.amazonaws.com/`
Tabel berikut mencantumkan port yang diperlukan.
|
|
| Sumber | Destinasi | Port | Untuk informasi selengkapnya, silakan lihat |
| --- |--- |--- |--- |
| Pusat data sumber | Layanan Amazon S3 URLs | 443 (TCP) | [Komunikasi melalui port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Pusat data sumber | Wilayah AWS-alamat konsol khusus untuk Layanan Migrasi Aplikasi | 443 (TCP) | [Komunikasi antara server sumber dan Layanan Migrasi Aplikasi melalui port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Pusat data sumber | Subnet area pementasan | 1500 (TCP) | [Komunikasi antara server sumber dan subnet area pementasan melalui port TCP 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Subnet area pementasan | Wilayah AWS-alamat konsol khusus untuk Layanan Migrasi Aplikasi | 443 (TCP) | [Komunikasi antara subnet area pementasan dan Layanan Migrasi Aplikasi melalui port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Subnet area pementasan | Layanan Amazon S3 URLs | 443 (TCP) | [Komunikasi melalui port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Subnet area pementasan | Titik akhir Amazon Elastic Compute Cloud (Amazon EC2) dari subnet Wilayah AWS | 443 (TCP) | [Komunikasi melalui port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
**Keterbatasan**
Layanan Migrasi Aplikasi saat ini tidak tersedia di semua Wilayah AWS dan sistem operasi.
+ [Didukung Wilayah AWS](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Sistem operasi yang didukung](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Arsitektur
Diagram berikut menggambarkan arsitektur jaringan untuk migrasi tipikal. Untuk informasi selengkapnya tentang arsitektur ini, lihat [dokumentasi Layanan Migrasi Aplikasi](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) [dan arsitektur layanan Layanan Migrasi Aplikasi dan video arsitektur jaringan](https://youtu.be/ao8geVzmmRo).
![\[Arsitektur jaringan untuk Layanan Migrasi Aplikasi untuk migrasi tipikal\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
Tampilan rinci berikut menunjukkan konfigurasi titik akhir VPC antarmuka di area pementasan VPC untuk menghubungkan Amazon S3 dan Layanan Migrasi Aplikasi.
![\[Arsitektur jaringan untuk Layanan Migrasi Aplikasi untuk migrasi tipikal - tampilan rinci\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Alat
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)menyederhanakan, mempercepat, dan mengurangi biaya rehosting aplikasi. AWS
+ [Endpoint VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) memungkinkan Anda untuk terhubung ke layanan yang didukung oleh AWS PrivateLink tanpa memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan sumber daya di layanan. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon.
## Epik
### Buat titik akhir untuk Layanan Migrasi Aplikasi, Amazon EC2, dan Amazon S3
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Konfigurasikan titik akhir antarmuka untuk Layanan Migrasi Aplikasi. | Pusat data sumber dan area pementasan VPC terhubung secara pribadi ke bidang kontrol Layanan Migrasi Aplikasi melalui titik akhir antarmuka yang Anda buat di area pementasan target VPC. Untuk membuat titik akhir:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Untuk informasi selengkapnya, lihat [Mengakses titik akhir VPC antarmuka Layanan AWS menggunakan antarmuka di dokumentasi VPC Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). | Pimpin migrasi |
| Konfigurasikan titik akhir antarmuka untuk Amazon EC2. | Area pementasan VPC terhubung secara pribadi ke EC2 Amazon API melalui titik akhir antarmuka yang Anda buat di area pementasan target VPC. Untuk membuat titik akhir, ikuti instruksi yang diberikan di cerita sebelumnya.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Pimpin migrasi |
| Konfigurasikan titik akhir antarmuka untuk Amazon S3. | Pusat data sumber dan area pementasan VPC terhubung secara pribadi ke Amazon S3 API melalui titik akhir antarmuka yang Anda buat di area pementasan target VPC. Untuk membuat titik akhir, ikuti instruksi yang diberikan di cerita pertama.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Anda menggunakan titik akhir antarmuka karena koneksi titik akhir gateway tidak dapat diperpanjang dari VPC. (Untuk detailnya, lihat [AWS PrivateLink dokumentasi](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html).) | Pimpin migrasi |
| Konfigurasikan titik akhir Amazon S3 Gateway. | Selama fase konfigurasi, server replikasi harus terhubung ke bucket S3 untuk mengunduh pembaruan perangkat lunak Server AWS Replikasi. Namun, titik akhir antarmuka Amazon S3 tidak mendukung nama DNS pribadi*,* dan tidak ada cara untuk menyediakan nama DNS titik akhir Amazon S3 ke server replikasi. Untuk mengurangi masalah ini, Anda membuat titik akhir gateway Amazon S3 di VPC yang menjadi milik subnet area pementasan, dan memperbarui tabel rute subnet pementasan dengan rute yang relevan. Untuk informasi selengkapnya, lihat [Membuat titik akhir gateway](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) dalam AWS PrivateLink dokumentasi. | Administrator awan |
| Konfigurasikan DNS lokal untuk menyelesaikan nama DNS pribadi untuk titik akhir. | Titik akhir antarmuka untuk Layanan Migrasi Aplikasi dan Amazon EC2 memiliki nama DNS pribadi yang dapat diselesaikan di VPC. Namun, Anda juga perlu mengonfigurasi server lokal untuk menyelesaikan nama DNS pribadi untuk titik akhir antarmuka ini.Ada beberapa cara untuk mengkonfigurasi server ini. Dalam pola ini, kami menguji fungsionalitas ini dengan meneruskan kueri DNS lokal ke titik akhir Amazon Route 53 Resolver masuk di area pementasan VPC. Untuk informasi selengkapnya, lihat [Menyelesaikan kueri DNS antara VPCs dan jaringan Anda di dokumentasi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) Route 53. | Insinyur migrasi |
### Connect ke bidang kontrol Layanan Migrasi Aplikasi melalui tautan pribadi
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Instal Agen AWS Replikasi dengan menggunakan AWS PrivateLink. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Berikut adalah contoh untuk Linux:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Setelah Anda membuat koneksi dengan Layanan Migrasi Aplikasi dan menginstal Agen AWS Replikasi, ikuti petunjuk dalam [dokumentasi Layanan Migrasi Aplikasi untuk memigrasikan](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html) server sumber Anda ke VPC dan subnet target Anda. | Insinyur migrasi |
## Sumber daya terkait
**Dokumentasi Layanan Migrasi Aplikasi**
+ [Konsep](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [Alur kerja migrasi](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Panduan memulai cepat](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [FAQ](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Pemecahan Masalah](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Sumber daya tambahan**
+ [Menghosting ulang aplikasi Anda dalam arsitektur multi-akun AWS dengan menggunakan titik akhir antarmuka VPC](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/) (panduan panduan preskriptif)AWS
+ [AWS Application Migration Service — Pengantar Teknis](https://www.aws.training/Details/eLearning?id=71732) (Panduan AWS Pelatihan dan Sertifikasi)
+ [AWS Application Migration Service arsitektur dan arsitektur jaringan](https://youtu.be/ao8geVzmmRo) (video)
## Informasi tambahan
**Pemecahan masalah *AWS *****Instalasi Agen Replikasi** di server Linux
Jika Anda mendapatkan kesalahan **gcc** di server Amazon Linux, konfigurasikan repositori paket dan gunakan perintah berikut:
```
## sudo yum groupinstall "Development Tools"
```
# Buat objek Infoblox menggunakan sumber daya CloudFormation khusus AWS dan Amazon SNS
*Tim Sutton, Amazon Web Services*
## Ringkasan
**Pemberitahuan**: AWS Cloud9 tidak lagi tersedia untuk pelanggan baru. Pelanggan yang sudah ada AWS Cloud9 dapat terus menggunakan layanan seperti biasa. [Pelajari selengkapnya](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Infoblox Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), dan manajemen alamat IP ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) memungkinkan Anda untuk memusatkan dan mengontrol lingkungan hybrid yang kompleks secara efisien. Dengan Infoblox DDI, Anda dapat menemukan dan merekam semua aset jaringan dalam satu database manajemen alamat IP otoritatif (IPAM), selain mengelola DNS di tempat dan di Amazon Web Services (AWS) Cloud dengan menggunakan peralatan yang sama.
Pola ini menjelaskan cara menggunakan sumber daya CloudFormation khusus AWS untuk membuat objek Infoblox (misalnya, catatan DNS atau objek IPAM) dengan memanggil Infoblox WAPI API. Untuk informasi selengkapnya tentang WAPI Infoblox, lihat dokumentasi WAPI di [dokumentasi](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf) Infoblox.
Dengan menggunakan pendekatan pola ini, Anda dapat memperoleh tampilan terpadu dari catatan DNS dan konfigurasi IPAM untuk AWS dan lingkungan lokal, selain menghapus proses manual yang membuat catatan dan menyediakan jaringan Anda. Anda dapat menggunakan pendekatan pola ini untuk kasus penggunaan berikut:
+ Menambahkan catatan A setelah membuat instance Amazon Elastic Compute Cloud (Amazon EC2)
+ Menambahkan catatan CNAME setelah membuat Application Load Balancer
+ Menambahkan objek jaringan setelah membuat virtual private cloud (VPC)
+ Menyediakan rentang jaringan berikutnya dan menggunakan rentang itu untuk membuat subnet
Anda juga dapat memperluas pola ini dan menggunakan fitur perangkat Infoblox lainnya seperti menambahkan jenis catatan DNS yang berbeda atau mengonfigurasi Infoblox vDiscovery.
Pola ini menggunakan hub-and-spoke desain di mana hub memerlukan konektivitas ke alat Infoblox di AWS Cloud atau di tempat dan menggunakan AWS Lambda untuk memanggil Infoblox API. Spoke berada di akun yang sama atau berbeda di organisasi yang sama di AWS Organizations, dan memanggil fungsi Lambda dengan menggunakan sumber daya CloudFormation khusus AWS.
## Prasyarat dan batasan
**Prasyarat**
+ Alat atau kisi Infoblox yang ada, diinstal di AWS Cloud, di tempat, atau keduanya, dan dikonfigurasi dengan pengguna admin yang dapat mengelola tindakan IPAM dan DNS. Untuk informasi selengkapnya tentang ini, lihat [Tentang akun admin](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) di dokumentasi Infoblox.
+ Zona otoritatif DNS yang ada yang ingin Anda tambahkan catatan pada alat Infoblox. Untuk informasi selengkapnya tentang ini, lihat [Mengonfigurasi zona otoritatif dalam dokumentasi](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) Infoblox.
+ Dua akun AWS aktif di AWS Organizations. Satu akun adalah akun hub dan akun lainnya adalah akun spoke.
+ Akun hub dan spoke harus berada di Wilayah AWS yang sama.
+ VPC akun hub harus terhubung ke alat Infoblox; misalnya, dengan menggunakan AWS Transit Gateway atau peering VPC.
+ [AWS Serverless Application Model (AWS SAM), diinstal dan dikonfigurasi secara lokal dengan AWS](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) Cloud9 atau AWS. CloudShell
+ `ClientTest.yaml`File `Infoblox-Hub.zip` dan (terlampir), diunduh ke lingkungan lokal yang berisi AWS SAM.
**Batasan**
+ Token layanan sumber daya CloudFormation khusus AWS harus berasal dari Wilayah yang sama tempat tumpukan dibuat. Sebaiknya gunakan akun hub di setiap Wilayah, alih-alih membuat topik Amazon Simple Notification Service (Amazon SNS) di satu Wilayah dan memanggil fungsi Lambda di Wilayah lain.
**Versi produk**
+ Infoblox WAPI versi 2.7
## Arsitektur
Diagram berikut menunjukkan alur kerja pola ini.
![\[Membuat objek Infoblox menggunakan sumber daya CloudFormation khusus AWS dan Amazon SNS.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
Diagram menunjukkan komponen-komponen berikut untuk solusi pola ini:
1. Sumber daya CloudFormation khusus AWS memungkinkan Anda menulis logika penyediaan khusus dalam templat yang CloudFormation dijalankan AWS saat Anda membuat, memperbarui, atau menghapus tumpukan. Saat Anda membuat tumpukan, AWS CloudFormation mengirimkan `create` permintaan ke topik SNS yang dipantau oleh aplikasi yang berjalan pada instance EC2 .
1. Pemberitahuan Amazon SNS dari sumber daya CloudFormation khusus AWS dienkripsi melalui kunci AWS Key Management Service (AWS KMS) tertentu dan akses dibatasi ke akun di organisasi Anda di Organizations. Topik SNS memulai sumber daya Lambda yang memanggil API WAPI Infoblox.
1. Amazon SNS memanggil fungsi Lambda berikut yang menggunakan URL WAPI Infoblox, nama pengguna, dan kata sandi AWS Secrets Manager Amazon Resource Names () sebagai variabel lingkungan: ARNs
+ `dnsapi.lambda_handler`— Menerima`DNSName`,`DNSType`, dan `DNSValue` nilai dari sumber daya CloudFormation khusus AWS dan menggunakannya untuk membuat catatan DNS A dan CNAMES.
+ `ipaddr.lambda_handler`— Menerima `VPCCIDR``Type`,`SubnetPrefix`,, dan `Network Name` nilai dari sumber daya CloudFormation khusus AWS dan menggunakannya untuk menambahkan data jaringan ke dalam database IPAM Infoblox atau menyediakan sumber daya khusus dengan jaringan berikutnya yang tersedia yang dapat digunakan untuk membuat subnet baru.
+ `describeprefixes.lambda_handler`— Memanggil `describe_managed_prefix_lists` AWS API dengan menggunakan `"com.amazonaws."+Region+".s3"` filter untuk mengambil yang diperlukan`prefix ID`.
**penting**
Fungsi Lambda ini ditulis dengan Python dan mirip satu sama lain tetapi panggilan berbeda. APIs
1. Anda dapat menerapkan grid Infoblox sebagai peralatan jaringan fisik, virtual, atau berbasis cloud. Ini dapat digunakan di tempat atau sebagai alat virtual menggunakan berbagai hypervisor, termasuk, VMware ESXi Microsoft Hyper-V, Linux KVM, dan Xen. Anda juga dapat menerapkan kisi Infoblox di AWS Cloud dengan Amazon Machine Image (AMI).
1. Diagram menunjukkan solusi hybrid untuk grid Infoblox yang menyediakan DNS dan IPAM ke sumber daya di AWS Cloud dan di tempat.
**Tumpukan teknologi**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ AWS SAM
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Alat
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) membantu Anda menyiapkan sumber daya AWS, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya di seluruh akun dan Wilayah AWS.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) membantu Anda mengganti kredensi hardcode dalam kode Anda, termasuk kata sandi, dengan panggilan API ke Secrets Manager untuk mengambil rahasia secara terprogram.
+ [AWS Serverless Application Model (AWS SAM) adalah kerangka kerja sumber terbuka yang membantu Anda membangun aplikasi](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) tanpa server di AWS Cloud.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) membantu Anda meluncurkan sumber daya AWS ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur AWS yang dapat diskalakan.
