.amazonaws.com/`
A tabela a seguir lista as portas necessárias.
|
|
| Fonte | Destino | Porta | Para obter mais informações, consulte |
| --- |--- |--- |--- |
| Seu data center de origem | Serviço Amazon S3 URLs | 443 (TCP) | [Comunicação pela porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Seu data center de origem | Endereço do console do Application Migration Service específico para cada Região da AWS | 443 (TCP) | [Comunicação entre os servidores de origem e o Serviço de Migração de Aplicativos pela porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Seu datacenter de origem | Sub-rede de área de teste | 1500 (TCP) | [Comunicação entre os servidores de origem e a sub-rede da área de armazenamento pela porta TCP 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Sub-rede de área de teste | Endereço do console do Application Migration Service específico para cada Região da AWS | 443 (TCP) | [Comunicação entre a sub-rede da área de armazenamento e o Serviço de Migração de Aplicativos pela porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Sub-rede de área de teste | Serviço Amazon S3 URLs | 443 (TCP) | [Comunicação pela porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Sub-rede de área de teste | Endpoint Amazon Elastic Compute Cloud (Amazon EC2) da sub-rede Região da AWS | 443 (TCP) | [Comunicação pela porta TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
** Limitações**
O Application Migration Service não está disponível atualmente em todos Regiões da AWS os sistemas operacionais.
+ [Suportado Regiões da AWS](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Sistemas operacionais com suporte](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Arquitetura
O diagrama a seguir ilustra a arquitetura de rede para uma migração típica. Para obter mais informações sobre essa arquitetura, consulte a [documentação do Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) e o [vídeo sobre arquitetura do serviço e arquitetura de rede do Application Migration Service](https://youtu.be/ao8geVzmmRo).
![\[Arquitetura de rede para o Application Migration Service para uma migração típica\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
A visualização detalhada a seguir mostra a configuração dos endpoints da VPC de interface na área de armazenamento VPC para conectar o Amazon S3 e o Application Migration Service.
![\[Arquitetura de rede para o Application Migration Service para uma migração típica; visão detalhada\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Ferramentas
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)simplifica, agiliza e reduz o custo de rehospedar aplicativos. AWS
+ [Os endpoints VPC de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) permitem que você se conecte a serviços que são fornecidos AWS PrivateLink sem a necessidade de um gateway de internet, dispositivo NAT, conexão VPN ou conexão. AWS Direct Connect As instâncias na sua VPC não exigem que endereços IP públicos se comuniquem com recursos no serviço. O tráfego entre a sua VPC e os outros serviços não deixa a rede da Amazon.
## Épicos
### Crie endpoints para o Application Migration Service EC2, Amazon e Amazon S3
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Configure o endpoint da interface para o Application Migration Service. | O datacenter de origem e a área de armazenamento (VPC) se conectam de forma privada ao ambiente de gerenciamento do Application Migration Service por meio do endpoint de interface que você cria na VPC da área de armazenamento de destino. Para criar o endpoint:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Para obter mais informações, consulte [Acessar e AWS service (Serviço da AWS) usar uma interface VPC endpoint na documentação da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). | Líder de migração |
| Configure o endpoint da interface para a Amazon EC2. | A área de teste (VPC) se conecta de forma privada à API da EC2 Amazon por meio do endpoint de interface que você cria na VPC da área de armazenamento de destino. Para criar o endpoint, siga as instruções fornecidas na história anterior.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Líder de migração |
| Configure o endpoint de interface para o Amazon S3. | O datacenter de origem e a área de armazenamento (VPC) se conectam de forma privada à API do Amazon S3 por meio do endpoint de interface que você cria na VPC da área de armazenamento de destino. Para criar o endpoint, siga as instruções fornecidas na primeira história.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Um endpoint da interface é usado porque não é possível estender conexões de endpoint gateway para além da VPC. (Para obter mais detalhes, consulte a [documentação do AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html).) | Líder de migração |
| Configurar o endpoint do gateway do Amazon S3. | Durante a fase de configuração, o servidor de replicação precisa se conectar a um bucket S3 para baixar as atualizações de software do servidor AWS de replicação. No entanto, os endpoints da interface do Amazon S3 não oferecem suporte a nomes DNS privados*,* e não há como fornecer um nome DNS de endpoint do Amazon S3 a um servidor de replicação. Para mitigar esse problema, você cria um endpoint de gateway Amazon S3 na VPC à qual a sub-rede da área de teste pertence e atualiza as tabelas de rotas da sub-rede de teste com as rotas relevantes. Para obter mais informações, consulte [Criar um endpoint de gateway](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) na AWS PrivateLink documentação. | Administrador de nuvem |
| Configure o DNS on-premises para resolver nomes DNS privados para endpoints. | Os endpoints de interface do Application Migration Service e da Amazon EC2 têm nomes DNS privados que podem ser resolvidos na VPC. No entanto, você também precisa configurar servidores on-premises para resolver nomes DNS privados para esses endpoints de interface.Há várias maneiras de configurar esses servidores. Nesse padrão, testamos essa funcionalidade encaminhando consultas de DNS locais para o endpoint de Amazon Route 53 Resolver entrada na área de teste VPC. Para obter mais informações, consulte [Resolvendo consultas de DNS entre VPCs e sua rede](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) na documentação do Route 53. | Engenheiro de migração |
### Conecte-se ao ambiente de gerenciamento do Application Migration Service por meio de um link privado
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Instale o Agente AWS de Replicação usando o. AWS PrivateLink | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Veja um exemplo para Linux:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Depois de estabelecer sua conexão com o Application Migration Service e instalar o AWS Replication Agent, siga as instruções na [documentação do Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html) para migrar seus servidores de origem para sua VPC e sub-rede de destino. | Engenheiro de migração |
## Recursos relacionados
**Documentação do serviço de migração de aplicativos**
+ [Conceitos](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [fluxo de trabalho de migração](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Guia de início rápido](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [PERGUNTAS FREQUENTES](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Solução de problemas](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Recursos adicionais**
+ [Hospedando novamente seus aplicativos em uma arquitetura de várias contas usando endpoints de interface VPC](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/) (guia de orientação prescritiva) AWS AWS
+ [AWS Application Migration Service — Uma introdução técnica](https://www.aws.training/Details/eLearning?id=71732) (passo a passo de AWS treinamento e certificação)
+ [AWS Application Migration Service arquitetura e arquitetura de rede](https://youtu.be/ao8geVzmmRo) (vídeo)
## Mais informações
**Solução de problemas de** **instalações *AWS *do Replication Agent em servidores Linux**
Se você receber um erro **gcc** em um servidor Amazon Linux, configure o repositório de pacotes e use o seguinte comando:
```
## sudo yum groupinstall "Development Tools"
```
# Crie objetos Infoblox usando recursos CloudFormation personalizados da AWS e Amazon SNS
*Tim Sutton, Amazon Web Services*
## Resumo
**Aviso**: não AWS Cloud9 está mais disponível para novos clientes. Os clientes existentes do AWS Cloud9 podem continuar usando o serviço normalmente. [Saiba mais](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
O Sistema de Nomes de Domínio (DNS) do Infoblox, o Protocolo de Configuração Dinâmica de Host (DHCP) e o gerenciamento de endereços IP ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) permitem centralizar e controlar com eficiência um ambiente híbrido complexo. Com o Infoblox DDI, você pode descobrir e registrar todos os ativos de rede em um banco de dados autoritário de gerenciamento de endereços IP (IPAM), além de gerenciar o DNS on-premises e na nuvem da Amazon Web Services (AWS) usando os mesmos dispositivos.
Esse padrão descreve como usar um recurso CloudFormation personalizado da AWS para criar objetos Infoblox (por exemplo, registros DNS ou objetos IPAM) chamando a API Infoblox WAPI. Para obter mais informações sobre a WAPI do Infoblox, consulte a [Documentação do WAPI](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf) na documentação do Infoblox.
