Membangun Infrastruktur Multi VPC AWS Jaringan yang Skalabel dan Aman - Membangun Infrastruktur Multi VPC AWS Jaringan yang Skalabel dan Aman
PengantarPerencanaan dan manajemen alamat IPApakah Anda sudah Well-Architected?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membangun Infrastruktur Multi VPC AWS Jaringan yang Skalabel dan Aman

Tanggal publikasi: 17 April 2024 () Riwayat dokumen

Pelanggan Amazon Web Services (AWS) sering mengandalkan ratusan akun dan virtual private cloud (VPCs) untuk mengelompokkan beban kerja mereka dan memperluas jejak mereka.Tingkat skala ini sering menimbulkan tantangan seputar berbagi sumber daya, konektivitas antar, dan fasilitas lokal hingga VPC konektivitas. VPC

Whitepaper ini menjelaskan praktik terbaik untuk membuat arsitektur jaringan yang dapat diskalakan dan aman dalam jaringan besar menggunakan AWS layanan seperti Amazon Virtual Private Cloud (AmazonVPC),,,,, Gateway AWS Direct ConnectLoad Balancer AWS Transit GatewayAWS PrivateLink, dan Amazon Route 53 AWS Network Firewall. Ini menunjukkan solusi untuk mengelola infrastruktur yang berkembang — memastikan skalabilitas, ketersediaan tinggi, dan keamanan sambil menjaga biaya overhead tetap rendah.

Pengantar

AWS pelanggan memulai dengan membangun sumber daya dalam satu AWS akun yang mewakili batas manajemen yang mengelompokkan izin, biaya, dan layanan. Namun, seiring pertumbuhan organisasi pelanggan, segmentasi layanan yang lebih besar diperlukan untuk memantau biaya, mengontrol akses, dan menyediakan pengelolaan lingkungan yang lebih mudah. Solusi multi-akun memecahkan masalah ini dengan menyediakan akun khusus untuk layanan TI dan pengguna dalam suatu organisasi. AWS menyediakan beberapa alat untuk mengelola dan mengkonfigurasi infrastruktur ini, termasuk AWS Control Tower

Diagram yang menggambarkan penyebaran AWS Control Tower awal

AWS Penyebaran awal Control Tower

Saat Anda mengatur lingkungan multi-akun Anda menggunakan AWS Control Tower, itu akan menciptakan dua Unit Organisasi (OUs):

  • Keamanan OU - Dalam OU ini, AWS Control Tower membuat dua akun:

  • Arsip Log

  • Audit (Akun ini sesuai dengan akun Tooling keamanan yang dibahas sebelumnya dalam panduan.)

  • Sandbox OU - OU ini adalah tujuan default untuk akun yang dibuat di dalamnya AWS Control Tower. Ini berisi akun tempat pembangun Anda dapat menjelajahi dan bereksperimen dengan AWS layanan, serta alat dan layanan lainnya, tunduk pada kebijakan penggunaan yang dapat diterima tim Anda.

AWS Control Tower memungkinkan Anda untuk membuat, mendaftar, dan mengelola tambahan OUs untuk memperluas lingkungan awal untuk menerapkan panduan.

Diagram berikut menunjukkan yang OUs awalnya digunakan oleh AWS Control Tower. Anda dapat memperluas AWS lingkungan Anda untuk menerapkan salah satu yang direkomendasikan OUs termasuk dalam diagram, untuk memenuhi kebutuhan Anda.

Diagram yang menggambarkan AWS organisasiOUs.

AWS organisasi OUs

Untuk detail lebih lanjut tentang penggunaan lingkungan multi-akun AWS Control Tower, lihat Lampiran E di whitepaper Mengatur AWS Lingkungan Anda Menggunakan Beberapa Akun.

Sebagian besar pelanggan mulai dengan beberapa VPCs untuk menyebarkan infrastruktur mereka. Jumlah pelanggan VPCs yang dibuat biasanya terkait dengan jumlah akun, pengguna, dan lingkungan bertahap mereka (produksi, pengembangan, pengujian, dan sebagainya). Seiring bertambahnya penggunaan cloud, jumlah pengguna, unit bisnis, aplikasi, dan Wilayah yang berinteraksi dengan pelanggan juga tumbuh, yang mengarah pada penciptaan yang baruVPCs.

