Enimbos.com
Close

AWS – Costes de transferencia de datos en una infraestructura segura

Normalmente cuando queremos ponerles un precio a nuestros servicios/recursos en las distintas Cloud no solemos tener en cuenta el coste que puede tener nuestra transferencia de datos dentro de las propias Cloud o de salida de esta.

En este post, voy a intentar explicar el coste que puede tener esta transferencia de datos en AWS Region Ireland dentro de un entorno securizado con Firewalls, interconectado a través un Transit Gateway y conectado con un entorno on-prem a través de Direct Connect.

En este entorno utilizaremos dos AWS accounts como principales:

  • Security Account → Donde vamos a crear varias VPCs donde desplegaremos los distintos Firewalls para controlar el tráfico entre VPCs\On-prem y la entrada/salida a Internet.
  • Networking Account → Ubicaremos los servicios de Transit Gateway (el cual distribuiremos al resto de cuentas en AWS a través del Resource Manager) y el Direct Connect.

Conectividad del entorno

La conectividad del entorno la vamos a configurar usando de routing de la siguiente manera:

  • Conectvidad entre VPCs a través de 2 x Firewall para proporcionar mayor throughput\HA a través de ECMP y 2 x Vpn contra el Transit Gateway por Firewall (throughput 1,25Gb por Vpn).
  • Salida a Internet a través de 2 x Firewall para proporcionar mayor throughput\HA a través de ECMP y 2 x Vpn contra el Transit Gateway por Firewall (throughput 1,25Gb por Vpn).
  • Entrada desde Internet a través de 2 x Firewall para proporcionar HA y 2 x Transit Gateway Attachment VPC (1 x Fw)
  • Para la entrada desde Internet a través de servicios AWS se utilizará Transit Gateway Attachment VPC

 

Rutas

Para que el entorno funcione correctamente tendríamos que configurar rutas en las distintas VPCs y el Transit Gateway.

En las VPCs con salida a Internet tenemos que configurar una ruta por defecto hacia un Internet Gateway y rutas hacia las VPCs internas a través del Transit Gateway.

En las VPCs internas habría que configurar la ruta por defecto hacia el Transit Gateway

En el Transit Gateway tendríamos que configurar las siguientes tablas de rutas:

Tabla de rutas para la VPCs Internas:

  • Rutas para cada VPC a través del Attach VPN FW East-West.
  • Ruta por defecto (Salida internet) a través del Attach VPN FW Outbound Internet Traffic.
  • A través de la propagación configuraríamos el routing hacia las VPCs de entrada de tráfico desde Internet.
  • Ruta hacia on-prem a través del Attach Direct Connect Gateway.

Tabla de rutas para los Attach VPN FW East-West & Outbound Internet y VPCs Inbound Internet Traffic:

  • A través de la propagación configuraríamos el routing hacia cada VPC interna.

 

Costes

En este escenario los costes que vamos a manejar (independientemente del Fw que despleguemos en nuestra infraestructura) son los siguientes:

  • Transit Gateway
    • Precio por dato procesado $0,02 por Gb
    • Precio por elemento asociado al Transit Gateway (Ireland) $0,05 por hora
  • Direct Connect
    • Precio por dato procesado de entrada (Free)
    • Precio por dato procesado de salida $0,02 por Gb
  • Internet
    • Precio por dato procesado de entrada (Free)
    • Precio por dato procesado de salida $0,09 por Gb
  • VPN
    • $0,05 por conexión Site-to-Site VPN la hora

Escenario 1 Trafico entre VPC Internas (East – West)

En este supuesto vamos a procesar 1 Tb de datos entre la VPC C y la VPC B.

A través de las tablas de rutas que hemos configurado anteriormente vamos a “forzar” que el tráfico salga de la VPC C hacía el Transit Gateway. Desde el Transit Gateway lo mande a la VPN Fw East-West y desde el Fw de vuelta al Transit Gateway. Finalmente, como último salto irá desde el Transit Gateway a la VPC B.

Resumen del flujo de datos:

VPC C → Transit Gateway → Vpn Fw → Transit Gateway → VPC B

A nivel de costes procesar 1Tb de datos entre VPCs Internas en un mes tendría el siguiente coste:

Escenario 2 – Trafico Salida a Internet desde una VPC Interna

En este supuesto vamos a procesar 1 Tb de datos desde la VPC C hacia internet simulando una subida de un fichero.

Aplicando la ruta por defecto que hemos configurado en la tabla de rutas del Transit Gateway para las VPCs internas vamos a hacer que todo el tráfico que no conozcamos lo mande a través del Attach VPN Fw Outbound Internet con lo que el tráfico saldrá de la VPC C hacía el Transit Gateway. Desde el Transit Gateway lo mandará a la VPN Fw Outbound Internet y desde el Fw a través de las rutas de la propia VPC lo mandará al Internet Gateway.

Resumen del flujo de datos:

VPC →  Transit Gateway → Vpn Fw Outbound Internet → Internet

Costes

A nivel de costes procesar 1Tb de datos de salida a Internet desde una VPC Internas en un mes tendría el siguiente coste:

Escenario 3 – Trafico de salida a On-Prem por Direct Connect

En este escenario vamos a descargar un fichero de 1Tb desde una VPC a un Pc nuestro en nuestra sede a través del Direct Connect que se encuentra asociado al Transit Gateway.

A través de las tablas de rutas podemos enviar el tráfico hacia On-prem a través del Fw desplegado en AWS antes de mandarlo a través del Direct Connect ya que se puede dar el caso que no dispongamos de un elemento de seguridad en el entorno On-Prem para filtrar el tráfico con AWS a través del Direct Connect. Por simplificar este supuesto vamos a enrutar directamente el tráfico a través del Attach Direct Connect Gateway.

El tráfico al igual que casos anteriores sale de la VPC va al Transit Gateway y este último a través de la tabla de rutas lo manda al TGW Attach Direct Connect Gateway.

Resumen del flujo de datos:

VPC → Transit Gateway → Direct Connect → On-Prem

Costes

A nivel de costes procesar 1Tb de desde las VPCs Internas hacia On-Prem via Direct Connect en un mes tendría el siguiente coste:

Escenario 4 – Tráfico de entrada desde Internet a una VPC

Para la entrada de tráfico desde internet tenemos 2 escenarios.

  1. El tráfico entra a través de los servicios de AWS
  2. El tráfico entra a través de los Fw desplegados en AWS

En ambos escenarios el tráfico va a seguir prácticamente el mismo flujo, llegará la petición por Internet a la VPC de servicios de AWS o a la VPC de Fw Inbound Internet y de ahí irá al Transit Gateway que lo mandará a la VPC.

Resumen del flujo de datos:

Internet → VPC AWS Services\VPC Fw Inbound Internet → Transit Gateway → VPC

Costes

Related Posts