir cria uma interface virtualpública para tráfego IPv4.

aws directconnect create-public-virtual-interface --connection-id dxcon-fg31dyv6 --new-public-virtual-interface virtualInterfaceName=PublicVirtualInterface,vlan=2000,asn=65000,amazonAddress=203.0.113.1/30,customerAddress=203.0.113.2/30,addressFamily=ipv4,routeFilterPrefixes=[{cidr=203.0.113.0/30},{cidr=203.0.113.4/30}]

{ "virtualInterfaceState": "verifying", "asn": 65000, "vlan": 2000, "customerAddress": "203.0.113.2/30",

129


"ownerAccount": "123456789012", "connectionId": "dxcon-fg31dyv6", "addressFamily": "ipv4", "virtualGatewayId": "", "virtualInterfaceId": "dxvif-fgh0hcrk", "authKey": "asdf34example", "routeFilterPrefixes": [ { "cidr": "203.0.113.0/30" }, { "cidr": "203.0.113.4/30" } ], "location": "Example location", "bgpPeers": [ { "bgpStatus": "down", "customerAddress": "203.0.113.2/30", "addressFamily": "ipv4", "authKey": "asdf34example", "bgpPeerState": "verifying", "amazonAddress": "203.0.113.1/30", "asn": 65000 } ], "customerRouterConfig": "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<logical_connection id=\"dxvif-fgh0hcrk\">\n <vlan>2000</vlan>\n <customer_address>203.0.113.2/30</customer_address>\n <amazon_address>203.0.113.1/30</amazon_address>\n <bgp_asn>65000</bgp_asn>\n <bgp_auth_key>asdf34example</bgp_auth_key>\n <amazon_bgp_asn>7224</amazon_bgp_asn>\n <connection_type>public</connection_type>\n</logical_connection>\n", "amazonAddress": "203.0.113.1/30", "virtualInterfaceType": "public", "virtualInterfaceName": "PublicVirtualInterface"}

Para criar uma interface virtual pública compatível com tráfego IPv6, você pode especificar rotas IPv6que anunciará via BGP. Você não pode especificar endereços IPv6 para a sessão de mesmo nível; aAmazon aloca endereços IPv6 para você. O exemplo a seguir cria uma interface virtual pública paratráfego IPv6.

aws directconnect create-public-virtual-interface --connection-id dxcon-fg31dyv6 --new-public-virtual-interface virtualInterfaceName=PublicVirtualInterface,vlan=2000,asn=65000,addressFamily=ipv6,routeFilterPrefixes=[{cidr=2001:db8:64ce:ba00::/64},{cidr=2001:db8:64ce:ba01::/64}]

2. Para visualizar as informações de configuração do roteador em formato XML, descreva ainterface virtual criada por você. Use o parâmetro --query para extrair as informaçõescustomerRouterConfig e o parâmetro --output para organizar o texto em linhas delimitadas portabulações.

aws directconnect describe-virtual-interfaces --virtual-interface-id dxvif-fgh0hcrk --query virtualInterfaces[*].customerRouterConfig --output text

<?xml version="1.0" encoding="UTF-8"?><logical_connection id="dxvif-fgh0hcrk"> <vlan>2000</vlan> <customer_address>203.0.113.2/30</customer_address> <amazon_address>203.0.113.1/30</amazon_address> <bgp_asn>65000</bgp_asn>

130


<bgp_auth_key>asdf34example</bgp_auth_key> <amazon_bgp_asn>7224</amazon_bgp_asn> <connection_type>public</connection_type></logical_connection>

131

AWS Direct Connect Guia do usuárioInformações sobre o AWS Direct Connect no CloudTrail

Registrar em log chamadas de APIdo AWS Direct Connect usando oAWS CloudTrail

O AWS Direct Connect é integrado com o AWS CloudTrail, um serviço que fornece um registro das açõesrealizadas por um usuário, uma função ou um serviço da AWS no AWS Direct Connect. O CloudTrailcaptura todas as chamadas de API para o AWS Direct Connect como eventos. As chamadas capturadasincluem as chamadas do console do AWS Direct Connect e as chamadas de código para as operaçõesda API do AWS Direct Connect. Se você criar uma trilha, poderá habilitar a entrega contínua de eventosdo CloudTrail a um bucket do Amazon S3, incluindo eventos do AWS Direct Connect. Se não configuraruma trilha, você ainda poderá visualizar os eventos mais recentes no console do CloudTrail em Eventhistory. Com as informações coletadas pelo CloudTrail, você pode determinar a solicitação feita para oAWS Direct Connect, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foifeita e detalhes adicionais.

Para obter mais informações, consulte AWS CloudTrail User Guide.

Informações sobre o AWS Direct Connect noCloudTrail

O CloudTrail está habilitado na sua conta da AWS ao criá-la. Quando uma atividade ocorrer no AWSDirect Connect, ela será registrada em um evento do CloudTrail com outros eventos de serviços da AWSem Event history (Histórico de eventos). Você pode visualizar, pesquisar e fazer download de eventosrecentes em sua conta da AWS. Para obter mais informações, consulte Visualizar eventos com o históricode eventos do CloudTrail.

