Membangun Infrastruktur Jaringan AWS Multi-VPC yang Dapat Diskalakan dan Aman - Membangun Infrastruktur Multi VPC AWS Jaringan yang Skalabel dan Aman

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membangun Infrastruktur Jaringan AWS Multi-VPC yang Dapat Diskalakan dan Aman

Tanggal publikasi: 17 April 2024 () Riwayat dokumen

Pelanggan Amazon Web Services (AWS) sering mengandalkan ratusan akun dan virtual private cloud (VPC) untuk mengelompokkan beban kerja mereka dan memperluas jejak mereka.Tingkat skala ini sering menimbulkan tantangan seputar berbagi sumber daya, konektivitas antar-VPC, dan fasilitas lokal ke konektivitas VPC.

Whitepaper ini menjelaskan praktik terbaik untuk membuat arsitektur jaringan yang dapat diskalakan dan aman dalam jaringan besar menggunakan AWS layanan seperti Amazon Virtual Private Cloud (Amazon VPC),,,,, AWS PrivateLinkGateway AWS Direct ConnectLoad Balancer AWS Transit Gateway, dan Amazon Route 53. AWS Network Firewall Ini menunjukkan solusi untuk mengelola infrastruktur yang berkembang — memastikan skalabilitas, ketersediaan tinggi, dan keamanan sambil menjaga biaya overhead tetap rendah.

Pengantar

AWS pelanggan memulai dengan membangun sumber daya dalam satu AWS akun yang mewakili batas manajemen yang mengelompokkan izin, biaya, dan layanan. Namun, seiring pertumbuhan organisasi pelanggan, segmentasi layanan yang lebih besar diperlukan untuk memantau biaya, mengontrol akses, dan menyediakan pengelolaan lingkungan yang lebih mudah. Solusi multi-akun memecahkan masalah ini dengan menyediakan akun khusus untuk layanan TI dan pengguna dalam suatu organisasi. AWS menyediakan beberapa alat untuk mengelola dan mengkonfigurasi infrastruktur ini, termasuk AWS Control Tower

Diagram yang menggambarkan penyebaran AWS Control Tower awal

AWS Penyebaran awal Control Tower

Ketika Anda mengatur lingkungan multi-akun Anda menggunakan AWS Control Tower, itu menciptakan dua Unit Organisasi (OU):

  • Keamanan OU - Dalam OU ini, AWS Control Tower membuat dua akun:

  • Arsip Log

  • Audit (Akun ini sesuai dengan akun Tooling keamanan yang dibahas sebelumnya dalam panduan.)

  • Sandbox OU - OU ini adalah tujuan default untuk akun yang dibuat di dalamnya AWS Control Tower. Ini berisi akun tempat pembangun Anda dapat menjelajahi dan bereksperimen dengan AWS layanan, serta alat dan layanan lainnya, tunduk pada kebijakan penggunaan yang dapat diterima tim Anda.

AWS Control Tower memungkinkan Anda untuk membuat, mendaftar, dan mengelola OU tambahan untuk memperluas lingkungan awal untuk menerapkan panduan.

Diagram berikut menunjukkan OU yang awalnya digunakan oleh AWS Control Tower. Anda dapat memperluas AWS lingkungan Anda untuk menerapkan salah satu dari OU yang direkomendasikan termasuk dalam diagram, untuk memenuhi kebutuhan Anda.

Diagram yang menggambarkan OU AWS organisasi.

AWS OU organisasi

Untuk detail lebih lanjut tentang penggunaan lingkungan multi-akun AWS Control Tower, lihat Lampiran E di whitepaper Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun.

catatan

Dalam whitepaper ini, “Control Tower” adalah istilah luas untuk pengaturan Multi-akun/Multi-VPC yang dapat diskalakan, aman, dan berkinerja baik di mana Anda menerapkan beban kerja Anda. Pengaturan ini dapat dibangun menggunakan alat yang berbeda. Anda dapat menemukan informasi selengkapnya tentang praktik terbaik, prinsip desain, dan manfaat fondasi cloud multi-akun di whitepaper Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun.

Sebagian besar pelanggan memulai dengan beberapa VPC untuk menyebarkan infrastruktur mereka. Jumlah VPC yang dibuat pelanggan biasanya terkait dengan jumlah akun, pengguna, dan lingkungan bertahap mereka (produksi, pengembangan, pengujian, dan sebagainya). Seiring bertambahnya penggunaan cloud, jumlah pengguna, unit bisnis, aplikasi, dan Wilayah yang berinteraksi dengan pelanggan juga tumbuh, yang mengarah pada penciptaan VPC baru.

