Création d'une infrastructure VPC AWS multiréseau évolutive et sécurisée - Création d'une infrastructure VPC AWS multiréseau évolutive et sécurisée
IntroductionPlanification et gestion des adresses IPÊtes-vous Well-Architected ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une infrastructure VPC AWS multiréseau évolutive et sécurisée

Date de publication : 17 avril 2024 (Historique du document)

Les clients d'Amazon Web Services (AWS) s'appuient souvent sur des centaines de comptes et de clouds privés virtuels (VPCs) pour segmenter leurs charges de travail et étendre leur empreinte. Ce niveau d'échelle pose souvent des problèmes en termes de partage des ressources, d'interconnexion et de VPC connectivité entre les installations sur site. VPC

Ce livre blanc décrit les meilleures pratiques pour créer des architectures réseau évolutives et sécurisées dans un vaste réseau à l'aide de AWS services tels qu'Amazon Virtual Private Cloud VPC (Amazon), AWS Transit Gateway, AWS PrivateLink, AWS Direct Connect, Gateway Load Balancer et Amazon AWS Network FirewallRoute 53. Il présente des solutions pour gérer une infrastructure en pleine croissance, en garantissant l'évolutivité, la haute disponibilité et la sécurité tout en réduisant les frais généraux.

Introduction

AWS les clients commencent par créer des ressources dans un AWS compte unique qui représente une limite de gestion qui segmente les autorisations, les coûts et les services. Cependant, à mesure que l'organisation du client se développe, une plus grande segmentation des services devient nécessaire pour surveiller les coûts, contrôler l'accès et faciliter la gestion environnementale. Une solution multi-comptes résout ces problèmes en fournissant des comptes spécifiques pour les services informatiques et les utilisateurs au sein d'une organisation. AWS fournit plusieurs outils pour gérer et configurer cette infrastructure, notamment AWS Control Tower

Schéma illustrant le déploiement AWS Control Tower initial

AWS Déploiement initial de Control Tower

Lorsque vous configurez votre environnement multi-comptes à l'aide de AWS Control Tower, il crée deux unités organisationnelles (OUs) :

  • UO de sécurité : dans cette UO, AWS Control Tower crée deux comptes :

  • Archive du journal

  • Audit (Ce compte correspond au compte d'outillage de sécurité décrit précédemment dans les directives.)

  • Unité d'organisation Sandbox : cette unité d'organisation est la destination par défaut pour les comptes créés au sein AWS Control Tower de cette unité. Il contient des comptes dans lesquels vos créateurs peuvent explorer et expérimenter AWS des services, ainsi que d'autres outils et services, sous réserve des politiques d'utilisation acceptables de votre équipe.

AWS Control Tower vous permet de créer, d'enregistrer et de gérer des informations supplémentaires OUs pour étendre l'environnement initial afin de mettre en œuvre les directives.

Le schéma suivant montre le déploiement OUs initial par AWS Control Tower. Vous pouvez étendre votre AWS environnement pour implémenter l'une des recommandations OUs incluses dans le schéma, afin de répondre à vos besoins.

Schéma illustrant AWS l'organisationOUs.

AWS organisationnel OUs

Pour plus de détails sur l'utilisation d'un environnement multicompte AWS Control Tower, reportez-vous à l'annexe E du livre blanc sur l'organisation de votre AWS environnement à l'aide de plusieurs comptes.

La plupart des clients commencent par quelques VPCs entreprises pour déployer leur infrastructure. Le nombre de VPCs créations d'un client est généralement lié au nombre de comptes, d'utilisateurs et d'environnements intermédiaires (production, développement, test, etc.). À mesure que l'utilisation du cloud augmente, le nombre d'utilisateurs, d'unités commerciales, d'applications et de régions avec lesquels un client interagit augmente également, ce qui entraîne la création de nouvellesVPCs.

