Creación de una infraestructura de VPC AWS redes múltiples escalable y segura - Creación de una infraestructura de VPC AWS redes múltiples escalable y segura
IntroducciónPlanificación y administración de direcciones IP¿Tiene Well-Architected?

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una infraestructura de VPC AWS redes múltiples escalable y segura

Fecha de publicación: 17 de abril de 2024 () Historial del documento

Los clientes de Amazon Web Services (AWS) suelen confiar en cientos de cuentas y nubes privadas virtuales (VPCs) para segmentar sus cargas de trabajo y ampliar su presencia. Este nivel de escala suele crear desafíos en torno al intercambio de recursos, la interconectividad y las instalaciones VPC locales para la conectividad. VPC

Este documento técnico describe las prácticas recomendadas para crear arquitecturas de red escalables y seguras en una red grande mediante AWS servicios como Amazon Virtual Private Cloud (AmazonVPC),, AWS Transit GatewayAWS PrivateLinkAWS Direct Connect, Gateway Load Balancer AWS Network Firewally Amazon Route 53. Muestra las soluciones para administrar una infraestructura en crecimiento, lo que garantiza la escalabilidad, la alta disponibilidad y la seguridad y, al mismo tiempo, mantiene bajos los costos generales.

Introducción

AWS Los clientes comienzan por acumular recursos en una sola AWS cuenta que representa un límite de administración que segmenta los permisos, los costos y los servicios. Sin embargo, a medida que la organización del cliente crece, se hace necesaria una mayor segmentación de los servicios para monitorear los costos, controlar el acceso y facilitar la administración ambiental. Una solución de cuentas múltiples resuelve estos problemas al proporcionar cuentas específicas para los servicios de TI y los usuarios de una organización. AWS proporciona varias herramientas para administrar y configurar esta infraestructura, entre las que se incluyen AWS Control Tower

Un diagrama que muestra AWS Control Tower la implementación inicial

AWS Despliegue inicial de la Torre de Control

Cuando configuras tu entorno de múltiples cuentas mediante AWS Control Tower, se crean dos unidades organizativas (OUs):

  • OU de seguridad: dentro de esta OU, AWS Control Tower crea dos cuentas:

  • Archivo de registros

  • Auditoría (esta cuenta corresponde a la cuenta de herramientas de seguridad descrita anteriormente en la guía).

  • Unidad organizativa aislada: esta unidad organizativa es el destino predeterminado para las cuentas creadas en ella. AWS Control Tower Contiene cuentas en las que sus creadores pueden explorar y experimentar con AWS los servicios y otras herramientas y servicios, de conformidad con las políticas de uso aceptable de su equipo.

AWS Control Tower permite crear, registrar y gestionar otras funciones adicionales OUs para ampliar el entorno inicial e implementar las directrices.

El siguiente diagrama muestra el implementado OUs inicialmente por AWS Control Tower. Puede ampliar su AWS entorno para implementar cualquiera de las recomendaciones OUs incluidas en el diagrama, a fin de cumplir con sus requisitos.

Un diagrama que representa la AWS organizaciónOUs.

AWS organizacional OUs

Para obtener más información sobre el uso de un entorno multicuenta AWS Control Tower, consulte el apéndice E del documento técnico Cómo organizar su AWS entorno con varias cuentas.

La mayoría de los clientes comienzan con unas pocas VPCs para implementar su infraestructura. La cantidad que crea VPCs un cliente suele estar relacionada con la cantidad de cuentas, usuarios y entornos preconfigurados (producción, desarrollo, pruebas, etc.). A medida que aumenta el uso de la nube, también aumenta el número de usuarios, unidades de negocio, aplicaciones y regiones con las que interactúa un cliente, lo que se traduce en la creación de nuevosVPCs.

A medida que VPCs aumenta el número de ellas, la VPC gestión cruzada se vuelve esencial para el funcionamiento de la red en la nube del cliente. Este documento técnico describe las mejores prácticas en tres áreas específicas de la conectividad cruzada e híbrida: VPC

Planificación y administración de direcciones IP

Para crear un diseño escalable de múltiples cuentas y VPC redes múltiples, es imprescindible planificar y administrar las direcciones IP. Un buen esquema de direccionamiento IP debe tener en cuenta sus necesidades de red actuales y futuras. Su esquema de direcciones IP debe cubrir sus cargas de trabajo locales y sus cargas de trabajo en la nube, y también debe permitir una expansión futura (por ejemplo, la incorporación de nuevas Regiones de AWS unidades de negocio y las fusiones o adquisiciones). También debería evitar que sus equipos creen direcciones IP superpuestas de forma inadvertida. CIDRs Si se desea que la IP CIDR se superponga, por ejemplo, en el caso de cargas de trabajo aisladas o desconectadas, esta decisión debe ser consciente y tener en cuenta las implicaciones en el enrutamiento, la seguridad y el costo. Es posible que también deba considerar la posibilidad de crear los procesos de aprobación necesarios para dichas excepciones. Un buen esquema de direcciones IP también ayuda a simplificar el diseño de la red y la configuración del enrutamiento.

Consideraciones clave:

  • Planifique su esquema de direcciones IP (tanto públicas como privadasIPs) por adelantado y seleccione una herramienta de administración de direcciones IP para asignar, administrar y rastrear el uso de las direcciones IP en todas sus cargas de trabajo.

  • Utilice esquemas de direcciones IP jerárquicos y resumidos.

  • Planifique una asignación de IP coherente en función del entorno Región de AWS, la organización o la unidad de negocio.

  • Designe una IP distinta CIDRs (tanto como IPv4IPv6) para las redes locales y en la nube.

  • Prevenga y realice un seguimiento proactivo de las IP superpuestas. CIDRs

  • Dimensione su IP de CIDRs forma adecuada para permitir la escalabilidad y el crecimiento futuro.

  • Habilite sus cargas de trabajo para que IPv6 sean compatibles con dos pilas para reducir los conflictos de IP y abordar el agotamiento del IPv4 espacio.

Puede usar Amazon VPC IP Address Manager (IPAM) para simplificar la planificación, el seguimiento y la supervisión de las direcciones IP públicas y privadas de sus AWS cargas de trabajo. IPAMle permite organizar, asignar, monitorear y compartir el espacio de direcciones IP en múltiples Regiones de AWS y Cuentas de AWS. También ayuda a asignar automáticamente el VPCs uso CIDRs de reglas comerciales específicas.

Consulte las prácticas recomendadas del administrador de direcciones VPC IP de Amazon, la administración de grupos de IP en VPCs todas las regiones con Amazon VPC IP Address Manager y la administración de direcciones IP para AWS Control Tower obtener información sobre las mejores prácticas de direccionamiento IP y cómo IPAM utilizarlas para administrar los grupos de IP en VPCs Regiones de AWS, y AWS Control Tower.

¿Tiene Well-Architected?

El marco de AWS Well-Architected le ayuda a entender las ventajas y desventajas de las decisiones que toma al crear sistemas en la nube. Los seis pilares del marco le permitirán aprender las prácticas recomendadas de arquitectura para diseñar y utilizar sistemas fiables, seguros, eficientes, rentables y sostenibles. Mediante AWS Well-Architected Tool, disponible sin costo alguno en la AWS Management Console, puede comparar las cargas de trabajo con estas prácticas recomendadas respondiendo a una serie de preguntas para cada pilar.

Para obtener más orientación experta y prácticas recomendadas para la arquitectura en la nube (implementaciones de arquitectura de referencia, diagramas y documentos técnicos), consulte el Centro de arquitectura de AWS.