Habilidades hybrid-cloud-networking
🌐

hybrid-cloud-networking

Seguro ⚙️ Comandos externos🌐 Acesso à rede

Conecte Ambientes On-Premises à Nuvem com VPN e Direct Connect

Também disponível em: wshobson

Projete e implemente redes híbridas de nuvem seguras conectando seu datacenter à AWS, Azure e GCP. Esta habilidade fornece padrões de arquitetura comprovados, modelos de Infraestrutura como Código e melhores práticas para conectividade pronta para produção.

Suporta: Claude Codex Code(CC)
🥉 75 Bronze
1

Baixar o ZIP da skill

2

Upload no Claude

Vá em Configurações → Capacidades → Skills → Upload skill

3

Ative e comece a usar

Testar

A utilizar "hybrid-cloud-networking". Gerar configuração Terraform para VPN Site-to-Site na AWS

Resultado esperado:

Vou criar uma configuração Terraform para uma conexão VPN Site-to-Site na AWS. Isso incluirá um Virtual Private Gateway, Customer Gateway e recurso de Conexão VPN.

A configuração incluirá:
- VPN Gateway anexado à sua VPC
- Customer Gateway com seu IP on-premises e BGP ASN
- Conexão VPN com túneis IPSec
- Configuração de propagação de rotas

Após a aplicação, você precisará configurar seu roteador on-premises com a configuração do dispositivo VPN da AWS.

A utilizar "hybrid-cloud-networking". Explique a propagação de rotas BGP para redes híbridas

Resultado esperado:

A propagação de rotas BGP permite roteamento dinâmico entre sua rede on-premises e VPC/VNet de nuvem. Veja como funciona:

1. **Peering BGP**: Seu roteador on-premises (ASN 65000) estabelece sessões BGP com roteadores de nuvem (AWS: 64512, Azure: 65515)

2. **Anúncio de Rotas**: Ambos os lados anunciam seus blocos CIDR - você anuncia 10.0.0.0/8, a nuvem anuncia intervalos de VPC como 172.31.0.0/16

3. **Atualizações Automáticas**: Quando novas sub-redes são adicionadas, as rotas se propagam automaticamente sem atualizações manuais da tabela de rotas

4. **Failover**: Se o túnel primário falhar, o BGP reroteia o tráfego automaticamente através do túnel secundário

Recomendo implementar BGP para redes híbridas de produção em vez de roteamento estático para melhor resiliência.

Auditoria de Segurança

Seguro
v1 • 2/25/2026

Static analysis detected 54 patterns including shell command references (backticks) and network reconnaissance terms. All findings are FALSE POSITIVES: backticks appear in Terraform HCL code blocks as documentation examples, not executable Ruby code. Network reconnaissance terms refer to legitimate cloud infrastructure monitoring commands (aws ec2 describe-vpn-connections). The skill provides educational documentation and Infrastructure as Code templates for hybrid cloud networking - no executable code, no data exfiltration, and no malicious intent detected.

1
Arquivos analisados
241
Linhas analisadas
6
achados
1
Total de auditorias
Problemas de Baixo Risco (4)
Terraform HCL Code Blocks Falsely Flagged as Ruby Execution
Static analyzer detected backtick characters (line 22, 46-66, 74-96, 96-119, 129-132, 138-141, 151-159, 159-183, 183-195, 195-213, 213-221, 221-234, 234-235, 235-239) and interpreted them as Ruby shell backtick execution. In reality, these are Terraform HCL code blocks marked with triple backticks (```) for syntax highlighting in documentation. The skill file is Markdown documentation, not executable Ruby code. No command execution risk exists.
Legitimate IP Addresses in Terraform Examples
Static analyzer flagged hardcoded IP addresses at lines 56 and 154 as 'network' risk. These are example documentation IP addresses (203.0.113.1 and 10.0.0.0/8) in Terraform HCL configuration blocks. 203.0.113.0/24 is the RFC 5737 documentation IP range specifically reserved for examples. 10.0.0.0/8 is RFC 1918 private IP space. Both are standard, safe, and not malicious.
C2 Keywords False Positive - Cloud Service Terminology
Static analyzer flagged 'C2 keywords' at lines 215-216. These are AWS CLI commands (aws ec2 describe-vpn-connections, get-vpn-connection-telemetry) for monitoring VPN connections in a troubleshooting section. 'C2' in this context refers to 'Customer to Cloud' connectivity in networking terminology, not 'Command and Control' malware infrastructure. These are standard AWS CLI troubleshooting commands.
Reconnaissance Terms in Documentation Context
Static analyzer detected 24 'system reconnaissance' and 'network reconnaissance' patterns across the file. All appear in legitimate context: 'monitor connections', 'describe-vpn-connections', 'troubleshooting', 'configure routing', 'advertise routes', etc. These are standard cloud infrastructure operations (monitoring, routing, troubleshooting) documented for educational purposes. No port scanning, vulnerability scanning, or malicious reconnaissance activity present.
Auditado por: claude

Pontuação de qualidade

38
Arquitetura
100
Manutenibilidade
87
Conteúdo
50
Comunidade
97
Segurança
100
Conformidade com especificações

O Que Você Pode Construir

Extensão de Datacenter Corporativo

Conecte seu datacenter on-premises a VPCs de nuvem usando VPN Site-to-Site para migração inicial, depois faça upgrade para Direct Connect para cargas de trabalho de produção que exigem baixa latência e alta largura de banda.