Ao usar essa abordagem padrão, você pode obter uma visão unificada dos registros DNS e das configurações IPAM para seus ambientes on-premises e da AWS, além de remover processos manuais que criam registros e provisionam suas redes. É possível usar a abordagem desse padrão para os seguintes casos de uso:
+ Adicionar um registro A após criar uma instância do Amazon Elastic Compute Cloud (Amazon EC2)
+ Adicionar um registro CNAME após criar um Application Load Balancer
+ Adicionar um objeto de rede após criar uma nuvem privada virtual (VPC)
+ Fornecendo o próximo intervalo de rede e usando esse intervalo para criar sub-redes
Você também pode estender esse padrão e usar outros recursos do dispositivo Infoblox, como adicionar diferentes tipos de registro DNS ou configurar o Infoblox vDiscovery.
O padrão usa um hub-and-spoke design no qual o hub exige conectividade com o dispositivo Infoblox na nuvem da AWS ou no local e usa o AWS Lambda para chamar a API da Infoblox. O spoke está na mesma conta ou em uma conta diferente na mesma organização no AWS Organizations e chama a função Lambda usando um recurso CloudFormation personalizado da AWS.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um dispositivo ou grade existente da Infoblox, instalado na nuvem AWS, on-premises ou em ambos, e configurado com um usuário administrador que pode administrar ações de IPAM e DNS. Para obter mais informações sobre isso, consulte [Sobre contas de administrador](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) na documentação do Infoblox.
+ Uma zona autoritativa de DNS existente na qual você deseja adicionar registros no dispositivo Infoblox. Para obter mais informações sobre isso, consulte [Configurando zonas autoritativas](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) na documentação do Infoblox.
+ Duas contas ativas da AWS no AWS Organizations. Uma conta é a conta hub e a outra conta é a conta spoke.
+ O hub e as contas spoke devem estar na mesma região da AWS.
+ A VPC da conta do hub deve se conectar ao dispositivo Infoblox; por exemplo, usando o AWS Transit Gateway ou emparelhamento da VPC.
+ [AWS Serverless Application Model (AWS SAM), instalado e configurado localmente com o AWS](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) Cloud9 ou AWS. CloudShell
+ Os arquivos `Infoblox-Hub.zip` e `ClientTest.yaml` (anexados), baixados para o ambiente local que contém o AWS SAM.
**Limitações**
+ O token de serviço do recurso CloudFormation personalizado da AWS deve ser da mesma região em que a pilha foi criada. Recomendamos usar uma conta hub em cada região, em vez de criar um tópico do Amazon Simple Notification Service (Amazon SNS) em uma região e chamar a função do Lambda em outra.
**Versões do produto**
+ Infoblox WAPI versão 2.7
## Arquitetura
O diagrama a seguir mostra o fluxo de trabalho desse padrão.
![\[Criação de objetos Infoblox usando recursos CloudFormation personalizados da AWS e Amazon SNS.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
O diagrama mostra os seguintes componentes para a solução desse padrão:
1. Os recursos CloudFormation personalizados da AWS permitem que você escreva uma lógica de provisionamento personalizada em modelos que a AWS CloudFormation executa quando você cria, atualiza ou exclui pilhas. Quando você cria uma pilha, a AWS CloudFormation envia uma `create` solicitação para um tópico do SNS que é monitorado por um aplicativo executado em uma EC2 instância.
1. A notificação do Amazon SNS do recurso CloudFormation personalizado da AWS é criptografada por meio de uma chave específica do AWS Key Management Service (AWS KMS) e o acesso é restrito às contas da sua organização em Organizations. O tópico do SNS inicia o recurso Lambda que chama a API WAPI da Infoblox.
1. O Amazon SNS invoca as seguintes funções do Lambda que usam o URL WAPI do Infoblox, o nome de usuário e a senha do AWS Secrets Manager Amazon Resource Names () como variáveis de ambiente: ARNs
+ `dnsapi.lambda_handler`— Recebe os `DNSValue` valores `DNSName``DNSType`,, e do recurso CloudFormation personalizado da AWS e os usa para criar registros DNS A e CNAMES.
+ `ipaddr.lambda_handler`— Recebe os `Network Name` valores `VPCCIDR``Type`,`SubnetPrefix`, e do recurso CloudFormation personalizado da AWS e os usa para adicionar os dados da rede ao banco de dados IPAM da Infoblox ou fornecer ao recurso personalizado a próxima rede disponível que pode ser usada para criar novas sub-redes.
+ `describeprefixes.lambda_handler`: chama a API da AWS `describe_managed_prefix_lists` usando o filtro `"com.amazonaws."+Region+".s3"` para recuperar a `prefix ID` necessária.
**Importante**
Essas funções do Lambda são escritas em Python e são semelhantes entre si, mas têm chamadas diferentes. APIs
1. Você pode implantar a grade Infoblox como dispositivos de rede físicos, virtuais ou baseados em nuvem. Ele pode ser implantado localmente ou como um dispositivo virtual usando uma variedade de hipervisores, incluindo VMware ESXi Microsoft Hyper-V, Linux KVM e Xen. Você também pode implantar a grade do Infoblox na nuvem AWS com uma imagem de máquina da Amazon (AMI).
1. O diagrama mostra uma solução híbrida para a grade da Infoblox que fornece DNS e IPAM para recursos na nuvem AWS e on-premises.
**Pilha de tecnologia**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ AWS SAM
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Ferramentas
+ CloudFormationA [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) ajuda você a configurar recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas as contas e regiões da AWS.
+ O [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS, controlando quem está autenticado e autorizado a usá-los.
+ O [AWS Key Management Service (AWS KMS) ](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)ajuda você a criar e controlar chaves criptográficas para proteger seus dados.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda você a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
+ O [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) é um serviço de gerenciamento de contas que ajuda a consolidar várias contas da AWS em uma organização que você cria e gerencia de maneira centralizada.
+ O [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ajuda você a substituir credenciais codificadas em seu código, incluindo senhas, por uma chamada de API ao Secrets Manager para recuperar o segredo programaticamente.
+ O [AWS Serverless Application Model (AWS SAM)](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html) é uma estrutura de código aberto que ajuda na criação de aplicativos sem servidor na Nuvem AWS.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.
+ A [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ajuda a iniciar recursos da AWS em uma rede virtual definida por você. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS.
**Código **
Você pode usar o CloudFormation modelo de `ClientTest.yaml` amostra da AWS (anexado) para testar o hub Infoblox. Você pode personalizar o CloudFormation modelo da AWS para incluir os recursos personalizados da tabela a seguir.
