AWS Network Manager
Servicio que visualiza, monitorea y gestiona de forma centralizada la topología de red global incluyendo VPC, Transit Gateway, VPN y Direct Connect
Descripción general
AWS Network Manager es un servicio que visualiza y gestiona de forma centralizada toda la red global, incluyendo recursos de red en AWS y ubicaciones on-premises. Consolida Transit Gateway, Site-to-Site VPN, Direct Connect, Cloud WAN y otros recursos de red en un único panel, proporcionando mapas de topología, análisis de rutas y monitoreo de eventos de red. Simplifica significativamente la operación de redes en entornos multirregión y multicuenta.
Red global y red central
El concepto central de Network Manager es la red global. Una red global es un contenedor que agrupa lógicamente los recursos de red de toda la organización, pudiendo crear múltiples redes en una sola cuenta de AWS. Al registrar un Transit Gateway en la red global, las VPCs, conexiones VPN y Direct Connect Gateways asociados se incluyen automáticamente como objetos gestionados. Las ubicaciones on-premises se registran como sitios, configurando su ubicación física (dirección, latitud/longitud) para visualizarlos en un mapa topológico geográfico. A cada sitio se asocian dispositivos (routers, firewalls, etc.) y enlaces (información de circuitos) para registrar la configuración de red de la ubicación. Cuando se utiliza Cloud WAN, se crea una red central (Core Network) dentro de la red global, definiendo políticas de aislamiento de tráfico por segmentos y conexiones entre regiones.
Visualización de topología y análisis de rutas
La consola de Network Manager muestra las relaciones de conexión de los recursos registrados como un mapa topológico interactivo. El estado de conexión de regiones, Transit Gateways, VPCs, VPN y Direct Connect se refleja en tiempo real, permitiendo identificar inmediatamente qué rutas se ven afectadas durante una falla. La función de análisis de rutas examina la ruta de enrutamiento entre un origen y destino especificados, mostrando cada salto y las entradas de la tabla de rutas. Cuando no existe una ruta o se detectan rutas de agujero negro, se puede identificar la ubicación del problema. La integración con métricas de CloudWatch permite monitorear bytes, paquetes y descartes del Transit Gateway, configurando alarmas para detectar anomalías de tráfico. Los eventos de red (caída de túneles VPN, cambios de estado de peering BGP) se publican en EventBridge, permitiendo construir flujos de trabajo de notificación automática y recuperación automática con Lambda y SNS.
Integración con Cloud WAN y gestión de políticas
Cloud WAN es un servicio de red de área amplia global construido sobre Network Manager, operado directamente desde la consola de Network Manager. En la política de red central se definen segmentos (producción, desarrollo, servicios compartidos, etc.) y se gestionan declarativamente los permisos y denegaciones de comunicación entre segmentos como políticas. Se conectan VPCs, VPN, Direct Connect y peering de Transit Gateway como adjuntos, asignando cada adjunto a un segmento. Los cambios de política se guardan como versiones, pudiendo verificar el alcance del impacto con una ejecución en seco antes de aplicarlos. La integración con Organizations también permite la función de auto-aceptación que conecta automáticamente las VPCs de cuentas miembro a la red central. Los precios se basan en el número de ubicaciones de borde de la red central, número de adjuntos y volumen de datos procesados. Comparado con una configuración solo con Transit Gateway, el costo es mayor, pero en redes de decenas de regiones y cientos de VPCs, la reducción de costos operativos por la gestión centralizada basada en políticas supera el costo adicional.