Création d'une infrastructure réseau multi-VPC AWS évolutive et sécurisée - Création d'une infrastructure VPC AWS multiréseau évolutive et sécurisée
IntroductionPlanification et gestion des adresses IPÊtes-vous Well-Architected ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une infrastructure réseau multi-VPC AWS évolutive et sécurisée

Date de publication : 17 avril 2024 (Historique du document)

Les clients d'Amazon Web Services (AWS) s'appuient souvent sur des centaines de comptes et de clouds privés virtuels (VPC) pour segmenter leurs charges de travail et étendre leur empreinte. Ce niveau d'échelle pose souvent des problèmes en termes de partage des ressources, de connectivité entre VPC et de connectivité VPC entre les installations sur site et les VPC.

Ce livre blanc décrit les meilleures pratiques pour créer des architectures réseau évolutives et sécurisées dans un vaste réseau à l'aide de AWS services tels qu'Amazon Virtual Private Cloud (Amazon VPC),,, AWS Transit GatewayAWS PrivateLink, Gateway AWS Direct ConnectLoad Balancer et Amazon Route 53 AWS Network Firewall. Il présente des solutions pour gérer une infrastructure en pleine croissance, en garantissant l'évolutivité, la haute disponibilité et la sécurité tout en réduisant les frais généraux.

Introduction

AWS les clients commencent par créer des ressources dans un AWS compte unique qui représente une limite de gestion qui segmente les autorisations, les coûts et les services. Cependant, à mesure que l'organisation du client se développe, une plus grande segmentation des services devient nécessaire pour surveiller les coûts, contrôler l'accès et faciliter la gestion environnementale. Une solution multi-comptes résout ces problèmes en fournissant des comptes spécifiques pour les services informatiques et les utilisateurs au sein d'une organisation. AWS fournit plusieurs outils pour gérer et configurer cette infrastructure, notamment AWS Control Tower

Schéma illustrant le déploiement AWS Control Tower initial

AWS Déploiement initial de Control Tower

Lorsque vous configurez votre environnement multi-comptes à l'aide de AWS Control Tower, il crée deux unités organisationnelles (UO) :

  • UO de sécurité : dans cette UO, AWS Control Tower crée deux comptes :

  • Archive du journal

  • Audit (Ce compte correspond au compte d'outillage de sécurité décrit précédemment dans le guide.)

  • Unité d'organisation Sandbox : cette unité d'organisation est la destination par défaut pour les comptes créés au sein AWS Control Tower de cette unité. Il contient des comptes dans lesquels vos créateurs peuvent explorer et expérimenter AWS des services, ainsi que d'autres outils et services, sous réserve des politiques d'utilisation acceptables de votre équipe.

AWS Control Tower vous permet de créer, d'enregistrer et de gérer des unités d'organisation supplémentaires afin d'étendre l'environnement initial afin de mettre en œuvre les directives.

Le schéma suivant montre les unités d'organisation initialement déployées par AWS Control Tower. Vous pouvez étendre votre AWS environnement pour implémenter l'une des unités d'organisation recommandées incluses dans le schéma, afin de répondre à vos besoins.

Schéma illustrant les AWS unités d'organisation.

AWS UO organisationnels

Pour plus de détails sur l'utilisation d'un environnement multicompte AWS Control Tower, reportez-vous à l'annexe E du livre blanc sur l'organisation de votre AWS environnement à l'aide de plusieurs comptes.

Note

Dans ce livre blanc, « Control Tower » est un terme général désignant la configuration multicompte/multi-VPC évolutive, sécurisée et performante dans laquelle vous déployez vos charges de travail. Cette configuration peut être construite à l'aide de différents outils. Vous trouverez plus d'informations sur les meilleures pratiques, les principes de conception et les avantages de la solution cloud multi-comptes dans le livre blanc Organizing Your AWS Environment Using Multiple Accounts.

La plupart des clients commencent par quelques VPC pour déployer leur infrastructure. Le nombre de VPC créés par un client est généralement lié au nombre de comptes, d'utilisateurs et d'environnements intermédiaires (production, développement, test, etc.). À mesure que l'utilisation du cloud augmente, le nombre d'utilisateurs, d'unités commerciales, d'applications et de régions avec lesquels un client interagit augmente également, ce qui entraîne la création de nouveaux VPC.

