Aufbau einer skalierbaren und sicheren Multi-VPC-Netzwerkinfrastruktur AWS - Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufbau einer skalierbaren und sicheren Multi-VPC-Netzwerkinfrastruktur AWS

Veröffentlichungsdatum: 17. April 2024 () Dokumentverlauf

Kunden von Amazon Web Services (AWS) verlassen sich häufig auf Hunderte von Konten und Virtual Private Clouds (VPCs), um ihre Workloads zu segmentieren und ihren Footprint zu erweitern. Diese Größenordnung führt häufig zu Problemen in Bezug auf die gemeinsame Nutzung von Ressourcen, die Konnektivität zwischen VPCs und die Konnektivität zwischen lokalen Einrichtungen und VPC-Konnektivität.

In diesem Whitepaper werden bewährte Methoden für die Erstellung skalierbarer und sicherer Netzwerkarchitekturen in einem großen Netzwerk mithilfe von AWS Services wie Amazon Virtual Private Cloud (Amazon VPC),, AWS Transit GatewayAWS PrivateLinkAWS Direct Connect, Gateway Load Balancer und Amazon Route AWS Network Firewall53 beschrieben. Es zeigt Lösungen für die Verwaltung einer wachsenden Infrastruktur, die Skalierbarkeit, hohe Verfügbarkeit und Sicherheit gewährleisten und gleichzeitig die Gemeinkosten niedrig halten.

Einführung

AWS Kunden beginnen mit dem Aufbau von Ressourcen in einem einzigen AWS Konto, das eine Verwaltungsgrenze darstellt, die Berechtigungen, Kosten und Dienste segmentiert. Mit dem Wachstum der Kundenorganisation wird jedoch eine stärkere Segmentierung der Services erforderlich, um die Kosten zu überwachen, den Zugang zu kontrollieren und das Umweltmanagement zu vereinfachen. Eine Lösung mit mehreren Konten löst diese Probleme, indem sie spezifische Konten für IT-Dienste und Benutzer innerhalb eines Unternehmens bereitstellt. AWS bietet mehrere Tools zur Verwaltung und Konfiguration dieser Infrastruktur, darunter. AWS Control Tower 

Ein Diagramm, das die AWS Control Tower erste Bereitstellung darstellt

AWS Erstmaliger Einsatz des Control Tower

Wenn Sie Ihre Umgebung mit mehreren Konten einrichten AWS Control Tower, werden zwei Organisationseinheiten (OUs) erstellt:

  • Sicherheits-OU — Innerhalb dieser OU werden zwei Konten AWS Control Tower erstellt:

  • Log-Archiv

  • Audit (Dieses Konto entspricht dem Security-Tooling-Konto, das bereits in der Anleitung beschrieben wurde.)

  • Sandbox-Organisationseinheit — Diese Organisationseinheit ist das Standardziel für Konten, die in dieser Organisationseinheit erstellt wurden. AWS Control Tower Sie enthält Konten, in denen Ihre Builder Dienste und andere Tools und AWS Dienste ausprobieren und damit experimentieren können, sofern die Nutzungsbedingungen Ihres Teams eingehalten werden.

AWS Control Tower ermöglicht es Ihnen, zusätzliche Organisationseinheiten zu erstellen, zu registrieren und zu verwalten, um die anfängliche Umgebung für die Implementierung der Leitlinien zu erweitern.

Das folgende Diagramm zeigt die Organisationseinheiten, die ursprünglich von bereitgestellt wurden AWS Control Tower. Sie können Ihre AWS Umgebung erweitern, um jede der im Diagramm empfohlenen Organisationseinheiten zu implementieren, um Ihren Anforderungen gerecht zu werden.

Ein Diagramm, das AWS Organisationseinheiten darstellt.

AWS organisatorische Organisationseinheiten

Weitere Informationen zur Verwendung von Umgebungen mit AWS Control Tower mehreren Konten finden Sie in Anhang E des Whitepapers Organizing Your AWS Environment Using Multiple Accounts.

Anmerkung

In diesem Whitepaper ist „Control Tower“ ein weit gefasster Begriff für das skalierbare, sichere und leistungsstarke Multi-Account-/Multi-VPC-Setup, in dem Sie Ihre Workloads bereitstellen. Dieses Setup kann mit verschiedenen Tools erstellt werden. Weitere Informationen zu bewährten Methoden, Entwurfsprinzipien und Vorteilen der Cloud-Foundation für mehrere Konten finden Sie im Whitepaper Organizing Your AWS Environment Using Multi-Accounts.

Die meisten Kunden beginnen mit einigen VPCs, um ihre Infrastruktur bereitzustellen. Die Anzahl der VPCs, die ein Kunde erstellt, hängt normalerweise von der Anzahl seiner Konten, Benutzer und bereitgestellten Umgebungen (Produktion, Entwicklung, Test usw.) ab. Mit zunehmender Cloud-Nutzung wächst auch die Anzahl der Benutzer, Geschäftsbereiche, Anwendungen und Regionen, mit denen ein Kunde interagiert, was zur Schaffung neuer VPCs führt.

