Rede Híbrida: Direct Connect, VPN, PrivateLink e VPC Endpoints
Rede é o tópico mais denso do SAA-C03. Você viu VPC básico e roteamento — agora entra a parte híbrida: como conectar datacenters on-prem, expor serviços privados entre contas, economizar dinheiro com VPC Endpoints e decidir quando usar Direct Connect vs VPN. Essa é a camada que aparece em 4-6 questões de toda prova SAA — e as respostas erradas sempre parecem convincentes.
Os 5 componentes-chave
| Componente | Para quê | Nível |
|---|---|---|
| Site-to-Site VPN | Túnel IPSec on-prem ↔ VPC via internet | Rede pública, criptografada |
| Direct Connect (DX) | Link dedicado (1/10/100 Gbps) on-prem ↔ AWS via parceiro/colo | Rede privada, baixa variabilidade |
| Client VPN | Endpoint OpenVPN para usuários remotos (laptop) acessarem VPC | Usuário final ↔ VPC |
| PrivateLink | Expor serviço de VPC A para VPC B (outra conta) sem compartilhar CIDR | Serviço ↔ Serviço |
| VPC Endpoints (Gateway/Interface) | Acesso privado a serviços AWS (S3, DynamoDB, Secrets Manager...) sem NAT | VPC ↔ AWS Service |
Direct Connect (DX)
Link físico dedicado entre seu datacenter e um AWS Direct Connect Location (colo) via parceiro (Equinix, DigitalRealty). Capacidades padrão: 50/100/200/300/400/500 Mbps (via partner) ou 1/10/100 Gbps (dedicado).
On-prem Router ←───── Colo (DX Location) ─────→ AWS
│ │ │
│ Cross-connect │ │
└─────────────────────┼───── DX Connection ───┘
│
Virtual Interfaces (VIFs)
│
┌────────────┼──────────────┐
▼ ▼ ▼
Private VIF Public VIF Transit VIF
(1 VPC) (AWS públicos) (TGW = muitas VPCs)
| Tipo de VIF | Acessa |
|---|---|
| Private VIF | Uma VPC via Virtual Private Gateway (VGW) |
| Public VIF | Endpoints públicos da AWS (S3, DynamoDB, EC2 APIs) via IP público |
| Transit VIF | Transit Gateway — uma VIF atinge dezenas de VPCs |
Site-to-Site VPN
Túnel IPSec entre Customer Gateway (roteador on-prem) e Virtual Private Gateway (VGW) ou Transit Gateway. A AWS sempre cria 2 túneis redundantes em AZs diferentes para cada VPN connection.
| Aspecto | Site-to-Site VPN | Direct Connect |
|---|---|---|
| Setup | Minutos | Semanas a meses (cross-connect físico) |
| Throughput por túnel | Até 1.25 Gbps | 1/10/100 Gbps garantidos |
| Latência | Variável (internet) | Baixa e estável |
| Custo | ~$0.05/hora + transferência | Mensal + port hours + transferência |
| Criptografia | IPSec (nativa) | Não (use MACsec ou VPN over DX) |
Client VPN
Endpoint OpenVPN gerenciado para usuários remotos (laptop de home office) acessarem VPC/on-prem. Autenticação via Active Directory, certificados mútuos ou Federated SSO (SAML). Suporta até 20.000 conexões simultâneas por endpoint.
VPC Endpoints: Gateway vs Interface
| Gateway Endpoint | Interface Endpoint (PrivateLink) | |
|---|---|---|
| Serviços | APENAS S3 e DynamoDB | Quase todos os outros (KMS, Secrets Manager, SNS, SQS, ECR, SageMaker, etc.) |
| Como funciona | Rota na Route Table apontando para o endpoint | ENI com IP privado em cada AZ da subnet |
| Custo | GRÁTIS | $0.01/hora por AZ + $0.01/GB processado |
| DNS | Usa endpoint público normal, AWS routing faz o resto | DNS privado: resolve nome público para IP privado do ENI |
| Escopo | Dentro da mesma região | Dentro da mesma região |
PrivateLink
Mecanismo por baixo dos Interface Endpoints — também usado para expor seu próprio serviço a outras VPCs/contas:
Conta Produtor (VPC-B) Conta Consumidor (VPC-A)
┌─────────────────────┐ ┌─────────────────────┐
│ Serviço (EC2/ECS) │ │ App precisa consumir│
│ ▲ │ │ │ │
│ │ (TCP) │ │ ▼ │
│ Network Load │ │ Interface Endpoint │
│ Balancer (privado) │ │ (ENI com IP privado)│
│ ▲ │ │ │ │
│ Endpoint Service │←─────── cross-account ───────┘ │
└─────────────────────┘ comunicação privada └─────────────────────┘
Vantagem: sem peering, sem CIDR compartilhado, só o endpoint enxerga.
Alternativa a VPC Peering quando você não quer compartilhar o CIDR inteiro — só um serviço específico. Marketplace privado de APIs entre contas.
Route 53 Resolver para DNS híbrido
DNS híbrido é a peça esquecida da rede híbrida. Dois tipos de endpoint:
| Endpoint | Fluxo |
|---|---|
| Inbound Resolver Endpoint | On-prem → AWS: servidor DNS on-prem consulta hosted zones privadas da AWS |
| Outbound Resolver Endpoint | AWS → on-prem: EC2 na VPC resolve nomes DNS do datacenter on-prem |
*.corp.empresa.com vai para DNS on-prem, tudo mais resolve normal pela AWS.Transit Gateway inter-region
Transit Gateways podem ser pareados entre regiões (TGW Peering). Isso cria uma malha global onde VPCs em regiões diferentes, datacenters on-prem via DX e VPNs convergem em um único ponto de controle. Roteamento é feito em route tables do TGW.
Cenários arquiteturais
📋 Conectar 3 datacenters (São Paulo, Santiago, Cidade do México) a 12 VPCs em 3 regiões AWS
DX dedica banda por datacenter. TGW em cada região consolida as VPCs. TGW Peering conecta as regiões. Escala bem com mais VPCs/datacenters — adicionar um novo é só criar uma route.
Alt: Mesh de VPC Peering + VPN individual — não transitivo, vira pesadelo com 12+ VPCs.
Alt: Cloud WAN — mais novo, camada de automação sobre TGW.
📋 Subnet privada (sem NAT) precisa fazer download de imagens ECR, ler Secrets Manager e escrever em S3
Interface Endpoints custam mas evitam tráfego pela internet e NAT. Gateway Endpoint para S3 é grátis. Zero acesso à internet mantém conformidade.
Alt: NAT Gateway — ~$33/mês + $0.045/GB — caro em alta transferência.
Alt: Proxy custom em EC2 — overhead operacional.
📋 SaaS publica API privada que 40 clientes AWS querem consumir
Cada cliente cria Interface Endpoint na própria VPC. Sem peering, sem CIDR overlap, sem exposição à internet. Escalável a milhares de clientes.
Alt: API pública com WAF — expõe à internet.
Alt: VPC Peering com cada cliente — O(N) trabalho, impossível na prática.
Perguntas típicas (Q&A)
❓ Gateway Endpoint funciona entre regiões?
❓ VPC Peering é transitivo?
❓ DX suporta criptografia nativa?
❓ Quando usar Global Accelerator em vez de CloudFront?
Quiz rápido
3 perguntas · Acerte tudo e ganhe o badge 🎯 Gabarito