Modelos de conectividade

Modelo mais recomendado devido à praticidade e resiliência.

Cada data plane possui ao menos 2 IPs fixos de saída. Esses IPs podem/devem ser utilizados para controles de firewall no lado cliente.

Para incrementar ainda mais a segurança, pode ser utilizada uma estratégia de mTLS entre os gateways e o backend.

Custo já embutido nas ofertas padrão.

Não é possível acessar backends sem externalização por meio de um proxy ou tecnologia similar.

Modelo com acesso privado, garantindo segurança na comunicação entre os Gateways e os Backends.

Responsabilidade compartilhada entre Sensedia e o cliente para configuração e manutenção da conectividade.

O SLA pode ser diferente para ambientes com VPN, devido à maior incidência de problemas de rede.

Maior custo de setup, manutenção e troubleshooting.

A comunicação ocorre diretamente entre os Gateways e os Backends, sem suporte a NAT para saída.

Os Gateways operam em um ambiente auto escalável, o que significa que novos IPs podem ser atribuídos dinamicamente dentro do range configurado. Por isso, é necessário liberar todo o range de IPs alocados ao data plane, não sendo possível alocar apenas IPs específicos (ex: /32).

Cada data plane pode ser conectado em até 4 redes, limitado a 8190 IPs.

O protocolo BGP (Border Gateway Protocol) não é suportado no modelo atual.

Não há suporte nativo para NAT, o que significa que a comunicação entre Gateways e Backends ocorre sempre com os IPs originais dos Gateways.

Estabilidade e resiliência.

Setup simplificado.

Oferta disponível somente para clientes cujo backend também está alocado na AWS.

Cada data plane pode ser conectado em até 4 redes, limitado a 8190 IPs.

Possibilidade de acessar backends por meio de link privado.

Sem necessidade de uso de VPN.

Maior flexibilidade de comunicação entre VPCs.

Dentro dos limites da AWS, referente ao Transit Gateway e à conectividade, pontos essenciais são ajustáveis.

Para mais informações, consulte a documentação de Limites de AWS Transit Gateway.

Cliente deve compartilhar o AWS Transit Gateway com a conta Sensedia.

Necessidade de criação de rotas do lado da Sensedia e do lado do cliente.

A taxa de cobrança da AWS acontece dos 2 lados (Cliente e Sensedia), pois a AWS cobra por VPC anexada ao AWS Transit Gateway, e isso acontece em ambos os lados.

Cada data plane pode receber até 5 AWS Transit Gateway attachments únicos.

Limites de AWS Transit Gateway também se aplicam.

Possibilidade de acessar backends por meio de link privado.

Custo.

Modelo de responsabilidade compartilhada entre Sensedia, cliente e fornecedor de link.

Cada data plane pode ser conectado em até 4 redes, limitado a 8190 IPs.

Facilita a comunicação entre componentes na AWS.

Garante o acesso privado com alta resiliência.

Para mais informações, consulte documentação oficial AWS.

Exige exposição por meio de NLB no lado cliente.

Conforme documentação da AWS, é possível utilizar um nome com o domínio próprio (<service>.customer.com.br, por exemplo) no endpoint service. Este nome é privado, pois a AWS o registra em uma zona DNS local às VPCs conectadas ao endpoint service.

A vantagem é poder consolidar a exposição do serviço em um nome único para diferentes service consumers.

Aos clientes que desejem utilizar a funcionalidade, é necessário que habilitem e validem o endpoint service para utilizar o nome selecionado. Uma vez configurado, o cliente deve abrir ticket junto ao suporte Sensedia, solicitando a ativação do Private DNS name e informando o endpoint service em questão.

São suportados até 4 VPCs endpoints (powered by AWS Private link) por data plane.