La mayoría de las migraciones enterprise pasan por una fase híbrida donde coexisten recursos on-premises y en la nube. El SAP-C02 evalúa el diseño de conectividad híbrida altamente disponible con Direct Connect, Outposts, Local Zones y patrones de DNS híbrido.
Contenido
Cloud Bursting
La app corre on-premises normalmente. Durante picos de demanda, escala a AWS automáticamente. Requiere baja latencia entre on-prem y AWS.
Direct Connect de baja latencia, VPN como backup, DNS híbrido para routing.
Lift-and-Extend
App migrada parcialmente a AWS. La DB sigue on-premises. O viceversa: app on-prem accede a servicios gestionados AWS (RDS, S3).
Storage Gateway, Direct Connect, VPN, Route 53 hybrid DNS.
Full Hybrid Steady State
Cargas permanentes en ambos entornos por compliance, latencia ultra-baja o regulación. AWS y on-premises como ciudadanos de primera clase.
AWS Outposts, Direct Connect redundante, Transit Gateway, Shared VPCs.
AWS Direct Connect proporciona conexiones de red privadas dedicadas entre on-premises y AWS. A diferencia de la VPN (que usa internet), DX usa líneas físicas dedicadas con bandwidth dedicado y latencia consistente.
Tipos de conexiones DX
Patrones de HA para Direct Connect
HA Nivel 1 (Máximo)
2 DX connections en diferentes DX locations + 2 Customer Gateways en diferentes locations del datacenter. 4 caminos físicos totalmente independientes. Si una DX location entera falla, el otro DX sigue activo.
HA Nivel 2 (Estándar)
2 DX connections en la MISMA DX location con 2 customer devices diferentes. Protege contra fallo de un device, pero no contra fallo de la DX location completa.
DX + VPN Backup
DX primario + VPN Site-to-Site como fallback. Si DX falla, el tráfico usa VPN (mayor latencia vía internet). Más barato que 2 DX pero con degradación en failover.
Direct Connect Gateway — conectar DX a múltiples regiones
Sin DXGW (legacy)
Un DX solo puede conectarse a VPCs en la MISMA región via Virtual Gateway. Para múltiples regiones necesitas múltiples DX connections.
Con DXGW (recomendado)
Un DX + DXGW puede conectarse a hasta 20 VGWs (Virtual Private Gateways) en hasta 3 regiones diferentes. O via Transit VIF, conectar a múltiples TGWs en múltiples regiones.
AWS Outposts lleva la infraestructura y los servicios AWS a las instalaciones del cliente. El rack de Outposts es literalmente hardware de AWS que se instala en tu datacenter, gestionado por AWS remotamente.
Por qué usar Outposts
Servicios disponibles en Outposts
Nota: No todos los servicios AWS están disponibles en Outposts. S3 on Outposts es un servicio separado de S3.
Outposts requiere conectividad a AWS
Outposts necesita conectividad confiable a la región AWS de origen para: gestión del plano de control, updates, y sincronización de servicios. Si se pierde la conectividad, los recursos existentes siguen corriendo pero no se pueden crear ni modificar nuevos recursos.
AWS Local Zones
Extensiones de regiones AWS ubicadas cerca de grandes áreas metropolitanas (ciudades). Permiten correr aplicaciones con latencia en un solo dígito de milisegundos para usuarios en esa ciudad.
AWS Wavelength
Infraestructura AWS desplegada dentro de las redes 5G de operadores de telecomunicaciones. Para aplicaciones que necesitan latencia de un solo dígito de milisegundos para dispositivos 5G.
| Opción | Latencia típica | Operado por | Mejor para |
|---|---|---|---|
| Región AWS | 50-100ms (a usuarios remotos) | AWS (datacenter propio) | La mayoría de workloads, DR, global deployment |
| AWS Local Zone | < 10ms (a ciudad específica) | AWS (colocado cerca de ciudad) | Latencia baja para usuarios en ciudad específica |
| AWS Outposts | < 1ms (on-premises) | AWS (hardware en tu DC) | Latencia ultra-baja, data residency, legacy systems |
| AWS Wavelength | < 10ms (a dispositivos 5G) | Operadores telecomunicaciones | Apps para dispositivos 5G móviles |
Componentes y limitaciones
VPN Accelerated — con Global Accelerator
Accelerated Site-to-Site VPN usa AWS Global Accelerator para que los paquetes entren a la red de AWS en el edge location más cercano, reduciendo la latencia y jitter de la VPN.
En entornos híbridos, la resolución DNS es crítica — EC2 necesita resolver nombres on-premises y el datacenter necesita resolver nombres de VPCs y endpoints de servicios AWS. Route 53 Resolver lo gestiona con Endpoints y Rules.
Inbound Resolver Endpoint
ENIs en subnets de la VPC con IPs privadas. El DNS on-premises puede enviar queries a esas IPs para resolver nombres en Private Hosted Zones de la VPC.
→ On-premises resuelve nombres de VPC
Outbound Resolver Endpoint
Route 53 Resolver en la VPC puede reenviar queries de ciertos dominios (via Forward Rules) al DNS on-premises cuando EC2 necesita resolver nombres corporativos.
→ EC2 resuelve nombres on-premises
Patrón completo de DNS híbrido
EC2 consulta al Resolver (169.254.169.253) → Forward Rule para corp.example.com → Outbound Endpoint → DNS on-premises. Consulta de on-premises a vpc.example.com → DNS on-premises tiene conditional forwarder → Inbound Endpoint → Route 53 Resolver → Private Hosted Zone.
Trampa: "Direct Connect es más seguro que VPN porque usa fibra dedicada"
Realidad: Direct Connect no cifra el tráfico por defecto — es solo una conexión privada pero no cifrada. Para cifrado sobre DX, usa MACsec (a nivel de DX) o IPSec VPN sobre la interfaz pública de DX. VPN sí cifra con IPSec.
Trampa: "AWS Outposts funciona sin conexión a internet o a la región AWS"
Realidad: FALSO. Outposts requiere conectividad al plano de control de AWS en la región madre. Sin esta conectividad, no se pueden crear nuevos recursos, aunque los existentes sigan funcionando.
Trampa: "Local Zones y Availability Zones son lo mismo"
Realidad: Diferentes. Las AZs son datacenters dentro de una región AWS. Las Local Zones son extensiones de la región ubicadas en ciudades específicas — comparten el plano de control de la región pero están físicamente en otra ubicación para menor latencia a esa ciudad.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa financiera opera en Argentina y tiene requisitos regulatorios que impiden que ciertos datos de clientes salgan del país. Al mismo tiempo, quieren usar servicios AWS como EC2 y RDS para una nueva aplicación. La región más cercana de AWS es us-east-1 en Virginia. ¿Cuál es la arquitectura más apropiada?
Inicia sesión para llevar tu progreso.