REL02-BP04 Préférer les topologies en étoile au maillage « many-to-many » - Reliability Pillar
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

REL02-BP04 Préférer les topologies en étoile au maillage « many-to-many »

Lorsque vous connectez plusieurs réseaux privés, tels que des clouds privés virtuels (VPC) et des réseaux sur site, optez pour une topologie en étoile plutôt qu’une topologie maillée. Contrairement aux topologies maillées, où chaque réseau se connecte directement aux autres et augmente la complexité et les frais de gestion, l’architecture en étoile centralise les connexions via un hub unique. Cette centralisation simplifie la structure du réseau et améliore son opérabilité, sa capacité de mise à l’échelle et son contrôle.

AWS Transit Gateway est un service géré, évolutif et hautement disponible conçu pour la construction de réseaux en étoile sur AWS. Il fait office de hub central de votre réseau et assure la segmentation du réseau, le routage centralisé et la connexion simplifiée aux environnements cloud et sur site. La figure suivante montre comment utiliser AWS Transit Gateway pour créer une topologie en étoile.

AWS Transit Gateway connecting various services like VPCs, Direct Connect, and third-party appliances.

Résultat escompté : vous avez connecté vos clouds privés virtuels (VPC) et vos réseaux sur site via un hub central. Vous configurez vos connexions d’appairage via le hub, qui agit comme un routeur cloud hautement évolutif. Le routage est simplifié car vous n’avez pas à travailler avec des relations d’appairage complexes. Le trafic entre les réseaux est chiffré et vous avez la possibilité d’isoler les réseaux.

Anti-modèles courants :

  • Vous établissez des règles d’appairage réseau complexes.

  • Vous fournissez des routes entre des réseaux qui ne doivent pas communiquer entre eux (par exemple, des charges de travail distinctes qui n’ont aucune interdépendance).

  • La gouvernance de l’instance du hub est inefficace.

Avantages du respect de cette bonne pratique : à mesure que le nombre de réseaux connectés augmente, la gestion et le développement de la connectivité maillée deviennent de plus en plus difficiles. Une architecture maillée introduit des défis supplémentaires, tels que des composants d’infrastructure, des exigences de configuration et des considérations de déploiement supplémentaires. Le maillage introduit également une surcharge supplémentaire pour gérer et surveiller les composants du plan de données et du plan de contrôle. Vous devez réfléchir à la manière d’assurer la haute disponibilité de l’architecture maillée, de surveiller l’état et les performances du maillage et de gérer les mises à niveau des composants du maillage.

Un modèle en étoile (hub and spoke), quant à lui, établit un routage centralisé du trafic sur plusieurs réseaux. Il fournit une approche plus simple de la gestion et de la surveillance des composants du plan de données et du plan de contrôle.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Créez un compte de services réseau s’il n’en existe pas. Placez le hub dans le compte de services réseau de l’organisation. Cette approche permet au hub d’être géré de manière centralisée par les ingénieurs réseau.

Le hub du modèle en étoile (hub and spoke) agit en tant que routeur virtuel pour le trafic circulant entre vos clouds privés virtuels (VPC) et les réseaux sur site. Cette approche réduit la complexité du réseau et facilite la résolution des problèmes de mise en réseau.

Tenez compte de la conception de votre réseau, notamment des VPC, d’AWS Direct Connect et des connexions VPN de site à site que vous souhaitez interconnecter.

Envisagez d’utiliser un sous-réseau distinct pour chaque attachement de VPC de passerelle de transit. Pour chaque sous-réseau, utilisez un petit CIDR (par exemple /28), afin d’avoir plus d’espace d’adressage pour les ressources de calcul. De plus, créez une liste ACL réseau et associez-la à tous les sous-réseaux qui sont associés au hub. Gardez la liste ACL réseau ouverte dans les directions entrantes et sortantes.

Concevez et implémentez vos tables de routage de telle sorte que les routes ne soient fournies qu’entre les réseaux qui doivent communiquer. Omettez les routes entre des réseaux qui ne doivent pas communiquer entre eux (par exemple, entre des charges de travail distinctes qui n’ont aucune interdépendance).

Étapes d’implémentation

  1. Planifiez votre réseau. Déterminez les réseaux que vous souhaitez connecter et vérifiez qu’ils ne partagent pas de plages CIDR superposées.

  2. Créez une passerelle AWS Transit Gateway et attachez-lui vos VPC.

  3. Si nécessaire, créez des connexions VPN ou des passerelles Direct Connect et associez-les à la passerelle Transit Gateway.

  4. Définissez la façon dont le trafic est acheminé entre les VPC connectés et les autres connexions via la configuration de vos tables de routage Transit Gateway.

  5. Utilisez Amazon CloudWatch pour surveiller et ajuster les configurations selon les besoins afin d’optimiser les performances et les coûts.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Ateliers connexes :