Para obter um registro contínuo de eventos em sua conta da AWS, incluindo eventos para o AWS DirectConnect, crie uma trilha. Uma trilha permite CloudTrail para fornecer arquivos de log a um bucket doAmazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões daAWS. A trilha registra eventos de todas as regiões na partição da AWS e fornece os arquivos de log para obucket do Amazon S3 que você especificar. Além disso, é possível configurar outros serviços da AWS paraanalisar mais profundamente e agir sobre os dados de evento coletados nos logs do CloudTrail. Para obtermais informações, consulte as informações a seguir:

• Visão geral da criação de uma trilha• CloudTrail Integrações e serviços suportados• Configurar notificações SNS Amazon para CloudTrail• Receber arquivos de log do CloudTrail de várias regiões e receber arquivos de log do CloudTrail de

várias contas

Todas as ações do AWS Direct Connect são registradas em log pelo CloudTrail e documentadas noAWS Direct Connect API Reference. Por exemplo, as chamadas para as ações CreateConnection eCreatePrivateVirtualInterface geram entradas nos arquivos de log do CloudTrail.

Cada evento ou entrada no log contém informações sobre quem gerou a solicitação. As informações deidentidade ajudam a determinar:

132

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/directconnect/latest/APIReference/

AWS Direct Connect Guia do usuárioNoções básicas das entradas dos

arquivos de log do AWS Direct Connect

• Se a solicitação foi feita com credenciais de usuário da raiz ou do AWS Identity and Access Management(IAM).

• Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuáriofederado.

• Se a solicitação foi feita por outro serviço da AWS.

Para obter mais informações, consulte Elemento do CloudTrail userIdentity.

Noções básicas das entradas dos arquivos de logdo AWS Direct Connect

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log em um bucketdo Amazon S3 que você especificar. Os arquivos de log do CloudTrail contêm uma ou mais entradas delog. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a açãosolicitada, a data e hora da ação, parâmetros de solicitação, e assim por diante. Os arquivos de log doCloudTrail não são um rastreamento de pilha ordenada das chamadas da API pública. Assim, elas não sãoexibidas em nenhuma ordem específica.

Veja a seguir exemplos de registros em log do CloudTrail para o AWS Direct Connect.

Example Exemplo: CreateConnection

{ "Records": [ { "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-04-04T12:23:05Z" } } }, "eventTime": "2014-04-04T17:28:16Z", "eventSource": "directconnect.amazonaws.com", "eventName": "CreateConnection", "awsRegion": "us-west-2", "sourceIPAddress": "127.0.0.1", "userAgent": "Coral/Jakarta", "requestParameters": { "location": "EqSE2", "connectionName": "MyExampleConnection", "bandwidth": "1Gbps" }, "responseElements": { "location": "EqSE2", "region": "us-west-2", "connectionState": "requested", "bandwidth": "1Gbps", "ownerAccount": "123456789012",

133

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html



"connectionId": "dxcon-fhajolyy", "connectionName": "MyExampleConnection" } }, ... ]}

Example Exemplo: CreatePrivateVirtualInterface

{ "Records": [ { "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-04-04T12:23:05Z" } } }, "eventTime": "2014-04-04T17:39:55Z", "eventSource": "directconnect.amazonaws.com", "eventName": "CreatePrivateVirtualInterface", "awsRegion": "us-west-2", "sourceIPAddress": "127.0.0.1", "userAgent": "Coral/Jakarta", "requestParameters": { "connectionId": "dxcon-fhajolyy", "newPrivateVirtualInterface": { "virtualInterfaceName": "MyVirtualInterface", "customerAddress": "[PROTECTED]", "authKey": "[PROTECTED]", "asn": -1, "virtualGatewayId": "vgw-bb09d4a5", "amazonAddress": "[PROTECTED]", "vlan": 123 } }, "responseElements": { "virtualInterfaceId": "dxvif-fgq61m6w", "authKey": "[PROTECTED]", "virtualGatewayId": "vgw-bb09d4a5", "customerRouterConfig": "[PROTECTED]", "virtualInterfaceType": "private", "asn": -1, "routeFilterPrefixes": [], "virtualInterfaceName": "MyVirtualInterface", "virtualInterfaceState": "pending", "customerAddress": "[PROTECTED]", "vlan": 123, "ownerAccount": "123456789012", "amazonAddress": "[PROTECTED]", "connectionId": "dxcon-fhajolyy", "location": "EqSE2" } },

134



... ]}

Example Exemplo: DescreverLigações

{ "Records": [ { "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-04-04T12:23:05Z" } } }, "eventTime": "2014-04-04T17:27:28Z", "eventSource": "directconnect.amazonaws.com", "eventName": "DescribeConnections", "awsRegion": "us-west-2", "sourceIPAddress": "127.0.0.1", "userAgent": "Coral/Jakarta", "requestParameters": null, "responseElements": null }, ... ]}

Example Exemplo: Descrever Interfaces Virtuais

{ "Records": [ { "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2014-04-04T12:23:05Z" } } }, "eventTime": "2014-04-04T17:37:53Z", "eventSource": "directconnect.amazonaws.com", "eventName": "DescribeVirtualInterfaces", "awsRegion": "us-west-2", "sourceIPAddress": "127.0.0.1", "userAgent": "Coral/Jakarta",

135



"requestParameters": { "connectionId": "dxcon-fhajolyy" }, "responseElements": null }, ... ]}

136

AWS Direct Connect Guia do usuárioFerramentas de monitoramento

Monitorar recursos do AWS DirectConnect

O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenhodos recursos do AWS Direct Connect Você deve coletar dados de monitoramento de todas as partes desua solução da AWS para ser mais fácil realizar a depuração de uma falha de vários pontos (caso ocorra).Porém, para começar a monitorar o AWS Direct Connect, é necessário criar um plano de monitoramentoque inclua respostas às seguintes perguntas:

• Quais são seus objetivos de monitoramento?• Quais recursos devem ser monitorados?• Com que frequência esses recursos devem ser monitorados?• Quais ferramentas de monitoramento você pode usar?• Quem realiza as tarefas de monitoramento?• Quem deve ser notificado quando algo der errado?