À mesure que le nombre de VPC augmente, la gestion inter-VPC devient essentielle au fonctionnement du réseau cloud du client. Ce livre blanc présente les meilleures pratiques dans trois domaines spécifiques de la connectivité cross-VPC et hybride :

Planification et gestion des adresses IP

Afin de créer une conception de réseau multi-comptes multi-VPC évolutive, la planification et la gestion des adresses IP sont impératives. Un bon schéma d'adressage IP doit tenir compte de vos besoins actuels et futurs en matière de réseau. L'adresse IP de votre schéma d'adresses IP doit couvrir vos charges de travail sur site, vos charges de travail dans le cloud, et doit également permettre une expansion future (par exemple, ajout de nouvelles unités commerciales Régions AWS, fusions ou acquisitions). Cela devrait également empêcher vos équipes de créer par inadvertance des CIDR IP qui se chevauchent. Si un chevauchement d'adresses CIDR IP est souhaité, par exemple pour des charges de travail isolées ou déconnectées, cette décision doit être prise en toute conscience et doit tenir compte des implications sur le routage, la sécurité et les coûts. Vous devrez peut-être également envisager de créer les processus d'approbation nécessaires pour ces exceptions. Un bon schéma d'adressage IP permet également de simplifier la conception de votre réseau et la configuration du routage.

Considérations clés :

  • Planifiez votre schéma d'adressage IP (adresses IP publiques et privées) dès le départ et sélectionnez un outil de gestion des adresses IP pour allouer, gérer et suivre l'utilisation des adresses IP dans toutes vos charges de travail.

  • Utilisez des schémas d'adressage IP hiérarchiques et résumés.

  • Planifiez une attribution de propriété intellectuelle cohérente en fonction de l'environnement Région AWS, de l'organisation ou de l'unité commerciale.

  • Désignez des CIDR IP distincts (IPv4 et IPv6) pour les réseaux sur site et dans le cloud.

  • Prévenez et suivez de manière proactive les CIDR IP qui se chevauchent.

  • Dimensionnez vos CIDR IP de manière appropriée pour permettre la mise à l'échelle et la croissance future.

  • Activez vos charges de travail pour la compatibilité IPv6 ou Dual-Stack afin de réduire les conflits IP et de remédier à l'épuisement de l'espace IPv4.

Vous pouvez utiliser Amazon VPC IP Address Manager (IPAM) pour simplifier la planification, le suivi et la surveillance des adresses IP publiques et privées pour vos charges de travail. AWS L'IPAM vous permet d'organiser, d'allouer, de surveiller et de partager l'espace d'adresses IP entre plusieurs Régions AWS et Comptes AWS. Il facilite également l'attribution automatique des CIDR aux VPC à l'aide de règles commerciales spécifiques.

Consultez les meilleures pratiques du gestionnaire d'adresses IP Amazon VPC, la gestion des pools d'adresses IP entre les VPC et les régions à l'aide du gestionnaire d'adresses IP Amazon VPC et la gestion des adresses IP pour les articles de AWS Control Tower blog afin de découvrir les meilleures pratiques en matière d'adressage IP et comment utiliser IPAM pour gérer les pools d'adresses IP sur les VPC, et. Régions AWS AWS Control Tower

Êtes-vous Well-Architected ?

Le AWS Well-Architected Framework vous aide à comprendre les avantages et les inconvénients des décisions que vous prenez lors de la création de systèmes dans le cloud. Les six piliers du Framework vous permettent d'apprendre les meilleures pratiques architecturales pour concevoir et exploiter des systèmes fiables, sécurisés, efficaces, rentables et durables. À l'aide du AWS Well-Architected Tool, disponible gratuitement dans le AWS Management Console, vous pouvez évaluer votre charge de travail par rapport à ces meilleures pratiques en répondant à une série de questions pour chaque pilier.

Pour obtenir des conseils d'experts supplémentaires et les meilleures pratiques relatives à votre architecture cloud (déploiements d'architecture de référence, diagrammes et livres blancs), consultez le Centre d'architecture.AWS