Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aufbau einer skalierbaren und sicheren Multi-VPC-Netzwerkinfrastruktur AWS
Veröffentlichungsdatum: 17. April 2024 () Dokumentverlauf
Kunden von Amazon Web Services (AWS) verlassen sich häufig auf Hunderte von Konten und Virtual Private Clouds (VPCs), um ihre Workloads zu segmentieren und ihren Footprint zu erweitern. Diese Größenordnung führt häufig zu Problemen in Bezug auf die gemeinsame Nutzung von Ressourcen, die Konnektivität zwischen VPCs und die Konnektivität zwischen lokalen Einrichtungen und VPC-Konnektivität.
In diesem Whitepaper werden bewährte Methoden für die Erstellung skalierbarer und sicherer Netzwerkarchitekturen in einem großen Netzwerk mithilfe von AWS Services wie Amazon Virtual Private Cloud
Einführung
AWS Kunden beginnen mit dem Aufbau von Ressourcen in einem einzigen AWS Konto, das eine Verwaltungsgrenze darstellt, die Berechtigungen, Kosten und Dienste segmentiert. Mit dem Wachstum der Kundenorganisation wird jedoch eine stärkere Segmentierung der Services erforderlich, um die Kosten zu überwachen, den Zugang zu kontrollieren und das Umweltmanagement zu vereinfachen. Eine Lösung mit mehreren Konten löst diese Probleme, indem sie spezifische Konten für IT-Dienste und Benutzer innerhalb eines Unternehmens bereitstellt. AWS bietet mehrere Tools zur Verwaltung und Konfiguration dieser Infrastruktur, darunter. AWS Control Tower
Wenn Sie Ihre Umgebung mit mehreren Konten einrichten AWS Control Tower, werden zwei Organisationseinheiten (OUs) erstellt:
-
Sicherheits-OU — Innerhalb dieser OU werden zwei Konten AWS Control Tower erstellt:
-
Log-Archiv
-
Audit (Dieses Konto entspricht dem Security-Tooling-Konto, das bereits in der Anleitung beschrieben wurde.)
-
Sandbox-Organisationseinheit — Diese Organisationseinheit ist das Standardziel für Konten, die in dieser Organisationseinheit erstellt wurden. AWS Control Tower Sie enthält Konten, in denen Ihre Builder Dienste und andere Tools und AWS Dienste ausprobieren und damit experimentieren können, sofern die Nutzungsbedingungen Ihres Teams eingehalten werden.
AWS Control Tower ermöglicht es Ihnen, zusätzliche Organisationseinheiten zu erstellen, zu registrieren und zu verwalten, um die anfängliche Umgebung für die Implementierung der Leitlinien zu erweitern.
Das folgende Diagramm zeigt die Organisationseinheiten, die ursprünglich von bereitgestellt wurden AWS Control Tower. Sie können Ihre AWS Umgebung erweitern, um jede der im Diagramm empfohlenen Organisationseinheiten zu implementieren, um Ihren Anforderungen gerecht zu werden.
Weitere Informationen zur Verwendung von Umgebungen mit AWS Control Tower mehreren Konten finden Sie in Anhang E des Whitepapers Organizing Your AWS Environment Using Multiple Accounts.
Anmerkung
In diesem Whitepaper ist „Control Tower“ ein weit gefasster Begriff für das skalierbare, sichere und leistungsstarke Multi-Account-/Multi-VPC-Setup, in dem Sie Ihre Workloads bereitstellen. Dieses Setup kann mit verschiedenen Tools erstellt werden. Weitere Informationen zu bewährten Methoden, Entwurfsprinzipien und Vorteilen der Cloud-Foundation für mehrere Konten finden Sie im Whitepaper Organizing Your AWS Environment Using Multi-Accounts.
Die meisten Kunden beginnen mit einigen VPCs, um ihre Infrastruktur bereitzustellen. Die Anzahl der VPCs, die ein Kunde erstellt, hängt normalerweise von der Anzahl seiner Konten, Benutzer und bereitgestellten Umgebungen (Produktion, Entwicklung, Test usw.) ab. Mit zunehmender Cloud-Nutzung wächst auch die Anzahl der Benutzer, Geschäftsbereiche, Anwendungen und Regionen, mit denen ein Kunde interagiert, was zur Schaffung neuer VPCs führt.