| |
| --- |
| Crie um registro A usando o recurso personalizado Infoblox spoke | Retornar valores: `infobloxref `: referências do InfobloxExemplo de recurso:
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| Crie um registro CNAME usando o recurso personalizado Infoblox spoke | **Retornar valores**: `infobloxref `: referências do Infoblox**Exemplo de recurso**:CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| Crie um objeto de rede usando o recurso personalizado Infoblox spoke | **Retornar valores:**`infobloxref `: referências do Infoblox`network`: alcance da rede (o mesmo do `VPCCIDR`)**Exemplo de recurso:**VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Recupere a próxima sub-rede disponível usando o recurso personalizado Infoblox spoke | **Retornar valores:**`infobloxref`: referências do Infoblox`network `: o alcance da rede da sub-rede**Exemplo de recurso:**Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Épicos
### Crie e configure a VPC da conta do hub
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie uma VPC com uma conexão com o dispositivo Infoblox. | Faça login no Console de Gerenciamento da AWS da sua conta do hub e crie uma VPC seguindo as etapas na [Amazon VPC na implantação de referência de Início Rápido da Nuvem AWS](https://aws-quickstart.github.io/quickstart-aws-vpc/) a partir do AWS Quick Starts.A VPC deve ter conectividade HTTPS com o dispositivo do Infoblox, e recomendamos que você use uma sub-rede privada para essa conexão. | Administrador de rede, administrador de sistema |
| (Opcional) Crie os endpoints da VPC para sub-redes privadas. | Os endpoints da VPC fornecem conectividade a serviços públicos para suas sub-redes privadas. Os seguintes endpoints são exigidos:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Para obter mais informações sobre como criar endpoints para sub-redes privadas, consulte [Endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) na documentação da Amazon VPC. | Administrador de rede, Administrador de sistemas |
### Implemente o hub Infoblox
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie o modelo do AWS SAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Desenvolvedor, Administrador de sistemas |
| Implante o modelo do SAM da AWS. | O `sam deploy` comando pega os parâmetros necessários e os salva no `samconfig.toml` arquivo, armazena o CloudFormation modelo da AWS e as funções do Lambda em um bucket do S3 e, em seguida, implanta o modelo da CloudFormation AWS em sua conta do hub. O código de exemplo a seguir mostra como implantar o modelo do SAM da AWS:$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
É necessário usar a opção `--guided` em cada ocasião, já que as credenciais de acesso do Infoblox não são armazenadas no arquivo `samconfig.toml`. | Desenvolvedor, Administrador de sistemas |
## Recursos relacionados
+ [Começando a WAPIs usar o Postman](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/) (Infoblox Blog)
+ [Provisionamento de vNIOS para AWS usando o modelo BYOL](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model) (documentação do Infoblox)
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(GitHub recompra)
+ [describe\$1managed\$1prefix\$1lists](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) (documentação do AWS SDK para Python)
## Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: [ attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Crie uma arquitetura IPAM hierárquica e multirregional usando o Terraform AWS
*Donny Schreiber, Amazon Web Services*
## Resumo
O *Gerenciamento de endereços IP (IPAM)* é um componente essencial do gerenciamento de rede e se torna cada vez mais complexo à medida que as organizações escalam sua infraestrutura de nuvem. Sem o IPAM adequado, as organizações correm o risco de conflitos de endereço IP, desperdício de espaço de endereço e solução complexa de problemas que podem levar a interrupções e tempo de inatividade das aplicações. Esse padrão demonstra como implementar uma solução IPAM abrangente para ambientes AWS corporativos usando HashiCorp o Terraform. [Ele ajuda as organizações a criar uma arquitetura IPAM hierárquica e multirregional que facilita o gerenciamento centralizado de endereços IP em toda a organização. Contas da AWSAWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Este padrão ajuda você a implementar o [Gerenciador de endereços IP da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) com uma sofisticada hierarquia de quatro camadas: pool de nível superior, pools regionais, pools de unidades de negócios e pools específicos do ambiente. Essa estrutura oferece suporte à governança adequada de endereços IP e, ao mesmo tempo, permite a delegação do gerenciamento de IP às equipes apropriadas da organização. A solução usa AWS Resource Access Manager (AWS RAM) para compartilhar facilmente os pools do IP Address Manager em toda a organização. AWS RAM centraliza e padroniza as especificações do IPAM, que as equipes podem usar em todas as contas gerenciadas.
Com este padrão você pode fazer o seguinte:
+ Automatize a alocação de endereços IP entre Regiões da AWS unidades de negócios e ambientes.
+ Impor as políticas de rede organizacional por meio da validação programática.
+ Dimensionar a infraestrutura de rede com eficiência à medida que os requisitos de negócios evoluem.
+ Reduzir a sobrecarga operacional por meio do gerenciamento centralizado de espaços de endereço IP.
+ Acelerar as implantações de workloads nativas da nuvem com alocação de faixa CIDR de autoatendimento.
+ Evitar conflitos de endereço por meio de controles e validação baseados em políticas.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ou mais Contas da AWS, gerenciado como uma organização em AWS Organizations.
+ Um hub de rede ou conta gerencial de rede que servirá como administrador delegado do Gerenciador de Endereços IP.
+ AWS Command Line Interface (AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ Terraform versão 1.5.0 ou posterior [instalado](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli).
+ AWS Provedor para Terraform, [configurado](https://registry.terraform.io/providers/hashicorp/aws/latest/docs).
+ Permissões para gerenciar [o Gerenciador de Endereços IP](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) e [as nuvens privadas virtuais (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), configuradas em AWS Identity and Access Management (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)
**Limitações**
+ O Gerenciador de Endereços IP está sujeito às [cotas de serviço](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). A cota de serviço padrão para pools é de 50 por escopo. Executar essa implantação em seis regiões, duas unidades de negócios e quatro ambientes criaria 67 pools. Portanto, um aumento de cota pode ser necessário.
+ Modificar ou excluir os pools do Gerenciador de Endereços IP após a alocação dos recursos pode causar problemas de dependência. É necessário [liberar as alocações](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html) antes para que o grupo possa ser excluído.
+ No Gerenciador de Endereços IP, o [monitoramento de recursos](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) pode sofrer um pequeno atraso ao refletir as alterações nos recursos. Esse atraso pode ser de aproximadamente 20 minutos.
+ O Gerenciador de Endereços IP não pode impor automaticamente a exclusividade do endereço IP em diferentes escopos.
+ As marcações personalizadas devem seguir as [Práticas recomendadas de marcação da AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Por exemplo, cada chave deve ser única e não pode começar com `aws:`.
+ Existem [considerações e limitações](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html) ao integrar o Gerenciador de endeçoes IP a contas fora da sua organização.
## Arquitetura
**Arquitetura de destino**
*Configuração do Gerenciador de endereços IP e hierarquia do pool*
O diagrama abaixo mostra os constructos lógicos da arquitetura de destino. Um *escopo* é o contêiner de nível mais alto no Gerenciador de endereços IP. Cada escopo representa o espaço de endereços IP de uma única rede. Os *pools* são coleções de intervalos de endereços IP contíguos (ou intervalos CIDR) dentro do escopo. Os grupos ajudam você a organizar os endereços IP de acordo com suas necessidades de roteamento e segurança. Este diagrama mostra quatro níveis hierárquicos de pools: um pool de nível superior, pools regionais, pools de unidades de negócios e pools de ambientes.
![\[Um escopo privado e quatro níveis de pools em uma única região da AWS em uma conta de rede.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Essa solução estabelece uma hierarquia clara dos pools do Gerenciador de Endereços IP:
1. O pool de nível superior abrange todo o espaço de endereços IP organizacionais, como `10.176.0.0/12`.
1. Os pools regionais são para alocações específicas da região, como para `10.176.0.0/15` e `us-east-1`.
1. Os pools de unidades de negócios são alocações específicas de domínio dentro de cada um. Região da AWS Por exemplo, a unidade de negócios financeiros da Região `us-east-1` pode ter `10.176.0.0/16`.
1. Os pools de ambientes são alocações específicas para diferentes ambientes. Por exemplo, a unidade de negócios financeiros da Região `us-east-1` pode ter `10.176.0.0/18` como um ambiente de produção.
Essa topologia de implantação distribui geograficamente os recursos do Gerenciador de endereços IP, mantendo o controle centralizado. Seguem abaixo seus recursos:
+ O IP Address Manager é implantado em um único sistema primário Região da AWS.
+ Regiões adicionais são registradas como [regiões operacionais](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html), nas quais o Gerenciador de endereços IP pode gerenciar recursos.
+ Cada região operacional recebe um pool de endereços dedicado do pool de nível superior.
+ Os recursos em todas as regiões operacionais são gerenciados centralmente por meio do Gerenciador de endereços IP na região principal.
+ Cada pool regional tem uma propriedade local vinculada à sua região para ajudá-lo a alocar recursos adequadamente.
*Validação avançada do intervalo CIDR*
Essa solução foi projetada para impedir a implantação de configurações inválidas. Quando você implanta os pools por meio do Terraform, o seguinte é validado durante a fase de planejamento do Terraform:
+ Valida se todos os intervalos CIDR do ambiente estão contidos nos intervalos CIDR da unidade de negócios principal
+ Confirma que todos os intervalos de CIDR da unidade de negócios estão contidos em seus intervalos de CIDR regionais principais
+ Verifica se todos os intervalos CIDR regionais estão contidos nos intervalos CIDR de nível superior
+ Verifica a sobreposição de intervalos CIDR dentro do mesmo nível hierárquico
+ Valida o mapeamento adequado dos ambientes para suas respectivas unidades de negócios
*Alocação do intervalo CIDR*
O diagrama a seguir mostra um exemplo de como desenvolvedores ou administradores podem criar novos endereços IP VPCs e alocá-los a partir dos níveis do pool.
![\[Um escopo privado e quatro níveis de pools em uma única região da AWS em uma conta de rede.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
O diagrama mostra o seguinte fluxo de trabalho:
1. Por meio do Console de gerenciamento da AWS AWS CLI, ou por meio da infraestrutura como código (IaC), um desenvolvedor ou administrador solicita a próxima faixa de CIDR disponível no pool do `AY3` ambiente.
