Conceptos

Control plane

Conjunto de módulos relacionados con el design time. Estos módulos proporcionan funcionalidades como la configuración del entorno, las APIs, las políticas y la visualización de registros. El control plane es compartido.

Aunque existen varios mecanismos de alta disponibilidad y resiliencia, no se recomienda utilizar APIs administrativas en flujos de alta carga.

Shard

El shard es una agrupación lógica que se utiliza para proporcionar servicios a un conjunto específico de clientes. Los servicios como la base de datos para registros y auditoría de tokens se comparten con los data planes de un determinado shard.

Data plane

Conjunto de módulos relacionados con el runtime. Los módulos del data plane están dedicados a cada cliente.. Todas las llamadas son manejadas por módulos contenidos en el data plane. Cada data plane se aprovisiona en una VPC dedicada, con su propio direccionamiento IP. El data plane está compuesto por:

  • GW POOLS.

    • NETWORK LOAD BALANCER: Equilibrador de carga de capa 4.

    • SEC-PROXY: Responsable de la exposición y terminación TLS.

    • API GATEWAY: Responsable de transacciones. Este módulo realiza la aplicación de políticas, el registro y las transformaciones.

De manera predeterminada, el data plane se aprovisiona con un gateway pool (default), sin embargo, se pueden comprar nuevos gateways pools.

Además de los gateways pools, hay otros módulos disponibles en data plane:

  • API AUTHORIZATION: Módulo responsable de generar tokens de acceso.

  • MEMORY GRID: Base de datos en memoria para almacenamiento en caché y distribución de datos.

Además de estos, hay algunos módulos adyacentes, también en data plane.

Conectividad

El data plane se puede conectar a entornos privados para:

1 - Consumo de backend para el gateway pool público, como se muestra en el diagrama 1:

public gateway

2 - Consumo del grupo de gateway pool privado, como se muestra en el diagrama 2:

private gateway
Un gateway pool no puede ser público y privado al mismo tiempo.

Modelos de conectividad compatibles

  • Allow list (Estándar)

    • Puntos positivos

      • Modelo más recomendado por practicidad y resistencia.

      • Cada data plane tiene al menos 2 IPs de salida fijas. Estas IP pueden/deben usarse para controles de firewall del lado del cliente.

      • Para aumentar aún más la seguridad, se puede utilizar una estrategia mTLS entre los gateways y el backend.

      • Costo ya incorporado a las ofertas estándar.

    • Limitaciones

      • No es posible acceder a backends sin externalización a través de un proxy o tecnología similar.

El siguiente diagrama representa la conectividad a través de Allow list:

allow list

  • VPN (bajo consulta)

    • Puntos positivos

      • Modelo con acceso privado.

    • Puntos de atención

      • Responsabilidad compartida.

      • El SLA es diferente para entornos VPN, dada la alta incidencia de problemas.

      • Costo más alto de configuración, mantenimiento y troubleshooting.

    • Limitaciones

      • Cada data plane se puede conectar hasta a 4 redes, con un límite de 8190 IP.

      • Actualmente, BGP no es compatible.

El siguiente diagrama representa la conectividad a través de VPN:

vpn

  • VPC Peering (bajo consulta)

    • Puntos positivos

      • Estabilidad y resiliencia.

      • Configuración simplificada.

    • Puntos de atención

      • Oferta disponible solo para clientes cuyo backend también esté alojado en AWS.

    • Limitaciones

      • Cada data plane se puede conectar hasta a 4 redes, con un límite de 8190 IP.

El siguiente diagrama representa la conectividad a través de VPC:

vpc

  • Direct Connect (bajo consulta)

    • Puntos positivos

      • Posibilidad de acceder a backends a través de un enlace privado.

    • Puntos de atención

      • Costo.

      • Modelo de responsabilidad compartida entre Sensedia, cliente y proveedor de enlace.

    • Limitaciones

      • Cada data plane se puede conectar hasta a 4 redes, con un límite de 8190 IP.

El siguiente diagrama representa la conexión a través de Direct Connect:

direct connect
Las redes por encima de 8190 hosts (/19) no son compatibles.

  • Private link (bajo consulta)

    • Puntos positivos

      • Facilita la comunicación entre componentes en AWS.

      • Garantiza el acceso privado con alta resiliencia.

      • Para obtener más información, consulte la documentación oficial de AWS.

    • Puntos negativos

      • Requiere exposición a través de NLB en el lado del cliente.

    • Limitaciones

      • Se admiten hasta 4 VPCs endpoints (powered by AWS Private link) por dataplane.

El siguiente diagrama representa la conexión a través de VPC endpoint powered by AWS Private link:

vpc aws

Además, es posible utilizar el mismo VPC endpoint asociado con el mismo load balancer, con varias puertas y target groups. El siguiente diagrama representa este modelo:

vpc load balancer
Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]