Como posso permitir a comunicação entre várias VPCs a partir de uma única conexão VPN conectada ao meu gateway de trânsito, sem permitir o acesso entre as VPCs?

Breve descrição

Se você tiver duas VPCs, como ambientes de produção e desenvolvimento, com uma única conexão VPN, siga estas etapas para estabelecer a conectividade de rede entre recursos em várias VPCs para que:

• Os usuários on-premises possam acessar recursos de todas as VPCs na VPN
• Os recursos da VPC não possam acessar recursos nas outras VPCs

Resolução

Crie um gateway de trânsito e conecte suas VPCs e uma VPN site a site

1. No console do Amazon Virtual Private Cloud (Amazon VPC), crie um gateway de trânsito.
   Observação: desative a configuração da tabela de rotas de Associação padrão ao criar seu gateway de trânsito.
2. Conecte suas VPCs ao gateway de trânsito.
3. Crie uma conexão VPN site a site e conecte-a ao seu gateway de trânsito.
   Observação: Para propagar automaticamente rotas VPN para a tabela de rotas do gateway de trânsito, escolha Dinâmico para Opção de roteamento. Essa opção requer o Border Gateway Protocol.

Crie uma tabela de rotas de gateway de trânsito e associe-a às suas VPCs

1. Abra o console da Amazon VPC.
2. No painel de navegação, escolha Transit gateways.
3. Verifique se a configuração da Tabela de rotas de associação padrão para o gateway de trânsito está definida como Desabilitada.
   Observação: se a Tabela de rotas associadas padrão estiver definida como Habilitada, pule para a etapa 9.
4. Escolha Tabelas de rotas do gateway de trânsito.
5. Escolha Criar tabela de rotas do gateway de trânsito.
   Em Etiqueta de nome, insira Tabela de rotas A.
   Para ID do gateway de trânsito, escolha o ID do gateway de trânsito.
   Em seguida, escolha Criar tabela de rotas do gateway de trânsito.
6. Escolha a Tabela de rotas A que você criou na etapa anterior ou a tabela de rotas padrão do gateway de trânsito.
7. Escolha Associações e Criar associação.
8. Em Escolher anexo para associar, escolha os IDs de associação para suas VPCs. Em seguida, escolha Criar associação. Repita essa etapa até que todas as suas VPCs sejam exibidas em Associação.
9. Exclua a associação VPN da tabela de rotas do gateway de trânsito padrão.

Crie uma segunda tabela de rotas de gateway de trânsito e associe-a à sua conexão VPN

1. No console da Amazon VPC, escolha Tabela de rotas do gateway de trânsito.
2. Escolha Criar tabela de rotas do gateway de trânsito.
   Em Etiqueta de nome, insira Tabela de rotas B.
   Para ID do Gateway de trânsito, escolha o ID do gateway de trânsito.
   Em seguida, escolha Criar tabela de rotas do gateway de trânsito.
3. Escolha a Tabela de Rotas B que você criou na etapa anterior
4. Escolha Associações e Criar associação.
5. Associe a conexão VPN que você criou com a Tabela de Rotas B.

Propagar rotas de suas VPCs e VPN para ambas as tabelas de rotas

1. No console da Amazon VPC, escolha Tabela de rotas do gateway de trânsito.
2. Selecione Tabela de rotas A.
3. Escolha Ações e Criar propagação.
4. Em Escolher anexo para propagar, escolha a propagação para a VPN. Se você tiver a propagação habilitada para todos os anexos, verifique se a associação de conexão VPN não está habilitada nesta tabela de rotas.
   Importante: Se você criou uma conexão VPN de rota estática, em vez de roteamento dinâmico, deverá criar uma rota estática para a rede on-premises para a VPN na Tabela de Rotas A. Para conexões VPN estáticas baseadas em diretivas, somente um par de associação de segurança (SA) é permitido. Consolide o CIDR e o CIDR on-premises de VPCs em uma única SA. Para obter mais informações, consulte Como soluciono problemas de conexão entre um endpoint VPN da AWS e uma VPN baseada em políticas?
5. Escolha Criar propagação.
6. Nas Tabelas de rotas do gateway de trânsito, selecione Tabela de rotas B.
7. Escolha Ações e Criar propagação.
8. Em Escolher anexo para propagar, escolha a propagação para todas as VPCs. Em seguida, escolha Criar propagação.

Configure a tabela de rotas associada à sua VPC e à sub-rede de anexos

1. No console da Amazon VPC, escolha Tabelas de rotas.
2. Escolha a tabela de rotas anexada à sub-rede de anexos.
3. Escolha a guia Rotas e Editar rotas.
4. Escolha a guia Adicionar rota.
   Em Destino, escolha a sub-rede da rede on-premises.
   Em Destino, escolha seu gateway de trânsito.
5. Escolha Salvar rotas.

Observação: se o seu caso de uso exigir acesso mais restritivo entre as VPCs, crie uma tabela de rotas diferente para cada VPC e configure as rotas. Tenha em mente:

• O roteamento na tabela de rotas do gateway de trânsito é baseado na associação da associação do gateway de trânsito e da tabela de rotas do gateway de trânsito.
• Você pode configurar rotas para qualquer destino no anexo do gateway de trânsito em qualquer tabela de rotas do gateway de trânsito. O anexo do gateway de trânsito não precisa ser associado a essa tabela de rotas específica.