Rede Híbrida: Direct Connect, VPN, PrivateLink e VPC Endpoints
Rede é o tópico mais denso do SAA-C03. Você viu VPC básico e roteamento — agora entra a parte híbrida: como conectar datacenters on-prem, expor serviços privados entre contas, economizar dinheiro com VPC Endpoints e decidir quando usar Direct Connect vs VPN. Essa é a camada que aparece em 4-6 questões de toda prova SAA — e as respostas erradas sempre parecem convincentes.
Os 5 componentes-chave
| Componente | Para quê | Nível |
|---|---|---|
| Site-to-Site VPN | Túnel IPSec on-prem ↔ VPC via internet | Rede pública, criptografada |
| Direct Connect (DX) | Link dedicado (1/10/100 Gbps) on-prem ↔ AWS via parceiro/colo | Rede privada, baixa variabilidade |
| Client VPN | Endpoint OpenVPN para usuários remotos (laptop) acessarem VPC | Usuário final ↔ VPC |
| PrivateLink | Expor serviço de VPC A para VPC B (outra conta) sem compartilhar CIDR | Serviço ↔ Serviço |
| VPC Endpoints (Gateway/Interface) | Acesso privado a serviços AWS (S3, DynamoDB, Secrets Manager...) sem NAT | VPC ↔ AWS Service |
Direct Connect (DX)
Link físico dedicado entre seu datacenter e um AWS Direct Connect Location (colo) via parceiro (Equinix, DigitalRealty). Capacidades padrão: 50/100/200/300/400/500 Mbps (via partner) ou 1/10/100 Gbps (dedicado).
| Tipo de VIF | Acessa |
|---|---|
| Private VIF | Uma VPC via Virtual Private Gateway (VGW) |
| Public VIF | Endpoints públicos da AWS (S3, DynamoDB, EC2 APIs) via IP público |
| Transit VIF | Transit Gateway — uma VIF atinge dezenas de VPCs |
DX sozinho não é criptografado (é link privado, não internet). Para compliance que exige criptografia em trânsito, use MACsec (em DX dedicado 10/100 Gbps) ou VPN por cima do DX (IPSec sobre Public VIF).
Site-to-Site VPN
Túnel IPSec entre Customer Gateway (roteador on-prem) e Virtual Private Gateway (VGW) ou Transit Gateway. A AWS sempre cria 2 túneis redundantes em AZs diferentes para cada VPN connection.
| Aspecto | Site-to-Site VPN | Direct Connect |
|---|---|---|
| Setup | Minutos | Semanas a meses (cross-connect físico) |
| Throughput por túnel | Até 1.25 Gbps | 1/10/100 Gbps garantidos |
| Latência | Variável (internet) | Baixa e estável |
| Custo | ~$0.05/hora + transferência | Mensal + port hours + transferência |
| Criptografia | IPSec (nativa) | Não (use MACsec ou VPN over DX) |
Padrão “cinto e suspensórios”: Direct Connect primary + VPN backup. BGP failover automático se o DX cair.
Client VPN
Endpoint OpenVPN gerenciado para usuários remotos (laptop de home office) acessarem VPC/on-prem. Autenticação via Active Directory, certificados mútuos ou Federated SSO (SAML). Suporta até 20.000 conexões simultâneas por endpoint.
VPC Endpoints: Gateway vs Interface
Optimização clássica de custo: substituir NAT Gateway por VPC Endpoints. Se a VPC privada só acessa S3 + DynamoDB, dois Gateway Endpoints gratuitos tiram a necessidade de NAT (que custa $0.045/hora + $0.045/GB).
PrivateLink
Mecanismo por baixo dos Interface Endpoints — também usado para expor seu próprio serviço a outras VPCs/contas:
Alternativa a VPC Peering quando você não quer compartilhar o CIDR inteiro — só um serviço específico. Marketplace privado de APIs entre contas.
Route 53 Resolver para DNS híbrido
DNS híbrido é a peça esquecida da rede híbrida. Dois tipos de endpoint:
| Endpoint | Fluxo |
|---|---|
| Inbound Resolver Endpoint | On-prem → AWS: servidor DNS on-prem consulta hosted zones privadas da AWS |
| Outbound Resolver Endpoint | AWS → on-prem: EC2 na VPC resolve nomes DNS do datacenter on-prem |
Combine com Resolver Rules para forwardar queries específicas. Exemplo: vai para DNS on-prem, tudo mais resolve normal pela AWS.
Transit Gateway inter-region
Transit Gateways podem ser pareados entre regiões (TGW Peering). Isso cria uma malha global onde VPCs em regiões diferentes, datacenters on-prem via DX e VPNs convergem em um único ponto de controle. Roteamento é feito em route tables do TGW.
TGW inter-region Peering não suporta multicast e tem latência da WAN da AWS. Para apps ultra-low-latency inter-region, considere Global Accelerator.
Cenários arquiteturais
📋 Conectar 3 datacenters (São Paulo, Santiago, Cidade do México) a 12 VPCs em 3 regiões AWS
DX dedica banda por datacenter. TGW em cada região consolida as VPCs. TGW Peering conecta as regiões. Escala bem com mais VPCs/datacenters — adicionar um novo é só criar uma route.
Alt: Mesh de VPC Peering + VPN individual —
Alt: Cloud WAN —
📋 Subnet privada (sem NAT) precisa fazer download de imagens ECR, ler Secrets Manager e escrever em S3
Interface Endpoints custam mas evitam tráfego pela internet e NAT. Gateway Endpoint para S3 é grátis. Zero acesso à internet mantém conformidade.
Alt: NAT Gateway —
Alt: Proxy custom em EC2 —
📋 SaaS publica API privada que 40 clientes AWS querem consumir
Cada cliente cria Interface Endpoint na própria VPC. Sem peering, sem CIDR overlap, sem exposição à internet. Escalável a milhares de clientes.
Alt: API pública com WAF —
Alt: VPC Peering com cada cliente —
Perguntas típicas (Q&A)
❓ Gateway Endpoint funciona entre regiões?
❓ VPC Peering é transitivo?
❓ DX suporta criptografia nativa?
❓ Quando usar Global Accelerator em vez de CloudFront?
Take-aways: DX = dedicado privado · VPN = túnel IPSec pela internet · Client VPN = usuários remotos · PrivateLink = expor serviço entre VPCs/contas · Gateway Endpoint = grátis (só S3 e DynamoDB) · Interface Endpoint = pago (demais) · Route 53 Resolver = DNS híbrido · TGW inter-region = malha global. HA = DX + VPN backup.
Discussão
Carregando…