Seiring VPCs bertambahnya jumlah, VPC manajemen lintas menjadi penting untuk pengoperasian jaringan cloud pelanggan. Whitepaper ini mencakup praktik terbaik untuk tiga area spesifik dalam konektivitas silang dan hibrida: VPC

Perencanaan dan manajemen alamat IP

Untuk membangun desain VPC multi-jaringan multi-akun yang dapat diskalakan, perencanaan dan manajemen alamat IP sangat penting. Skema pengalamatan IP yang baik perlu mempertimbangkan kebutuhan jaringan Anda saat ini dan masa depan. Skema alamat IP IP Anda harus mencakup beban kerja lokal Anda, beban kerja cloud Anda, dan juga harus memungkinkan ekspansi masa depan (misalnya, penambahan unit bisnis baru Wilayah AWS, dan merger atau akuisisi). Ini juga harus mencegah tim Anda secara tidak sengaja membuat IP yang tumpang tindih. CIDRs Jika IP CIDR yang tumpang tindih diinginkan seperti untuk beban kerja yang terisolasi atau terputus, keputusan ini perlu disadari dan harus memperhitungkan implikasi pada perutean, keamanan, dan biaya. Anda mungkin juga perlu mempertimbangkan untuk membuat proses persetujuan yang diperlukan untuk pengecualian tersebut. Skema pengalamatan IP yang baik juga membantu menyederhanakan desain jaringan dan konfigurasi perutean Anda.

Pertimbangan utama:

  • Rencanakan skema pengalamatan IP Anda (baik publik maupun pribadiIPs) di depan dan pilih alat manajemen alamat IP untuk mengalokasikan, mengelola, dan melacak penggunaan alamat IP di semua beban kerja Anda.

  • Gunakan skema pengalamatan IP hierarkis dan diringkas.

  • Merencanakan penugasan IP yang konsisten berdasarkan lingkungan Wilayah AWS, organisasi, atau unit bisnis.

  • Tentukan IP yang berbeda CIDRs (keduanya IPv4 danIPv6) untuk jaringan lokal dan cloud.

  • Secara proaktif mencegah dan melacak IP yang tumpang tindih. CIDRs

  • Ukur IP Anda CIDRs dengan tepat untuk memungkinkan penskalaan dan pertumbuhan masa depan.

  • Aktifkan beban kerja Anda untuk IPv6 atau kompatibilitas dual-stack untuk mengurangi konflik IP dan mengatasi IPv4 penipisan ruang.

Anda dapat menggunakan Amazon VPC IP Address Manager (IPAM) untuk menyederhanakan perencanaan, pelacakan, dan pemantauan alamat IP publik dan pribadi untuk beban AWS kerja Anda. IPAMmemungkinkan Anda untuk mengatur, mengalokasikan, memantau, dan berbagi ruang alamat IP di beberapa Wilayah AWS dan Akun AWS. Ini juga membantu dengan alokasi otomatis CIDRs untuk VPCs menggunakan aturan bisnis tertentu.

Lihat Praktik Terbaik Manajer Alamat VPC IP Amazon, Mengelola kumpulan IP di seluruh VPCs dan Wilayah menggunakan Amazon VPC IP Address Manager, dan Manajemen Alamat IP untuk posting AWS Control Tower blog guna mempelajari praktik terbaik pengalamatan IP dan cara menggunakannya IPAM untuk mengelola kumpulan IP di seluruh VPCs Wilayah AWS, dan AWS Control Tower.

Apakah Anda sudah Well-Architected?

Kerangka Kerja AWS Well-Architected membantu Anda memahami pro dan kontra dari keputusan yang Anda buat saat membangun sistem di cloud. Enam pilar dari Kerangka Kerja ini memungkinkan Anda mempelajari praktik terbaik arsitektural untuk merancang dan mengoperasikan sistem yang andal, aman, efisien, hemat biaya, dan berkelanjutan. Dengan menggunakan AWS Well-Architected Tool, tersedia tanpa biaya di AWS Management Console, Anda dapat meninjau beban kerja Anda terhadap praktik terbaik ini dengan menjawab serangkaian pertanyaan untuk setiap pilar.

Untuk panduan lebih lanjut dari para ahli dan praktik terbaik untuk arsitektur cloud Anda—referensi penerapan arsitektur, diagram, dan laporan resmi—lihat Pusat Arsitektur AWS.