Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur - Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur

Veröffentlichungsdatum: 17. April 2024 () Dokumentverlauf

Kunden von Amazon Web Services (AWS) verlassen sich häufig auf Hunderte von Konten und virtuellen privaten Clouds (VPCs), um ihre Workloads zu segmentieren und ihre Präsenz zu erweitern. Diese Größenordnung führt häufig zu Herausforderungen in Bezug auf die gemeinsame Nutzung von Ressourcen, die Vernetzung und die VPC Konnektivität vor Ort. VPC

In diesem Whitepaper werden bewährte Methoden für die Erstellung skalierbarer und sicherer Netzwerkarchitekturen in einem großen Netzwerk mithilfe von AWS Diensten wie Amazon Virtual Private Cloud (AmazonVPC), AWS Transit Gateway, AWS PrivateLinkAWS Direct Connect, Gateway Load Balancer und Amazon AWS Network FirewallRoute 53 beschrieben. Es zeigt Lösungen für die Verwaltung einer wachsenden Infrastruktur, die Skalierbarkeit, Hochverfügbarkeit und Sicherheit gewährleisten und gleichzeitig die Gemeinkosten niedrig halten.

Einführung

AWS Kunden beginnen mit dem Aufbau von Ressourcen in einem einzigen AWS Konto, das eine Verwaltungsgrenze darstellt, die Berechtigungen, Kosten und Dienste segmentiert. Mit dem Wachstum der Kundenorganisation wird jedoch eine stärkere Segmentierung der Services erforderlich, um die Kosten zu überwachen, den Zugriff zu kontrollieren und das Umweltmanagement zu vereinfachen. Eine Lösung mit mehreren Konten löst diese Probleme, indem sie spezifische Konten für IT-Dienste und Benutzer innerhalb eines Unternehmens bereitstellt. AWS bietet mehrere Tools zur Verwaltung und Konfiguration dieser Infrastruktur, darunter. AWS Control Tower 

Ein Diagramm, das die AWS Control Tower erste Bereitstellung darstellt

AWS Erstmaliger Einsatz des Control Tower

Wenn Sie Ihre Umgebung mit mehreren Konten einrichten AWS Control Tower, werden zwei Organisationseinheiten (OUs) erstellt:

  • Sicherheits-OU — Innerhalb dieser Organisationseinheit werden zwei Konten AWS Control Tower erstellt:

  • Log-Archiv

  • Audit (Dieses Konto entspricht dem Security-Tooling-Konto, das bereits in der Anleitung beschrieben wurde.)

  • Sandbox-Organisationseinheit — Diese Organisationseinheit ist das Standardziel für Konten, die in dieser Organisationseinheit erstellt wurden. AWS Control Tower Sie enthält Konten, in denen Ihre Builder Dienste und andere Tools und AWS Dienste ausprobieren und damit experimentieren können, sofern die Nutzungsbedingungen Ihres Teams eingehalten werden.

AWS Control Tower ermöglicht es Ihnen, zusätzliche Funktionen zu erstellen, zu registrieren und zu verwalten, OUs um die anfängliche Umgebung für die Implementierung der Leitlinien zu erweitern.

Das folgende Diagramm zeigt die OUs ursprünglich von bereitgestellte AWS Control Tower. Sie können Ihre AWS Umgebung erweitern, um alle der im Diagramm OUs enthaltenen Empfehlungen zu implementieren, um Ihren Anforderungen gerecht zu werden.

Ein Diagramm, das die AWS Organisation OUs darstellt.

AWS organisatorisch OUs

Weitere Informationen zur Verwendung von Umgebungen mit AWS Control Tower mehreren Konten finden Sie in Anhang E des Whitepapers Organizing Your AWS Environment Using Multi-Accounts.

Die meisten Kunden beginnen mit einigen wenigenVPCs, um ihre Infrastruktur bereitzustellen. Die Anzahl, die VPCs ein Kunde erstellt, hängt in der Regel von der Anzahl seiner Konten, Benutzer und bereitgestellten Umgebungen (Produktion, Entwicklung, Test usw.) ab. Mit zunehmender Cloud-Nutzung nimmt auch die Anzahl der Benutzer, Geschäftsbereiche, Anwendungen und Regionen zu, mit denen ein Kunde interagiert, was zur Entstehung neuer Anwendungen führt. VPCs

VPCsMit zunehmender Anzahl von Benutzern wird VPC Cross-Management für den Betrieb des Cloud-Netzwerks des Kunden unverzichtbar. Dieses Whitepaper behandelt bewährte Verfahren für drei spezifische Bereiche der Cross- VPC und Hybrid-Konnektivität:

