Advanced networking: RAM, Cloud WAN, Transit Gateway

Transit Gateway: o hub

TGW é o hub de roteamento regional. Cada VPC, VPN, Direct Connect Gateway vira um "attachment". Route tables dentro do TGW decidem quais attachments se enxergam — permite segmentação (prod não fala com dev) sem precisar de security groups adicionais. Scale: até 5.000 attachments por TGW, 50 Gbps por attachment (burstable).

Padrão hub-and-spoke com segmentação:

TGW route tables:
  prod-rt:
    associations: [prod-vpc-a, prod-vpc-b]
    routes:
      10.0.0.0/8   → tgw-attachment-shared-services
      0.0.0.0/0    → tgw-attachment-egress-vpc

  nonprod-rt:
    associations: [dev-vpc, staging-vpc]
    routes:
      10.0.0.0/8   → tgw-attachment-shared-services
      0.0.0.0/0    → tgw-attachment-egress-vpc

  (prod-rt não tem rota pra nonprod — isolamento L3)

RAM + shared VPC: economia em escala

Sem RAM, cada conta cria sua VPC, NAT Gateway ($32/mês + $0.045/GB), VPC endpoints. 50 contas = 50 NAT Gateways. Com shared VPC via RAM: conta Network mantém 2 NATs (uma por AZ), 50 contas lançam workloads nas mesmas subnets. Economia tangível + governance centralizada.

# Conta Network compartilha subnets com Workloads OU
aws ram create-resource-share   --name shared-subnets-prod   --resource-arns arn:aws:ec2:us-east-1:111111111111:subnet/subnet-a,arn:aws:ec2:us-east-1:111111111111:subnet/subnet-b   --principals arn:aws:organizations::111111111111:ou/o-xxx/ou-yyy   --allow-external-principals false

# Na conta Workload: subnets aparecem como "shared", usáveis em EC2/RDS/ECS
aws ec2 describe-subnets --filters Name=owner-id,Values=111111111111

💡

Security groups em shared VPC: conta participant cria seus próprios SGs. Você pode referenciar SG de outra conta como source — padrão para microserviços cross-account na mesma VPC compartilhada.

Cloud WAN: global WAN como serviço

Para topologias globais (5+ regiões, dezenas de sites on-prem), Cloud WAN unifica configuração. Você define "core network" declarativo (YAML) com segments (equivalente a route tables), attachments (VPCs/VPNs/DX), policies. AWS propaga automaticamente entre regiões. Substitui arquitetura "TGW por região + TGW peering mesh" que vira ingovernável.

✅

Regra de bolso: 1-2 regiões com até 20 VPCs → Transit Gateway suficiente. 3+ regiões globais ou 50+ VPCs → considere Cloud WAN pra reduzir operational overhead.

Transit Gateway: o hub

Padrão hub-and-spoke com segmentação:

TGW route tables:
  prod-rt:
    associations: [prod-vpc-a, prod-vpc-b]
    routes:
      10.0.0.0/8   → tgw-attachment-shared-services
      0.0.0.0/0    → tgw-attachment-egress-vpc

  nonprod-rt:
    associations: [dev-vpc, staging-vpc]
    routes:
      10.0.0.0/8   → tgw-attachment-shared-services
      0.0.0.0/0    → tgw-attachment-egress-vpc

  (prod-rt não tem rota pra nonprod — isolamento L3)

RAM + shared VPC: economia em escala

# Conta Network compartilha subnets com Workloads OU
aws ram create-resource-share   --name shared-subnets-prod   --resource-arns arn:aws:ec2:us-east-1:111111111111:subnet/subnet-a,arn:aws:ec2:us-east-1:111111111111:subnet/subnet-b   --principals arn:aws:organizations::111111111111:ou/o-xxx/ou-yyy   --allow-external-principals false

# Na conta Workload: subnets aparecem como "shared", usáveis em EC2/RDS/ECS
aws ec2 describe-subnets --filters Name=owner-id,Values=111111111111

💡

Cloud WAN: global WAN como serviço

✅

Regra de bolso: 1-2 regiões com até 20 VPCs → Transit Gateway suficiente. 3+ regiões globais ou 50+ VPCs → considere Cloud WAN pra reduzir operational overhead.

Transit Gateway: o hub

RAM + shared VPC: economia em escala

Cloud WAN: global WAN como serviço

Próximos passos sugeridos

Discussão

Advanced networking: RAM, Cloud WAN, Transit Gateway

Transit Gateway: o hub

RAM + shared VPC: economia em escala

Cloud WAN: global WAN como serviço

Próximos passos sugeridos

Discussão