Seiring bertambahnya jumlah VPC, manajemen lintas VPC menjadi penting untuk pengoperasian jaringan cloud pelanggan. Whitepaper ini mencakup praktik terbaik untuk tiga area spesifik dalam konektivitas lintas-VPC dan hybrid:

Perencanaan dan manajemen alamat IP

Untuk membangun desain jaringan multi-VPC multi-akun yang dapat diskalakan, perencanaan dan manajemen alamat IP sangat penting. Skema pengalamatan IP yang baik perlu mempertimbangkan kebutuhan jaringan Anda saat ini dan masa depan. Skema alamat IP IP Anda harus mencakup beban kerja lokal Anda, beban kerja cloud Anda, dan juga harus memungkinkan ekspansi masa depan (misalnya, penambahan unit bisnis baru Wilayah AWS, dan merger atau akuisisi). Ini juga harus mencegah tim Anda secara tidak sengaja membuat CIDR IP yang tumpang tindih. Jika CIDR IP yang tumpang tindih diinginkan seperti untuk beban kerja yang terisolasi atau terputus, keputusan ini perlu disadari dan harus memperhitungkan implikasi pada perutean, keamanan, dan biaya. Anda mungkin juga perlu mempertimbangkan untuk membuat proses persetujuan yang diperlukan untuk pengecualian tersebut. Skema pengalamatan IP yang baik juga membantu menyederhanakan desain jaringan dan konfigurasi perutean Anda.

Pertimbangan utama:

  • Rencanakan skema pengalamatan IP Anda (IP publik dan pribadi) di depan dan pilih alat manajemen alamat IP untuk mengalokasikan, mengelola, dan melacak penggunaan alamat IP di semua beban kerja Anda.

  • Gunakan skema pengalamatan IP hierarkis dan diringkas.

  • Merencanakan penugasan IP yang konsisten berdasarkan lingkungan Wilayah AWS, organisasi, atau unit bisnis.

  • Tentukan CIDR IP yang berbeda (IPv4 dan IPv6) untuk jaringan lokal dan cloud.

  • Secara proaktif mencegah dan melacak CIDR IP yang tumpang tindih.

  • Ukur CIDR IP Anda dengan tepat untuk memungkinkan penskalaan dan pertumbuhan masa depan.

  • Aktifkan beban kerja Anda untuk IPv6 atau kompatibilitas dual-stack untuk mengurangi konflik IP dan mengatasi penipisan ruang IPv4.

Anda dapat menggunakan Amazon VPC IP Address Manager (IPAM) untuk menyederhanakan perencanaan, pelacakan, dan pemantauan alamat IP publik dan pribadi untuk beban kerja Anda. AWS IPAM memungkinkan Anda untuk mengatur, mengalokasikan, memantau, dan berbagi ruang alamat IP di beberapa Wilayah AWS dan. Akun AWS Ini juga membantu alokasi otomatis CIDR ke VPC menggunakan aturan bisnis tertentu.

Lihat Praktik Terbaik Manajer Alamat IP VPC Amazon, Mengelola kumpulan IP di seluruh VPC dan Wilayah menggunakan Manajer Alamat IP VPC Amazon VPC, dan Manajemen Alamat IP untuk posting AWS Control Tower blog guna mempelajari praktik terbaik pengalamatan IP dan cara menggunakan IPAM untuk mengelola kumpulan IP di seluruh VPC,, dan. Wilayah AWS AWS Control Tower

Apakah Anda sudah Well-Architected?

Kerangka Kerja AWS Well-Architected membantu Anda memahami pro dan kontra dari keputusan yang Anda buat saat membangun sistem di cloud. Enam pilar dari Kerangka Kerja ini memungkinkan Anda mempelajari praktik terbaik arsitektural untuk merancang dan mengoperasikan sistem yang andal, aman, efisien, hemat biaya, dan berkelanjutan. Dengan menggunakan AWS Well-Architected Tool, tersedia tanpa biaya di AWS Management Console, Anda dapat meninjau beban kerja Anda terhadap praktik terbaik ini dengan menjawab serangkaian pertanyaan untuk setiap pilar.

Untuk panduan lebih lanjut dari para ahli dan praktik terbaik untuk arsitektur cloud Anda—referensi penerapan arsitektur, diagram, dan laporan resmi—lihat Pusat Arsitektur AWS.