A próxima etapa é estabelecer uma linha de base de desempenho normal de AWS Direct Connect em seuambiente, medindo o desempenho em vários momentos e em diferentes condições de carga. Enquantomonitora o AWS Direct Connect, armazene dados históricos de monitoramento. Assim, poderá compará-los com os dados de desempenho atuais, identificar padrões de desempenho normais e anomalias dedesempenho, e elaborar métodos para resolver problemas.

Para estabelecer uma linha de base, é necessário monitorar o uso, o estado e a integridade de suasconexões físicas do AWS Direct Connect

Tópicos• Ferramentas de monitoramento (p. 137)• Monitorar o com o Amazon CloudWatch (p. 138)

Ferramentas de monitoramentoA AWS fornece várias ferramentas que você pode usar para monitorar uma conexão do AWS DirectConnect Você pode configurar algumas dessas ferramentas para fazer o monitoramento em seu lugar, e,ao mesmo tempo, algumas das ferramentas exigem intervenção manual. Recomendamos que as tarefasde monitoramento sejam automatizadas ao máximo possível.

Ferramentas de monitoramento automatizadasVocê pode usar as seguintes ferramentas de monitoramento automatizadas para observar o AWS DirectConnect e gerar relatórios quando algo estiver errado:

• Alarmes do Amazon CloudWatch de observe uma única métrica durante um período especificado.–Execute uma ou mais ações com base no valor da métrica, relativa a um limite especificado em umnúmero de períodos. A ação é uma notificação enviada a um tópico do Amazon SNS. Os alarmes doCloudWatch não invocam ações simplesmente porque estão em um estado específico. O estado deveter sido alterado e mantido por um número específico de períodos. Para obter informações sobre asmétricas e dimensões disponíveis, consulte Monitorar o com o Amazon CloudWatch (p. 138).

137

AWS Direct Connect Guia do usuárioFerramentas de monitoramento manual

• Monitoramento de log do AWS CloudTrail Compartilhe arquivos de log entre contas e monitore osarquivos de log do – em tempo real enviando-os para o CloudTrail.CloudWatch Logs Também é possívelcriar aplicativos de processamento de log em Java e confirme se os arquivos de log não foram alteradosapós a entrega pelo CloudTrail. Para obter mais informações, consulte Registrar em log chamadasde API do AWS Direct Connect usando o AWS CloudTrail (p. 132) e Trabalho com arquivos de log doCloudTrail no AWS CloudTrail User Guide.

Ferramentas de monitoramento manualOutra parte importante do monitoramento de uma conexão do AWS Direct Connect é o monitoramentomanual dos itens que os alarmes do CloudWatch não abrangem. Os painéis do console da AWS DirectConnect e do CloudWatch fornecem uma visão rápida do estado do ambiente da AWS.

• O console do AWS Direct Connect mostra:• Status da conexão (consulte a coluna Estado)• Status da interface virtual (consulte a coluna Estado)

• A página inicial do CloudWatch mostra o seguinte:• Alertas e status atual• Gráficos de alertas e recursos• Estado de integridade do serviço

Além disso, você pode usar o CloudWatch para fazer o seguinte:• Criar painéis personalizados para monitorar os serviços com os quais você se preocupa.• Colocar em gráfico dados de métrica para solucionar problemas e descobrir tendências.• Pesquisar e procurar todas as métricas de recursos da AWS.• Criar e editar alarmes para ser notificado sobre problemas.

Monitorar o com o Amazon CloudWatchVocê pode monitorar conexões físicas do AWS Direct Connect e interfaces virtuais usando o CloudWatch.O CloudWatch coleta dados brutos do AWS Direct Connect e os processa em métricas legíveis. Porpadrão, o CloudWatch fornece dados de métricas do AWS Direct Connect em intervalos de 5 minutos.

Para obter informações detalhadas sobre o CloudWatch, consulte o Guia do usuário do AmazonCloudWatch. Também é possível monitorar os serviços CloudWatch para ver quais estão usando osrecursos. Para obter mais informações, consulte Serviços da AWS que publicam métricas do CloudWatch.

Tópicos• AWS Direct ConnectMétricas e dimensões do (p. 138)• Visualizar métricas do CloudWatch do AWS Direct Connect (p. 141)• Criar alarmes do CloudWatch para monitorar conexões do AWS Direct Connect (p. 142)

AWS Direct ConnectMétricas e dimensões doAs métricas estão disponíveis para conexões físicas do AWS Direct Connect e interfaces virtuais.

AWS Direct ConnectMétricas de conexão doAs métricas a seguir estão disponíveis em conexões dedicadas do AWS Direct Connect

138



https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/aws-services-cloudwatch-metrics.html

AWS Direct Connect Guia do usuárioAWS Direct ConnectMétricas e dimensões do

Métrica Descrição

ConnectionState O estado da conexão. 1 indica ativa e 0 indica inativa.

Esta métrica está disponível para conexões dedicadas ehospedadas.

Unidade: booleano

ConnectionBpsEgress A taxa de bits para dados de saída pelo lado da conexãoda AWS

O número informado é o agregado (média) ao longo doperíodo especificado (5 minutos por padrão, mínimo de 1minuto). Você pode alterar o agregado padrão.

