As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Site-to-Site VPN cenários arquitetônicos
Veja a seguir os cenários em que você pode criar várias conexões VPN com um ou mais dispositivos de gateway do cliente.
**Várias conexões VPN usando o mesmo dispositivo de gateway do cliente**
Você pode criar conexões VPN adicionais de sua localização local para outra VPCs usando o mesmo dispositivo de gateway do cliente. É possível reutilizar o mesmo endereço IP de gateway do cliente para cada uma das conexões VPN.
**Vários dispositivos de gateway do cliente em um único gateway privado virtual (Site-to-Site VPN CloudHub)**
É possível estabelecer várias conexões VPN com um único gateway privado virtual a partir de vários gateways do cliente. Isso permite que você tenha vários locais conectados à AWS VPN CloudHub. Para obter mais informações, consulte [Comunicação segura entre AWS Site-to-Site VPN conexões usando VPN CloudHub](VPN_CloudHub.md). Quando há dispositivos de gateway do cliente em várias localizações geográficas, cada dispositivo deve anunciar um conjunto exclusivo de intervalos de IP específicos da localização.
**Conexão VPN redundante usando um segundo dispositivo de gateway do cliente**
Para se proteger contra uma perda de conectividade, caso o dispositivo de gateway do cliente fique indisponível, é possível configurar uma segunda conexão VPN usando um segundo dispositivo de gateway do cliente. Para obter mais informações, consulte [Conexões do AWS Site-to-Site VPN redundantes para failover](vpn-redundant-connection.md). Ao estabelecer dispositivos de gateway do cliente redundantes em uma única localização, os dois dispositivos devem anunciar os mesmos intervalos de IP.
A seguir estão as arquiteturas comuns de Site-to-Site VPN:
+ [Conexões VPN única e múltipla](Examples.md)
+ [Conexões do AWS Site-to-Site VPN redundantes para failover](vpn-redundant-connection.md)
+ [Comunicações seguras entre conexões VPN usando VPN CloudHub](VPN_CloudHub.md)
# Exemplos de conexão única e de várias conexões VPN do AWS Site-to-Site VPN
Os diagramas a seguir exibem tanto uma única como várias conexões da Site-to-Site VPN.
**Topics**
+ [Conexão única da Site-to-Site VPN](#SingleVPN)
+ [Conexão única da Site-to-Site VPN com um gateway de trânsito](#SingleVPN-transit-gateway)
+ [Várias conexões da Site-to-Site VPN](#MultipleVPN)
+ [Várias conexões da Site-to-Site VPN com um gateway de trânsito](#MultipleVPN-transit-gateway)
+ [Conexão Site-to-Site VPN com Direct Connect](#vpn-direct-connect)
+ [Conexão Site-to-Site VPN de IP privado com o Direct Connect](#private-ip-direct-connect)
## Conexão única da Site-to-Site VPN
A VPC tem um gateway privado virtual anexado, e a rede on-premises (remota) inclui um dispositivo de gateway do cliente que precisa ser configurado para habilitar a conexão VPN. É necessário atualizar as tabelas de rotas da VPC para que qualquer tráfego da VPC vinculado à rede vá para o gateway privado virtual.
![\[Uma VPC tem um gateway privado virtual anexado e uma conexão VPN com a rede on-premises.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)
Para conhecer as etapas para configurar esse cenário, consulte [Comece com AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Conexão única da Site-to-Site VPN com um gateway de trânsito
A VPC tem um gateway de trânsito anexado, e a rede on-premises (remota) inclui um dispositivo de gateway do cliente que precisa ser configurado para habilitar a conexão VPN. É necessário atualizar as tabelas de rota da VPC para que qualquer tráfego da VPC vinculado à rede vá para o gateway de trânsito.
![\[Uma conexão única da Site-to-Site VPN com um gateway de trânsito.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)
Para conhecer as etapas para configurar esse cenário, consulte [Comece com AWS Site-to-Site VPN](SetUpVPNConnections.md).
## Várias conexões da Site-to-Site VPN
A VPC tem um gateway privado virtual anexado e você tem várias conexões da Site-to-Site VPN a várias localidades no local. Configure o roteamento para que qualquer tráfego da VPC vinculado às redes seja roteado para o gateway privado virtual.
![\[Várias conexões da Site-to-Site VPN\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/branch-offices-vgw.png)
Ao estabelecer várias conexões da Site-to-Site VPN para uma única VPC, é possível configurar um segundo gateway do cliente e, assim, criar uma conexão redundante para o mesmo local externo. Para obter mais informações, consulte [Conexões do AWS Site-to-Site VPN redundantes para failover](vpn-redundant-connection.md).
