SAA-C03
Deep Dive
SAA-C03 pone a prueba tu capacidad de diseñar conectividad entre on-premises y AWS. Direct Connect ofrece ancho de banda dedicado y latencia consistente. VPN es rápido de implementar y cifrado. Transit Gateway escala la conectividad entre cientos de VPCs. Necesitas saber cuándo usar cada uno y cómo combinarlos.
Contenido
Direct Connect (DX) es una conexión de red privada y dedicada entre tu data center on-premises y AWS. No pasa por Internet público — va a través de un partner de Direct Connect o directamente a una ubicación de AWS.
Clave: latencia consistente y predecible, ancho de banda garantizado (1 Gbps o 10 Gbps). El tráfico no atraviesa Internet — mayor seguridad y rendimiento.
Conexión dedicada
1 Gbps o 10 Gbps directamente desde AWS a la ubicación del partner. Tiempo de aprovisionamiento: semanas o meses.
Cuándo usar
Grandes volúmenes de datos, workloads sensibles a latencia, migración masiva.
Conexión hosted
A través de partner de Direct Connect. Velocidades más flexibles (50 Mbps – 10 Gbps). Tiempo de aprovisionamiento: días.
Cuándo usar
Menor ancho de banda requerido, mayor flexibilidad, aprovisionamiento más rápido.
Virtual Interfaces (VIFs) — tipos
Conecta a recursos dentro de una VPC mediante Virtual Private Gateway. Para acceder a EC2, RDS, etc.
Accede a servicios públicos de AWS (S3, DynamoDB, SQS) sin pasar por Internet. Usa IPs públicas de AWS pero por la conexión privada DX.
Conecta a Transit Gateway. Necesario cuando tienes múltiples VPCs. Requiere Direct Connect Gateway.
Trampa de examen
Direct Connect NO está cifrado por defecto. Si necesitas cifrado, añade una conexión VPN sobre el DX (DX + VPN = IPSec sobre fibra dedicada). Combinar DX + VPN da lo mejor de ambos: rendimiento + cifrado.
VPN establece un túnel IPSec cifrado sobre Internet público entre on-premises y una VPC. Se aprovisiona en minutos. Ideal como backup de Direct Connect o para conectividad inicial rápida.
Virtual Private Gateway (VGW)
Componente AWS que termina la conexión VPN del lado de la VPC. Se adjunta a la VPC.
Customer Gateway (CGW)
Recurso AWS que representa el dispositivo físico (firewall/router) en el lado on-premises.
VPN Connection
El túnel IPSec entre CGW y VGW. Siempre tiene 2 túneles para alta disponibilidad (2 AZs del lado AWS).
Accelerated Site-to-Site VPN
Usa AWS Global Accelerator para optimizar el routing del tráfico VPN. El tráfico entra al backbone de AWS en el edge location más cercano y viaja por la red privada de AWS hasta la VGW. Reduce latencia y jitter vs VPN estándar sobre Internet público.
| Característica | Direct Connect | Site-to-Site VPN |
|---|---|---|
| Tiempo de setup | Semanas / meses | Minutos |
| Ancho de banda | 1–10 Gbps garantizado | Hasta ~1.25 Gbps (variable) |
| Latencia | Consistente y baja | Variable (Internet público) |
| Cifrado | No por defecto (añadir VPN) | Sí — IPSec nativo |
| Costo | Alto (puerto + datos) | Bajo ($0.05/hr + datos) |
| Disponibilidad | Requiere redundancia DX | Doble túnel automático |
| Caso principal | Migración masiva, workloads críticos | Backup, conectividad rápida, DR |
Patrón común en examen: DX + VPN como backup
Direct Connect como conexión principal (alto rendimiento). VPN como fallback automático si DX falla. Route propagation garantiza que el tráfico use DX mientras está disponible y VPN cuando no.
AWS Transit Gateway (TGW) actúa como hub central para conectar múltiples VPCs, conexiones VPN y conexiones Direct Connect. Elimina la necesidad de VPC Peering malla (N*(N-1)/2 conexiones) y centraliza el routing.