**Kode**
Anda dapat menggunakan `ClientTest.yaml` contoh CloudFormation template AWS (terlampir) untuk menguji hub Infoblox. Anda dapat menyesuaikan CloudFormation template AWS untuk menyertakan sumber daya khusus dari tabel berikut.
| |
| --- |
| Buat catatan A menggunakan sumber daya kustom Infoblox spoke | Mengembalikan nilai: `infobloxref `— Referensi InfobloxContoh sumber daya:
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| Buat catatan CNAME menggunakan sumber daya kustom Infoblox spoke | **Mengembalikan nilai**: `infobloxref `— Referensi Infoblox**Contoh sumber daya**:CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| Buat objek jaringan menggunakan sumber daya kustom Infoblox spoke | **Mengembalikan nilai:**`infobloxref `— Referensi Infoblox`network`— Jangkauan jaringan (sama seperti`VPCCIDR`)**Contoh sumber daya:**VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Ambil subnet berikutnya yang tersedia menggunakan sumber daya kustom Infoblox spoke | **Mengembalikan nilai:**`infobloxref`— Referensi Infoblox`network `— Jangkauan jaringan subnet**Contoh sumber daya:**Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Epik
### Buat dan konfigurasikan VPC akun hub
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat VPC dengan koneksi ke alat Infoblox. | Masuk ke AWS Management Console untuk akun hub Anda dan buat VPC dengan mengikuti langkah-langkah di Amazon [VPC pada penerapan referensi AWS Cloud Quick Start dari AWS Quick](https://aws-quickstart.github.io/quickstart-aws-vpc/) Starts.VPC harus memiliki konektivitas HTTPS ke alat Infoblox dan kami menyarankan Anda menggunakan subnet pribadi untuk koneksi ini. | Administrator jaringan, Administrator sistem |
| (Opsional) Buat titik akhir VPC untuk subnet pribadi. | Endpoint VPC menyediakan konektivitas ke layanan publik untuk subnet pribadi Anda. Titik akhir berikut diperlukan:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Untuk informasi selengkapnya tentang membuat titik akhir untuk subnet pribadi, lihat [titik akhir VPC VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) di dokumentasi Amazon VPC. | Administrator jaringan, Administrator sistem |
### Menyebarkan hub Infoblox
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Bangun template AWS SAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Pengembang, Administrator sistem |
| Terapkan template AWS SAM. | `sam deploy`Perintah mengambil parameter yang diperlukan dan menyimpannya ke dalam `samconfig.toml` file, menyimpan CloudFormation template AWS dan fungsi Lambda dalam bucket S3, dan kemudian menerapkan template CloudFormation AWS ke akun hub Anda. Contoh kode berikut menunjukkan cara menerapkan template AWS SAM:$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
Anda harus menggunakan `--guided` opsi ini setiap kali karena kredenal masuk Infoblox tidak disimpan dalam file. `samconfig.toml` | Pengembang, Administrator sistem |
## Sumber daya terkait
+ [Memulai dengan WAPIs menggunakan Postman](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/) (Infoblox Blog)
+ [Penyediaan VNIO untuk AWS Menggunakan Model BYOL (dokumentasi Infoblox](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model))
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(GitHub repo)
+ [describe\$1managed\$1prefix\$1lists (AWS](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) SDK untuk dokumentasi Python)
## Lampiran
[Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Buat arsitektur IPAM Multi-wilayah yang hierarkis dengan menggunakan Terraform AWS
*Donny Schreiber, Amazon Web Services*
## Ringkasan
*IP Address Management (IPAM)* adalah komponen penting dari manajemen jaringan, dan menjadi semakin kompleks ketika organisasi menskalakan infrastruktur cloud mereka. Tanpa IPAM yang tepat, organisasi berisiko konflik alamat IP, ruang alamat yang terbuang, dan pemecahan masalah kompleks yang dapat menyebabkan pemadaman dan downtime aplikasi. Pola ini menunjukkan bagaimana menerapkan solusi IPAM komprehensif untuk lingkungan AWS perusahaan dengan menggunakan HashiCorp Terraform. [Ini membantu organisasi untuk membuat arsitektur IPAM multi-wilayah hierarkis yang memfasilitasi manajemen alamat IP terpusat di semua Akun AWS dalam suatu organisasi.AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Pola ini membantu Anda menerapkan [Manajer Alamat IP VPC Amazon](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) dengan hierarki kumpulan empat tingkat yang canggih: kolam tingkat atas, kolam Regional, kumpulan unit bisnis, dan kumpulan khusus lingkungan. Struktur ini mendukung tata kelola alamat IP yang tepat sambil memungkinkan pendelegasian manajemen IP ke tim yang sesuai dalam organisasi. Solusinya menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi kumpulan IP Address Manager secara mulus di seluruh organisasi. AWS RAM memusatkan dan menstandarisasi spesifikasi IPAM, yang dapat dibangun oleh tim di semua akun yang dikelola.
Pola ini dapat membantu Anda mencapai hal berikut:
+ Mengotomatiskan alokasi alamat IP di seluruh Wilayah AWS, unit bisnis, dan lingkungan.
+ Menegakkan kebijakan jaringan organisasi melalui validasi terprogram.
+ Skala infrastruktur jaringan secara efisien seiring dengan berkembangnya kebutuhan bisnis.
+ Mengurangi overhead operasional melalui manajemen terpusat ruang alamat IP.
+ Mempercepat penerapan beban kerja cloud-native dengan alokasi rentang CIDR swalayan.
+ Mencegah konflik alamat melalui kontrol dan validasi berbasis kebijakan.
## Prasyarat dan batasan
**Prasyarat**
+ Satu atau lebih Akun AWS, dikelola sebagai organisasi di AWS Organizations.
+ Hub jaringan atau akun manajemen jaringan yang akan berfungsi sebagai administrator yang didelegasikan oleh IP Address Manager.
+ AWS Command Line Interface (AWS CLI), [diinstal](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [dikonfigurasi](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ [Terraform versi 1.5.0 atau yang lebih baru, diinstal.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ AWS [Penyedia untuk Terraform, dikonfigurasi.](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
+ Izin untuk mengelola [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html), [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html), dan [virtual private cloud (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), dikonfigurasi di AWS Identity and Access Management (IAM).
**Batasan**
+ IP Address Manager tunduk pada [kuota layanan](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). Kuota layanan default untuk pool adalah 50 per lingkup. Menjalankan penerapan ini untuk 6 Wilayah, 2 unit bisnis, dan 4 lingkungan akan membuat 67 kumpulan. Oleh karena itu, peningkatan kuota mungkin diperlukan.
+ Memodifikasi atau menghapus kumpulan IP Address Manager setelah sumber daya dialokasikan dapat menyebabkan masalah ketergantungan. Anda harus [melepaskan alokasi](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html) sebelum Anda dapat menghapus kumpulan.
+ Di IP Address Manager, [pemantauan sumber daya](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) dapat mengalami sedikit keterlambatan dalam mencerminkan perubahan sumber daya. Penundaan ini bisa sekitar 20 menit.
+ IP Address Manager tidak dapat secara otomatis menerapkan keunikan alamat IP di berbagai cakupan.
+ Tag khusus harus mematuhi [praktik terbaik AWS penandaan](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Misalnya, setiap kunci harus unik dan tidak dapat dimulai dengan`aws:`.
+ Ada [pertimbangan dan batasan](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html) saat mengintegrasikan IP Address Manager dengan akun di luar organisasi Anda.
## Arsitektur
**Arsitektur target**
*Konfigurasi IP Address Manager dan hirarki pool*
Diagram berikut menunjukkan konstruksi logis dari arsitektur target. *Lingkup* adalah wadah tingkat tertinggi di IP Address Manager. Setiap ruang lingkup mewakili ruang alamat IP untuk satu jaringan. *Kumpulan adalah kumpulan* rentang alamat IP yang berdekatan (atau rentang CIDR) dalam ruang lingkup. Pools membantu Anda mengatur alamat IP Anda sesuai dengan kebutuhan routing dan keamanan Anda. Diagram ini menunjukkan empat tingkat hierarkis kolam: kolam tingkat atas, kolam Regional, kolam unit bisnis, dan kolam lingkungan.
![\[Ruang lingkup pribadi dan empat tingkat kumpulan dalam satu Wilayah AWS dalam akun Jaringan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Solusi ini menetapkan hierarki yang jelas dari kumpulan IP Address Manager:
1. Kumpulan tingkat atas mencakup seluruh ruang alamat IP organisasi, seperti. `10.176.0.0/12`
1. Kolam Regional adalah untuk alokasi khusus Wilayah, seperti untuk. `10.176.0.0/15` `us-east-1`
1. Kumpulan unit bisnis adalah alokasi khusus domain di masing-masing. Wilayah AWS Misalnya, unit bisnis keuangan di `us-east-1` Wilayah mungkin memiliki`10.176.0.0/16`.
1. Kolam lingkungan adalah alokasi khusus tujuan untuk lingkungan yang berbeda. Misalnya, unit bisnis keuangan di `us-east-1` Wilayah mungkin memiliki `10.176.0.0/18` lingkungan produksi.
Topologi penyebaran ini mendistribusikan sumber daya IP Address Manager secara geografis sambil mempertahankan kontrol terpusat. Berikut ini adalah fitur-fiturnya:
+ IP Address Manager digunakan dalam satu primer Wilayah AWS.
+ Wilayah Tambahan terdaftar sebagai [wilayah operasi](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html), di mana Manajer Alamat IP dapat mengelola sumber daya.
+ Setiap wilayah operasi menerima kumpulan alamat khusus dari kolam tingkat atas.
+ Sumber daya di semua wilayah operasi dikelola secara terpusat melalui IP Address Manager di Wilayah utama.
+ Setiap kolam Regional memiliki properti lokal yang terkait dengan Wilayahnya untuk membantu Anda mengalokasikan sumber daya dengan benar.
*Validasi rentang CIDR tingkat lanjut*
Solusi ini dirancang untuk mencegah penyebaran konfigurasi yang tidak valid. Saat Anda menerapkan kumpulan melalui Terraform, berikut ini divalidasi selama fase rencana Terraform:
+ Memvalidasi bahwa semua rentang CIDR lingkungan terkandung dalam rentang CIDR unit bisnis induknya
+ Mengonfirmasi bahwa semua rentang CIDR unit bisnis terkandung dalam rentang CIDR regional induknya
+ Memverifikasi bahwa semua rentang CIDR Regional terkandung dalam rentang CIDR tingkat atas
+ Memeriksa rentang CIDR yang tumpang tindih dalam tingkat hierarki yang sama
+ Memvalidasi pemetaan lingkungan yang tepat ke unit bisnis masing-masing
*Alokasi rentang CIDR*
Diagram berikut menunjukkan contoh bagaimana pengembang atau administrator dapat membuat alamat IP baru VPCs dan mengalokasikan alamat IP dari tingkat pool.
![\[Ruang lingkup pribadi dan empat tingkat kumpulan dalam satu Wilayah AWS dalam akun Jaringan.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
Diagram menunjukkan alur kerja berikut:
1. Melalui Konsol Manajemen AWS, the AWS CLI, atau melalui infrastruktur sebagai kode (IAc), pengembang atau administrator meminta rentang CIDR berikutnya yang tersedia di kolam `AY3` lingkungan.
1. IP Address Manager mengalokasikan rentang CIDR berikutnya yang tersedia di pool tersebut ke VPC. `AY3-4` Rentang CIDR ini tidak dapat lagi digunakan.
**Otomatisasi dan skala**
Solusi ini dirancang untuk skalabilitas sebagai berikut:
+ **Ekspansi regional** — Tambahkan Wilayah baru dengan memperluas konfigurasi Terraform dengan entri kumpulan Regional tambahan.
+ **Pertumbuhan unit bisnis** — Mendukung unit bisnis baru dengan menambahkannya ke peta konfigurasi BU.
+ **Fleksibilitas lingkungan** — Konfigurasikan jenis lingkungan yang berbeda, seperti pengembangan atau produksi, berdasarkan kebutuhan organisasi.
+ **Dukungan multi-akun** — Bagikan kumpulan di semua akun di organisasi Anda melalui AWS RAM.
+ Penyediaan **VPC otomatis — Integrasikan dengan alur kerja penyediaan VPC untuk mengotomatiskan** alokasi rentang CIDR.
Struktur hierarkis juga memungkinkan untuk skala delegasi dan kontrol yang berbeda, seperti berikut ini:
+ Administrator jaringan mungkin mengelola kumpulan tingkat atas dan Regional.
+ Tim TI unit bisnis mungkin telah mendelegasikan kontrol dari kumpulan masing-masing.
+ Tim aplikasi mungkin menggunakan alamat IP dari kumpulan lingkungan yang ditunjuk.
**catatan**
Anda juga dapat mengintegrasikan solusi ini dengan [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). Untuk informasi selengkapnya, lihat *Integrasi dengan AFT* di bagian [Informasi tambahan](#multi-region-ipam-architecture-additional) dari pola ini.
## Alat
**Layanan AWS**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) adalah alat open source yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) membantu Anda meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur yang dapat diskalakan. AWS[IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) adalah fitur Amazon VPC. Ini membantu Anda merencanakan, melacak, dan memantau alamat IP untuk AWS beban kerja Anda.
**Alat-alat lainnya**
+ [HashiCorp Terraform](https://www.terraform.io/docs) adalah alat infrastruktur sebagai kode (IAc) yang membantu Anda menggunakan kode untuk menyediakan dan mengelola infrastruktur dan sumber daya cloud.
**Repositori kode**
Kode untuk pola ini tersedia di [Contoh Terraform Implementasi untuk Hierarchical IPAM](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform) pada repositori di. AWS** GitHub** Struktur repositori meliputi:
+ **Modul root** - Orkestrasi penerapan dan variabel input.
+ **Modul IPAM** — Implementasi inti dari arsitektur yang dijelaskan dalam pola ini.
+ **Modul tag** - Penandaan standar untuk semua sumber daya.
## Praktik terbaik
Pertimbangkan praktik terbaik berikut untuk perencanaan jaringan:
+ **Rencanakan terlebih dahulu** - Rencanakan ruang alamat IP Anda secara menyeluruh sebelum penerapan. Untuk informasi selengkapnya, lihat [Merencanakan penyediaan alamat IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Hindari rentang CIDR yang tumpang tindih — Pastikan rentang** CIDR di setiap level tidak tumpang tindih.
+ **Ruang penyangga cadangan** — Selalu alokasikan rentang CIDR yang lebih besar dari yang dibutuhkan untuk mengakomodasi pertumbuhan.
+ **Alokasi alamat IP dokumen** — Pertahankan dokumentasi strategi alokasi alamat IP Anda.
Pertimbangkan praktik terbaik penerapan berikut:
+ **Mulailah dengan non-produksi** - Terapkan di lingkungan non-produksi terlebih dahulu.