Da die Anzahl der VPCs wächst, wird ein vPC-übergreifendes Management für den Betrieb des Cloud-Netzwerks des Kunden unverzichtbar. Dieses Whitepaper behandelt bewährte Methoden für drei spezifische Bereiche der Cross-VPC- und Hybrid-Konnektivität:
-
Netzwerkkonnektivität — Vernetzung von VPCs und lokalen Netzwerken in großem Maßstab.
-
Netzwerksicherheit — Aufbau zentraler Ausgangspunkte für den Zugriff auf das Internet und Endpunkte wie Network Address Translation (NAT) -Gateway, VPC-Endpunkte und Gateway AWS PrivateLink
Load AWS Network Firewall Balancers. -
DNS-Management — Auflösen von DNS innerhalb des Control Tower und Hybrid-DNS.
Planung und Verwaltung von IP-Adressen
Um ein skalierbares Multi-Account-Multi-VPC-Netzwerkdesign aufzubauen, ist die Planung und Verwaltung von IP-Adressen unerlässlich. Ein gutes IP-Adressierungsschema muss Ihre aktuellen und future Netzwerkanforderungen berücksichtigen. Ihr IP-Adressschema muss Ihre lokalen Workloads und Ihre Cloud-Workloads abdecken und sollte auch future Erweiterungen ermöglichen (z. B. das Hinzufügen neuer AWS-Regionen Geschäftsbereiche sowie Fusionen oder Übernahmen). Es sollte auch verhindern, dass Ihre Teams versehentlich überlappende IP-CIDRs erstellen. Wenn überlappende IP-CIDRs gewünscht werden, z. B. bei isolierten oder getrennten Workloads, muss diese Entscheidung bewusst getroffen und die Auswirkungen auf Routing, Sicherheit und Kosten berücksichtigt werden. Möglicherweise müssen Sie auch die Einrichtung der erforderlichen Genehmigungsverfahren für solche Ausnahmen in Betracht ziehen. Ein gutes IP-Adressierungsschema hilft auch dabei, Ihr Netzwerkdesign und Ihre Routingkonfiguration zu vereinfachen.
Wesentliche Überlegungen:
-
Planen Sie Ihr IP-Adressierungsschema (sowohl öffentliche als auch private IPs) im Voraus und wählen Sie ein IP-Adressverwaltungstool aus, um die IP-Adressnutzung für all Ihre Workloads zuzuweisen, zu verwalten und zu verfolgen.
-
Verwenden Sie hierarchische und zusammengefasste IP-Adressierungsschemata.
-
Planen Sie eine konsistente IP-Zuweisung auf der Grundlage von Umgebung AWS-Region, Organisation oder Geschäftseinheit ein.
-
Legen Sie unterschiedliche IP-CIDRs (sowohl IPv4 als auch IPv6) für lokale Netzwerke und Cloud-Netzwerke fest.
-
Vermeiden und verfolgen Sie proaktiv überlappende IP-CIDRs.
-
Passen Sie die Größe Ihrer IP-CIDRs an, um Skalierung und future Wachstum zu ermöglichen.
-
Sorgen Sie bei Ihren Workloads für IPv6- oder Dual-Stack-Kompatibilität, um IP-Konflikte zu reduzieren und dem Mangel an IPv4-Speicherplatz entgegenzuwirken.
Sie können Amazon VPC IP Address Manager (IPAM) verwenden, um die Planung, Nachverfolgung und Überwachung sowohl öffentlicher als auch privater IP-Adressen für Ihre AWS Workloads zu vereinfachen. IPAM ermöglicht es Ihnen, den IP-Adressraum für mehrere und zu organisieren, zuzuweisen, zu überwachen und gemeinsam zu nutzen. AWS-Regionen AWS-Konten Es hilft auch bei der automatischen Zuweisung von CIDRs zu VPCs unter Verwendung bestimmter Geschäftsregeln.
In den AWS Control Tower Blogbeiträgen Amazon VPC IP Address Manager Best Practices
Sind Sie Well-Architected?
Das AWS
Well-Architected Framework