À mesure que le nombre VPCs augmente, la VPC gestion croisée devient essentielle au fonctionnement du réseau cloud du client. Ce livre blanc présente les meilleures pratiques dans trois domaines spécifiques de la connectivité croisée et hybride : VPC

Planification et gestion des adresses IP

Afin de créer une conception multi-comptes VPC multi-réseaux évolutive, la planification et la gestion des adresses IP sont impératives. Un bon schéma d'adressage IP doit tenir compte de vos besoins actuels et futurs en matière de réseau. L'adresse IP de votre schéma d'adresses IP doit couvrir vos charges de travail sur site, vos charges de travail dans le cloud, et doit également permettre une expansion future (par exemple, ajout de nouvelles unités commerciales Régions AWS, fusions ou acquisitions). Cela devrait également empêcher vos équipes de créer par inadvertance des adresses IP qui se chevauchent. CIDRs Si un chevauchement d'adresses IP CIDR est souhaité, par exemple pour des charges de travail isolées ou déconnectées, cette décision doit être prise en toute conscience et doit tenir compte des implications sur le routage, la sécurité et les coûts. Vous devrez peut-être également envisager de créer les processus d'approbation nécessaires pour de telles exceptions. Un bon schéma d'adressage IP permet également de simplifier la conception de votre réseau et la configuration du routage.

Considérations clés :

  • Planifiez votre schéma d'adressage IP (public et privéIPs) dès le départ et sélectionnez un outil de gestion des adresses IP pour allouer, gérer et suivre l'utilisation des adresses IP dans toutes vos charges de travail.

  • Utilisez des schémas d'adressage IP hiérarchiques et résumés.

  • Planifiez une attribution de propriété intellectuelle cohérente en fonction de l'environnement Région AWS, de l'organisation ou de l'unité commerciale.

  • Désignez une adresse IP distincte CIDRs (à la fois IPv4 etIPv6) pour les réseaux sur site et dans le cloud.

  • Empêchez et suivez les chevauchements d'adresses IP de manière proactive. CIDRs

  • Dimensionnez votre adresse IP de CIDRs manière appropriée pour permettre le dimensionnement et la croissance future.

  • Activez vos charges de travail IPv6 ou la compatibilité à double pile afin de réduire les conflits d'adresses IP et de remédier à l'épuisement de IPv4 l'espace.

Vous pouvez utiliser Amazon VPC IP Address Manager (IPAM) pour simplifier la planification, le suivi et la surveillance des adresses IP publiques et privées pour vos AWS charges de travail. IPAMvous permet d'organiser, d'allouer, de surveiller et de partager l'espace d'adresses IP entre plusieurs Régions AWS et Comptes AWS. Cela facilite également l'attribution automatique des tâches CIDRs à VPCs l'aide de règles commerciales spécifiques.

Consultez les meilleures pratiques d'Amazon VPC IP Address Manager, la gestion des pools d'adresses IP entre VPCs les régions à l'aide d'Amazon VPC IP Address Manager et la gestion des adresses IP pour les articles de AWS Control Tower blog afin de découvrir les meilleures pratiques en matière d'adressage IP et comment les utiliser IPAM pour gérer les pools d'adresses IP entre VPCs Régions AWS, et AWS Control Tower.

Êtes-vous Well-Architected ?

Le AWS Well-Architected Framework vous aide à comprendre les avantages et les inconvénients des décisions que vous prenez lors de la création de systèmes dans le cloud. Les six piliers du Framework vous permettent d'apprendre les meilleures pratiques architecturales pour concevoir et exploiter des systèmes fiables, sécurisés, efficaces, rentables et durables. À l'aide du AWS Well-Architected Tool, disponible gratuitement dans le AWS Management Console, vous pouvez évaluer votre charge de travail par rapport à ces meilleures pratiques en répondant à une série de questions pour chaque pilier.

Pour obtenir des conseils d'experts supplémentaires et les meilleures pratiques relatives à votre architecture cloud (déploiements d'architecture de référence, diagrammes et livres blancs), consultez le Centre d'architecture.AWS