Você também pode usar esse cenário para criar conexões da Site-to-Site VPN com várias localizações geográficas e fornecer comunicação segura entre sites. Para obter mais informações, consulte [Comunicação segura entre AWS Site-to-Site VPN conexões usando VPN CloudHub](VPN_CloudHub.md).
## Várias conexões da Site-to-Site VPN com um gateway de trânsito
A VPC tem um gateway de trânsito anexado e você tem várias conexões da Site-to-Site VPN para vários locais. Configure o roteamento para que qualquer tráfego da VPC vinculado às suas redes seja roteado para o gateway de trânsito.
![\[Várias conexões da Site-to-Site VPN com um gateway de trânsito\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/branch-offices-tgw.png)
Ao estabelecer várias conexões da Site-to-Site VPN para um único gateway de trânsito, é possível configurar um segundo gateway do cliente e, assim, criar uma conexão redundante para o mesmo local externo.
Você também pode usar esse cenário para criar conexões da Site-to-Site VPN com várias localizações geográficas e fornecer comunicação segura entre sites.
## Conexão Site-to-Site VPN com Direct Connect
A VPC tem um gateway privado virtual conectado e se conecta à sua rede local (remota) por meio do Direct Connect AWS Direct Connect. É possível configurar uma interface virtual pública do Direct Connect Direct Connect para estabelecer uma conexão de rede dedicada entre sua rede e os recursos públicos da AWS por meio de um gateway privado virtual. Você deve configurar o roteamento para que qualquer tráfego da VPC salte das rotas de rede para o gateway privado virtual e a conexão do Direct Connect.
![\[Conexão Site-to-Site VPN com Direct Connect\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/vpn-direct-connect.png)
Quando o Direct Connect e a conexão VPN são configurados no mesmo gateway privado virtual, adicionar ou remover objetos pode fazer com que o gateway privado virtual entre no estado de “anexação”. Isso indica que uma alteração está sendo feita no roteamento interno que alternará entre o Direct Connect e a conexão VPN para minimizar interrupções e perda de pacotes. Quando isso estiver concluído, o gateway privado virtual retorna ao estado “anexado”.
## Conexão Site-to-Site VPN de IP privado com o Direct Connect
Com uma Site-to-Site VPN de IP privado, você pode criptografar o tráfego do Direct Connect entre a rede on-premises e a AWS sem o uso de endereços IP públicos. A VPN de IP privado sobre o Direct Connect garante que o tráfego entre a AWS e as redes on-premises seja seguro e privado, permitindo que os clientes cumpram ordens regulamentares e de segurança.
![\[Conexão Site-to-Site VPN de IP privado com o Direct Connect\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/private-ip-dx.png)
Para obter mais informações, consulte a seguinte publicação do blog: [Apresentação das VPNs de IP privadas do AWS Site-to-Site VPN](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/).
# Comunicação segura entre AWS Site-to-Site VPN conexões usando VPN CloudHub
Se você tiver várias AWS Site-to-Site VPN conexões, poderá fornecer comunicação segura entre sites usando a AWS VPN CloudHub. Isso permite que os sites comuniquem-se entre si e não somente com os recursos na VPC. A VPN CloudHub opera em um hub-and-spoke modelo simples que você pode usar com ou sem uma VPC. Esse design é adequado se você tiver várias filiais e conexões de Internet existentes e quiser implementar um hub-and-spoke modelo conveniente e potencialmente de baixo custo para conectividade primária ou de backup entre esses locais.
## Visão geral do
O diagrama a seguir mostra a CloudHub arquitetura da VPN. As linhas tracejadas mostram o tráfego de rede entre sites remotos roteado pelas conexões VPN. Os sites não devem ter intervalos de IP sobrepostos.
![\[CloudHub diagrama de arquitetura\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)
Para este cenário, faça o seguinte:
1. Crie um único gateway privado virtual.
1. Crie vários gateways do cliente, cada um com o endereço IP público do gateway. Você deve usar um número de sistema autônomo (ASN) do Protocolo de Gateway da Borda (BGP) exclusivo para cada gateway do cliente.
1. Crie uma conexão Site-to-Site VPN roteada dinamicamente de cada gateway do cliente para o gateway privado virtual comum.
1. Configure cada dispositivo de gateway do cliente para anunciar um prefixo específico do site (como 10.0.0.0/24, 10.0.1.0/24) para o gateway privado virtual. Esses anúncios de roteamento são recebidos e novamente anunciados para cada ponto BGP, permitindo o envio e o recebimento de dados entre os sites. Isso é feito usando as instruções de rede nos arquivos de configuração da VPN para a conexão Site-to-Site VPN. As instruções da rede diferem ligeiramente, dependendo do tipo de roteador usado.