+ **Gunakan manajemen status Terraform** — Terapkan penyimpanan dan penguncian status jarak jauh. Untuk informasi selengkapnya, lihat [Penyimpanan status dan penguncian](https://developer.hashicorp.com/terraform/language/state/backends) dalam dokumentasi Terraform.
+ **Menerapkan kontrol versi** - Kontrol versi semua kode Terraform.
+ **Implementasikan CI/CD integrasi** — Gunakan pipeline continuous integration dan continuous delivery (CI/CD) untuk penerapan berulang.
Pertimbangkan praktik terbaik operasional berikut:
+ **Aktifkan impor otomatis** - Konfigurasikan kumpulan Manajer Alamat IP untuk menemukan dan mengimpor sumber daya yang ada secara otomatis. Ikuti petunjuk di [Edit kolam IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html) untuk mengaktifkan impor otomatis.
+ **Memantau penggunaan alamat IP** - Mengatur alarm untuk ambang batas penggunaan alamat IP. Untuk informasi selengkapnya, lihat [Memantau IPAM dengan Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Audit secara teratur** - Audit penggunaan dan kepatuhan alamat IP secara berkala. Untuk informasi selengkapnya, lihat [Melacak penggunaan alamat IP di IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Bersihkan alokasi yang tidak digunakan - Lepaskan alokasi** alamat IP saat sumber daya dinonaktifkan. Untuk informasi lebih lanjut, lihat [Deprovision CIDRs dari pool](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html).
Pertimbangkan praktik terbaik keamanan berikut:
+ **Terapkan hak istimewa terkecil** - Gunakan peran IAM dengan izin minimum yang diperlukan. Untuk informasi selengkapnya, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dan [Manajemen Identitas dan akses di IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html).
+ **Gunakan kebijakan kontrol layanan** — Menerapkan kebijakan kontrol layanan (SCPs) untuk menerapkan penggunaan IP Address Manager di organisasi Anda. Untuk informasi selengkapnya, lihat [Menegakkan penggunaan IPAM untuk pembuatan VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) dengan. SCPs
+ **Kontrol berbagi sumber daya** - Kelola ruang lingkup berbagi sumber daya IP Address Manager dengan hati-hati AWS RAM. Untuk informasi selengkapnya, lihat [Berbagi kumpulan IPAM menggunakan AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Menegakkan penandaan - Menerapkan** penandaan wajib untuk semua sumber daya yang terkait dengan Manajer Alamat IP. Untuk informasi selengkapnya, lihat *Strategi penandaan* di bagian [Informasi tambahan](#multi-region-ipam-architecture-additional).
## Epik
### Siapkan akun administrator yang didelegasikan untuk IP Address Manager
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Aktifkan AWS Organizations fitur. | Pastikan semua AWS Organizations fitur diaktifkan. Untuk petunjuk, lihat [Mengaktifkan semua fitur untuk organisasi AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dalam AWS Organizations dokumentasi. | Administrator AWS |
| Aktifkan berbagi sumber daya di AWS RAM. | Menggunakan AWS CLI, masukkan perintah berikut untuk mengaktifkan berbagi AWS RAM sumber daya untuk organisasi Anda:aws ram enable-sharing-with-aws-organization
Untuk informasi selengkapnya, lihat [Mengaktifkan berbagi sumber daya AWS Organizations dalam](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) AWS RAM dokumentasi. | Administrator AWS |
| Tentukan administrator untuk IP Address Manager. | Dari akun manajemen organisasi, menggunakan AWS CLI, masukkan perintah berikut, di `123456789012` mana ID akun yang akan mengelola Manajer Alamat IP:aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
Biasanya, akun hub jaringan atau jaringan digunakan sebagai administrator yang didelegasikan untuk IP Address Manager.Untuk informasi selengkapnya, lihat [Mengintegrasikan IPAM dengan akun di AWS Organisasi](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) dalam dokumentasi Manajer Alamat IP. | Administrator AWS |
### Menyebarkan infrastruktur
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Tentukan arsitektur jaringan. | Tentukan dan dokumentasikan arsitektur jaringan Anda, termasuk rentang CIDR untuk Wilayah, unit bisnis, dan lingkungan. Untuk informasi selengkapnya, lihat [Merencanakan penyediaan alamat IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) dalam dokumentasi Manajer Alamat IP. | Insinyur jaringan |
| Kloning repositori. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps insinyur |
| Konfigurasikan variabel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Insinyur jaringan, Terraform |
| Menyebarkan sumber daya Manajer Alamat IP. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Validasi penerapan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS Umum, Insinyur jaringan |
### Membuat VPCs dan mengatur pemantauan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat sebuah VPC. | Ikuti langkah-langkah di [Buat VPC di dokumentasi](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) Amazon VPC. Saat Anda mencapai langkah untuk memilih rentang CIDR untuk VPC, alokasikan rentang berikutnya yang tersedia dari salah satu Regional, unit bisnis, dan kolam lingkungan Anda. | AWS Umum, Administrator jaringan, Insinyur jaringan |
| Validasi alokasi rentang CIDR. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS Umum, Administrator jaringan, Insinyur jaringan |
| Pantau Manajer Alamat IP. | Konfigurasikan pemantauan dan alarm yang terkait dengan alokasi sumber daya IP Address Manager. Untuk informasi dan petunjuk selengkapnya, lihat [Memantau IPAM dengan Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) dan [Memantau penggunaan CIDR berdasarkan sumber daya](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) dalam dokumentasi Manajer Alamat IP. | AWS Umum |
| Menegakkan penggunaan IP Address Manager. | Buat kebijakan kontrol layanan (SCP) AWS Organizations yang mengharuskan anggota di organisasi Anda untuk menggunakan IP Address Manager saat mereka membuat VPC. Untuk petunjuknya, lihat [Menerapkan penggunaan IPAM untuk pembuatan VPC dengan dokumentasi SCPs Manajer](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) Alamat IP. | AWS umum, administrator AWS |
## Pemecahan masalah
| Isu | Solusi |
| --- | --- |
| Terraform gagal dengan sumber daya Manajer Alamat IP tidak ditemukan | Pastikan akun administrator IP Address Manager didelegasikan dengan benar dan AWS Penyedia Anda diautentikasi ke akun tersebut. |
| Alokasi rentang CIDR gagal | Periksa apakah rentang CIDR yang diminta sesuai dengan rentang yang tersedia dari kumpulan Manajer Alamat IP dan tidak tumpang tindih dengan alokasi yang ada. |
| AWS RAM berbagi masalah | Verifikasi bahwa berbagi sumber daya diaktifkan untuk AWS Organisasi Anda. Verifikasi bahwa prinsipal yang benar, organisasi Amazon Resource Name (ARN), digunakan dalam pembagian AWS RAM . |
| Kesalahan validasi hierarki kumpulan | Pastikan bahwa rentang CIDR kolam anak terkandung dengan benar dalam rentang CIDR kolam induk mereka dan tidak tumpang tindih dengan kolam saudara kandung. |
| Batas kuota IP Address Manager terlampaui | Minta peningkatan kuota untuk kumpulan IP Address Manager. Untuk informasi selengkapnya, lihat [Meminta peningkatan kuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) di *Panduan Pengguna Service Quotas*. |
## Sumber daya terkait
**Layanan AWS dokumentasi**
+ [Dokumentasi Manajer Alamat IP VPC Amazon](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager dokumentasi](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations dokumentasi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS posting blog**
+ [Mengelola kumpulan IP di seluruh VPCs dan Wilayah menggunakan Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Manajemen alamat jaringan dan audit dalam skala besar dengan Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Video dan tutorial**
+ [AWS re:invent 2022: Praktik terbaik untuk desain VPC Amazon dan IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS Re:invent 2022: Desain VPC tingkat lanjut dan kemampuan baru (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Informasi tambahan
**Integrasi dengan AFT**
Anda dapat mengintegrasikan solusi ini dengan AWS Control Tower Account Factory for Terraform (AFT) untuk memastikan bahwa akun yang baru disediakan secara otomatis menerima konfigurasi jaringan yang tepat. Dengan menerapkan solusi IPAM ini di akun hub jaringan Anda, akun baru yang dibuat melalui AFT dapat mereferensikan kumpulan Manajer Alamat IP bersama saat Anda membuat. VPCs
Contoh kode berikut menunjukkan integrasi AFT dalam kustomisasi akun dengan menggunakan AWS Systems Manager Parameter Store:
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Strategi penandaan**
Solusinya menerapkan strategi penandaan yang komprehensif untuk memfasilitasi manajemen sumber daya. Contoh kode berikut menunjukkan bagaimana itu digunakan:
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Tag ini secara otomatis diterapkan ke semua sumber IP Address Manager. Ini memfasilitasi tata kelola yang konsisten, alokasi biaya, dan manajemen sumber daya.
# Kustomisasi CloudWatch peringatan Amazon untuk AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Ringkasan
Pola ini membantu Anda menyesuaikan CloudWatch peringatan Amazon yang dihasilkan oleh AWS Network Firewall. Anda dapat menggunakan aturan yang telah ditentukan sebelumnya atau membuat aturan khusus yang menentukan pesan, metadata, dan tingkat keparahan peringatan. Anda kemudian dapat menindaklanjuti peringatan ini atau mengotomatiskan tanggapan oleh layanan Amazon lainnya, seperti Amazon. EventBridge
Dalam pola ini, Anda menghasilkan aturan firewall yang kompatibel dengan Suricata. [Suricata](https://suricata.io/) adalah mesin pendeteksi ancaman sumber terbuka. Pertama-tama Anda membuat aturan sederhana dan kemudian mengujinya untuk mengonfirmasi bahwa CloudWatch peringatan dibuat dan dicatat. Setelah Anda berhasil menguji aturan, Anda memodifikasinya untuk menentukan pesan kustom, metadata, dan tingkat keparahan, dan Anda kemudian menguji sekali lagi untuk mengonfirmasi pembaruan.
## Prasyarat dan batasan
**Prasyarat**
+ Aktif Akun AWS.
+ AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi di workstation Linux, macOS, atau Windows Anda. Untuk informasi selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall diinstal dan dikonfigurasi untuk menggunakan CloudWatch Log. Untuk informasi selengkapnya, lihat [Mencatat lalu lintas jaringan dari AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Instans Amazon Elastic Compute Cloud (Amazon EC2) di subnet pribadi virtual private cloud (VPC) yang dilindungi oleh Network Firewall.
**Versi produk**
+ Untuk versi 1 AWS CLI, gunakan 1.18.180 atau yang lebih baru. Untuk versi 2 AWS CLI, gunakan 2.1.2 atau yang lebih baru.
+ File klasifikasi.config dari Suricata versi 5.0.2. Untuk salinan file konfigurasi ini, lihat bagian [Informasi tambahan](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional).
## Arsitektur
![\[Permintaan EC2 instance menghasilkan peringatan di Network Firewall, yang meneruskan peringatan ke CloudWatch\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
Diagram arsitektur menunjukkan alur kerja berikut:
1. EC2 [Instans Amazon di subnet pribadi membuat permintaan dengan menggunakan [curl atau Wget](https://curl.se/).](https://www.gnu.org/software/wget/)
1. Network Firewall memproses lalu lintas dan menghasilkan peringatan.
1. Network Firewall mengirimkan peringatan yang dicatat ke CloudWatch Log.
## Alat
**Layanan AWS**
+ [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) membantu Anda memantau metrik sumber AWS daya Anda dan aplikasi yang Anda jalankan AWS secara real time.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, Layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) adalah alat sumber terbuka yang membantu Anda berinteraksi Layanan AWS melalui perintah di shell baris perintah Anda.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)adalah firewall jaringan stateful, dikelola, dan layanan deteksi dan pencegahan intrusi untuk cloud pribadi virtual () VPCs di. AWS Cloud
**Alat-alat lainnya**
+ [curl](https://curl.se/) adalah alat baris perintah sumber terbuka dan perpustakaan.
+ [GNU Wget](https://www.gnu.org/software/wget/) adalah alat baris perintah gratis.
## Epik
### Buat aturan firewall dan grup aturan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat aturan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS, Administrator jaringan |
| Buat grup aturan. | Di AWS CLI, masukkan perintah berikut. Ini menciptakan grup aturan.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
Berikut ini adalah output contoh. Catat`RuleGroupArn`, yang Anda butuhkan di langkah selanjutnya.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | Administrator sistem AWS |
### Perbarui kebijakan firewall
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Dapatkan ARN dari kebijakan firewall. | Di AWS CLI, masukkan perintah berikut. Ini mengembalikan Nama Sumber Daya Amazon (ARN) dari kebijakan firewall. Rekam ARN untuk digunakan nanti dalam pola ini.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
Berikut ini adalah contoh ARN yang dikembalikan oleh perintah ini."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| Administrator sistem AWS |
| Perbarui kebijakan firewall. | Dalam editor teks, salin tempel kode berikut. Ganti `` dengan nilai yang Anda rekam di epik sebelumnya. Simpan file sebagai `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Masukkan perintah berikut di file AWS CLI. Perintah ini memerlukan [token pembaruan](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) untuk menambahkan aturan baru. Token digunakan untuk mengonfirmasi bahwa kebijakan tidak berubah sejak terakhir kali Anda mengambilnya.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| Administrator sistem AWS |
| Konfirmasikan pembaruan kebijakan. | (Opsional) Jika Anda ingin mengonfirmasi aturan ditambahkan dan melihat format kebijakan, masukkan perintah berikut di AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
Berikut ini adalah output contoh.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | Administrator sistem AWS |
### Fungsionalitas peringatan uji
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Hasilkan peringatan untuk pengujian. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS |
| Validasi bahwa peringatan dicatat. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS |
### Perbarui aturan firewall dan grup aturan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Perbarui aturan firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS |
| Perbarui grup aturan. | Di AWS CLI, jalankan perintah berikut. Gunakan ARN kebijakan firewall Anda. Perintah ini mendapatkan token pembaruan dan memperbarui grup aturan dengan perubahan aturan.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
Berikut ini adalah output contoh.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | Administrator sistem AWS |
### Uji fungsionalitas peringatan yang diperbarui
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Hasilkan peringatan untuk pengujian. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS |
| Validasi peringatan diubah. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrator sistem AWS |
## Sumber daya terkait
**Referensi**
+ [Kirim peringatan dari AWS Network Firewall ke saluran Slack](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (Panduan AWS Preskriptif)
+ [Meningkatkan pencegahan ancaman AWS dengan Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (AWS posting blog)
+ [Model penyebaran untuk AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (posting AWS blog)
+ [Pekerjaan kunci meta Suricata (dokumentasi](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html) Suricata)
**Tutorial dan video**
+ [AWS Network Firewall lokakarya](https://networkfirewall.workshop.aws/)
## Informasi tambahan
Berikut ini adalah file konfigurasi klasifikasi dari Suricata 5.0.2. Klasifikasi ini digunakan saat membuat aturan firewall.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Menerapkan sumber daya di AWS Wavelength Zona dengan menggunakan Terraform
*Zahoor Chaudhrey dan Luca Iannario, Amazon Web Services*
## Ringkasan
[AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)membantu Anda membangun infrastruktur yang dioptimalkan untuk aplikasi Multi-Access Edge Computing (MEC). *Wavelength* Zones AWS adalah penyebaran infrastruktur yang AWS menanamkan layanan komputasi dan penyimpanan dalam jaringan 5G penyedia layanan komunikasi (CSP). Lalu lintas aplikasi dari perangkat 5G mencapai server aplikasi yang berjalan di Wavelength Zones tanpa meninggalkan jaringan telekomunikasi. Berikut ini memfasilitasi konektivitas jaringan melalui Wavelength:
+ **Virtual private cloud (VPCs)** — VPCs dalam Akun AWS kaleng diperluas untuk menjangkau beberapa Availability Zone, termasuk Wavelength Zones. Instans Amazon Elastic Compute Cloud (Amazon EC2) dan layanan terkait muncul sebagai bagian dari VPC Regional Anda. VPCs dibuat dan dikelola di [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
+ **Carrier gateway** — Gateway operator memungkinkan konektivitas dari subnet di Wavelength Zone ke jaringan CSP, internet, atau melalui jaringan CSP. Wilayah AWS Gerbang pembawa melayani dua tujuan. Ini memungkinkan lalu lintas masuk dari jaringan CSP di lokasi tertentu, dan memungkinkan lalu lintas keluar ke jaringan telekomunikasi dan internet.