1. O Gerenciador de endereços IP aloca o próximo intervalo CIDR disponível nesse pool para a VPC `AY3-4`. Esse intervalo CIDR não pode mais ser usado.
**Automação e escala**
Essa solução foi projetada para ser escalável da seguinte forma:
+ **Expansão regional**: adicione novas regiões estendendo a configuração do Terraform com entradas adicionais do pool regional.
+ **Crescimento da unidade de negócios**: ofereça suporte para novas unidades de negócios adicionando-as ao mapa de configuração da BU.
+ **Flexibilidade do ambiente**: configure diferentes tipos de ambiente, como desenvolvimento ou produção, com base nas necessidades organizacionais.
+ **Suporte para várias contas** — compartilhe pools em todas as contas da sua organização por meio AWS RAM de.
+ **Provisionamento automatizado de VPC**: Integre-se aos fluxos de trabalho de provisionamento de VPC para automatizar a alocação de intervalos de CIDR.
A estrutura hierárquica também permite diferentes escalas de delegação e controle, como as seguintes:
+ Os administradores de rede podem gerenciar os pools regionais e de nível superior.
+ As equipes de TI da unidade de negócios podem ter delegado o controle de seus respectivos pools.
+ As equipes de aplicações podem consumir endereços IP de seus pools de ambientes designados.
**nota**
Você também pode integrar essa solução ao [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). Para obter mais informações, consulte *Integração com o AFT* na seção [Informações adicionais](#multi-region-ipam-architecture-additional) deste padrão.
## Ferramentas
**Serviços da AWS**
+ CloudWatchA [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ajuda você a monitorar as métricas dos seus AWS recursos e dos aplicativos em que você executa AWS em tempo real.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ajuda você a compartilhar seus recursos com segurança Contas da AWS para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade.
+ [A Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS. O [Gerenciador de endereços IP](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) é um recurso da Amazon VPC. Ele ajuda você a planejar, rastrear e monitorar endereços IP para suas AWS cargas de trabalho.
**Outras ferramentas**
+ O [HashiCorp Terraform](https://www.terraform.io/docs) é uma ferramenta de infraestrutura como código (IaC) que ajuda a provisionar e gerenciar recursos e infraestrutura de nuvem por meio de código.
**Repositório de código**
O código desse padrão está disponível no [Sample Terraform Implementation for Hierarchical IPAM](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform) no repositório em. AWS** GitHub** A estrutura do repositório inclui:
+ **Módulo raiz**: orquestração de implantação e variáveis de entrada.
+ **Módulo IPAM**: implementação principal da arquitetura descrita neste padrão.
+ **Módulo de marcações**: marcação padronizada para todos os recursos.
## Práticas recomendadas
Considere as seguintes práticas recomendadas para o planejamento de rede:
+ **Planeje primeiro**: planeje minuciosamente seu espaço de endereço IP antes da implantação. Para obter mais informações, consulte [Planejar o provisionamento de endereços IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Evite intervalos CIDR sobrepostos**: certifique-se de que os intervalos CIDR em cada nível não se sobreponham.
+ **Reserve espaço no buffer**: sempre aloque intervalos de CIDR maiores do que os necessários imediatamente para acomodar o crescimento.
+ **Documente a alocação de endereços IP**: mantenha a documentação da sua estratégia de alocação de endereços IP.
Considere as seguintes práticas recomendadas de implantação:
+ **Comece pela não produção**: implante primeiro em ambientes que não sejam de produção.
+ **Use o gerenciamento de estado do Terraform**: implemente armazenamento e bloqueio de estados remotos. Para obter mais informações, consulte [State storage and locking](https://developer.hashicorp.com/terraform/language/state/backends) na documentação do Terraform.
+ **Implemente o controle de versão**: controle a versão de todo o código do Terraform.
+ **Implemente a CI/CD integração** — use pipelines de integração contínua e entrega contínua (CI/CD) para implantações reproduzíveis.
Considere as seguintes práticas recomendadas operacionais:
+ **Habilite a importação automática**: configure um pool do Gerenciador de Endereços IP para descobrir e importar automaticamente os recursos existentes. Siga as instruções em [Editar um pool IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html) para ativar a importação automática.
+ **Monitore a utilização de endereços IP**: configure alarmes para os limites de utilização de endereços IP. Para obter mais informações, consulte [Monitorar IPAM com a Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Audite regularmente**: audite periodicamente o uso e a conformidade de endereços IP. Para obter mais informações, consulte [Rastrear uso de endereços IP no IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Limpe as alocações não utilizadas**: libere as alocações de endereços IP quando os recursos forem desativados. Para obter mais informações, consulte [Desprovisionamento CIDRs de um pool](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html).
Considere as seguintes práticas recomendadas de segurança:
+ **Implemente o privilégio mínimo**: use perfis do IAM com as permissões mínimas necessárias. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) e [Gerenciamento de identidade e acesso no IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html).
+ **Use políticas de controle de serviço** — Implemente políticas de controle de serviço (SCPs) para impor o uso do IP Address Manager em sua organização. Para obter mais informações, consulte [Impor o uso do IPAM para criação de VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) com. SCPs
+ **Controle o compartilhamento de recursos** — Gerencie cuidadosamente o escopo do compartilhamento de recursos do IP Address Manager em AWS RAM. Para obter mais informações, consulte [Compartilhar um pool IPAM usando AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html).
+ **Imponha a marcação**: implemente a marcação obrigatória para todos os recursos relacionados ao Gerenciador de Endereços IP. Para obter mais informações, consulte *Estratégia de marcação* na seção [Informações adicionais](#multi-region-ipam-architecture-additional).
## Épicos
### Configurar uma conta de administrador delegado para o Gerenciador de endereços IP
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Ative AWS Organizations os recursos. | Certifique-se de que AWS Organizations todos os recursos estejam ativados. Para obter instruções, consulte [Habilitando todos os recursos de uma organização AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) na AWS Organizations documentação. | Administrador da AWS |
| Ative o compartilhamento de recursos em AWS RAM. | Usando o AWS CLI, digite o seguinte comando para habilitar o compartilhamento de AWS RAM recursos para sua organização:aws ram enable-sharing-with-aws-organization
Para obter mais informações, consulte [Habilitar o compartilhamento de recursos AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) na AWS RAM documentação. | Administrador da AWS |
| Designe um administrador para o Gerenciador de Endereços IP. | Na conta de gerenciamento da organização, usando o AWS CLI, digite o seguinte comando, onde `123456789012` está o ID da conta que administrará o IP Address Manager:aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
Normalmente, uma conta de rede ou hub de rede é usado como administrador delegado do Gerenciador de endereços IP.Para obter mais informações, consulte [Integrar IPAM com contas em uma AWS organização](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) na documentação do IP Address Manager. | Administrador da AWS |
### Implante a infraestrutura
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Defina a arquitetura da rede. | Defina e documente sua arquitetura de rede, incluindo os intervalos de CIDR para regiões, unidades de negócios e ambientes. Para obter mais informações, consulte [Planejar o provisionamento de endereços IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html)na documentação do Gerenciador de endereços IP. | Engenheiro de rede |
| Clonar o repositório. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps engenheiro |
| Configure as variáveis. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Engenheiro de rede, Terraform |
| Implante os recursos do Gerenciador de Endereços IP. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Valide a implantação. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS geral, engenheiro de rede |
### Crie VPCs e configure o monitoramento
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie uma VPC. | Siga as etapas em [Criar uma VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) na documentação da Amazon VPC. Ao chegar à etapa de escolher um intervalo CIDR para a VPC, aloque o próximo disponível de um de seus grupos regionais, de unidades de negócios e ambientes. | AWS geral, administrador de rede, engenheiro de rede |
| Valide a alocação do intervalo CIDR. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS geral, administrador de rede, engenheiro de rede |
| Monitore o Gerenciador de endereços IP. | Configure o monitoramento e os alarmes relacionados à alocação de recursos do Gerenciador de endereços IP. Para obter mais informações e instruções, consulte [Monitorar o IPAM com a Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) e [monitorar o uso do CIDR por recurso](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) na documentação do IP Address Manager. | AWS geral |
| Imponha o uso do Gerenciador de endereços IP. | Crie uma política de controle de serviço (SCP) AWS Organizations que exija que os membros da sua organização usem o IP Address Manager ao criar uma VPC. Para obter instruções, consulte [Impor o uso do IPAM para criação de VPC SCPs](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) na documentação do IP Address Manager. | AWS geral, administrador da AWS |
## Solução de problemas
| Problema | Solução |
| --- | --- |
| O Terraform falha com o recurso Gerenciador de endereços IP não encontrado | Certifique-se de que a conta do administrador do IP Address Manager esteja devidamente delegada e que seu AWS provedor esteja autenticado nessa conta. |
| A alocação do intervalo CIDR falha | Verifique se o intervalo CIDR solicitado se encaixa no intervalo disponível do pool do Gerenciador de endereços IP e não se sobrepõe às alocações existentes. |
| AWS RAM problemas de compartilhamento | Verifique se o compartilhamento de recursos está habilitado para sua AWS organização. Verifique se o principal correto, o Amazon Resource Name (ARN) da organização, é usado no AWS RAM compartilhamento. |
| Erros de validação de hierarquia de pools | Certifique-se de que os intervalos CIDR do pool secundário estejam adequadamente contidos nos intervalos CIDR do pool principal e não se sobreponham aos grupos irmãos. |