Esta métrica pode não estar disponível para uma novaconexão ou quando um dispositivo é reinicializado. Amétrica começa quando a conexão é usada para enviarou receber tráfego.

Unidades: bits por segundo

ConnectionBpsIngress A taxa de bits para dados de entrada para o lado daconexão da AWS



ConnectionPpsEgress A taxa de pacotes para dados de saída pelo lado daconexão da AWS



Unidades: pacotes por segundo

ConnectionPpsIngress A taxa de pacotes para dados de entrada para o lado daconexão da AWS



139

AWS Direct Connect Guia do usuárioAWS Direct ConnectMétricas e dimensões do

Métrica DescriçãoUnidades: pacotes por segundo

ConnectionCRCErrorCount Esta contagem não está mais em uso. UseConnectionErrorCount em vez disso.

ConnectionErrorCount A contagem total de erros para todos os tipos de erros denível MAC no dispositivo da AWS. O total inclui erros deverificação de redundância cíclica (CRC).

Essa métrica é a contagem de erros que ocorreu desdeo último ponto de dados relatado. Quando há erros nainterface, a métrica relata valores diferentes de zero.Para obter a contagem total de todos os erros para ointervalo selecionado no CloudWatch, por exemplo, 5minutos, aplique a estatística "soma". Para obter maisinformações sobre como obter a estatística de soma,consulte Obter estatísticas para uma métrica no Guia dousuário do Amazon CloudWatch.

o valor da métrica é definido como 0 quando os erros nainterface são interrompidos.

Note

Essa métrica substituiConnectionCRCErrorCount, que não estámais em uso.

Unidades: contagem

ConnectionLightLevelTx Indica a integridade da conexão de fibra para o tráfegode saída pelo lado da AWS da conexão.

Há duas dimensões para essa métrica. Para obter maisinformações, consulte the section called “AWS DirectConnectDimensões disponíveis do ” (p. 141).

Unidades: dBm

ConnectionLightLevelRx Indica a integridade da conexão de fibra para o tráfegode entrada para o lado da AWS da conexão.

Há duas dimensões para essa métrica. Para obter maisinformações, consulte the section called “AWS DirectConnectDimensões disponíveis do ” (p. 141).

Unidades: dBm

AWS Direct ConnectMétricas de interface virtual doAs métricas a seguir estão disponíveis em interfaces virtuais do AWS Direct Connect

Métrica Descrição

VirtualInterfaceBpsEgress A taxa de bits para dados de saída do lado da AWS dainterface virtual.

140

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/getting-metric-statistics.html

AWS Direct Connect Guia do usuárioVisualizar métricas do CloudWatch do AWS Direct Connect

Métrica DescriçãoO número informado é o agregado (média) ao longo doperíodo especificado (5 minutos por padrão).


VirtualInterfaceBpsIngress A taxa de bits para dados de entrada do lado da AWS dainterface virtual.

O número informado é o agregado (média) ao longo doperíodo especificado (5 minutos por padrão).


VirtualInterfacePpsEgress A taxa de pacotes para dados de saída do lado da AWSda interface virtual.



VirtualInterfacePpsIngress A taxa de pacotes para dados de entrada do lado daAWS da interface virtual.



AWS Direct ConnectDimensões disponíveis doVocê pode filtrar os dados do AWS Direct Connect usando as seguintes dimensões.

Dimensão Descrição

ConnectionId Esta dimensão está disponível nas métricas para conexão do AWSDirect Connect e interface virtual. Essa dimensão filtra os dados pelaconexão.

OpticalLaneNumber Esta dimensão filtra os dados de ConnectionLightLevelTx e deConnectionLightLevelRx, e filtra os dados pelo número da faixaóptica da conexão da AWS Direct Connect

VirtualInterfaceId Essa dimensão está disponível nas métricas para interface virtual doAWS Direct Connect e filtra os dados pela interface virtual.

Visualizar métricas do CloudWatch do AWS DirectConnectO AWS Direct Connect envia as seguintes métricas sobre suas conexões do AWS Direct Connect para oAmazon CloudWatch em intervalos de 30 segundos. Depois, o Amazon CloudWatch agrega esses pontosde dados para intervalos de 1 minuto ou de 5 minutos. Use os procedimentos a seguir para visualizar asmétricas das conexões do AWS Direct Connect

141

AWS Direct Connect Guia do usuárioCriar alarmes do CloudWatch para

monitorar conexões do AWS Direct Connect

Para visualizar as métricas usando o console do CloudWatch

As métricas são agrupadas primeiro pelo namespace do serviço e, em seguida, por várias combinações dedimensão dentro de cada namespace.

1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Métricas.3. Em All metrics (Todas as métricas), escolha o namespace de métrica DX.4. Escolha Métricas de conexão e selecione a dimensão para visualizar as métricas (por exemplo, para a

conexão do AWS Direct Connect).5. (Opcional para métricas de conexão) Para retornar dados para a métrica selecionada em intervalos de

1 minuto, escolha Métricas em gráfico e selecione 1 minuto na lista Período.

Para visualizar as métricas usando o console do AWS Direct Connect

1. Abra o console do AWS Direct Connect em https://console.aws.amazon.com/directconnect/.2. No painel de navegação, escolha Connections.3. Selecione sua conexão. A guia Monitoring (Monitoramento) exibe as métricas para a conexão.