1. Configure as rotas em suas tabelas de rotas de sub-rede para permitir que as instâncias em sua VPC se comuniquem com seus sites. Para obter mais informações, consulte [(Gateway privado virtual) Habilitar a propagação de rotas na tabela de rotas](SetUpVPNConnections.md#vpn-configure-routing). É possível configurar uma rota agregada na tabela de rotas (por exemplo, 10.0.0.0/16). Use prefixos mais específicos entre os dispositivos de gateway do cliente e o gateway privado virtual.
Sites que usam Direct Connect conexões com o gateway privado virtual também podem fazer parte da AWS VPN CloudHub. Por exemplo, sua sede corporativa em Nova York pode ter uma Direct Connect conexão com a VPC e suas filiais podem usar conexões Site-to-Site VPN com a VPC. As filiais em Los Angeles e Miami podem enviar e receber dados umas com as outras e com a sede da sua empresa, todas usando a AWS VPN CloudHub.
## Preços
Para usar AWS VPN CloudHub, você paga taxas de conexão Site-to-Site VPN típicas da Amazon VPC. A quantia devida pela taxa de conexão é calculada pelo total de horas em que cada VPN esteve conectada ao gateway privado virtual. Quando você envia dados de um site para outro usando a AWS VPN CloudHub, não há custo para enviar dados do seu site para o gateway privado virtual. Você só paga as taxas de transferência de dados padrão da AWS referentes aos dados que são retransmitidos do gateway privado virtual para o endpoint.
Por exemplo, se você tem um site em Los Angeles e um segundo site em Nova York e os dois sites têm uma conexão Site-to-Site VPN com o gateway privado virtual, você paga a taxa por hora para cada conexão Site-to-Site VPN (portanto, se a taxa fosse de \$10,05 por hora, seria um total de \$10,10 por hora). Você também paga as taxas de transferência de AWS dados padrão para todos os dados enviados de Los Angeles para Nova York (e vice-versa) que atravessam cada Site-to-Site conexão VPN. O tráfego de rede enviado pela conexão Site-to-Site VPN para o gateway privado virtual é gratuito, mas o tráfego de rede enviado pela conexão Site-to-Site VPN do gateway privado virtual para o endpoint é cobrado de acordo com a taxa de transferência de AWS dados padrão.
Para obter mais informações, consulte [Site-to-Site Definição de preço da conexão VPN](https://aws.amazon.com/vpn/pricing/).
# Conexões do AWS Site-to-Site VPN redundantes para failover
A indisponibilidade do gateway do cliente acarreta a perda de conectividade. Para se proteger, adicione um segundo gateway do cliente e configure uma segunda conexão da Site-to-Site VPN à sua VPC e para o gateway privado virtual. O uso de conexões VPN e dispositivos de gateway do cliente redundantes permite executar a manutenção de um dos gateways enquanto o tráfego flui por meio da conexão VPN do segundo gateway do cliente.
O diagrama a seguir mostra as duas conexões VPN. Cada conexão VPN tem seus próprios túneis e seu próprio gateway do cliente.
![\[Uma conexão VPN redundante com dois gateways do cliente para a mesma rede on-premises.\]](http://docs.aws.amazon.com/pt_br/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)
Para este cenário, faça o seguinte:
+ Configure uma segunda conexão da Site-to-Site VPN usando o mesmo gateway privado virtual e criando um gateway do cliente. O endereço IP do gateway do cliente para a segunda conexão da Site-to-Site VPN deve ser acessível ao público.
+ Configure um segundo dispositivo de gateway do cliente. Os dois dispositivos devem anunciar os mesmos intervalos de IP para o gateway privado virtual. Usamos o roteamento BGP a fim de determinar o caminho para o tráfego. Se ocorrer uma falha no dispositivo de gateway do cliente, o gateway privado virtual direcionará todo o tráfego para o dispositivo de gateway do cliente em funcionamento.
As conexões da Site-to-Site VPN roteadas dinamicamente usam o Border Gateway Protocol (BGP) para trocar informações de roteamento entre os gateways do cliente e os gateways privados virtuais. As conexões da Site-to-Site VPN roteadas estaticamente requerem que as rotas estáticas sejam inseridas na rede remota situada no seu lado do gateway do cliente. As informações de rotas anunciadas em BGP e estaticamente inseridas permitem os gateways em ambos os lados, indicando a disponibilidade dos túneis e redirecionando o tráfego, caso ocorra uma falha. Recomendamos que configure a rede para usar as informações de roteamento fornecidas pelo BGP (se disponível) e, assim, selecionar um caminho disponível. A configuração exata depende da arquitetura da rede.
Para obter mais informações sobre como criar e configurar um gateway do cliente e uma conexão da Site-to-Site VPN, consulte [Comece com AWS Site-to-Site VPN](SetUpVPNConnections.md).