| Limite de cota do Gerenciador de endereços IP excedido | Solicite um aumento de cota para pools do Gerenciador de endereços IP. Para obter mais informações, consulte [Solicitando um Aumento de Cota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) no * Guia do Usuário do Service Quotas*. |
## Recursos relacionados
**AWS service (Serviço da AWS) documentação**
+ [Documentação do Gerenciador de endereços IP da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager documentação](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations documentação](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS postagens no blog**
+ [Gerenciando pools de IP em todas VPCs as regiões usando o Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Network address management and auditing at scale with Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Vídeos e tutoriais**
+ [AWS re:Invent 2022: melhores práticas para design de Amazon VPC e IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:Invent 2022: design de VPC avançado e novos recursos (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Mais informações
**Integração com o AFT**
Você pode integrar essa solução ao AWS Control Tower Account Factory for Terraform (AFT) para garantir que as contas recém-provisionadas recebam automaticamente as configurações de rede adequadas. Ao implantar essa solução IPAM em sua conta do hub de rede, novas contas criadas por meio do AFT podem fazer referência aos pools compartilhados do Gerenciador de Endereços IP quando você cria. VPCs
O exemplo de código a seguir demonstra a integração do AFT em uma personalização de conta usando o AWS Systems Manager Parameter Store:
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Estratégia de marcação**
A solução implementa uma estratégia abrangente de marcação para facilitar o gerenciamento de recursos. O exemplo de código a seguir demonstra como ele é usado:
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Essas marcações são aplicadas automaticamente a todos os recursos do Gerenciador de endereços IP. Isso facilita a governança consistente, a alocação de custos e o gerenciamento de recursos.
# Personalize os CloudWatch alertas da Amazon para AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Resumo
O padrão ajuda você a personalizar os CloudWatch alertas da Amazon que são gerados por AWS Network Firewall. Você poderá usar regras predefinidas ou criar regras personalizadas que determinam a mensagem, os metadados e a gravidade dos alertas. Em seguida, você pode agir de acordo com esses alertas ou automatizar as respostas de outros serviços da Amazon, como a Amazon EventBridge.
Nesse padrão, você gera regras de firewall compatíveis com o Suricata. O [Suricata](https://suricata.io/) é um mecanismo de detecção de ameaças de código aberto. Primeiro, você cria regras simples e depois as testa para confirmar se os CloudWatch alertas foram gerados e registrados. Depois de testar as regras com sucesso, você as modifica para definir mensagens, metadados e severidades personalizados e, em seguida, testa mais uma vez para confirmar as atualizações.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ativo Conta da AWS.
+ AWS Command Line Interface (AWS CLI) instalado e configurado em sua estação de trabalho Linux, macOS ou Windows. Para obter mais informações, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall instalado e configurado para usar o CloudWatch Logs. Para obter mais informações, consulte [Registrar tráfego de rede de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em uma sub-rede privada de uma nuvem privada virtual (VPC) protegida pelo Firewall de Rede.
**Versões do produto**
+ Para a versão 1 do AWS CLI, use 1.18.180 ou posterior. Para a versão 2 do AWS CLI, use 2.1.2 ou posterior.
+ O arquivo classification.config do Suricata versão 5.0.2. Para obter uma cópia desse arquivo de configuração, consulte a seção [Informações adicionais](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional).
## Arquitetura
![\[Uma solicitação de EC2 instância gera um alerta no Network Firewall, que encaminha o alerta para CloudWatch\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
O diagrama da arquitetura mostra o seguinte fluxo de trabalho:
1. [Uma EC2 instância da Amazon em uma sub-rede privada faz uma solicitação usando [curl](https://curl.se/) ou Wget.](https://www.gnu.org/software/wget/)
1. O Network Firewall processa o tráfego e gera um alerta.
1. O Network Firewall envia os alertas registrados para o CloudWatch Logs.
## Ferramentas
**Serviços da AWS**
+ CloudWatchA [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) ajuda você a monitorar as métricas dos seus AWS recursos e dos aplicativos em que você executa AWS em tempo real.
+ O [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ajuda você a centralizar os registros de todos os seus sistemas e aplicativos, Serviços da AWS para que você possa monitorá-los e arquivá-los com segurança.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) é uma ferramenta de código aberto que ajuda você a interagir Serviços da AWS por meio de comandos em seu shell de linha de comando.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)é um serviço gerenciado e estável de firewall de rede e detecção e prevenção de intrusões para nuvens privadas virtuais (VPCs) no. Nuvem AWS
**Outras ferramentas**
+ O [curl](https://curl.se/) é uma ferramenta de linha de comandos e biblioteca de código aberto.
+ O [GNU Wget](https://www.gnu.org/software/wget/) é uma ferramenta de linha de comandos gratuita.
## Épicos
### Crie as regras de firewall e o grupo de regras
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Criar regras. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas da AWS, administrador de rede |
| Criar o grupo de regras. | No AWS CLI, insira o seguinte comando. Isso cria o grupo de regras.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
Veja a seguir um exemplo de saída. Anote o `RuleGroupArn`, que você vai precisar em uma etapa posterior.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | Administrador de sistemas AWS |
### Atualizar a política de firewall
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Obtenha o ARN da política de firewall. | No AWS CLI, insira o seguinte comando. Isto retorna o nome do recurso da Amazon (ARN) da política de firewall. Registre o ARN para uso mais tarde nesse padrão.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
Veja o seguinte exemplo de ARN retornado por esse comando."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| Administrador de sistemas AWS |
| Atualizar a política de firewall. | No editor de texto, copie e cole o código a seguir. Substitua `` pelo valor que você registrou no épico anterior. Salve o arquivo como `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Digite o comando apresentado a seguir na AWS CLI. Esse comando requer um [token de atualização](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) para adicionar as novas regras. O token é usado para confirmar que a política não foi alterada desde a última vez que você a recuperou.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| Administrador de sistemas AWS |
| Confirme as atualizações da política. | (Opcional) Se você desejar confirmar que as regras foram adicionadas e visualizar o formato da política, execute o comando apresentado a seguir na AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
Veja a seguir um exemplo de saída.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | Administrador de sistemas AWS |
### Testar a funcionalidade do alerta
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Gere alertas para testes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS |
| Valide se os alertas estão registrados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS |
### Atualize as regras de firewall e o grupo de regras
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Atualize as regras do firewall. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS |
| Atualizar o grupo de regras. | No AWS CLI, execute os seguintes comandos. Use o ARN da sua política de firewall. Esses comandos obtêm um token de atualização e atualizam o grupo de regras com as alterações da regra.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
Veja a seguir um exemplo de saída.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | Administrador de sistemas AWS |
### Testar a funcionalidade de alerta atualizada
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Gere um alerta para testes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS |
| Valide o alerta alterado. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrador de sistemas AWS |
## Recursos relacionados
**Referências**
+ [Envie alertas AWS Network Firewall para um canal do Slack](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html) (orientação AWS prescritiva)
+ [Aumentando a prevenção de ameaças AWS com Suricata (AWS postagem no](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) blog)
+ [Modelos de implantação para AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (postagem AWS no blog)
+ [Meta-chaves do Suricata](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html)(Documentação do Suricata)
**Tutoriais e vídeos**
+ [AWS Network Firewall oficina](https://networkfirewall.workshop.aws/)
## Mais informações
Veja a seguir o arquivo de configuração de classificação do Suricata 5.0.2. Essas classificações são usadas ao criar as regras de firewall.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Implante recursos em uma AWS Wavelength zona usando o Terraform
*Zahoor Chaudhrey e Luca Iannario, Amazon Web Services*
## Resumo
O [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html) permite criar infraestrutura otimizada para aplicações de Multi-Access Edge Computing (MEC). AWS As zonas *de Wavelength* são implantações de infraestrutura que AWS incorporam serviços de computação e armazenamento nas redes 5G dos provedores de serviços de comunicação (CSP). O tráfego de aplicações de dispositivos 5G chega aos servidores de aplicação executando nas zonas do Wavelength sem sair da rede de telecomunicações. Os seguintes elementos facilitam a conectividade de rede por meio do Wavelength:
+ **Nuvens privadas virtuais (VPCs)** — VPCs em uma Conta da AWS podem se estender para abranger várias zonas de disponibilidade, incluindo zonas de comprimento de onda. As instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e os serviços relacionados aparecem como parte da sua VPC regional. VPCs são criados e gerenciados na [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
+ **Gateway** da operadora — Um gateway da operadora permite a conectividade da sub-rede na Wavelength Zone à rede do CSP, à Internet ou por meio da rede Região da AWS do CSP. O gateway da operadora cumpre dois propósitos. Ele permite o tráfego de entrada proveniente de uma rede de CSP em um local específico e também permite o tráfego de saída para a rede de telecomunicações e para a internet.