Para visualizar métricas usando o AWS CLI

Em um prompt de comando, use o comando a seguir.

aws cloudwatch list-metrics --namespace "AWS/DX"

Criar alarmes do CloudWatch para monitorarconexões do AWS Direct ConnectVocê pode criar um alarme do CloudWatch que envia uma mensagem de Amazon SNS quando o alarmemudar de estado. Um alarme observa uma única métrica por um período tempo que você especifica. Eleenvia uma notificação a um tópico do Amazon SNS com base no valor da métrica relativo a um limiteespecificado em um número de períodos de tempo.

Por exemplo, você pode criar um alarme que monitora o estado de uma conexão do AWS Direct ConnectEle envia uma notificação quando o estado da conexão ficar inativo por cinco períodos consecutivos de 1minuto.

Para criar um alarme para o estado da conexão

1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.2. No painel de navegação, selecione Alarmes.3. Escolha Create Alarm.4. Escolha a categoria Métricas de DX.5. Selecione a conexão AWS Direct Connect e escolha a métrica ConnectionState. Escolha Next.6. Siga as instruções a seguir para configurar o alarme e, em seguida, escolha Create Alarm (Criar

alarme):

• Em Alarm Threshold (Limite de alarme), insira um nome e uma descrição para o alarme. EmSempre que, escolha < e insira 1. Insira 5 em períodos consecutivos.

• Em Actions (Ações), selecione uma lista de notificações existente ou escolha New list (Nova lista)para criar uma nova.

142

https://console.aws.amazon.com/cloudwatch/

https://console.aws.amazon.com/directconnect/

https://console.aws.amazon.com/cloudwatch/

AWS Direct Connect Guia do usuárioCriar alarmes do CloudWatch para

monitorar conexões do AWS Direct Connect

• Em Alarm Preview, selecione um período de 1 minuto.

Para obter mais exemplos sobre como criar alarmes, consulte Criar alarmes do Amazon CloudWatch noGuia do usuário do Amazon CloudWatch.

143

https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html


AWS Direct ConnectCotas doA tabela a seguir lista as cotas relacionadas ao AWS Direct Connect. Exceto se indicado ao contrário, vocêpode solicitar um aumento em qualquer um desses limites usando o Formulário de limites do AWS DirectConnect.

Componente Quota Comentários

Interfaces virtuais privadas ou públicas porconexão dedicada do AWS Direct Connect

50 Este limite não pode ser aumentado.

Interfaces virtuais de trânsito por conexãodedicada do AWS Direct Connect


Interfaces virtuais privadas, públicas ou detrânsito por conexão hospedada do AWSDirect Connect1


Conexões do AWS Direct Connect ativas porRegião por conta

10

Número de interfaces virtuais por Grupo deagregação de links (LAG)

50

Rotas por sessão BGP em uma interfacevirtual privada

Se você anunciar mais de 100 rotas porsessão de BGP, a sessão de BGP entraráem um estado ocioso com a sessão de BGPINATIVA.


Sessão de rotas por Border GatewayProtocol (BGP) em uma interface virtualpública

1.000 Este limite não pode ser aumentado.

Número de conexões por grupo deagregação de links (LAG)

4

Grupos de agregação de links (LAGs) porregião

10

AWS Direct ConnectGateways por conta 200

Virtual private gateways por gateway AWSDirect Connect


Gateways de trânsito por gateway AWSDirect Connect


Interfaces virtuais (privadas ou em trânsito)por gateway doAWS Direct Connect

30

Número de prefixos do ambiente local para aAWS em uma interface virtual de trânsito


144

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-direct-connect

https://console.aws.amazon.com/support/home#/case/create?issueType=service-limit-increase&limitType=service-code-direct-connect

AWS Direct Connect Guia do usuárioCotas de BGP

Componente Quota Comentários

Número de prefixos por AWS TransitGateway da AWS para o ambiente no localem uma interface virtual de trânsito


AWS Direct ConnectO oferece suporte a essas velocidades de porta por fibra em modo único: 1 Gbps:1000BASE-LX (1.310 nm) e 10 Gbps: 10GBASE-LR (1.310 nm).1: Não é possível criar uma interface virtual de trânsito em uma conexão hospedada com capacidademenor que 1 Gbps.

Cotas de BGPVeja a seguir cotas de BGP. Os temporizadores BGP são negociados até o valor mais baixo entre osroteadores. os intervalos BFD são definidos pelo dispositivo mais lento.

• Temporizador de retenção padrão: 90 segundos• Temporizador de retenção mínimo: 3 segundos

Um valor de retenção de 0 não é compatível.• Timer de keepalive padrão: 30 segundos• Timer de keepalive mínimo: 1 segundo• Temporizador de reinicialização normal: 120 segundos

É recomendável não configurar a reinicialização normal e a BFD ao mesmo tempo.• Intervalo mínimo de detecção de liveness da BFD: 300 ms• Multiplicador mínimo BFD: 3

Considerações sobre balanceamento de cargaSe você quiser usar o balanceamento de carga com várias VIFs públicas, todas as VIFs deverão estar namesma região.

145

AWS Direct Connect Guia do usuárioSolucionar problemas da camada 1 (física)

Solução de problemas no AWS DirectConnect

Os tópicos a seguir podem ajudá-lo a solucionar problemas com sua conexão do AWS Direct Connect.

Tópicos• Solucionar problemas da camada 1 (física) (p. 146)• Solucionar problemas da camada 2 (link de dados) (p. 147)• Solucionar problemas das camadas 3/4 (rede/transporte) (p. 150)• Solucionar problemas de roteamento (p. 152)

Solucionar problemas da camada 1 (física)Caso você ou o provedor de rede esteja tendo dificuldade para estabelecer conectividade física com umdispositivo do AWS Direct Connect, use as etapas a seguir para resolver o problema.

