Estoy tratando de ayudar en una investigación para un proyecto donde necesitamos diseñar una plataforma AWS. El cliente no está seguro de si usar Direct Connect o varias conexiones VPN. No estoy seguro de cuán grande es el grupo, pero digamos que son unos 50 usuarios. Y en cuanto a casos de uso, nada fuera de lo común.
¿Hay un gran beneficio en usar Direct Connect sobre VPN o viceversa? Parece que en términos de precio, es difícil calcular cuánto costaría Direct Connect. En términos de seguridad y beneficios para un gran número de usuarios, ¿hay diferencias?
Aunque hace unos 2 años que tuve que investigar sobre esto, Direct Connect es mucho más caro debido a los costes de capa 1. Muchas de las ubicaciones son Equinix y sus conexiones cruzadas tienen un precio premium. Luego tienes que decidir cómo terminas esa conexión. ¿Bizarras tu propio equipo o deseas un proveedor intermedio? Si recuerdo bien, la conexión solo te da acceso intra-región y no inter-región.
Realmente dependerá de tus costos totales y tu SLA interno. Por ejemplo, ¿cómo te factura tu tránsito? ¿Hay preocupaciones de latencia? ¿Tienes una terminación VPN que maneje el tráfico?
Muchos aspectos a considerar, pero al final, el túnel IPsec será la opción más económica de implementar y tiene el coste inicial más barato.
Terminamos usando algunos túneles S2S para nuestras VPCs. Investigamos la opción de conexión directa, hasta el punto en que teníamos terceros listos para comenzar las instalaciones de las conexiones necesarias… al final, VPN ganó. La conexión directa habría sido bastante cara, y eso sin contar los costos de datos de AWS entrantes y salientes por gigabyte.
DirectConnect será probablemente más estable, tendrá mejor latencia y un SLA. Si la conectividad privada de tu VPC es crucial para producción, vale la pena considerarlo. Será más caro ya que básicamente obtienes un enlace WAN privado directo al centro de datos de AWS.
IPSEC VPN será mucho más barato, pero como pasa por internet pública, no tendrás los mismos SLA, probablemente tenga una latencia un poco más alta, y podría no ser tan resistente. Sin embargo, puedes poner dos gateways VPN en tu VPC para aliviar problemas de redundancia, y puedes tener dos proveedores de internet en tu frontera de internet en tus centros de datos.
Si tienes mucho ancho de banda, el hardware para encriptarlo se vuelve mega caro. Hasta 4 Gb de ancho de banda, puedes usar un pequeño ASR. Más allá de eso, prepárate para gastar mucho dinero. Yo optaría por VPNs a menos que tengas requisitos de capacidad que te impulsen a usar conexión directa.
El VPN tiene problemas importantes que han estado presentes durante más de 3 años. Si no necesitas acceso en tiempo real con casi 100% de disponibilidad, estás bien. Si lo necesitas, usa conexión directa.
En cuanto a seguridad, Direct Connect NO está encriptado, mientras que VPN sí, sin embargo, si configuras una ruta via bgp en la conexión directa y el inquilino intenta enrutarse estáticamente a una instancia o IGW, la conexión directa gana (contra las prácticas normales de enrutamiento).
Acabo de eliminar los VPN de AWS y reemplazarlos con DMVPN desde un Cisco CSR1000v, también estoy en proceso de migrar eventualmente a conexión directa y usar DMVPN como respaldo entre regiones y para conmutación por fallo.
Con conexión directa, ten en cuenta que es un costo de proveedor mensual… incluso si no la usas. Además, creo que la facturación para D.C. también incluye el ancho de banda en el lado de AWS. Todo dependerá de sus necesidades y la velocidad, etc.
La principal ventaja de Direct Connect es la menor latencia. DC también tiene una desventaja importante: no está encriptado.
También debes tener en cuenta, ¿qué pasa si tu enlace de DC falla? Si usas direcciones privadas, estarás en problemas. Si usas direcciones públicas, el tráfico fluirá por tu peering de tránsito (o tu peering de Amazon IX, que espero también hayas configurado).
Estamos considerando esto para un cliente. Nuestro plan es poner el enlace principal sobre DC mediante VPN a las direcciones públicas, y dejar que los respaldos de IX y tránsito fallen automáticamente. Cuando falle, la VPN debería mantenerse activa pero con mayor latencia.
¿Por qué? Acabo de configurar uno de estos por primera vez y es muy estable. También configuré un túnel ipsec alternativo con openswan para comparar. Openswan en un t2micro gana en latencia.
Haciendo mucho más con otros productos AWS como Redshift, EMR, DataPipeline. La mayor parte del trabajo de desarrollo se realizará dentro de la consola de AWS. Sin embargo, mucho del software para el usuario final (Redshift, herramientas de informes) se conectará a través de ese software.
Esto, todos olvidan que es el costo de la conexión directa + circuito. Si usas el CSR1000v para la conexión directa, también debes incluir el costo del sistema operativo CSR y el almacenamiento/cálculo.
La conexión directa no va a los centros de datos de AWS, va a una instalación intermedia (Centros de datos Equinix) y desde allí a una conexión con la instalación de AWS, seguramente fibra oscura.
Ah, eso no lo había considerado en serio. Entonces, digamos que usamos conexión directa y consulto una tabla de Redshift que tiene 1 TB. Quiero ver toda la tabla. ¿Nos cobrarían por los 1 TB completos?
Un punto adicional, tu conexión directa realmente no es una conexión directa. Vas a un centro de conexiones (Equinix) y desde allí se realiza una conexión a AWS. Recientemente tuve esta discusión con un L3. AWS es reservada respecto a dónde están sus DCs, supongo.
Consultando una base de datos no debería hacer que todos sus datos viajen por la red. Pero no puedo responder preguntas específicas de Redshift porque no sé nada sobre ello.
Sin embargo, me refería más a que enviar 4Gbps de tráfico encriptado es muy caro en hardware, no en AWS. Como… un router capaz de eso podría costar más de 100K. Pero con conexión directa, no necesitas una cosa IPSEC muy rápida, así que un solo switch de 10Gb es barato.