Pola ini dan kode Terraform terkait membantu Anda meluncurkan sumber daya, seperti EC2 instans Amazon, volume Amazon Elastic Block Store (Amazon EBS), subnet, dan gateway operator VPCs, di Zona Wavelength.
## Prasyarat dan batasan
**Prasyarat**
+ Aktif Akun AWS
+ Lingkungan pengembangan terintegrasi (IDE)
+ [Ikut serta](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) ke Zona Wavelength target
+ AWS Command Line Interface (AWS CLI), [diinstal](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dan [dikonfigurasi](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Terraform versi 1.8.4 atau yang lebih baru, [diinstal](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (dokumentasi Terraform)
+ AWS Penyedia Terraform versi 5.32.1 atau yang lebih baru, [dikonfigurasi](https://hashicorp.github.io/terraform-provider-aws/) (dokumentasi Terraform)
+ Git, [diinstal](https://github.com/git-guides/install-git) (GitHub)
+ [Izin](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) untuk membuat sumber daya Amazon VPC, Wavelength, dan Amazon EC2
**Batasan**
Tidak semua Wilayah AWS mendukung Wavelength Zones. Untuk informasi selengkapnya, lihat Zona [Wavelength yang Tersedia dalam dokumentasi Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html).
## Arsitektur
Diagram berikut menunjukkan bagaimana Anda dapat membuat subnet dan AWS sumber daya di Wavelength Zone. VPCs yang berisi subnet di Wavelength Zone dapat terhubung ke gateway operator. Gateway operator memungkinkan Anda untuk terhubung ke sumber daya berikut:
+ Perangkat 4G/LTE dan 5G di jaringan operator telekomunikasi.
+ Akses nirkabel tetap untuk mitra Wavelength Zone tertentu. Untuk informasi selengkapnya, lihat [Multi-akses AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html).
+ Lalu lintas keluar ke sumber daya internet publik.
![\[Gateway operator menghubungkan sumber daya AWS di Wavelength Zone ke jaringan CSP.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Alat
**Layanan AWS**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) membantu Anda meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur yang dapat diskalakan. AWS
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)memperluas AWS Cloud infrastruktur ke jaringan 5G penyedia telekomunikasi. Ini membantu Anda membangun aplikasi yang memberikan latensi sangat rendah ke perangkat seluler dan pengguna akhir.
**Alat-alat lainnya**
+ [Terraform](https://www.terraform.io/) adalah alat infrastruktur sebagai kode (IAc) HashiCorp yang membantu Anda membuat dan mengelola sumber daya cloud dan lokal.
**Repositori kode**
Kode untuk pola ini tersedia di GitHub [Creating AWS Wavelength Infrastructure menggunakan repositori Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure). Kode Terraform menyebarkan infrastruktur dan sumber daya berikut:
+ VPC
+ Zona Wavelength
+ Subnet kemaluan di Zona Wavelength
+ Gerbang pembawa di Zona Wavelength
+ EC2 Contoh Amazon di Zona Wavelength
## Praktik terbaik
+ Sebelum menerapkan, konfirmasikan bahwa Anda menggunakan versi terbaru Terraform dan. AWS CLI
+ Gunakan pipeline integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD) untuk menyebarkan IAc. Untuk informasi selengkapnya, lihat [Praktik terbaik untuk mengelola file Status Terraform di AWS CI/CD Pipeline di](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) Blog. AWS
## Epik
### Penyediaan infrastruktur
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Kloning repositori. | Masukkan perintah berikut untuk mengkloning [Creating AWS Wavelength Infrastructure menggunakan repositori Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) ke lingkungan Anda.`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps insinyur |
| Perbarui variabel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps insinyur, Terraform |
| Inisialisasi konfigurasi. | Masukkan perintah berikut untuk menginisialisasi direktori kerja.terraform init
| DevOps insinyur, Terraform |
| Pratinjau paket Terraform. | Masukkan perintah berikut untuk membandingkan status target dengan keadaan AWS lingkungan Anda saat ini. Perintah ini menghasilkan pratinjau sumber daya yang akan dikonfigurasi.terraform plan
| DevOps insinyur, Terraform |
| Verifikasi dan terapkan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps insinyur, Terraform |
### Validasi dan bersihkan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Verifikasi penyebaran infrastruktur. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps insinyur |
| (Opsional) Bersihkan infrastruktur. | Jika Anda perlu menghapus semua sumber daya yang disediakan oleh Terraform, lakukan hal berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps insinyur, Terraform |
## Pemecahan masalah
| Isu | Solusi |
| --- | --- |
| Konektivitas ke EC2 instans Amazon di. Wilayah AWS | Lihat [Memecahkan masalah saat menghubungkan ke instans Linux Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html) atau [Memecahkan masalah saat menghubungkan ke](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html) instans Windows Anda. |
| Konektivitas ke EC2 instans Amazon di Wavelength Zone. | Lihat [Memecahkan masalah konektivitas SSH atau RDP ke EC2 instans saya yang diluncurkan](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors) di Wavelength Zone. |
| Kapasitas di Zona Wavelength. | Lihat [Kuota dan pertimbangan untuk Zona Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Konektivitas seluler atau operator dari jaringan operator ke Wilayah AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Sumber daya terkait
+ [Apa itu AWS Wavelength?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [Bagaimana cara AWS Wavelength kerja](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Ketahanan di AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Migrasikan data DNS secara massal ke zona host pribadi Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Ringkasan
Insinyur jaringan dan administrator cloud memerlukan cara yang efisien dan sederhana untuk menambahkan catatan Domain Name System (DNS) ke zona yang dihosting pribadi di Amazon Route 53. Menggunakan pendekatan manual untuk menyalin entri dari lembar kerja Microsoft Excel ke lokasi yang sesuai di konsol Route 53 membosankan dan rawan kesalahan. Pola ini menjelaskan pendekatan otomatis yang mengurangi waktu dan upaya yang diperlukan untuk menambahkan beberapa catatan. Ini juga menyediakan serangkaian langkah yang dapat diulang untuk beberapa pembuatan zona yang dihosting.
Pola ini menggunakan Amazon Simple Storage Service (Amazon S3) untuk menyimpan catatan. Untuk bekerja dengan data secara efisien, pola menggunakan format JSON karena kesederhanaan dan kemampuannya untuk mendukung kamus Python `dict` (tipe data).
**catatan**
Jika Anda dapat membuat file zona dari sistem Anda, pertimbangkan untuk menggunakan [fitur impor Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) sebagai gantinya.
## Prasyarat dan batasan
**Prasyarat**
+ Lembar kerja Excel yang berisi catatan zona yang dihosting pribadi
+ [Keakraban dengan berbagai jenis catatan DNS seperti catatan A, catatan Name Authority Pointer (NAPTR), dan catatan SRV (lihat Jenis rekaman DNS yang didukung)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html)
+ Keakraban dengan bahasa Python dan perpustakaannya
**Batasan**
+ Pola tidak memberikan cakupan yang luas untuk semua skenario kasus penggunaan. Misalnya, panggilan [change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) tidak menggunakan semua properti API yang tersedia.
+ Di lembar kerja Excel, nilai di setiap baris diasumsikan unik. Beberapa nilai untuk setiap nama domain yang memenuhi syarat (FQDN) diharapkan muncul di baris yang sama. Jika itu tidak benar, Anda harus memodifikasi kode yang disediakan dalam pola ini untuk melakukan penggabungan yang diperlukan.
+ Pola ini menggunakan AWS SDK for Python (Boto3) untuk memanggil layanan Route 53 secara langsung. Anda dapat menyempurnakan kode untuk menggunakan CloudFormation pembungkus AWS untuk `update_stack` perintah `create_stack` dan, dan menggunakan nilai JSON untuk mengisi sumber daya template.
## Arsitektur
**Tumpukan teknologi**
+ Route 53 zona host pribadi untuk merutekan lalu lintas
+ Amazon S3 untuk menyimpan file JSON output
![\[Alur kerja untuk memigrasi catatan DNS secara massal ke zona host pribadi Route 53.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
Alur kerja terdiri dari langkah-langkah ini, seperti yang diilustrasikan dalam diagram sebelumnya dan dibahas di bagian *Epik*:
1. Unggah lembar kerja Excel yang memiliki informasi kumpulan rekaman ke bucket S3.
1. Buat dan jalankan skrip Python yang mengonversi data Excel ke format JSON.
1. Baca catatan dari bucket S3 dan bersihkan datanya.
1. Buat kumpulan rekaman di zona host pribadi Anda.
## Alat
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) - Amazon Route 53 adalah layanan web DNS yang sangat tersedia dan dapat diskalakan yang menangani pendaftaran domain, perutean DNS, dan pemeriksaan kesehatan.
+ [Amazon S3 - Amazon Simple Storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) Service (Amazon S3) Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek. Anda dapat menggunakan Amazon S3 untuk menyimpan dan mengambil data sebanyak apa pun kapan pun, dari mana pun di web.
## Epik
### Siapkan data untuk otomatisasi
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat file Excel untuk catatan Anda. | Gunakan catatan yang Anda ekspor dari sistem Anda saat ini untuk membuat lembar kerja Excel yang memiliki kolom yang diperlukan untuk catatan, seperti nama domain yang sepenuhnya memenuhi syarat (FQDN), jenis rekaman, Waktu untuk Hidup (TTL), dan nilai. Untuk catatan NAPTR dan SRV, nilainya adalah kombinasi dari beberapa properti, jadi gunakan `concat` metode Excel untuk menggabungkan properti ini.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Insinyur data, keterampilan Excel |
| Verifikasi lingkungan kerja. | Di IDE Anda, buat file Python untuk mengonversi lembar kerja input Excel ke format JSON. (Alih-alih IDE, Anda juga dapat menggunakan SageMaker notebook Amazon untuk bekerja dengan kode Python.)Verifikasi bahwa versi Python yang Anda gunakan adalah versi 3.7 atau yang lebih baru. python3 --version
Instal paket **panda**. pip3 install pandas --user
| AWS Umum |
| Ubah data lembar kerja Excel ke JSON. | Buat file Python yang berisi kode berikut untuk dikonversi dari Excel ke JSON.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
di mana `Book1` adalah nama lembar kerja Excel dan `my.json` merupakan nama file JSON keluaran. | Insinyur data, keterampilan Python |
| Unggah file JSON ke bucket S3. | Unggah `my.json` file ke bucket S3. Untuk informasi selengkapnya, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) di dokumentasi Amazon S3. | Pengembang aplikasi |
| FqdnName | RecordType | Nilai | TTL |
| something.example.org | A | 1.1.1.1 | 900 |
### Sisipkan catatan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat zona host pribadi. | Gunakan [create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) API dan kode contoh Python berikut untuk membuat zona host pribadi. Ganti parameter`hostedZoneName`,`vpcRegion`, dan `vpcId` dengan nilai Anda sendiri.import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
Anda juga dapat menggunakan alat infrastruktur sebagai kode (IAc) seperti AWS CloudFormation untuk mengganti langkah-langkah ini dengan templat yang membuat tumpukan dengan sumber daya dan properti yang sesuai. | Arsitek cloud, administrator Jaringan, keterampilan Python |
| Ambil detail sebagai kamus dari Amazon S3. | Gunakan kode berikut untuk membaca dari bucket S3 dan untuk mendapatkan nilai JSON sebagai kamus Python. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
dimana `json_content` berisi kamus Python. | Pengembang aplikasi, keterampilan Python |
| Bersihkan nilai data untuk spasi dan karakter Unicode. | Sebagai langkah pengamanan untuk memastikan kebenaran data, gunakan kode berikut untuk melakukan operasi strip pada nilai di`json_content`. Kode ini menghapus karakter spasi di bagian depan dan akhir setiap string. Hal ini juga menggunakan `replace` metode untuk menghapus hard (non-breaking) spasi (`\xa0`karakter).for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| Pengembang aplikasi, keterampilan Python |
| Sisipkan catatan. | Gunakan kode berikut sebagai bagian dari `for` loop sebelumnya.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
Di `xxxxxxx` mana ID zona yang dihosting dari langkah pertama epik ini. | Pengembang aplikasi, keterampilan Python |
## Sumber daya terkait
**Referensi**
+ [Membuat catatan dengan mengimpor file zona](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (dokumentasi Amazon Route 53)
+ [metode create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (dokumentasi Boto3)
+ [metode change\$1resource\$1record\$1sets (dokumentasi Boto3](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets))
**Tutorial dan video**
+ [Tutorial Python (dokumentasi](https://docs.python.org/3/tutorial/) Python)
+ [Desain DNS menggunakan Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube video, *AWS Online Tech Talks*)
# Ubah header HTTP saat Anda bermigrasi dari F5 ke Application Load Balancer di AWS
*Sachin Trivedi, Amazon Web Services*
## Ringkasan
Saat Anda memigrasikan aplikasi yang menggunakan penyeimbang Load F5 ke Amazon Web Services (AWS) dan ingin menggunakan Application Load Balancer di AWS, memigrasikan aturan F5 untuk modifikasi header adalah masalah umum. Application Load Balancer tidak mendukung modifikasi header, tetapi Anda dapat menggunakan Amazon CloudFront sebagai jaringan pengiriman konten (CDN) dan Lambda @Edge untuk memodifikasi header.