1. Verifique com o provedor de colocação se a conexão cruzada está concluída. Peça para ele ou oprovedor de rede dar um aviso de conclusão de conexão cruzada e comparar as portas com as listadasno LOA-CFA.

2. Verifique se o roteador ou o roteador do provedor está ligado e se as portas estão ativadas.3. Verifique se os roteadores estão usando o transceptor óptico correto, se a autonegociação está

desabilitada e se a velocidade da porta e o modo full-duplex estão configurados manualmente. Paraobter mais informações, consulte os Requisitos de rede.

4. Verifique se o roteador está recebendo um sinal óptico aceitável pela conexão cruzada.5. Tente virar (também conhecido como rolar) as fibras Tx/Rx.6. Verifique as métricas do Amazon CloudWatch do AWS Direct Connect. Você pode verificar as leitura

ópticas Tx/Rx do dispositivo do AWS Direct Connect (somente velocidades de porta de 10 Gbps), acontagem de erros físicos e o status operacional. Para obter mais informações, consulte Monitorar como Amazon CloudWatch.

7. Entre em contato com o provedor de colocação e solicite um relatório por escrito para o sinal óptico Tx/Rx em toda a conexão cruzada.

8. Caso as etapas acima não resolvam problemas de conectividade física, entre em contato com o AWSSupport e forneça um aviso de conexão cruzada concluída e um relatório de sinal óptico do provedor decolocação.

O fluxograma a seguir contém as etapas para diagnosticar problemas com a conexão física.

146

https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html#overview_requirements

https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-cloudwatch.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/monitoring-cloudwatch.html



AWS Direct Connect Guia do usuárioSolucionar problemas da camada 2 (link de dados)

Solucionar problemas da camada 2 (link de dados)Caso a conexão física do AWS Direct Connect esteja ativa, mas a interface virtual esteja inativa, use asetapas a seguir para resolver o problema.

147


1. Caso você não consiga executar ping no endereço IP par da Amazon, verifique se o endereço IPpar está configurado corretamente e na VLAN correta. Verifique se o endereço IP está configuradona subinterface VLAN, e não na interface física (por exemplo, GigabitEthernet0/0.123, em vez deGigabitEthernet0/0).

2. Verifique se o roteador tem uma entrada de endereço MAC do endpoint da AWS na tabela AddressResolution Protocol (ARP – Protocolo de resolução do endereço).

3. Verifique se algum dispositivo intermediário entre endpoints tem entroncamento VLAN habilitado paraa tag VLAN 802.1Q. O ARP não poderá ser estabelecido no lado da AWS até a AWS receber tráfegomarcado.

4. Apague o cache da tabela ARP do provedor.5. Caso as etapas acima não estabeleçam ARP ou você ainda não consiga executar ping no IP par da

Amazon, entre em contato com o AWS Support.

O fluxograma a seguir contém as etapas para diagnosticar problemas com o link de dados.

148



Caso a sessão BGP ainda não seja estabelecida após a verificação dessas etapas, consulte Solucionarproblemas das camadas 3/4 (rede/transporte) (p. 150). Caso a sessão BGP seja estabelecida, mas vocêesteja enfrentando problemas de roteamento, consulte Solucionar problemas de roteamento (p. 152).

149

AWS Direct Connect Guia do usuárioSolucionar problemas das camadas 3/4 (rede/transporte)

Solucionar problemas das camadas 3/4 (rede/transporte)

Considere uma situação em que a conexão física do AWS Direct Connect está ativa e você pode executarping no endereço IP par da Amazon. Se a interface virtual estiver desativada e a sessão de mesmo nívelBGP não puder ser estabelecida, use as etapas a seguir para solucionar o problema:

1. Verifique se o Autonomous System Number (ASN – Número de sistema autônomo) local BGP e o ASNda Amazon estão configurados corretamente.

2. Verifique se os IPs par de ambos os lados da sessão de mesmo nível BGP estão configuradoscorretamente.

3. Verifique se a chave de autenticação MD5 está configurada e corresponde exatamente à chave noarquivo de configuração do roteador obtido por download. Verifique se não há espaços ou caracteresextras.

4. Verifique se você ou o provedor não estão anunciando mais de 100 prefixos para interfaces virtuaisprivadas ou 1.000 prefixos públicos para interfaces virtuais públicas. Esses são limites fixos e nãopodem ser excedidos.

5. Verifique se não há regras ACL ou de firewall bloqueando a porta TCP 179 ou qualquer outra porta TCPalta efêmera de numeração alta. Essas portas são necessárias para BGP estabelecer uma conexãoTCP entre os pares.

6. Verifique os logs BGP em busca de eventuais erros ou mensagens de aviso.7. Caso as etapas acima não estabeleçam a sessão de mesmo nível BGP, entre em contato com o AWS

Support.

O fluxograma a seguir contém as etapas para diagnosticar problemas com a sessão de mesmo nível BGP.

150



AWS Direct Connect Guia do usuárioSolucionar problemas das camadas 3/4 (rede/transporte)

151

AWS Direct Connect Guia do usuárioSolucionar problemas de roteamento

Caso a sessão de mesmo nível BGP seja estabelecida, mas você esteja enfrentando problemas deroteamento, consulte Solucionar problemas de roteamento (p. 152).