Planung und Verwaltung von IP-Adressen

Um ein skalierbares Design mit mehreren Konten und mehreren VPC Netzwerken aufzubauen, ist die Planung und Verwaltung von IP-Adressen unerlässlich. Ein gutes IP-Adressierungsschema muss Ihre aktuellen und future Netzwerkanforderungen berücksichtigen. Ihr IP-Adressschema muss Ihre lokalen Workloads und Ihre Cloud-Workloads abdecken und sollte auch future Erweiterungen ermöglichen (z. B. das Hinzufügen neuer AWS-Regionen Geschäftsbereiche sowie Fusionen oder Übernahmen). Es sollte auch verhindern, dass Ihre Teams versehentlich IP-Überschneidungen erstellen. CIDRs Wenn überlappende IP-Adressen CIDR gewünscht werden, z. B. für isolierte oder getrennte Workloads, muss diese Entscheidung bewusst getroffen werden und die Auswirkungen auf Routing, Sicherheit und Kosten sollten berücksichtigt werden. Möglicherweise müssen Sie auch die Einrichtung der erforderlichen Genehmigungsverfahren für solche Ausnahmen in Betracht ziehen. Ein gutes IP-Adressierungsschema hilft auch dabei, Ihr Netzwerkdesign und Ihre Routingkonfiguration zu vereinfachen.

Wesentliche Überlegungen:

  • Planen Sie Ihr IP-Adressierungsschema (sowohl öffentlich als auch privatIPs) im Voraus und wählen Sie ein IP-Adressverwaltungstool aus, um die IP-Adressnutzung für all Ihre Workloads zuzuweisen, zu verwalten und zu verfolgen.

  • Verwenden Sie hierarchische und zusammengefasste IP-Adressierungsschemata.

  • Planen Sie eine konsistente IP-Zuweisung auf der Grundlage von Umgebung AWS-Region, Organisation oder Geschäftseinheit ein.

  • Weisen Sie für lokale Netzwerke IPv4 und Cloud-Netzwerke unterschiedliche IP-Adressen CIDRs (sowohl als auchIPv6) zu.

  • Vermeiden und verfolgen Sie proaktiv IP-Überschneidungen. CIDRs

  • Passen Sie die Größe Ihrer CIDRs IP an, um Skalierung und future Wachstum zu ermöglichen.

  • Aktivieren Sie Ihre Workloads für die IPv6 Dual-Stack-Kompatibilität, um IP-Konflikte und die Erschöpfung des IPv4 Adressraums zu reduzieren.

Sie können Amazon VPC IP Address Manager (IPAM) verwenden, um die Planung, Nachverfolgung und Überwachung sowohl öffentlicher als auch privater IP-Adressen für Ihre AWS Workloads zu vereinfachen. IPAMermöglicht es Ihnen, den IP-Adressraum für mehrere AWS-Regionen und zu organisieren, zuzuweisen, zu überwachen und gemeinsam zu nutzen. AWS-Konten Es hilft auch bei der automatischen Zuweisung von CIDRs Daten VPCs anhand bestimmter Geschäftsregeln.

In den AWS Control Tower Blogbeiträgen Amazon VPC IP Address Manager Best Practices, IP-Pools in VPCs und Regionen mit Amazon VPC IP Address Manager verwalten und IP Address Management erfahren Sie mehr über bewährte Methoden zur IP-Adressierung und IPAM zur Verwaltung von IP-Pools zwischen VPCs AWS-Regionen, und AWS Control Tower.

Sind Sie Well-Architected?

Das AWS Well-Architected Framework hilft Ihnen dabei, die Vor- und Nachteile der Entscheidungen zu verstehen, die Sie beim Aufbau von Systemen in der Cloud treffen. Die sechs Säulen des Frameworks ermöglichen es Ihnen, bewährte Architekturpraktiken für den Entwurf und Betrieb zuverlässiger, sicherer, effizienter, kostengünstiger und nachhaltiger Systeme kennenzulernen. Mithilfe des AWS Well-Architected Tool, das kostenlos im verfügbar ist AWS Management Console, können Sie Ihre Workloads anhand dieser bewährten Methoden überprüfen, indem Sie für jede Säule eine Reihe von Fragen beantworten.

Weitere Expertentipps und bewährte Methoden für Ihre Cloud-Architektur — Referenzarchitekturbereitstellungen, Diagramme und Whitepapers — finden Sie im Architecture Center.AWS