Pola ini menjelaskan integrasi yang diperlukan dan menyediakan kode contoh untuk modifikasi header dengan menggunakan AWS CloudFront dan Lambda @Edge.
## Prasyarat dan batasan
**Prasyarat**
+ Aplikasi lokal yang menggunakan penyeimbang beban F5 dengan konfigurasi yang menggantikan nilai header HTTP dengan menggunakan. `if, else` Untuk informasi selengkapnya tentang konfigurasi ini, lihat [HTTP: :header](https://clouddocs.f5.com/api/irules/HTTP__header.html) dalam dokumentasi produk F5.
**Batasan**
+ Pola ini berlaku untuk kustomisasi header load balancer F5. Untuk penyeimbang beban pihak ketiga lainnya, silakan periksa dokumentasi penyeimbang beban untuk informasi dukungan.
+ Fungsi Lambda yang Anda gunakan untuk Lambda @Edge harus berada di Wilayah AS Timur (Virginia N.).
## Arsitektur
Diagram berikut menunjukkan arsitektur di AWS, termasuk aliran integrasi antara CDN dan komponen AWS lainnya.
![\[Arsitektur untuk modifikasi header dengan menggunakan Amazon CloudFront dan Lambda @Edge\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Alat
**Layanan AWS**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Application Load Balancer adalah layanan load balancing AWS yang dikelola sepenuhnya yang berfungsi pada lapisan ketujuh model Open Systems Interconnection (OSI). Ini menyeimbangkan lalu lintas di beberapa target dan mendukung permintaan perutean lanjutan berdasarkan header dan metode HTTP, string kueri, dan perutean berbasis host atau berbasis jalur.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) - Amazon CloudFront adalah layanan web yang mempercepat distribusi konten web statis dan dinamis Anda, seperti.html, .css, .js, dan file gambar, kepada pengguna Anda. CloudFront mengirimkan konten Anda melalui jaringan pusat data di seluruh dunia yang disebut lokasi tepi untuk latensi yang lebih rendah dan peningkatan kinerja.
+ [Lambda @Edge ─](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) Lambda @Edge adalah ekstensi AWS Lambda yang memungkinkan Anda menjalankan fungsi untuk menyesuaikan konten yang dikirimkan. CloudFront Anda dapat membuat fungsi di Wilayah AS Timur (Virginia N.), dan kemudian mengaitkan fungsi tersebut dengan CloudFront distribusi untuk secara otomatis mereplikasi kode Anda di seluruh dunia, tanpa menyediakan atau mengelola server. Ini mengurangi latensi dan meningkatkan pengalaman pengguna.
**Kode**
Kode contoh berikut menyediakan cetak biru untuk memodifikasi CloudFront header respons. Ikuti instruksi di bagian *Epik* untuk menyebarkan kode.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Epik
### Buat distribusi CDN
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat distribusi CloudFront web. | Pada langkah ini, Anda membuat CloudFront distribusi untuk memberi tahu dari CloudFront mana Anda ingin konten dikirim, dan detail tentang cara melacak dan mengelola pengiriman konten.Untuk membuat distribusi menggunakan konsol, masuk ke AWS Management Console, buka [CloudFront konsol](https://console.aws.amazon.com/cloudfront/v3/home), lalu ikuti langkah-langkah dalam [CloudFront dokumentasi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Administrator awan |
### Buat dan terapkan fungsi Lambda @Edge
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat dan terapkan fungsi Lambda @Edge. | Anda dapat membuat fungsi Lambda @Edge dengan menggunakan cetak biru untuk memodifikasi header respons. CloudFront (Cetak Biru lainnya tersedia untuk kasus penggunaan yang berbeda; untuk informasi selengkapnya, lihat [Lambda @Edge contoh fungsi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html) dalam dokumentasi.) CloudFront Untuk membuat fungsi Lambda @Edge:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | Administrator AWS |
| Terapkan fungsi Lambda @Edge. | Ikuti petunjuk di [langkah 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) dari *Tutorial: Membuat fungsi Lambda @Edge sederhana* dalam CloudFront dokumentasi Amazon untuk mengonfigurasi CloudFront pemicu dan menyebarkan fungsi. | Administrator AWS |
## Sumber daya terkait
**CloudFront dokumentasi**
+ [Perilaku permintaan dan respons untuk asal kustom](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Bekerja dengan distribusi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Lambda @Edge contoh fungsi](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Menyesuaikan di tepi dengan Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutorial: Membuat fungsi Lambda @Edge sederhana](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Buat laporan temuan Network Access Analyzer untuk akses internet masuk dalam beberapa Akun AWS
*Mike Virgilio, Amazon Web Services*
## Ringkasan
Akses internet masuk yang tidak disengaja ke AWS sumber daya dapat menimbulkan risiko bagi perimeter data organisasi. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) adalah fitur Amazon Virtual Private Cloud (Amazon VPC) yang membantu Anda mengidentifikasi akses jaringan yang tidak diinginkan ke sumber daya Anda di Amazon Web Services ().AWS Anda dapat menggunakan Network Access Analyzer untuk menentukan persyaratan akses jaringan Anda dan untuk mengidentifikasi jalur jaringan potensial yang tidak memenuhi persyaratan yang Anda tentukan. Anda dapat menggunakan Network Access Analyzer untuk melakukan hal berikut:
1. Identifikasi AWS sumber daya yang dapat diakses oleh internet melalui gateway internet.
1. Validasi bahwa virtual private cloud (VPCs) Anda tersegmentasi dengan tepat, seperti mengisolasi lingkungan produksi dan pengembangan dan memisahkan beban kerja transaksional.
Network Access Analyzer menganalisis kondisi jangkauan end-to-end jaringan dan bukan hanya satu komponen. Untuk menentukan apakah sumber daya dapat diakses internet, Network Access Analyzer mengevaluasi gateway internet, tabel rute VPC, daftar kontrol akses jaringan (ACLs), alamat IP publik pada antarmuka jaringan elastis, dan grup keamanan. Jika salah satu komponen ini mencegah akses internet, Network Access Analyzer tidak menghasilkan temuan. Misalnya, jika instans Amazon Elastic Compute Cloud (Amazon EC2) memiliki grup keamanan terbuka yang memungkinkan lalu lintas dari `0/0` tetapi instance berada dalam subnet pribadi yang tidak dapat dirutekan dari gateway internet mana pun, maka Network Access Analyzer tidak akan menghasilkan temuan. Ini memberikan hasil kesetiaan tinggi sehingga Anda dapat mengidentifikasi sumber daya yang benar-benar dapat diakses dari internet.
Ketika Anda menjalankan Network Access Analyzer, Anda menggunakan [Network Access Scopes](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) untuk menentukan persyaratan akses jaringan Anda. Solusi ini mengidentifikasi jalur jaringan antara gateway internet dan elastic network interface. Dalam pola ini, Anda menyebarkan solusi secara terpusat Akun AWS di organisasi Anda, dikelola oleh AWS Organizations, dan menganalisis semua akun, di mana pun Wilayah AWS, di organisasi.
Solusi ini dirancang dengan mempertimbangkan hal-hal berikut:
+ AWS CloudFormation Template mengurangi upaya yang diperlukan untuk menyebarkan AWS sumber daya dalam pola ini.
+ Anda dapat menyesuaikan parameter dalam CloudFormation template dan skrip **naa-script.sh** pada saat penerapan untuk menyesuaikannya untuk lingkungan Anda.
+ Bash scripting secara otomatis menyediakan dan menganalisis Network Access Scopes untuk beberapa akun, secara paralel.
+ Skrip Python memproses temuan, mengekstrak data, dan kemudian mengkonsolidasikan hasilnya. Anda dapat memilih untuk meninjau laporan konsolidasi temuan Network Access Analyzer dalam format CSV atau dalam format. AWS Security Hub CSPM Contoh laporan CSV tersedia di bagian [Informasi tambahan](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) dari pola ini.
+ Anda dapat memulihkan temuan, atau Anda dapat mengecualikannya dari analisis future dengan menambahkannya ke **file naa-exclusions.csv**.
## Prasyarat dan batasan
**Prasyarat**
+ Sebuah Akun AWS untuk layanan dan alat keamanan hosting, dikelola sebagai akun anggota organisasi di AWS Organizations. Dalam pola ini, akun ini disebut sebagai akun keamanan.
+ Di akun keamanan, Anda harus memiliki subnet pribadi dengan akses internet keluar. Untuk petunjuknya, lihat [Membuat subnet](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dalam dokumentasi Amazon VPC. Anda dapat membuat akses internet dengan menggunakan [gateway NAT atau titik](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) akhir [VPC antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Akses ke akun AWS Organizations manajemen atau akun yang telah mendelegasikan izin administrator untuk. CloudFormation Untuk petunjuk, lihat [Mendaftarkan administrator yang didelegasikan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) dalam CloudFormation dokumentasi.
+ Aktifkan akses tepercaya antara AWS Organizations dan CloudFormation. Untuk petunjuk, lihat [Mengaktifkan akses tepercaya dengan AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) dalam CloudFormation dokumentasi.
+ Jika Anda mengunggah temuan ke Security Hub CSPM, CSPM Security Hub harus diaktifkan di akun dan tempat instans Amazon Wilayah AWS disediakan. EC2 Untuk informasi selengkapnya, lihat [Menyiapkan AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Batasan**
+ Jalur jaringan lintas akun saat ini tidak dianalisis karena keterbatasan fitur Network Access Analyzer.
+ Target Akun AWS harus dikelola sebagai organisasi di AWS Organizations. **Jika Anda tidak menggunakan AWS Organizations, Anda dapat memperbarui CloudFormation template **naa-execrole.yaml** dan skrip naa-script.sh untuk lingkungan Anda.** Sebagai gantinya, Anda memberikan daftar Akun AWS IDs dan Wilayah tempat Anda ingin menjalankan skrip.
+ CloudFormation Template ini dirancang untuk menyebarkan EC2 instance Amazon di subnet pribadi yang memiliki akses internet keluar. AWS Systems Manager Agen (Agen SSM) memerlukan akses keluar untuk mencapai titik akhir layanan Systems Manager, dan Anda memerlukan akses keluar untuk mengkloning repositori kode dan menginstal dependensi. [Jika Anda ingin menggunakan subnet publik, Anda harus memodifikasi template **naa-resources.yaml** untuk mengaitkan alamat IP Elastis dengan instance Amazon.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) EC2
## Arsitektur
**Arsitektur target**
*Opsi 1: Akses temuan di ember Amazon S3*
![\[Diagram arsitektur untuk mengakses laporan temuan Network Access Analyzer di bucket Amazon S3\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
Diagram menunjukkan proses berikut:
1. Jika Anda menjalankan solusi secara manual, pengguna mengautentikasi ke EC2 instance Amazon dengan menggunakan Session Manager dan kemudian menjalankan skrip **naa-script.sh**. Skrip shell ini melakukan langkah 2—7.
Jika Anda menjalankan solusi secara otomatis, skrip **naa-script.sh** dimulai secara otomatis pada jadwal yang Anda tentukan dalam ekspresi cron. Skrip shell ini melakukan langkah 2—7. Untuk informasi selengkapnya, lihat *Otomatisasi dan skala* di akhir bagian ini.
1. EC2 Instans Amazon mengunduh file **naa-exception.csv** terbaru dari bucket Amazon S3. File ini digunakan nanti dalam proses ketika skrip Python memproses pengecualian.
1. EC2 Instans Amazon mengasumsikan peran `NAAEC2Role` AWS Identity and Access Management (IAM), yang memberikan izin untuk mengakses bucket Amazon S3 dan untuk mengambil peran `NAAExecRole` IAM di akun lain di organisasi.
1. EC2 Instans Amazon mengasumsikan peran `NAAExecRole` IAM dalam akun manajemen organisasi dan menghasilkan daftar akun dalam organisasi.
1. EC2 Instans Amazon mengasumsikan peran `NAAExecRole` IAM dalam akun anggota organisasi (disebut *akun beban kerja* dalam diagram arsitektur) dan melakukan penilaian keamanan di setiap akun. Temuan disimpan sebagai file JSON di EC2 instance Amazon.
1. EC2 Instans Amazon menggunakan skrip Python untuk memproses file JSON, mengekstrak bidang data, dan membuat laporan CSV.
1. EC2 Instans Amazon mengunggah file CSV ke bucket Amazon S3.
1. EventBridge Aturan Amazon mendeteksi unggahan file dan menggunakan topik Amazon SNS untuk mengirim email yang memberi tahu pengguna bahwa laporan sudah lengkap.
1. Pengguna mengunduh file CSV dari bucket Amazon S3. Pengguna mengimpor hasil ke template Excel dan meninjau hasilnya.
*Opsi 2: Akses temuan di AWS Security Hub CSPM*
![\[Diagram arsitektur untuk mengakses temuan Network Access Analyzer melalui AWS Security Hub\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
Diagram menunjukkan proses berikut:
1. Jika Anda menjalankan solusi secara manual, pengguna mengautentikasi ke EC2 instance Amazon dengan menggunakan Session Manager dan kemudian menjalankan skrip **naa-script.sh**. Skrip shell ini melakukan langkah 2—7.
Jika Anda menjalankan solusi secara otomatis, skrip **naa-script.sh** dimulai secara otomatis pada jadwal yang Anda tentukan dalam ekspresi cron. Skrip shell ini melakukan langkah 2—7. Untuk informasi selengkapnya, lihat *Otomatisasi dan skala* di akhir bagian ini.
1. EC2 Instans Amazon mengunduh file **naa-exception.csv** terbaru dari bucket Amazon S3. File ini digunakan nanti dalam proses ketika skrip Python memproses pengecualian.
1. EC2 Instans Amazon mengasumsikan peran `NAAEC2Role` IAM, yang memberikan izin untuk mengakses bucket Amazon S3 dan untuk mengambil peran `NAAExecRole` IAM di akun lain di organisasi.
1. EC2 Instans Amazon mengasumsikan peran `NAAExecRole` IAM dalam akun manajemen organisasi dan menghasilkan daftar akun dalam organisasi.
1. EC2 Instans Amazon mengasumsikan peran `NAAExecRole` IAM dalam akun anggota organisasi (disebut *akun beban kerja* dalam diagram arsitektur) dan melakukan penilaian keamanan di setiap akun. Temuan disimpan sebagai file JSON di EC2 instance Amazon.
1. EC2 Instans Amazon menggunakan skrip Python untuk memproses file JSON dan mengekstrak bidang data untuk diimpor ke Security Hub CSPM.
1. EC2 Instans Amazon mengimpor temuan Network Access Analyzer ke Security Hub CSPM.
1. EventBridge Aturan Amazon mendeteksi impor dan menggunakan topik Amazon SNS untuk mengirim email yang memberi tahu pengguna bahwa prosesnya selesai.