Sin Transit Gateway — VPC Peering
10 VPCs = 45 conexiones de peering
No transitivo: A↔B y B↔C no significa A↔C
Gestión de routing tables exponencialmente compleja
No escala a decenas de VPCs
Con Transit Gateway — Hub & Spoke
10 VPCs = 10 attachments al TGW (lineal)
Transitivo: A → TGW → B → TGW → C
Routing centralizado en Route Tables del TGW
Escala a 5000 VPCs por TGW
Attachments soportados por TGW
Trampa de examen
VPC Peering es válido para pocos VPCs — no transitivo, sin costo por hora. Transit Gateway tiene costo por attachment ($0.05/hr) + datos. Si la pregunta dice "10+ VPCs" o "on-premises + múltiples VPCs" → TGW. Si dice "2-3 VPCs entre sí" → VPC Peering.
Direct Connect Gateway (DXGW) permite que una conexión Direct Connect acceda a múltiples VPCs en múltiples regiones AWS (o múltiples cuentas). Sin DXGW, un DX solo puede acceder a VPCs en la misma región vía Private VIF.
Conecta 1 DX a VPCs en múltiples regiones (hasta 10 VGWs)
Funciona con Transit Gateway (Transit VIF → DXGW → TGW)
Global — no pertenece a ninguna región específica
No permite routing VPC-a-VPC a través del DXGW (solo on-prem → VPC)
No reemplaza Transit Gateway para routing entre VPCs
Migración con ancho de banda alto
Direct Connect 10 Gbps + S3 Transfer Acceleration o DataSync. Para mover petabytes sin saturar Internet.
DX + DataSync / Snow FamilyConectividad multi-VPC + on-premises
Transit Gateway como hub. On-premises conecta al TGW vía DX (Transit VIF) o VPN. Todas las VPCs accesibles desde on-premises con routing centralizado.
TGW + DX Gateway + Transit VIFAlta disponibilidad DX
Dos conexiones DX en ubicaciones físicas diferentes (redundancy). VPN Site-to-Site como backup adicional. Si ambos DX fallan, VPN entra automáticamente.
DX Redundante + VPN fallbackAcceso privado a servicios AWS
DX Public VIF para acceder a S3, DynamoDB desde on-premises por la conexión privada (sin Internet). Combinable con S3 Gateway Endpoint.
DX Public VIF + VPC EndpointsDX = rendimiento, VPN = velocidad de setup
Si la pregunta menciona "latencia consistente", "ancho de banda garantizado" o "gran volumen de datos" → Direct Connect. Si menciona "rápido de configurar", "cifrado inmediato" o "backup" → VPN.
DX no está cifrado — añadir VPN si se requiere
La fibra dedicada de DX no tiene cifrado nativo. Para cifrar el tráfico sobre DX: establecer un Site-to-Site VPN sobre la conexión DX (DX + VPN = cifrado + rendimiento).
Transit Gateway para redes complejas
Más de 3-4 VPCs conectadas entre sí o con on-premises → Transit Gateway. VPC Peering no es transitivo y no escala. TGW centraliza routing y simplifica la topología.
Direct Connect Gateway para multi-región
Un DX accede a VPCs en múltiples regiones vía DXGW. Sin DXGW, una conexión DX solo accede a VPCs en la misma región.
VPN dual-tunnel = alta disponibilidad automática
Cada Site-to-Site VPN tiene 2 túneles IPSec en 2 AZs diferentes del lado AWS. Si un túnel falla, el otro entra automáticamente. El cliente no necesita hacer nada.
Compara visualmente por qué VPC Peering no escala y cómo Transit Gateway simplifica la topología.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa tiene 15 VPCs en AWS y una red on-premises. Necesitan que todos los VPCs puedan comunicarse entre sí y con on-premises a través de una única conexión Direct Connect. ¿Qué arquitectura es la más adecuada?