Arquitetura Híbrida Multi-Região

Projete implantações híbridas active-active abrangendo seu datacenter e múltiplas regiões de nuvem, implementando roteamento BGP e failover para cenários de recuperação de desastres.

Configuração de Nuvem Híbrida em Conformidade

Construa redes híbridas que atendam aos requisitos de conformidade regulatória implementando túneis VPN criptografados, conectividade privada via Direct Connect/ExpressRoute e monitoramento abrangente com CloudWatch e Azure Monitor.

Tente Estes Prompts

Conexão VPN Básica na AWS
Ajude-me a configurar uma conexão VPN Site-to-Site entre meu datacenter on-premises (IP do gateway do cliente: 203.0.113.1, BGP ASN: 65000) e VPC da AWS (vpc-id: vpc-12345). Gere a configuração Terraform.
Rede Híbrida de Alta Disponibilidade
Projete uma arquitetura de rede híbrida de alta disponibilidade conectando meu datacenter on-premises à AWS e Azure. Inclua túneis VPN duplos para redundância, configuração BGP para roteamento dinâmico e explique o mecanismo de failover.
Caminho de Migração para Direct Connect
Atualmente uso VPN Site-to-Site para minha configuração de nuvem híbrida. Ajude-me a planejar uma migração para AWS Direct Connect para melhor desempenho. Compare custos, opções de largura de banda e forneça um plano de migração passo a passo.
Rede Híbrida Multi-Nuvem
Projete uma arquitetura de rede híbrida hub-and-spoke onde meu datacenter on-premises se conecta à AWS (us-east-1), Azure (East US) e GCP (us-central1). Inclua considerações de roteamento, limites de segurança entre provedores de nuvem e estratégias de otimização de custos.

Melhores Práticas

  • Sempre implante túneis VPN duplos para redundância - pontos únicos de falha causam interrupções de produção
  • Use conectividade privada (Direct Connect/ExpressRoute) em vez de VPN via internet para cargas de trabalho de produção que exigem desempenho consistente
  • Implemente monitoramento abrangente usando CloudWatch, Azure Monitor ou GCP Cloud Logging para rastrear status do túnel, utilização de largura de banda e saúde da sessão BGP

Evitar

  • Não use roteamento estático quando BGP estiver disponível - rotas estáticas exigem atualizações manuais e não suportam failover automático
  • Evite anunciar intervalos de IP públicos via BGP - isso cria conflitos de roteamento e vulnerabilidades de segurança
  • Não pule o teste de cenários de failover antes da produção - valide que o tráfego muda para o túnel secundário durante a manutenção do túnel primário

Perguntas Frequentes

Devo usar VPN ou Direct Connect para minha rede híbrida?
Use VPN Site-to-Site para migração inicial, ambientes de desenvolvimento e largura de banda abaixo de 1 Gbps. Escolha Direct Connect ou ExpressRoute para cargas de trabalho de produção que exigem baixa latência, desempenho consistente ou largura de banda acima de 1 Gbps. Muitas organizações começam com VPN e migram para conexões dedicadas à medida que as cargas de trabalho crescem.
Qual BGP ASN devo usar para meu roteador on-premises?
Use um ASN privado (64512-65534) para redes internas que não se conectam à internet pública. Se você já possui um ASN público do seu ISP, use-o. Padrão comum: 65000. O lado da nuvem usa ASNs do provedor (AWS: 64512, Azure: 65515, GCP: 16550).
Quanto tempo leva o provisionamento do Direct Connect?
O AWS Direct Connect normalmente leva 2-4 semanas para o provisionamento físico do circuito através de um parceiro. O Azure ExpressRoute é similar: 2-4 semanas. Conexões VPN podem ser estabelecidas em minutos. Planeje a arquitetura de rede híbrida com antecedência dos cronogramas de migração para considerar os prazos de entrega.
Posso conectar um datacenter a múltiplos provedores de nuvem?
Sim - redes híbridas multi-nuvem são comuns. Cada provedor de nuvem requer conectividade separada (Direct Connect para AWS, ExpressRoute para Azure, Interconnect para GCP). Implemente um padrão hub-and-spoke com seu datacenter como hub, usando circuitos separados para cada provedor de nuvem. Considere gateways de trânsito para roteamento simplificado.
Como soluciono problemas de falha no túnel VPN?
Verifique o status do túnel no console de nuvem (Up/Down), verifique o estado da sessão BGP (Established/Idle), revise os logs do CloudWatch para telemetria do túnel, confirme que a configuração do roteador on-premises corresponde às configurações de VPN da nuvem, teste a conectividade das instâncias de ambos os lados usando ping/traceroute e verifique se security groups/network ACLs não estão bloqueando o tráfego necessário.
Esta habilidade configura minha infraestrutura de rede real?
Não - esta habilidade fornece modelos Terraform, orientação de arquitetura e melhores práticas. Você deve revisar, personalizar e aplicar os modelos de Infraestrutura como Código usando seu próprio fluxo de trabalho Terraform. A habilidade ajuda a projetar e documentar, mas não executa alterações em suas contas de nuvem ou dispositivos de rede.

Detalhes do Desenvolvedor

Estrutura de arquivos

📄 SKILL.md