1. Pengguna melihat temuan di Security Hub CSPM.
**Otomatisasi dan skala**
Anda dapat menjadwalkan solusi ini untuk menjalankan skrip **naa-script.sh** secara otomatis pada jadwal khusus. Untuk mengatur jadwal kustom, dalam template ** CloudFormation naa-resources.yaml**, ubah parameter. `CronScheduleExpression` Misalnya, nilai default `0 0 * * 0` menjalankan solusi pada tengah malam setiap hari Minggu. Nilai `0 0 * 1-12 0` akan menjalankan solusi pada tengah malam pada hari Minggu pertama setiap bulan. Untuk informasi selengkapnya tentang penggunaan ekspresi cron, lihat [Cron dan ekspresi tingkat](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) dalam dokumentasi Systems Manager.
Jika Anda ingin sesuaikan jadwal setelah `NAA-Resources` tumpukan digunakan, Anda dapat mengedit jadwal cron secara manual. `/etc/cron.d/naa-schedule`
## Alat
**Layanan AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) menyediakan kapasitas komputasi yang dapat diskalakan di. AWS Cloud Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) adalah layanan bus acara tanpa server yang membantu Anda menghubungkan aplikasi Anda dengan data waktu nyata dari berbagai sumber. Misalnya, AWS Lambda fungsi, titik akhir pemanggilan HTTP menggunakan tujuan API, atau bus acara di tempat lain. Akun AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)memberikan pandangan komprehensif tentang keadaan keamanan Anda di AWS. Ini juga membantu Anda memeriksa AWS lingkungan Anda terhadap standar industri keamanan dan praktik terbaik.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.
+ [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)membantu Anda mengelola aplikasi dan infrastruktur yang berjalan di AWS Cloud. Ini menyederhanakan aplikasi dan manajemen sumber daya, mempersingkat waktu untuk mendeteksi dan menyelesaikan masalah operasional, dan membantu Anda mengelola AWS sumber daya Anda dengan aman dalam skala besar. Pola ini menggunakan Session Manager, kemampuan Systems Manager.
**Repositori kode**
Kode untuk pola ini tersedia di repositori [Analisis Multi-Akun GitHub Network Access Analyzer](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). Repositori kode berisi file-file berikut:
+ **naa-script.sh** - Skrip bash ini digunakan untuk memulai analisis Network Access Analyzer dari beberapa Akun AWS, secara paralel. Seperti yang didefinisikan dalam CloudFormation template **naa-resources.yaml**, skrip ini secara otomatis diterapkan ke folder pada instance Amazon. `/usr/local/naa` EC2
+ **naa-resources.yaml** - Anda menggunakan CloudFormation template ini untuk membuat tumpukan di akun keamanan dalam organisasi. Template ini menyebarkan semua sumber daya yang diperlukan untuk akun ini untuk mendukung solusinya. Tumpukan ini harus digunakan sebelum template **naa-execrole.yaml**.
**catatan**
Jika tumpukan ini dihapus dan digunakan kembali, Anda harus membangun kembali kumpulan `NAAExecRole` tumpukan untuk membangun kembali dependensi lintas akun di antara peran IAM.
+ **naa-execrole.yaml** - Anda menggunakan CloudFormation templat ini untuk membuat kumpulan tumpukan yang menerapkan peran `NAAExecRole` IAM di semua akun di organisasi, termasuk akun manajemen.
+ **naa-processfindings.py** - Skrip **naa-script.sh** secara otomatis memanggil skrip Python ini untuk memproses output JSON Network Access Analyzer, mengecualikan sumber daya yang diketahui baik dalam file **naa-exclusions.csv**, dan kemudian menghasilkan file CSV dari hasil konsolidasi atau mengimpor hasilnya ke Security Hub CSPM.
## Epik
### Mempersiapkan penyebaran
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Kloning repositori kode. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Tinjau template. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Buat CloudFormation tumpukan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Menyediakan sumber daya di akun keamanan. | Menggunakan template **naa-resources.yaml**, Anda membuat CloudFormation tumpukan yang menyebarkan semua sumber daya yang diperlukan di akun keamanan. Untuk petunjuk, lihat [Membuat tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dalam CloudFormation dokumentasi. Perhatikan hal berikut saat menerapkan template ini:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Menyediakan peran IAM di akun anggota. | Di akun AWS Organizations manajemen atau akun dengan izin administrator yang didelegasikan CloudFormation, gunakan templat **naa-execrole.yaml** untuk membuat kumpulan tumpukan. CloudFormation Kumpulan tumpukan menyebarkan peran `NAAExecRole` IAM di semua akun anggota di organisasi. Untuk petunjuknya, lihat [Membuat kumpulan tumpukan dengan izin yang dikelola layanan dalam dokumentasi](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org). CloudFormation Perhatikan hal berikut saat menerapkan template ini:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Menyediakan peran IAM dalam akun manajemen. | Menggunakan template **naa-execrole.yaml**, Anda membuat CloudFormation tumpukan yang menerapkan peran `NAAExecRole` IAM di akun manajemen organisasi. Kumpulan tumpukan yang Anda buat sebelumnya tidak menerapkan peran IAM di akun manajemen. Untuk petunjuk, lihat [Membuat tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dalam CloudFormation dokumentasi. Perhatikan hal berikut saat menerapkan template ini:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Lakukan analisis
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Sesuaikan skrip shell. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analisis akun target. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opsi 1 - Ambil hasil dari bucket Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opsi 2 — Tinjau hasilnya di Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Memperbaiki dan mengecualikan temuan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Memperbaiki temuan. | Perbaiki temuan apa pun yang ingin Anda atasi. Untuk informasi selengkapnya dan praktik terbaik tentang cara membuat perimeter di sekitar AWS identitas, sumber daya, dan jaringan Anda, lihat [Membangun perimeter data di AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS Whitepaper). | AWS DevOps |
| Kecualikan sumber daya dengan jalur jaringan yang diketahui baik. | Jika Network Access Analyzer menghasilkan temuan untuk sumber daya yang seharusnya dapat diakses dari internet, maka Anda dapat menambahkan sumber daya ini ke daftar pengecualian. Lain kali Network Access Analyzer berjalan, itu tidak akan menghasilkan temuan untuk sumber daya itu.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Opsional) Perbarui skrip naa-script.sh
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Perbarui skrip naa-script.sh. | Jika Anda ingin memperbarui skrip **naa-script.sh** ke versi terbaru di repo, lakukan hal berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Opsional) Bersihkan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Hapus semua sumber daya yang digunakan. | Anda dapat meninggalkan sumber daya yang digunakan di akun.Jika Anda ingin menghentikan semua sumber daya, lakukan hal berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## Pemecahan masalah
| Isu | Solusi |
| --- | --- |
| Tidak dapat terhubung ke EC2 instans Amazon dengan menggunakan Pengelola Sesi. | Agen SSM harus dapat berkomunikasi dengan endpoint Systems Manager. Lakukan hal-hal berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Saat menerapkan set tumpukan, CloudFormation konsol meminta Anda untuk melakukannya. `Enable trusted access with AWS Organizations to use service-managed permissions` | Ini menunjukkan bahwa akses tepercaya belum diaktifkan antara AWS Organizations dan CloudFormation. Akses tepercaya diperlukan untuk menerapkan set tumpukan yang dikelola layanan. Pilih tombol untuk mengaktifkan akses tepercaya. Untuk informasi selengkapnya, lihat [Mengaktifkan akses tepercaya](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) dalam CloudFormation dokumentasi. |
## Sumber daya terkait
+ [Baru - Penganalisis Akses Jaringan Amazon VPC](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS posting blog)
+ [AWS re:Inforce 2022 - Validasi kontrol akses jaringan yang efektif pada AWS (NIS202) (video)](https://youtu.be/aN2P2zeQek0)
+ [Demo - Analisis Jalur Data Ingress Internet di Seluruh Organisasi Menggunakan Penganalisis Akses Jaringan](https://youtu.be/1IFNZWy4iy0) (video)
## Informasi tambahan
**Contoh keluaran konsol**
Contoh berikut menunjukkan output dari menghasilkan daftar akun target dan menganalisis akun target.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Contoh laporan CSV**
Gambar berikut adalah contoh dari output CSV.
![\[Contoh 1 dari laporan CSV yang dihasilkan oleh solusi ini.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Contoh 2 dari laporan CSV yang dihasilkan oleh solusi ini.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Mengatur resolusi DNS untuk jaringan hybrid di lingkungan multi-akun AWS
*Anvesh Kokganti, Amazon Web Services*
## Ringkasan
Pola ini memberikan solusi komprehensif untuk menyiapkan resolusi DNS di lingkungan jaringan hybrid yang mencakup beberapa akun Amazon Web Services (AWS). Ini memungkinkan resolusi DNS dua arah antara jaringan lokal dan lingkungan melalui titik akhir. AWS Amazon Route 53 Resolver Pola ini menyajikan dua solusi untuk mengaktifkan resolusi DNS dalam arsitektur [multi-akun dan terpusat](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized):
+ *Pengaturan dasar* tidak menggunakan Profil Route 53. Ini membantu mengoptimalkan biaya untuk penyebaran kecil hingga menengah dengan kompleksitas yang lebih rendah.
+ *Penyiapan yang disempurnakan* menggunakan Route 53 Profiles untuk menyederhanakan operasi. Cara terbaik untuk penyebaran DNS yang lebih besar atau lebih kompleks.
**catatan**
Tinjau bagian *Batasan* untuk batasan layanan dan kuota sebelum implementasi. Pertimbangkan faktor-faktor seperti overhead manajemen, biaya, kompleksitas operasional, dan keahlian tim ketika Anda membuat keputusan.
## Prasyarat dan batasan
**Prasyarat**
+ Lingkungan AWS multi-akun dengan Amazon Virtual Private Cloud (Amazon VPC) diterapkan di seluruh Layanan Bersama dan akun beban kerja (sebaiknya disiapkan melalui [AWS Control Tower dengan AWS mengikuti praktik terbaik](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) untuk struktur akun).
+ Konektivitas hybrid yang ada (AWS Direct Connect atau AWS Site-to-Site VPN) antara jaringan lokal dan AWS lingkungan.
+ Amazon VPC peering, AWS Transit Gateway, atau AWS Cloud WAN untuk konektivitas jaringan Layer 3 antara. VPCs (Konektivitas ini diperlukan untuk lalu lintas aplikasi. Resolusi DNS tidak diperlukan untuk bekerja. Resolusi DNS beroperasi secara independen dari konektivitas jaringan antara VPCs.)
+ Server DNS berjalan di lingkungan lokal.
**Batasan**
+ Titik akhir, aturan, dan Profil Resolver Route 53 adalah konstruksi Regional dan mungkin memerlukan replikasi dalam beberapa untuk organisasi global. Wilayah AWS
+ Untuk daftar lengkap kuota layanan untuk Resolver Route 53, zona host pribadi, dan Profil, lihat [Kuota](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html) dalam dokumentasi Route 53.
## Arsitektur
**Tumpukan teknologi target**
+ Rute 53 titik akhir keluar dan masuk
+ Aturan Route 53 Resolver untuk penerusan bersyarat
+ AWS Resource Access Manager (AWS RAM)
+ Route 53 zona host pribadi
**Arsitektur target**
**Titik akhir keluar dan masuk**
Diagram berikut menunjukkan aliran resolusi DNS dari AWS ke tempat. Ini adalah pengaturan konektivitas untuk resolusi keluar tempat domain di-host di tempat. Berikut adalah ikhtisar tingkat tinggi dari proses yang terlibat dalam pengaturan ini. Untuk detailnya, lihat bagian [Epik](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Terapkan titik akhir Resolver Route 53 keluar di VPC Layanan Bersama.
1. Buat aturan Resolver Route 53 (aturan penerusan) di akun Layanan Bersama untuk domain yang dihosting di tempat.
1. Bagikan dan kaitkan aturan dengan VPCs akun lain yang menghosting sumber daya yang diperlukan untuk menyelesaikan domain yang dihosting lokal. Ini dapat dilakukan dengan cara yang berbeda tergantung pada kasus penggunaan Anda, seperti yang dijelaskan nanti di bagian ini.
![\[Titik akhir masuk dan keluar di AWS ke alur resolusi DNS lokal.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Setelah Anda mengatur konektivitas, langkah-langkah yang terlibat dalam resolusi keluar adalah sebagai berikut:
1. Instans Amazon Elastic Compute Cloud (Amazon EC2) mengirimkan permintaan resolusi DNS `db.onprem.example.com` ke Resolver Route 53 VPC di alamat VPC\$12.
1. Route 53 Resolver memeriksa aturan Resolver dan meneruskan permintaan ke server DNS lokal dengan menggunakan titik akhir keluar. IPs
1. Titik akhir keluar meneruskan permintaan ke DNS lokal. IPs Lalu lintas melewati konektivitas jaringan hybrid yang mapan antara VPC Layanan Bersama dan pusat data lokal.
1. Server DNS lokal merespons kembali ke titik akhir keluar, yang kemudian meneruskan respons kembali ke Resolver Route 53 VPC. Resolver mengembalikan respons terhadap instance. EC2
Diagram berikutnya menunjukkan aliran resolusi DNS dari lingkungan lokal ke. AWS Ini adalah pengaturan konektivitas untuk resolusi masuk tempat domain di-host. AWS Berikut adalah ikhtisar tingkat tinggi dari proses yang terlibat dalam pengaturan ini. Untuk detailnya, lihat bagian [Epik](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Menerapkan titik akhir Resolver masuk di VPC Layanan Bersama.
1. Buat zona host pribadi di akun Layanan Bersama (pendekatan terpusat).
1. Kaitkan zona yang dihosting pribadi dengan VPC Layanan Bersama. Bagikan dan kaitkan zona ini dengan akun silang VPCs untuk resolusi VPC-to-VPC DNS. Ini dapat dilakukan dengan cara yang berbeda tergantung pada kasus penggunaan Anda, seperti yang dijelaskan nanti di bagian ini.
![\[Titik akhir masuk dan keluar di lokasi lokal ke alur resolusi AWS DNS.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Setelah Anda mengatur konektivitas, langkah-langkah yang terlibat dalam resolusi masuk adalah sebagai berikut:
1. Sumber daya lokal mengirimkan permintaan resolusi DNS `ec2.prod.aws.example.com` ke server DNS lokal.
1. Server DNS lokal meneruskan permintaan ke titik akhir Resolver masuk di VPC Layanan Bersama melalui koneksi jaringan hybrid.
1. Titik akhir Resolver masuk mencari permintaan di zona host pribadi terkait dengan bantuan VPC Route 53 Resolver dan mendapatkan alamat IP yang sesuai.