Solucionar problemas de roteamentoConsidere uma situação em que a interface virtual está ativa e você tiver estabeleceu uma sessão demesmo nível BGP. Se não for possível rotear o tráfego pela interface virtual, use as etapas a seguir parasolucionar o problema:

1. Verifique se você está anunciando uma rota para o prefixo de rede no local pela sessão BGP. Paraobter uma interface virtual privada, pode ser um prefixo de rede pública ou privada. Para obter umainterface virtual pública, ele deve ser um prefixo de rede roteável publicamente.

2. Para obter uma interface virtual privada, verifique se os security groups da VPC e as ACLs de redepermitem o tráfego de entrada e de saída do prefixo de rede local. Para obter mais informações,consulte Grupos de segurança e Network ACLs no Guia do usuário da Amazon VPC.

3. Para obter uma interface virtual privada, verifique se as tabelas de rotas VPC têm prefixos apontandopara o gateway privado virtual ao qual a interface virtual privada está conectada. Por exemplo, sepreferir ter todo o tráfego roteado para a rede local por padrão, poderá adicionar a rota padrão (0.0.0.0/0e/ou ::/0) com o gateway privado virtual como destino nas tabelas de rotas da VPC.• Como alternativa, habilite a propagação de rota para atualizar automaticamente rotas nas tabelas

de rotas com base no anúncio de rota BGP dinâmico. Você pode ter até 100 rotas propagadas portabela de rotas. Este limite não pode ser aumentado. Para obter mais informações, consulte Habilitare desabilitar propagação de rota no Guia do usuário da Amazon VPC.

4. Caso as etapas acima não resolvam o problema de roteamento, entre em contato com o AWS Support.

O fluxograma a seguir contém as etapas para diagnosticar problemas de roteamento.

152

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ACLs.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#EnableDisableRouteProp

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#EnableDisableRouteProp


AWS Direct Connect Guia do usuárioSolucionar problemas de roteamento

153


Histórico do documentoA tabela a seguir descreve todas as versões de AWS Direct Connect.

Recurso Description (Descrição) Date

Novo local emIsrael

Tópico atualizado para incluir a adição do novo local em Israel. Paraobter mais informações, consulte the section called “Oriente Médio(Israel)” (p. 56).

2020-07-07

Suporte atestes defailover dotoolkit deresiliência

Use o recurso Testes de failover do toolkit de resiliência para testar aresiliência das conexões. Para obter mais informações, consulte thesection called “Teste de failover do AWS Direct Connect” (p. 40).

03-06-2020

Suporte àmétrica VIF doCloudWatch

Você pode monitorar conexões físicas do AWS Direct Connecte interfaces virtuais usando o CloudWatch. Para obter maisinformações, consulte the section called “Monitorar o com o AmazonCloudWatch” (p. 138).

11-05-2020

Toolkit deresiliência doDirect ConnectAWS

O Toolkit de resiliência do Direct Connect AWS fornece umassistente de conexão com vários modelos de resiliência que ajudavocê a solicitar conexões dedicadas para atingir seu objetivo de SLA.Para obter mais informações, consulte Usar o Toolkit de resiliênciado Direct Connect AWS para começar (p. 8).

07-10-2019

Suportede regiãoadicional parao AWS TransitGateway emvárias contas

Para obter informações, consulte the section called “Associações degateways de trânsito” (p. 97).

30-09-2019

Suporte doAWS DirectConnect paraAWS TransitGateway

Você pode usar um gateway AWS Direct Connect para conectarsua conexão do AWS Direct Connect por meio de uma interfacevirtual de trânsito às VPCs ou VPNs anexadas ao seu gateway detrânsito. Você associa um gateway Direct Connect com o gatewayde trânsito e cria uma interface virtual de trânsito para sua conexãodo AWS Direct Connect com o gateway Direct Connect. Para obterinformações, consulte the section called “Associações de gatewaysde trânsito” (p. 97).

27/03/2019

Suporte aframes jumbo

Você pode enviar frames jumbo (9001 MTU) pelo AWS DirectConnect. Para obter mais informações, consulte Configuração daMTU de rede para interfaces virtuais privadas ou interfaces virtuaisde trânsito (p. 73).

11/10/2018

ComunidadesBGP depreferêncialocal

Você pode usar as tags de comunidade BGP de preferência localpara obter o balanceamento de carga e a preferência de rota parao tráfego de entrada para sua rede. Para obter mais informações,consulte Comunidades BGP de preferência local (p. 6).

06/02/2018

Gateway AWSDirect Connect

Use um gateway Direct Connect para conectar sua conexão doAWS Direct Connect a VPCs em Regiões remotas. Para obter

01/11/2017

154


Recurso Description (Descrição) Datemais informações, consulte Trabalhar com gateways DirectConnect (p. 86).

Métricasdo AmazonCloudWatch

Você pode visualizar métricas do CloudWatch para suas conexõesdo AWS Direct Connect. Para obter mais informações, consulteMonitorar o com o Amazon CloudWatch (p. 138).

29/06/2017

Grupos deagregação delink

Você pode criar um LAG para agregar várias conexões do AWSDirect Connect. Para obter mais informações, consulte Grupos deagregação de link (p. 81).

13/02/2017

Suporte a IPv6 A interface virtual já pode dar suporte a uma sessão de mesmonível BGP IPv6. Para obter mais informações, consulte Adicionar ouexcluir um par BGP (p. 72).