Esse padrão e o código Terraform associado ajudam você a lançar recursos, como EC2 instâncias da Amazon, volumes do Amazon Elastic Block Store (Amazon EBS), sub-redes e um gateway de operadora VPCs, em uma zona de Wavelength.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ativo Conta da AWS
+ Um ambiente de desenvolvimento integrado (IDE)
+ [Opte por usar](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) a zona do Wavelength de destino
+ AWS Command Line Interface (AWS CLI), [instalado](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [configurado](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Terraform, na versão 1.8.4 ou em versões posteriores, [instalado](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (documentação do Terraform)
+ Terraform AWS Provider versão 5.32.1 ou posterior, [configurada](https://hashicorp.github.io/terraform-provider-aws/) (documentação do Terraform)
+ Git, [instalado](https://github.com/git-guides/install-git) () GitHub
+ [Permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) para criar recursos Amazon VPC, Wavelength e Amazon EC2
**Limitações**
Nem todos são Regiões da AWS compatíveis com zonas de Wavelength. Para obter mais informações, consulte [Zonas do Wavelength disponíveis](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html) na documentação do Wavelength.
## Arquitetura
O diagrama a seguir mostra como você pode criar uma sub-rede e AWS recursos em uma zona de Wavelength. VPCs que contêm uma sub-rede em uma zona de Wavelength podem se conectar a um gateway de operadora. Um gateway da operadora permite a conexão com os seguintes recursos:
+ Dispositivos 4G/LTE e 5G na rede da operadora de telecomunicações.
+ Acesso fixo sem fio para parceiros selecionados da zona do Wavelength. Para obter mais informações, consulte [Acesso AWS Wavelength múltiplo](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html).
+ Tráfego de saída para recursos públicos da internet.
![\[Um gateway da operadora estabelece a conexão entre os recursos da AWS na zona do Wavelength e a rede do CSP.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Ferramentas
**Serviços da AWS**
+ [A Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS.
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)estende a Nuvem AWS infraestrutura às redes 5G dos provedores de telecomunicações. Dessa forma, você pode desenvolver aplicações que proporcionam latências extremamente baixas para dispositivos móveis e usuários finais.
**Outras ferramentas**
+ [O Terraform](https://www.terraform.io/) é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.
**Repositório de código**
O código desse padrão está disponível no repositório GitHub [Criando AWS Wavelength infraestrutura usando o Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure). O código Terraform implanta a seguinte infraestrutura e os seguintes recursos:
+ Uma VPC
+ Uma zona do Wavelength
+ Uma sub-rede pública na zona do Wavelength
+ Um gateway da operadora na zona do Wavelength
+ Uma EC2 instância da Amazon na Wavelength Zone
## Práticas recomendadas
+ Antes de realizar a implantação, confirme que está usando as versões mais recentes do Terraform e da AWS CLI.
+ Use um pipeline de integração contínua e entrega contínua (CI/CD) para implantar a IaC. Para obter mais informações, consulte [Práticas recomendadas para gerenciar arquivos de estado do Terraform no AWS CI/CD Pipeline](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) em blogs. AWS
## Épicos
### Provisionar a infraestrutura
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Clonar o repositório. | Insira o comando a seguir para clonar o repositório [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) em seu ambiente.`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps engenheiro |
| Atualize as variáveis. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps engenheiro, Terraform |
| Inicialize a configuração. | Insira o seguinte comando para inicializar o diretório de trabalho:terraform init
| DevOps engenheiro, Terraform |
| Visualize o plano do Terraform. | Digite o comando a seguir para comparar o estado de destino com o estado atual do seu AWS ambiente. Esse comando gera uma visualização prévia dos recursos que serão configurados.terraform plan
| DevOps engenheiro, Terraform |
| Verifique e implante. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps engenheiro, Terraform |
### Validar e limpar
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Verifique a implantação da infraestrutura. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps engenheiro |
| (Opcional) Limpe a infraestrutura. | Se você precisar excluir todos os recursos que foram provisionados pelo Terraform, faça o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps engenheiro, Terraform |
## Solução de problemas
| Problema | Solução |
| --- | --- |
| Conectividade com EC2 instâncias da Amazon no Região da AWS. | Consulte [Solucionar problemas de conexão com a instância do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html) ou [Solucionar problemas de conexão com a instância do Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html). |
| Conectividade com EC2 instâncias da Amazon na Wavelength Zone. | Consulte [Solucionar problemas de conectividade SSH ou RDP com minhas EC2 instâncias lançadas em uma zona de Wavelength](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors). |
| Capacidade na zona do Wavelength. | Consulte [Cotas e considerações para as zonas do Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Conectividade móvel ou de operadora da rede da operadora para a Região da AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Recursos relacionados
+ [O que é AWS Wavelength?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [Como AWS Wavelength funciona](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Resiliência em AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Migre registros de DNS em massa para uma zona hospedada privada do Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Resumo
Engenheiros de rede e administradores de nuvem precisam de uma maneira eficiente e simples de adicionar registros do Sistema de Nomes de Domínio (DNS) às zonas hospedadas privadas no Amazon Route 53. Usar uma abordagem manual para copiar entradas de uma planilha do Microsoft Excel para locais apropriados no console do Route 53 é entediante e propenso a erros. Esse padrão descreve uma abordagem automatizada que reduz o tempo e o esforço necessários para adicionar vários registros. Ele também fornece um conjunto repetível de etapas para a criação de várias zonas hospedadas.
Este padrão usa o Amazon Simple Storage Service (Amazon S3) para armazenar registros. Para trabalhar com dados de forma eficiente, o padrão usa o formato JSON devido à sua simplicidade e à capacidade de oferecer suporte a um dicionário Python (tipo de dados `dict`).
**nota**
Caso seja possível gerar um arquivo de zona no seu sistema, considere usar o [recurso de importação do Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html).
## Pré-requisitos e limitações
**Pré-requisitos **
+ Uma planilha do Excel que contém registros de zona hospedada privada
+ [Familiaridade com diferentes tipos de registros DNS, como registro A, registro Ponteiro de autoridade de nome (NAPTR - Name Authority Pointer record) e registro SRV (consulte Tipos de registro DNS suportados)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html)
+ Familiaridade com a linguagem Python e suas bibliotecas
**Limitações**
+ O padrão não oferece cobertura abrangente para todos os cenários de casos de uso. Por exemplo, a chamada [change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) não usa todas as propriedades disponíveis da API.
+ Na planilha do Excel, o valor em cada linha é considerado exclusivo. Espera-se que vários valores para cada nome de domínio totalmente qualificado (FQDN - fully qualified domain name) apareçam na mesma linha. Se isso não for verdade, você deve modificar o código fornecido nesse padrão para realizar a concatenação necessária.
