Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de una infraestructura de red multiVPC AWS escalable y segura
Fecha de publicación: 17 de abril de 2024 () Historial del documento
Los clientes de Amazon Web Services (AWS) suelen confiar en cientos de cuentas y nubes privadas virtuales (VPC) para segmentar sus cargas de trabajo y ampliar su presencia. Este nivel de escala suele plantear desafíos en torno al intercambio de recursos, la conectividad entre VPC y la conectividad entre las instalaciones locales y las VPC.
Este documento técnico describe las prácticas recomendadas para crear arquitecturas de red escalables y seguras en una red grande mediante AWS servicios como Amazon Virtual Private Cloud (
Introducción
AWS Los clientes comienzan por acumular recursos en una sola AWS cuenta que representa un límite de administración que segmenta los permisos, los costos y los servicios. Sin embargo, a medida que la organización del cliente crece, se hace necesaria una mayor segmentación de los servicios para monitorear los costos, controlar el acceso y facilitar la administración ambiental. Una solución de cuentas múltiples resuelve estos problemas al proporcionar cuentas específicas para los servicios de TI y los usuarios de una organización. AWS proporciona varias herramientas para administrar y configurar esta infraestructura, entre las que se incluyen AWS Control Tower
Cuando configuras tu entorno de múltiples cuentas mediante AWS Control Tower, se crean dos unidades organizativas (OU):
-
OU de seguridad: dentro de esta OU, AWS Control Tower crea dos cuentas:
-
Archivo de registros
-
Auditoría (esta cuenta corresponde a la cuenta de herramientas de seguridad descrita anteriormente en la guía).
-
Unidad organizativa aislada: esta unidad organizativa es el destino predeterminado para las cuentas creadas en ella. AWS Control Tower Contiene cuentas en las que sus creadores pueden explorar y experimentar con AWS los servicios y otras herramientas y servicios, de conformidad con las políticas de uso aceptable de su equipo.
AWS Control Tower le permite crear, registrar y administrar unidades organizativas adicionales para ampliar el entorno inicial e implementar la guía.
El siguiente diagrama muestra las unidades organizativas implementadas inicialmente por AWS Control Tower. Puede ampliar su AWS entorno para implementar cualquiera de las unidades organizativas recomendadas incluidas en el diagrama, a fin de cumplir con sus requisitos.
Para obtener más información sobre el uso de un entorno de cuentas múltiples AWS Control Tower, consulte el apéndice E del documento técnico Cómo organizar su AWS entorno con varias cuentas.
nota
En este documento técnico, «Torre de Control» es un término amplio para la configuración escalable, segura y eficiente de múltiples cuentas o múltiples VPC en la que se despliegan las cargas de trabajo. Esta configuración se puede crear con diferentes herramientas. Encontrará más información sobre las prácticas recomendadas, los principios de diseño y las ventajas de la nube multicuenta en el documento técnico Cómo organizar su AWS entorno con varias cuentas.
La mayoría de los clientes comienzan con unas cuantas VPC para implementar su infraestructura. La cantidad de VPC que crea un cliente suele estar relacionada con la cantidad de cuentas, usuarios y entornos preconfigurados (producción, desarrollo, pruebas, etc.). A medida que aumenta el uso de la nube, también aumenta el número de usuarios, unidades de negocio, aplicaciones y regiones con las que interactúa un cliente, lo que lleva a la creación de nuevas VPC.
A medida que aumenta el número de VPC, la administración entre VPC se vuelve esencial para el funcionamiento de la red en la nube del cliente. Este documento técnico describe las mejores prácticas para tres áreas específicas de la conectividad híbrida y entre VPC:
-
Conectividad de red: interconexión de VPC y redes locales a escala.
-
Seguridad de red: creación de puntos de salida centralizados para acceder a Internet y a puntos finales, como la puerta de enlace de traducción de direcciones de red (NAT), AWS PrivateLink
los puntos finales de VPC y los balanceadores de carga de puerta de enlace. AWS Network Firewall -
Administración de DNS: resolución de DNS dentro de la Torre de Control y DNS híbrido.
Planificación y administración de direcciones IP
Para crear un diseño de red escalable con múltiples cuentas y múltiples VPC, es imprescindible planificar y administrar las direcciones IP. Un buen esquema de direccionamiento IP debe tener en cuenta sus necesidades de red actuales y futuras. Su esquema de direcciones IP debe cubrir sus cargas de trabajo locales y sus cargas de trabajo en la nube, y también debe permitir una expansión futura (por ejemplo, la incorporación de nuevas Regiones de AWS unidades de negocio y las fusiones o adquisiciones). También debería evitar que sus equipos creen, de forma inadvertida, CIDR de IP superpuestos. Si se desea que las CIDR IP se superpongan, por ejemplo, en el caso de cargas de trabajo aisladas o desconectadas, esta decisión debe tomarse de forma consciente y tener en cuenta las implicaciones en el enrutamiento, la seguridad y el costo. Es posible que también deba considerar la posibilidad de crear los procesos de aprobación necesarios para dichas excepciones. Un buen esquema de direcciones IP también ayuda a simplificar el diseño de la red y la configuración del enrutamiento.
Consideraciones clave:
-
Planifique su esquema de direcciones IP (tanto IP públicas como privadas) por adelantado y seleccione una herramienta de administración de direcciones IP para asignar, administrar y rastrear el uso de direcciones IP en todas sus cargas de trabajo.
-
Utilice esquemas de direcciones IP jerárquicos y resumidos.
-
Planifique una asignación de IP coherente en función del entorno Región de AWS, la organización o la unidad de negocio.
-
Designe distintos CIDR de IP (tanto IPv4 como IPv6) para las redes locales y en la nube.
-
Evite y realice un seguimiento proactivo de los CIDR de IP superpuestos.
-
Dimensione sus CIDR IP de manera adecuada para permitir la escalabilidad y el crecimiento futuro.
-
Habilite sus cargas de trabajo para que sean compatibles con IPv6 o doble pila para reducir los conflictos de IP y abordar el agotamiento del espacio IPv4.
Puede usar Amazon VPC IP Address Manager (IPAM) para simplificar la planificación, el seguimiento y la supervisión de las direcciones IP públicas y privadas de sus cargas de trabajo. AWS El IPAM le permite organizar, asignar, monitorear y compartir el espacio de direcciones IP en múltiples y. Regiones de AWS Cuentas de AWS También ayuda a asignar automáticamente los CIDR a las VPC mediante reglas empresariales específicas.
Consulte las prácticas recomendadas del administrador de direcciones IP de Amazon VPC
¿Tiene Well-Architected?
El marco de AWS
Well-Architected
Para obtener más orientación experta y prácticas recomendadas para la arquitectura en la nube (implementaciones de arquitectura de referencia, diagramas y documentos técnicos), consulte el Centro de arquitectura de AWS