1. Alamat IP ini dikirim kembali ke server DNS lokal, yang mengembalikan respons ke sumber daya lokal.
Konfigurasi ini memungkinkan sumber daya lokal untuk menyelesaikan nama domain AWS pribadi dengan merutekan kueri melalui titik akhir masuk ke zona host pribadi yang sesuai. Dalam arsitektur ini, zona host pribadi dipusatkan dalam VPC Layanan Bersama, yang memungkinkan manajemen DNS pusat oleh satu tim. Zona ini dapat dikaitkan dengan banyak orang VPCs untuk mengatasi kasus penggunaan resolusi VPC-to-VPC DNS. Atau, Anda mungkin ingin mendelegasikan kepemilikan dan pengelolaan domain DNS ke masing-masing domain. Akun AWS Dalam hal ini, setiap akun mengelola zona host pribadinya sendiri dan mengaitkan setiap zona dengan VPC Layanan Bersama pusat untuk resolusi terpadu dengan lingkungan lokal. Pendekatan terdesentralisasi ini berada di luar cakupan pola ini. Untuk informasi selengkapnya, lihat [Menskalakan manajemen DNS di beberapa akun dan VPCs di whitepaper](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) opsi *DNS Cloud Hybrid untuk Amazon VPC*.
Saat Anda menetapkan alur resolusi DNS dasar dengan menggunakan titik akhir Resolver, Anda perlu menentukan cara mengelola pembagian dan asosiasi aturan Resolver dan zona host pribadi di seluruh area Anda. Akun AWS Anda dapat melakukan pendekatan ini dengan dua cara: melalui berbagi yang dikelola sendiri dengan menggunakan AWS RAM untuk berbagi aturan Resolver dan mengarahkan asosiasi zona host pribadi, seperti yang dirinci di bagian *Pengaturan dasar*, atau melalui Profil Route 53, seperti yang dibahas di bagian Penyiapan yang *ditingkatkan*. Pilihannya tergantung pada preferensi manajemen DNS organisasi Anda dan persyaratan operasional. Diagram arsitektur berikut menggambarkan lingkungan berskala yang mencakup beberapa akun yang berbeda, VPCs yang mewakili penerapan perusahaan yang khas.
**Pengaturan dasar**
Dalam penyiapan dasar, implementasi untuk resolusi DNS hibrid di AWS lingkungan multi-akun digunakan AWS RAM untuk berbagi aturan penerusan Resolver dan asosiasi zona host pribadi untuk mengelola kueri DNS antara lokal dan sumber daya. AWS Metode ini menggunakan titik akhir Resolver Route 53 terpusat dalam VPC Layanan Bersama yang terhubung ke jaringan lokal Anda untuk menangani resolusi DNS masuk dan keluar secara efisien.
+ Untuk resolusi keluar, aturan penerusan Resolver dibuat di akun Layanan Bersama dan kemudian dibagikan dengan orang lain dengan menggunakan. Akun AWS AWS RAM Berbagi ini terbatas pada akun dalam Wilayah yang sama. Akun target kemudian dapat mengaitkan aturan ini dengan aturan mereka VPCs dan memungkinkan sumber daya di akun tersebut VPCs untuk menyelesaikan nama domain lokal.
+ Untuk resolusi masuk, zona yang dihosting pribadi dibuat di akun Layanan Bersama dan dikaitkan dengan VPC Layanan Bersama. Zona ini kemudian dapat dikaitkan dengan VPCs akun lain dengan menggunakan API Route 53 AWS SDKs,, atau AWS Command Line Interface (AWS CLI). Sumber daya yang terkait kemudian VPCs dapat menyelesaikan catatan DNS yang ditentukan di zona host pribadi, yang menciptakan tampilan DNS terpadu di seluruh lingkungan Anda. AWS
Diagram berikut menunjukkan aliran resolusi DNS dalam pengaturan dasar ini.
![\[Menggunakan pengaturan dasar untuk resolusi DNS hybrid di lingkungan AWS multi-akun.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Pengaturan ini berfungsi dengan baik ketika Anda bekerja dengan infrastruktur DNS dalam skala terbatas. Namun, itu bisa menjadi tantangan untuk dikelola saat lingkungan Anda tumbuh. Overhead operasional untuk mengelola bagaimana zona host pribadi dan aturan Resolver dibagikan dan dikaitkan dengan VPCs individu meningkat secara signifikan dengan skala. Selain itu, kuota layanan seperti batas asosiasi VPC 300 per zona host pribadi dapat menjadi faktor pembatas dalam penerapan skala besar. Penyiapan yang disempurnakan mengatasi tantangan ini.
**Pengaturan yang disempurnakan**
Route 53 Profiles menawarkan solusi efisien untuk mengelola resolusi DNS di jaringan hybrid di beberapa jaringan. Akun AWS Alih-alih mengelola zona yang dihosting pribadi dan aturan Resolver secara individual, Anda dapat mengelompokkan konfigurasi DNS ke dalam satu wadah yang dapat dengan mudah dibagikan dan diterapkan di beberapa akun VPCs dan akun di Wilayah. Pengaturan ini mempertahankan arsitektur titik akhir Resolver terpusat dalam VPC Layanan Bersama sambil secara signifikan menyederhanakan pengelolaan konfigurasi DNS.
Diagram berikut menunjukkan aliran resolusi DNS dalam pengaturan yang disempurnakan.
![\[Menggunakan pengaturan lanjutan dengan Route 53 Profiles untuk resolusi DNS hybrid di lingkungan AWS multi-akun.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
Profil Route 53 memungkinkan Anda mengemas asosiasi zona host pribadi, aturan penerusan Resolver, dan aturan firewall DNS ke dalam satu unit yang dapat dibagikan. Anda dapat membuat Profil di akun Layanan Bersama dan membagikannya dengan akun anggota dengan menggunakan AWS RAM. Ketika profil dibagikan dan diterapkan ke target VPCs, semua asosiasi dan konfigurasi yang diperlukan ditangani secara otomatis oleh layanan. Ini secara signifikan mengurangi overhead operasional manajemen DNS dan memberikan skalabilitas yang sangat baik untuk lingkungan yang berkembang.
**Otomatisasi dan skala**
Gunakan alat infrastruktur sebagai kode (IAc) seperti CloudFormation atau Terraform untuk secara otomatis menyediakan dan mengelola titik akhir Route 53 Resolver, aturan, zona yang dihosting pribadi, dan Profil. Integrasikan konfigurasi DNS dengan pipeline integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD) untuk konsistensi, pengulangan, dan pembaruan cepat.
## Alat
**Layanan AWS**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) membantu Anda berbagi sumber daya dengan aman Akun AWS untuk mengurangi overhead operasional dan memberikan visibilitas dan auditabilitas.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)merespons secara rekursif kueri DNS dari AWS sumber daya dan tersedia secara default di semua. VPCs Anda dapat membuat titik akhir Resolver dan aturan penerusan bersyarat untuk menyelesaikan ruang nama DNS antara pusat data lokal dan pusat data lokal Anda. VPCs
+ [Amazon Route 53 private hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) adalah wadah yang menyimpan informasi tentang bagaimana Anda ingin Route 53 merespons kueri DNS untuk domain dan subdomainnya.
+ [Profil Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) memungkinkan Anda menerapkan dan mengelola konfigurasi Route 53 terkait DNS di banyak VPCs dan berbeda dengan Akun AWS cara yang disederhanakan.
## Praktik terbaik
Bagian ini menyediakan beberapa praktik terbaik untuk mengoptimalkan Resolver Route 53. Ini mewakili bagian dari praktik terbaik Route 53. Untuk daftar lengkap, lihat [Praktik terbaik untuk Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html).
**Hindari konfigurasi loop dengan titik akhir Resolver**
+ Rancang arsitektur DNS Anda untuk mencegah perutean rekursif dengan merencanakan asosiasi VPC dengan cermat. Saat VPC menghosting titik akhir masuk, hindari mengaitkannya dengan aturan Resolver yang dapat membuat referensi melingkar.
+ Gunakan AWS RAM secara strategis saat Anda berbagi sumber daya DNS di seluruh akun untuk mempertahankan jalur perutean yang bersih.
Untuk informasi selengkapnya, lihat [Menghindari konfigurasi loop dengan titik akhir Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html) dalam dokumentasi Route 53.
**Titik akhir Resolver Skala**
+ Untuk lingkungan yang membutuhkan jumlah query per detik (QPS) yang tinggi, ketahuilah bahwa ada batas 10.000 QPS per ENI di titik akhir. Lebih banyak ENIs dapat ditambahkan ke titik akhir untuk menskalakan DNS QPS.
+ Amazon CloudWatch menyediakan `InboundQueryVolume` dan `OutboundQueryVolume` metrik (lihat [CloudWatch dokumentasi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Kami menyarankan Anda mengatur aturan pemantauan yang mengingatkan Anda jika ambang batas melebihi nilai tertentu (misalnya, 80 persen dari 10.000 QPS).
+ Konfigurasikan aturan grup keamanan stateful untuk titik akhir Resolver untuk mencegah batas pelacakan koneksi menyebabkan pembatasan kueri DNS selama lalu lintas volume tinggi. Untuk mempelajari selengkapnya tentang cara kerja pelacakan koneksi di grup keamanan, lihat [Pelacakan sambungan grup EC2 keamanan Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) di EC2 dokumentasi Amazon.
Untuk informasi selengkapnya, lihat [Penskalaan titik akhir Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) dalam dokumentasi Route 53.
**Menyediakan ketersediaan tinggi untuk titik akhir Resolver**
+ Buat titik akhir masuk dengan alamat IP di setidaknya dua Availability Zone untuk redundansi.
+ Menyediakan antarmuka jaringan tambahan untuk memastikan ketersediaan selama pemeliharaan atau lonjakan lalu lintas.
Untuk informasi selengkapnya, lihat [Ketersediaan tinggi untuk titik akhir Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) dalam dokumentasi Route 53.
## Epik
### Menyebarkan titik akhir Resolver Route 53
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Menerapkan titik akhir masuk. | Route 53 Resolver menggunakan titik akhir masuk untuk menerima kueri DNS dari resolver DNS lokal. Untuk petunjuk, lihat [Meneruskan kueri DNS masuk ke dokumentasi Route 53 Anda VPCs ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html). Catat alamat IP titik akhir masuk. | Administrator AWS, Administrator cloud |
| Menyebarkan titik akhir keluar. | Route 53 Resolver menggunakan titik akhir keluar untuk mengirim kueri DNS ke resolver DNS lokal. Untuk petunjuk, lihat [Meneruskan kueri DNS keluar ke jaringan Anda](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html) di dokumentasi Route 53. Catat ID titik akhir keluaran. | Administrator AWS, Administrator cloud |
### Konfigurasikan dan bagikan Route 53 zona yang dihosting pribadi
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat zona host pribadi untuk domain yang di-host AWS. | Zona ini menyimpan catatan DNS untuk sumber daya dalam domain AWS-host (misalnya,`prod.aws.example.com`) yang harus diselesaikan dari lingkungan lokal. Untuk petunjuk, lihat [Membuat zona host pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) dalam dokumentasi Route 53.Saat membuat zona host pribadi, Anda harus mengaitkan VPC dengan zona host yang dimiliki oleh akun yang sama. Pilih VPC Layanan Bersama untuk tujuan ini. | Administrator AWS, Administrator cloud |
| Pengaturan dasar: Kaitkan zona yang dihosting pribadi VPCs dengan akun lain. | Jika Anda menggunakan pengaturan dasar (lihat bagian [Arsitektur](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):Untuk mengaktifkan sumber daya di akun anggota VPCs untuk menyelesaikan catatan DNS di zona host pribadi ini, Anda harus mengaitkannya VPCs dengan zona yang dihosting. Anda harus mengotorisasi asosiasi dan kemudian membuat asosiasi secara terprogram. Untuk petunjuknya, lihat [Mengaitkan VPC Amazon dan zona host pribadi yang Anda buat dengan Akun AWS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html) berbeda dalam dokumentasi Route 53. | Administrator AWS, Administrator cloud |
| Penyiapan yang disempurnakan: Konfigurasikan dan bagikan Profil Route 53. | Jika Anda menggunakan penyiapan yang disempurnakan (lihat bagian [Arsitektur](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Bergantung pada struktur organisasi dan persyaratan DNS, Anda mungkin perlu membuat dan mengelola beberapa Profil untuk akun atau beban kerja yang berbeda. | Administrator AWS, Administrator cloud |
### Konfigurasikan dan bagikan aturan penerusan Resolver Route 53
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat aturan penerusan untuk domain yang di-host di tempat. | Aturan ini akan menginstruksikan Resolver Route 53 untuk meneruskan kueri DNS apa pun untuk domain lokal (seperti) ke resolver DNS lokal. `onprem.example.com` Untuk membuat aturan ini, Anda memerlukan alamat IP resolver DNS lokal dan ID titik akhir keluar. Untuk petunjuknya, lihat [Membuat aturan penerusan dalam dokumentasi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html) Route 53. | Administrator AWS, Administrator cloud |
| Pengaturan dasar: Bagikan dan kaitkan aturan penerusan dengan akun Anda VPCs di akun lain. | Jika Anda menggunakan pengaturan dasar:Agar aturan penerusan berlaku, Anda harus membagikan dan mengaitkan aturan tersebut dengan akun Anda VPCs di akun lain. Route 53 Resolver kemudian mempertimbangkan aturan saat menyelesaikan domain. Untuk petunjuknya, lihat [Berbagi aturan Resolver dengan aturan lain Akun AWS dan menggunakan aturan bersama serta Mengaitkan aturan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) [penerusan dengan VPC dalam](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) dokumentasi Route 53. | Administrator AWS, Administrator cloud |
| Penyiapan yang disempurnakan: Konfigurasikan dan bagikan Profil Route 53. | Jika Anda menggunakan pengaturan yang disempurnakan:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Bergantung pada struktur organisasi dan persyaratan DNS, Anda mungkin perlu membuat dan mengelola beberapa Profil untuk akun atau beban kerja yang berbeda. | Administrator AWS, Administrator cloud |
### Konfigurasikan resolver DNS lokal untuk integrasi AWS
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Konfigurasikan penerusan bersyarat di resolver DNS lokal. | Agar kueri DNS dikirim AWS dari lingkungan lokal untuk resolusi, Anda harus mengonfigurasi penerusan bersyarat di resolver DNS lokal untuk menunjuk ke alamat IP titik akhir masuk. Ini menginstruksikan resolver DNS untuk meneruskan semua kueri DNS untuk domain AWS-host (misalnya, untuk`prod.aws.example.com`) ke alamat IP titik akhir masuk untuk resolusi oleh Route 53 Resolver. | Administrator jaringan |
### Verifikasi resolusi end-to-end DNS di lingkungan hybrid
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Uji resolusi DNS dari AWS ke lingkungan lokal. | Dari instance di VPC yang memiliki aturan penerusan yang terkait dengannya, lakukan kueri DNS untuk domain host lokal (misalnya, untuk). `db.onprem.example.com` | Administrator jaringan |
| Uji resolusi DNS dari lingkungan lokal ke. AWS | Dari server lokal, lakukan resolusi DNS untuk domain AWS-host (misalnya, untuk). `ec2.prod.aws.example.com` | Administrator jaringan |
## Sumber daya terkait
+ [Opsi DNS Cloud Hybrid untuk Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html)AWS (whitepaper)
+ [Bekerja dengan zona host pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (dokumentasi Route 53)
+ [Memulai dengan Resolver Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (Dokumentasi Route 53)
+ [Sederhanakan manajemen DNS di lingkungan multi-akun dengan Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (posting blog)AWS
+ [Menyatukan manajemen DNS menggunakan Profil Amazon Route 53 dengan beberapa VPCs dan Akun AWS](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (AWS posting blog)
+ [Memigrasi lingkungan DNS multi-akun Anda ke Profil Amazon Route 53 (posting blog](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/))AWS
+ [Menggunakan Profil Amazon Route 53 untuk AWS lingkungan multi-akun yang dapat diskalakan](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS posting blog)
# Verifikasi bahwa penyeimbang beban ELB memerlukan penghentian TLS
*Priyanka Chaudhary, Amazon Web Services*
## Ringkasan
Di Amazon Web Services (AWS) Cloud, Elastic Load Balancing (ELB) secara otomatis mendistribusikan lalu lintas aplikasi yang masuk ke beberapa target, seperti instans Amazon Elastic Compute Cloud (Amazon EC2), container, alamat IP, dan fungsi AWS Lambda. Load balancer menggunakan pendengar untuk menentukan port dan protokol yang digunakan penyeimbang beban untuk menerima lalu lintas dari pengguna. Application Load Balancers membuat keputusan routing di lapisan aplikasi dan menggunakan protokol. HTTP/HTTPS Classic Load Balancer membuat keputusan routing baik pada layer transport, dengan menggunakan protokol TCP atau Secure Sockets Layer (SSL), atau pada layer aplikasi, dengan menggunakan HTTP/HTTPS.