+ O padrão usa o AWS SDK para Python (Boto3) para chamar diretamente o serviço Route 53. Você pode aprimorar o código para usar um CloudFormation wrapper da AWS para os `update_stack` comandos `create_stack` and e usar os valores JSON para preencher os recursos do modelo.
## Arquitetura
**Pilha de tecnologia**
+ Zonas hospedadas privadas do Route 53 para roteamento de tráfego
+ Amazon S3 para armazenar o arquivo JSON de saída
![\[Fluxo de trabalho para migrar registros de DNS em massa para uma zona hospedada privada do Route 53.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
O fluxo de trabalho consiste nessas etapas, conforme ilustrado no diagrama anterior e discutido na seção *Épicos*:
1. Faça upload de uma planilha do Excel que tenha as informações do conjunto de registros em um bucket do S3.
1. Crie e execute um script Python que converta os dados do Excel para o formato JSON.
1. Leia os registros do bucket do S3 e limpe os dados.
1. Crie conjuntos de registros em sua zona hospedada privada.
## Ferramentas
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html): o Amazon Route 53 é um serviço web de DNS altamente disponível e escalável que gerencia registro de domínios, roteamento de DNS e verificação de integridade.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html): o Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos. Você pode utilizar o Amazon S3 para armazenar e recuperar qualquer volume de dados, a qualquer momento, de qualquer lugar na web.
## Épicos
### Prepare dados para automação
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie um arquivo Excel para seus registros. | Use os registros que você exportou do seu sistema atual para criar uma planilha do Excel que tenha as colunas necessárias para um registro, como nome de domínio totalmente qualificado (FQDN), tipo de registro, tempo de vida (TTL) e valor. Para registros NAPTR e SRV, o valor é uma combinação de várias propriedades, então use o método `concat` do Excel para combinar essas propriedades.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Engenheiro de dados, habilidades em Excel |
| Verifique o ambiente de trabalho. | No seu IDE, crie um arquivo em Python para converter a planilha de entrada do Excel para o formato JSON. (Em vez de um IDE, você também pode usar um SageMaker notebook da Amazon para trabalhar com código Python.)Verifique se a versão do Python que você está usando é a versão 3.7 ou superior. python3 --version
Instale o pacote do **pandas**. pip3 install pandas --user
| AWS geral |
| Converta os dados da planilha do Excel em JSON. | Crie um arquivo Python que contenha o código a seguir para converter do Excel para JSON.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
onde `Book1` é o nome da planilha do Excel e `my.json` é o nome do arquivo JSON de saída. | Engenheiro de dados, habilidades em Python |
| Faça upload do arquivo JSON em um bucket do S3. | Faça upload do arquivo `my.json` em um bucket do S3. Para obter mais informações, consulte [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) na documentação do Amazon S3. | Desenvolvedor de aplicativos |
| FqdnName | RecordType | Valor | TTL |
| something.example.org | A | 1.1.1.1 | 900 |
### Inserir registros
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie uma zona hospedada privada. | Use a API [create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) e o código de exemplo do Python a seguir para criar uma zona hospedada privada. Substitua os valores dos parâmetros `hostedZoneName`, `vpcRegion`, e `vpcId` pelos seus próprios valores.import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
Você também pode usar uma ferramenta de infraestrutura como código (IaC), como CloudFormation a AWS, para substituir essas etapas por um modelo que cria uma pilha com os recursos e propriedades apropriados. | Arquiteto de nuvem, administrador de rede, habilidades em Python |
| Recupere detalhes como um dicionário do Amazon S3. | Use o código a seguir para ler do bucket do S3 e obter os valores JSON como um dicionário Python. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
onde `json_content` contém o dicionário Python. | Desenvolvedor de aplicativos, habilidades em Python |
| Limpe os valores de dados para espaços e caracteres Unicode. | Como medida de segurança para garantir a exatidão dos dados, use o código a seguir para realizar uma operação de separação dos valores em `json_content`. Esse código remove os caracteres de espaço na frente e no final de cada string. Ele também usa o método `replace` para remover espaços rígidos (não quebráveis) (os caracteres `\xa0`).for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| Desenvolvedor de aplicativos, habilidades em Python |
| Inserir registros. | Use o código a seguir como parte do loop `for` anterior.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
Onde `xxxxxxx` está o ID da zona hospedada desde a primeira etapa desse épico. | Desenvolvedor de aplicativos, habilidades em Python |
## Recursos relacionados
**Referências**
+ [Criação de registros importando um arquivo de zona](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (documentação do Amazon Route 53)
+ [método create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (documentação do Boto3)
+ [método change\$1resource\$1record\$1sets (documentação do Boto3](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets))
**Tutoriais e vídeos**
+ [Tutorial do Python](https://docs.python.org/3/tutorial/) (documentação do Python)
+ [Design de DNS usando o Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube vídeo, *AWS Online Tech Talks*)
# Modifique os cabeçalhos HTTP ao migrar de F5 para um Application Load Balancer na AWS
*Sachin Trivedi, Amazon Web Services*
## Resumo
Quando você migra um aplicativo que usa um balanceador de carga F5 para a Amazon Web Services (AWS) e deseja usar um Application Load Balancer na AWS, migrar regras F5 para modificações de cabeçalho é um problema comum. Um Application Load Balancer não suporta modificações de cabeçalhos, mas você pode usar a Amazon CloudFront como uma rede de distribuição de conteúdo (CDN) e o Lambda @Edge para modificar cabeçalhos.
Esse padrão descreve as integrações necessárias e fornece um exemplo de código para modificação do cabeçalho usando a AWS CloudFront e o Lambda @Edge.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um aplicativo on-premises que usa um balanceador de carga F5 com uma configuração que substitui o valor do cabeçalho HTTP usando `if, else`. Para obter mais informações sobre essa configuração, consulte [HTTP::header](https://clouddocs.f5.com/api/irules/HTTP__header.html) na documentação do produto F5.
**Limitações**
+ Esse padrão se aplica à personalização do cabeçalho do balanceador de carga F5. Para outros balanceadores de carga de terceiros, confira a documentação do balanceador de carga para obter informações de suporte.
+ As funções do Lambda que você usa no Lambda@Edge devem estar na região Leste dos EUA (Norte da Virgínia).
## Arquitetura
O diagrama a seguir mostra a arquitetura na AWS, incluindo o fluxo de integração entre a CDN e outros componentes da AWS.
![\[Arquitetura para modificação de cabeçalho usando Amazon CloudFront e Lambda @Edge\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Ferramentas
**Serviços da AWS**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Um Application Load Balancer é um serviço de balanceamento de carga totalmente gerenciado pela AWS que funciona na sétima camada do modelo Open Systems Interconnection (OSI). Ele equilibra o tráfego em vários destinos e oferece suporte a solicitações de roteamento avançado com base em cabeçalhos e métodos HTTP, strings de consulta e roteamento baseado em host ou em caminho.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) — CloudFront A Amazon é um serviço web que acelera a distribuição de seu conteúdo web estático e dinâmico, como .html, .css, .js e arquivos de imagem, para seus usuários. CloudFront entrega seu conteúdo por meio de uma rede mundial de data centers chamados de pontos de presença para menor latência e melhor desempenho.
+ O [Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) ─ Lambda @Edge é uma extensão do AWS Lambda que permite executar funções para personalizar o conteúdo que é entregue. CloudFront Você pode criar funções na região Leste dos EUA (Norte da Virgínia) e depois associar a função a uma CloudFront distribuição para replicar automaticamente seu código em todo o mundo, sem provisionar ou gerenciar servidores. Isso reduz a latência e melhora a experiência do usuário.