Da die Anzahl der VPCs wächst, wird ein vPC-übergreifendes Management für den Betrieb des Cloud-Netzwerks des Kunden unverzichtbar. Dieses Whitepaper behandelt bewährte Methoden für drei spezifische Bereiche der Cross-VPC- und Hybrid-Konnektivität:

Planung und Verwaltung von IP-Adressen

Um ein skalierbares Multi-Account-Multi-VPC-Netzwerkdesign aufzubauen, ist die Planung und Verwaltung von IP-Adressen unerlässlich. Ein gutes IP-Adressierungsschema muss Ihre aktuellen und future Netzwerkanforderungen berücksichtigen. Ihr IP-Adressschema muss Ihre lokalen Workloads und Ihre Cloud-Workloads abdecken und sollte auch future Erweiterungen ermöglichen (z. B. das Hinzufügen neuer AWS-Regionen Geschäftsbereiche sowie Fusionen oder Übernahmen). Es sollte auch verhindern, dass Ihre Teams versehentlich überlappende IP-CIDRs erstellen. Wenn überlappende IP-CIDRs gewünscht werden, z. B. bei isolierten oder getrennten Workloads, muss diese Entscheidung bewusst getroffen und die Auswirkungen auf Routing, Sicherheit und Kosten berücksichtigt werden. Möglicherweise müssen Sie auch die Einrichtung der erforderlichen Genehmigungsverfahren für solche Ausnahmen in Betracht ziehen. Ein gutes IP-Adressierungsschema hilft auch dabei, Ihr Netzwerkdesign und Ihre Routingkonfiguration zu vereinfachen.

Wesentliche Überlegungen:

  • Planen Sie Ihr IP-Adressierungsschema (sowohl öffentliche als auch private IPs) im Voraus und wählen Sie ein IP-Adressverwaltungstool aus, um die IP-Adressnutzung für all Ihre Workloads zuzuweisen, zu verwalten und zu verfolgen.

  • Verwenden Sie hierarchische und zusammengefasste IP-Adressierungsschemata.

  • Planen Sie eine konsistente IP-Zuweisung auf der Grundlage von Umgebung AWS-Region, Organisation oder Geschäftseinheit ein.

  • Legen Sie unterschiedliche IP-CIDRs (sowohl IPv4 als auch IPv6) für lokale Netzwerke und Cloud-Netzwerke fest.

  • Vermeiden und verfolgen Sie proaktiv überlappende IP-CIDRs.

  • Passen Sie die Größe Ihrer IP-CIDRs an, um Skalierung und future Wachstum zu ermöglichen.

  • Sorgen Sie bei Ihren Workloads für IPv6- oder Dual-Stack-Kompatibilität, um IP-Konflikte zu reduzieren und dem Mangel an IPv4-Speicherplatz entgegenzuwirken.

Sie können Amazon VPC IP Address Manager (IPAM) verwenden, um die Planung, Nachverfolgung und Überwachung sowohl öffentlicher als auch privater IP-Adressen für Ihre AWS Workloads zu vereinfachen. IPAM ermöglicht es Ihnen, den IP-Adressraum für mehrere und zu organisieren, zuzuweisen, zu überwachen und gemeinsam zu nutzen. AWS-Regionen AWS-Konten Es hilft auch bei der automatischen Zuweisung von CIDRs zu VPCs unter Verwendung bestimmter Geschäftsregeln.

In den AWS Control Tower Blogbeiträgen Amazon VPC IP Address Manager Best Practices, Verwaltung von IP-Pools über VPCs und Regionen mit Amazon VPC IP Address Manager und IP Address Management erfahren Sie mehr über bewährte Methoden zur IP-Adressierung und zur Verwendung von IPAM zur Verwaltung von IP-Pools zwischen VPCs,, und. AWS-Regionen AWS Control Tower

Sind Sie Well-Architected?

Das AWS Well-Architected Framework hilft Ihnen dabei, die Vor- und Nachteile der Entscheidungen zu verstehen, die Sie beim Aufbau von Systemen in der Cloud treffen. Die sechs Säulen des Frameworks ermöglichen es Ihnen, bewährte Architekturpraktiken für den Entwurf und Betrieb zuverlässiger, sicherer, effizienter, kostengünstiger und nachhaltiger Systeme kennenzulernen. Mithilfe des AWS Well-Architected Tool, das kostenlos im verfügbar ist AWS Management Console, können Sie Ihre Workloads anhand dieser bewährten Methoden überprüfen, indem Sie für jede Säule eine Reihe von Fragen beantworten.

Weitere Expertentipps und bewährte Methoden für Ihre Cloud-Architektur — Referenzarchitekturbereitstellungen, Diagramme und Whitepapers — finden Sie im Architecture Center.AWS