Pola ini menyediakan kontrol keamanan yang memeriksa beberapa jenis peristiwa untuk Application Load Balancers dan Classic Load Balancers. Saat fungsi dipanggil, AWS Lambda memeriksa peristiwa dan memastikan bahwa penyeimbang beban sesuai.
Fungsi ini memulai CloudWatch peristiwa Amazon Events pada panggilan API berikut: [CreateLoadBalancer](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener[DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html)](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), dan [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html). Ketika acara mendeteksi salah satunya APIs, ia memanggil AWS Lambda, yang menjalankan skrip Python. Skrip Python mengevaluasi untuk melihat apakah listener berisi sertifikat SSL, dan apakah kebijakan yang diterapkan menggunakan Transport Layer Security (TLS). Jika kebijakan SSL ditentukan sebagai apa pun selain TLS, fungsi akan mengirimkan notifikasi Amazon Simple Notification Service (Amazon SNS) kepada pengguna dengan informasi yang relevan.
## Prasyarat dan batasan
**Prasyarat**
+ Akun AWS yang aktif
**Batasan**
+ Kontrol keamanan ini tidak memeriksa penyeimbang beban yang ada, kecuali pembaruan dilakukan untuk pendengar penyeimbang beban.
+ Kontrol keamanan ini bersifat regional. Anda harus menerapkannya di setiap Wilayah AWS yang ingin Anda pantau.
## Arsitektur
**Arsitektur target**
![\[Memastikan bahwa penyeimbang beban memerlukan penghentian TLS.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Otomatisasi dan skala**
+ Jika Anda menggunakan [AWS Organizations](https://aws.amazon.com/organizations/), Anda dapat menggunakan [AWS Cloudformation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) untuk menerapkan template ini di beberapa akun yang ingin Anda pantau.
## Alat
**Layanan AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — AWS CloudFormation membantu Anda memodelkan dan menyiapkan sumber daya AWS Anda, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya. Anda dapat menggunakan template untuk mendeskripsikan sumber daya Anda dan dependensinya, dan meluncurkan dan mengonfigurasinya bersama-sama sebagai tumpukan, alih-alih mengelola sumber daya secara individual.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) — Amazon CloudWatch Events menghadirkan aliran peristiwa sistem yang mendekati real-time yang menjelaskan perubahan sumber daya AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) — AWS Lambda adalah layanan komputasi yang mendukung menjalankan kode tanpa menyediakan atau mengelola server.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html) - Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) adalah layanan penyimpanan objek yang sangat skalabel yang dapat digunakan untuk berbagai solusi penyimpanan, termasuk situs web, aplikasi seluler, cadangan, dan danau data.
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) — Amazon Simple Notification Service (Amazon SNS) mengoordinasikan dan mengelola pengiriman atau pengiriman pesan antara penerbit dan klien, termasuk server web dan alamat email. Pelanggan menerima semua pesan yang dipublikasikan ke topik tempat mereka berlangganan, dan semua pelanggan topik menerima pesan yang sama.
**Kode**
Pola ini mencakup lampiran berikut:
+ `ELBRequirestlstermination.zip`— Kode Lambda untuk kontrol keamanan.
+ `ELBRequirestlstermination.yml`— CloudFormation Template yang mengatur acara dan fungsi Lambda.
## Epik
### Siapkan ember S3
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Tentukan bucket S3. | Di [konsol Amazon S3](https://console.aws.amazon.com/s3/), pilih atau buat bucket S3 untuk meng-host file kode Lambda .zip. Bucket S3 ini harus berada di Wilayah AWS yang sama dengan penyeimbang beban yang ingin Anda evaluasi. Nama bucket S3 unik secara global, dan namespace dibagikan oleh semua akun AWS. Nama bucket S3 tidak dapat menyertakan garis miring terdepan. | Arsitek awan |
| Unggah kode Lambda. | Unggah kode Lambda (`ELBRequirestlstermination.zip`file) yang disediakan di bagian *Lampiran* ke bucket S3. | Arsitek awan |
### Menyebarkan template CloudFormation
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Luncurkan CloudFormation template AWS. | Buka [ CloudFormation konsol AWS](https://console.aws.amazon.com/cloudformation/) di Wilayah AWS yang sama dengan bucket S3 Anda dan terapkan template terlampir. `ELBRequirestlstermination.yml` Untuk informasi selengkapnya tentang penerapan CloudFormation templat AWS, lihat [Membuat tumpukan di CloudFormation konsol AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dalam CloudFormation dokumentasi. | Arsitek awan |
| Lengkapi parameter dalam template. | Ketika Anda meluncurkan template, Anda akan diminta untuk informasi berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Arsitek awan |
### Konfirmasi langganan.
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Konfirmasi langganan. | Ketika CloudFormation template berhasil digunakan, ia mengirimkan email berlangganan ke alamat email yang Anda berikan. Anda harus mengonfirmasi langganan email ini untuk mulai menerima pemberitahuan pelanggaran. | Arsitek awan |
## Sumber daya terkait
+ [Membuat tumpukan di CloudFormation konsol AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation dokumentasi AWS)
+ [Apa itu AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (Dokumentasi AWS Lambda)
+ [Apa itu Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (Dokumentasi ELB)
+ [Apa itu Penyeimbang Beban Aplikasi?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (Dokumentasi ELB)
## Lampiran
[Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# Lihat log dan metrik AWS Network Firewall dengan menggunakan Splunk
*Ivo Pinto, Amazon Web Services*
## Ringkasan
Banyak organisasi menggunakan [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) sebagai alat agregasi dan visualisasi terpusat untuk log dan metrik dari berbagai sumber. Pola ini membantu Anda mengonfigurasi Splunk untuk mengambil log dan metrik [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) dari [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) dengan menggunakan Splunk Add-On untuk AWS.
Untuk mencapai hal ini, Anda membuat peran AWS Identity and Access Management (IAM) read-only. Splunk Add-On untuk AWS menggunakan peran ini untuk mengakses. CloudWatch Anda mengonfigurasi Add-On Splunk untuk AWS untuk mengambil metrik dan log. CloudWatch Terakhir, Anda membuat visualisasi di Splunk dari data log dan metrik yang diambil.
## Prasyarat dan batasan
**Prasyarat**
+ Akun [Splunk](https://www.splunk.com/)
+ Instans Splunk Enterprise, versi 8.2.2 atau yang lebih baru
+ Akun AWS yang aktif
+ Network Firewall, [atur](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) dan [konfigurasi](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) untuk mengirim log ke CloudWatch Log
**Batasan**
+ Splunk Enterprise harus digunakan sebagai klaster instans Amazon Elastic Compute Cloud (Amazon EC2) di AWS Cloud.
+ Mengumpulkan data dengan menggunakan peran IAM yang ditemukan secara otomatis untuk Amazon EC2 tidak didukung di Wilayah AWS China.
## Arsitektur
![\[AWS Network Firewall dan arsitektur logging Splunk\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
Diagram ini menggambarkan hal sebagai berikut:
1. Network Firewall menerbitkan log ke CloudWatch Log.
1. Splunk Enterprise mengambil metrik dan log dari. CloudWatch
Untuk mengisi contoh metrik dan log dalam arsitektur ini, beban kerja menghasilkan lalu lintas yang melewati titik akhir Network Firewall untuk masuk ke internet. Ini dicapai dengan menggunakan [tabel rute](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables). Meskipun pola ini menggunakan satu instans Amazon EC2 sebagai beban kerja, pola ini dapat diterapkan ke arsitektur apa pun selama Network Firewall dikonfigurasi untuk mengirim log ke Log. CloudWatch
Arsitektur ini juga menggunakan instance Splunk Enterprise di virtual private cloud (VPC) lainnya. Namun, instance Splunk dapat berada di lokasi lain, seperti di VPC yang sama dengan beban kerja, selama dapat mencapai. CloudWatch APIs
## Alat
**Layanan AWS**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) membantu Anda memusatkan log dari semua sistem, aplikasi, dan layanan AWS sehingga Anda dapat memantau dan mengarsipkannya dengan aman.
+ [Amazon Elastic Compute Cloud (Amazon EC2) menyediakan kapasitas](https://docs.aws.amazon.com/ec2/) komputasi yang dapat diskalakan di AWS Cloud. Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah.
+ [AWS Network Firewall adalah firewall jaringan](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) yang stateful, dikelola, dan layanan deteksi dan pencegahan intrusi untuk AWS Cloud VPCs .
**Alat lainnya**
+ [Splunk](https://www.splunk.com/) membantu Anda memantau, memvisualisasikan, dan menganalisis data log.
## Epik
### Membuat peran IAM
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat kebijakan IAM. | Ikuti petunjuk dalam [Membuat kebijakan menggunakan editor JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) untuk membuat kebijakan IAM yang memberikan akses hanya-baca ke data dan metrik Log. CloudWatch CloudWatch Tempelkan kebijakan berikut ke editor JSON.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | Administrator AWS |
| Buat peran IAM baru. | Ikuti petunjuk dalam [Membuat peran untuk mendelegasikan izin ke layanan AWS guna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) membuat peran IAM yang digunakan oleh Add-On Splunk untuk AWS. CloudWatch Untuk **kebijakan Izin**, pilih kebijakan yang Anda buat sebelumnya. | Administrator AWS |
| Tetapkan peran IAM ke instans EC2 di cluster Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrator AWS |
### Instal Add-On Splunk untuk AWS
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Instal add-on. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrator splunk |
| Konfigurasikan kredenal AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Untuk informasi selengkapnya, lihat [Menemukan peran IAM dalam instans platform Splunk Anda dalam dokumentasi](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) Splunk. | Administrator splunk |
### Konfigurasikan akses Splunk ke CloudWatch
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Konfigurasikan pengambilan log Network Firewall dari CloudWatch Log. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Secara default, Splunk mengambil data log setiap 10 menit. Ini adalah parameter yang dapat dikonfigurasi di bawah **Pengaturan Lanjutan**. Untuk informasi selengkapnya, lihat [Mengkonfigurasi input CloudWatch Log menggunakan Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) dalam dokumentasi Splunk. | Administrator splunk |
| Konfigurasikan pengambilan metrik Network Firewall dari. CloudWatch | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Secara default, Splunk mengambil data metrik setiap 5 menit. Ini adalah parameter yang dapat dikonfigurasi di bawah **Pengaturan Lanjutan**. Untuk informasi selengkapnya, lihat [Mengkonfigurasi CloudWatch input menggunakan Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) dalam dokumentasi Splunk. | Administrator splunk |
### Buat visualisasi Splunk dengan menggunakan kueri
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Lihat alamat IP sumber teratas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrator splunk |
| Lihat statistik paket. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrator splunk |
| Lihat port sumber yang paling banyak digunakan. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrator splunk |
## Sumber daya terkait
**Dokumentasi AWS**
+ [Membuat peran untuk mendelegasikan izin ke layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (dokumentasi IAM)
+ [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (dokumentasi IAM)
+ [Pencatatan dan pemantauan di AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (dokumentasi Network Firewall)
+ [Konfigurasi tabel rute untuk AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (dokumentasi Network Firewall)
**Posting blog AWS**
+ [Model penerapan AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Gambar Mesin Amazon Splunk Enterprise (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Lebih banyak pola
**Topics**
+ [Akses host bastion menggunakan Session Manager dan Amazon EC2 Instance Connect](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Akses aplikasi kontainer secara pribadi di Amazon ECS dengan menggunakan AWS Fargate, PrivateLink AWS, dan Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Akses aplikasi kontainer secara pribadi di Amazon ECS dengan menggunakan AWS PrivateLink dan Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Memusatkan resolusi DNS dengan menggunakan Microsoft Active AWS Managed Microsoft AD Directory dan lokal](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Buat portal untuk frontend mikro dengan menggunakan AWS Amplify, Angular, dan Federasi Modul](create-amplify-micro-frontend-portal.md)
+ [Menerapkan API Amazon API Gateway di situs web internal menggunakan endpoint pribadi dan Application Load Balancer](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Menyebarkan kontrol akses berbasis atribut detektif untuk subnet publik dengan menggunakan AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Menyebarkan kontrol akses berbasis atribut preventif untuk subnet publik](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Aktifkan koneksi terenkripsi untuk instans PostgreSQL DB di Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Memperluas VRFs ke AWS dengan menggunakan AWS Transit Gateway Connect](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Migrasikan beban kerja F5 BIG-IP ke F5 BIG-IP VE di AWS Cloud](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Migrasikan Pengontrol Ingress NGINX saat mengaktifkan Mode Otomatis Amazon EKS](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Pertahankan ruang IP yang dapat dirutekan dalam desain VPC multi-akun untuk subnet non-beban kerja](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Mencegah akses internet di tingkat akun dengan menggunakan kebijakan kontrol layanan](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Kirim peringatan dari AWS Network Firewall ke saluran Slack](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Sajikan konten statis dalam bucket Amazon S3 melalui VPC dengan menggunakan Amazon CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Siapkan pemulihan bencana untuk Oracle JD Edwards dengan EnterpriseOne AWS Elastic Disaster Recovery](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Gunakan kueri BMC Discovery untuk mengekstrak data migrasi untuk perencanaan migrasi](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Gunakan Network Firewall untuk menangkap nama domain DNS dari Indikasi Nama Server untuk lalu lintas keluar](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)