01/12/2016

Suporte amarcação

Você já pode identificar os recursos do AWS Direct Connect. Paraobter mais informações, consulte Marcar recursos do AWS DirectConnect (p. 105).

04/11/2016

LOA-CFA deautoatendimento

Você já pode baixar a Letter of Authorization and Connecting FacilityAssignment (LOA-CFA - Carta de autorização e atribuição dainstalação de conexão) usando o console ou a API do AWS DirectConnect.

22/06/2016

Novo local noVale do Silício

Tópico atualizado para incluir a adição do novo local no Vale doSilício na Região Oeste dos EUA (Norte da Califórnia).

03/06/2016

Novo local emAmsterdã

Tópico atualizado para incluir a adição do novo local em Amsterdãna Região Europa (Frankfurt).

19/05/2016

Novos locaisem Portland,Oregon eCingapura

Tópico atualizado para incluir a adição dos novos locais em Portland,Oregon e Cingapura nas Regiões Oeste dos EUA (Oregon) e Ásia-Pacífico (Cingapura).

27/04/2016

Novo local emSão Paulo,Brasil

Tópico atualizado para incluir a adição do novo local em São Paulona Região América do Sul (São Paulo).

09/12/2015

Novos locaisem Dallas,Londres, Valedo Silício eMumbai

Tópicos atualizados para incluir a adição de novos locais em Dallas(Região Leste dos EUA (Norte da Virgínia)), em Londres (RegiãoEuropa (Irlanda)), no Vale do Silício (Região AWS GovCloud (US-West)) e em Mumbai (Região Ásia-Pacífico (Cingapura)).

27/11/2015

Novo local naRegião China(Pequim)

Tópicos atualizados para incluir a adição do novo local em Pequimna Região China (Pequim).

14/04/2015

Novo local emLas Vegasna RegiãoOeste dos EUA(Oregon)

Tópicos atualizados para incluir a adição do novo local em LasVegas do AWS Direct Connect na Região Oeste dos EUA (Oregon).

10/11/2014

Nova RegiãoUE (Frankfurt)

Tópicos atualizados para incluir a adição dos novos locais do AWSDirect Connect que atendem à Região UE (Frankfurt).

23/10/2014

155



Novos locaisna RegiãoÁsia-Pacífico(Sydney)

Tópicos atualizados para incluir a adição dos novos locais do AWSDirect Connect que atendem à Região Ásia-Pacífico (Sydney).

14/07/2014

Suporteao AWSCloudTrail

Inclusão de um novo tópico para explicar como você pode usaro CloudTrail para registrar em log uma atividade no AWS DirectConnect. Para obter mais informações, consulte Registrar emlog chamadas de API do AWS Direct Connect usando o AWSCloudTrail (p. 132).

04/04/2014

Suportepara acessoa Regiõesremotas daAWS

Adição de um novo tópico para explicar como você pode acessarrecursos públicos em uma Região remota. Para obter maisinformações, consulte Acessar uma região remota da AWS (p. 3).

19/12/2013

Suporte paraconexõeshospedadas

Tópicos atualizados para incluir suporte a conexões hospedadas. 22/10/2013

Novo local naRegião UE(Irlanda)

Tópicos atualizados para incluir a adição do novo local do AWSDirect Connect que atende à Região UE (Irlanda).

24/06/2013

Novo localem Seattlena RegiãoOeste dos EUA(Oregon)

Tópicos atualizados para incluir a adição do novo local em Seattle doAWS Direct Connect na Região Oeste dos EUA (Oregon).

08/05/2013

Suporte parauso do IAMcom o AWSDirect Connect

Tópico adicionado sobre como usar o AWS Identity and AccessManagement com o AWS Direct Connect. Para obter maisinformações, consulte the section called “Identity and AccessManagement” (p. 110).

21/12/2012

Nova RegiãoÁsia-Pacífico(Sydney)

Tópicos atualizados para incluir a adição do novo local do AWSDirect Connect que atende à Região Ásia-Pacífico (Sydney).

14/12/2012

Novo consoledo AWS DirectConnect e asRegiões Lestedos EUA (Norteda Virgínia) eAmérica do Sul(São Paulo)

Substituição do Guia de conceitos básicos do AWS Direct Connectpelo Guia do usuário do AWS Direct Connect. Adição de novostópicos para abordar o novo console do AWS Direct Connect, adiçãode um tópico de faturamento, adição de informações de configuraçãodo roteador e atualização dos tópicos para incluir a adição de doisnovos locais do AWS Direct Connect que atendem às Regiões Lestedos EUA (Norte da Virgínia) e América do Sul (São Paulo).

13/08/2012

Suporte paraas RegiõesUE (Irlanda),Ásia-Pacífico(Cingapura) eÁsia-Pacífico(Tóquio)

Adição de uma nova seção de solução de problemas e atualizaçãodos tópicos para incluir a adição de quatro novos locais do AWSDirect Connect que atendem às Regiões Oeste dos EUA (Norte daCalifórnia), UE (Irlanda), Ásia-Pacífico (Cingapura) e Ásia-Pacífico(Tóquio).

10/01/2012

156



Suporte para aRegião Oestedos EUA (Norteda Califórnia)

Tópicos atualizados para incluir a adição da Região Oeste dos EUA(Norte da Califórnia).

08/09/2011

Versão pública A primeira versão do AWS Direct Connect. 03/08/2011

157


As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e daversão original em inglês, a versão em inglês prevalecerá.

clviii

aws direct connect€¦ · registrar em log chamadas de api ... • você está trabalhando com um...

Documents