**Código **
O código de exemplo a seguir fornece um plano para modificar os cabeçalhos de CloudFront resposta. Siga as instruções na seção *Épicos* para implantar o código.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Épicos
### Criar uma distribuição CDN
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie uma distribuição CloudFront na web. | Nesta etapa, você cria uma CloudFront distribuição para informar de CloudFront onde deseja que o conteúdo seja entregue e os detalhes sobre como rastrear e gerenciar a entrega de conteúdo.Para criar uma distribuição usando o console, faça login no AWS Management Console, abra o [CloudFront console](https://console.aws.amazon.com/cloudfront/v3/home) e siga as etapas na [CloudFront documentação](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Administrador de nuvem |
### Criar e implantar as funções do Lambda@Edge
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie e implante uma função do Lambda@Edge. | Você pode criar uma função Lambda @Edge usando um esquema para modificar CloudFront cabeçalhos de resposta. (Outros BluePrints estão disponíveis para diferentes casos de uso; para obter mais informações, consulte [exemplos de funções do Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html) CloudFront na documentação.) Para criar uma função Lambda@Edge:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | Administrador da AWS |
| Implante a função do Lambda@Edge. | Siga as instruções na [etapa 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) do *tutorial: Criação de uma função simples do Lambda @Edge* na CloudFront documentação da Amazon para configurar o CloudFront gatilho e implantar a função. | Administrador da AWS |
## Recursos relacionados
**CloudFront documentação**
+ [Comportamento de solicitações e respostas para origens personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Trabalhar com distribuições](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Funções de exemplo do Lambda@Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Personalizar o conteúdo na borda com o Lambda@Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutorial: criação de uma função do Lambda@Edge simples](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Crie um relatório das descobertas do Network Access Analyzer para acesso de entrada à Internet em vários Contas da AWS
*Mike Virgilio, Amazon Web Services*
## Resumo
O acesso não intencional de entrada aos AWS recursos pela Internet pode representar riscos para o perímetro de dados de uma organização. O [Analisador de Acesso à Rede](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) é um recurso da Amazon Virtual Private Cloud (Amazon VPC) que ajuda você a identificar o acesso não intencional à rede a seus recursos na Amazon Web Services (AWS). Você pode usar o Analisador de Acesso à Rede para especificar seus requisitos de acesso à rede e identificar possíveis caminhos de rede que não atendam aos requisitos especificados. Você pode usar o Analisador de Acesso à Rede para fazer o seguinte:
1. Identifique AWS recursos acessíveis à Internet por meio de gateways da Internet.
1. Valide se suas nuvens privadas virtuais (VPCs) estão segmentadas adequadamente, como isolar ambientes de produção e desenvolvimento e separar cargas de trabalho transacionais.
O Network Access Analyzer analisa as condições de acessibilidade end-to-end da rede e não apenas um único componente. Para determinar se um recurso é acessível pela Internet, o Network Access Analyzer avalia o gateway da Internet, as tabelas de rotas da VPC, as listas de controle de acesso à rede (ACLs), os endereços IP públicos em interfaces de rede elásticas e os grupos de segurança. Se algum desses componentes impedir o acesso à Internet, o Analisador de Acesso à Rede não gerará uma descoberta. Por exemplo, se uma instância do Amazon Elastic Compute Cloud (Amazon EC2) tiver um grupo de segurança aberto que permite o tráfego, `0/0` mas a instância está em uma sub-rede privada que não é roteável de nenhum gateway da Internet, o Network Access Analyzer não geraria uma descoberta. Isso fornece resultados de alta fidelidade para que você possa identificar recursos que são realmente acessíveis pela Internet.
Ao executar o Analisador de Acesso à Rede, você usa os [Network Access Scopes](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) para especificar seus requisitos de acesso à rede. Essa solução identifica caminhos de rede entre um gateway da Internet e uma interface de rede elástica. Nesse padrão, você implanta a solução de forma centralizada Conta da AWS em sua organização, gerenciada por AWS Organizations, e ela analisa todas as contas, em qualquer uma Região da AWS, na organização.
Essa solução foi projetada com o seguinte em mente:
+ Os AWS CloudFormation modelos reduzem o esforço necessário para implantar os AWS recursos nesse padrão.
+ Você pode ajustar os parâmetros nos CloudFormation modelos e no script **naa-script.sh** no momento da implantação para personalizá-los para seu ambiente.
+ O script Bash provisiona e analisa automaticamente os escopos de acesso à rede para várias contas, em paralelo.
+ Um script Python processa as descobertas, extrai os dados e consolida os resultados. Você pode optar por revisar o relatório consolidado das descobertas do Analisador de Acesso à Rede no formato CSV ou no AWS Security Hub CSPM. Um exemplo do relatório CSV está disponível na seção [Informações adicionais](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) desse padrão.
+ Você pode corrigir as descobertas ou excluí-las de futuras análises adicionando-as ao arquivo **naa-exclusions.csv**.
## Pré-requisitos e limitações
**Pré-requisitos **
+ E Conta da AWS para hospedar serviços e ferramentas de segurança, gerenciados como uma conta membro de uma organização em AWS Organizations. Nesse padrão, essa conta é chamada de conta de segurança.
+ Na conta de segurança, você deve ter uma sub-rede privada com acesso de saída à Internet. Para obter instruções, consulte [Criar uma sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) na documentação da Amazon VPC. Você pode estabelecer acesso à Internet usando um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) ou um [endpoint da VPC de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Acesso à conta AWS Organizations de gerenciamento ou a uma conta que tenha delegado permissões de administrador para CloudFormation. Para obter instruções, consulte [Registrar um administrador delegado](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) na CloudFormation documentação.
+ Habilite o acesso confiável entre AWS Organizations CloudFormation e. Para obter instruções, consulte [Habilitar acesso confiável com AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) na CloudFormation documentação.
+ Se você estiver fazendo o upload das descobertas para o CSPM do Security Hub, o CSPM do Security Hub deve estar habilitado na conta e onde a instância Região da AWS da Amazon está provisionada. EC2 Para obter mais informações, consulte [Configurar AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Limitações**
+ Atualmente, os caminhos de rede entre contas não são analisados devido às limitações do atributo Analisador de Acesso à Rede.
+ O alvo Contas da AWS deve ser gerenciado como uma organização em AWS Organizations. **Se você não estiver usando AWS Organizations, você pode atualizar o CloudFormation modelo **naa-execrole.yaml** e o script naa-script.sh para seu ambiente.** Em vez disso, você fornece uma lista Conta da AWS IDs e regiões nas quais deseja executar o script.
+ O CloudFormation modelo foi projetado para implantar a EC2 instância da Amazon em uma sub-rede privada com acesso de saída à Internet. O AWS Systems Manager Agente (Agente SSM) requer acesso de saída para alcançar o endpoint do serviço Systems Manager, e você precisa de acesso de saída para clonar o repositório de código e instalar dependências. Se quiser usar uma sub-rede pública, você deve modificar o modelo **naa-resources.yaml** para associar um [endereço IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) elástico à instância da Amazon. EC2
## Arquitetura
**Arquitetura de destino**
*Opção 1: acessar as descobertas em um bucket do Amazon S3*
![\[Diagrama de arquitetura de acesso ao relatório de resultados do Analisador de Acesso à Rede em um bucket do Amazon S3\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
O diagrama mostra o seguinte processo:
1. Se você estiver executando manualmente a solução, o usuário se autentica na EC2 instância da Amazon usando o Gerenciador de Sessões e, em seguida, executa o script **naa-script.sh**. Esse script de shell executa as etapas de 2 a 7.
Se você estiver executando a solução automaticamente, o script **naa-script.sh** será iniciado automaticamente na programação que você definiu na expressão cron. Esse script de shell executa as etapas de 2 a 7. Para obter mais informações, consulte *Automação e escala* no fim desta seção.
1. A EC2 instância da Amazon baixa o arquivo **naa-exception.csv** mais recente do bucket do Amazon S3. Esse arquivo é usado posteriormente no processo, quando o script Python processa as exclusões.
1. A EC2 instância da Amazon assume a função `NAAEC2Role` AWS Identity and Access Management (IAM), que concede permissões para acessar o bucket do Amazon S3 e assumir `NAAExecRole` as funções do IAM nas outras contas da organização.
1. A EC2 instância da Amazon assume a função `NAAExecRole` do IAM na conta de gerenciamento da organização e gera uma lista das contas na organização.
1. A EC2 instância da Amazon assume a função do `NAAExecRole` IAM nas contas dos membros da organização (chamadas de contas de *carga de trabalho no diagrama de arquitetura) e realiza uma avaliação de segurança em cada conta*. As descobertas são armazenadas como arquivos JSON na EC2 instância da Amazon.
1. A EC2 instância da Amazon usa um script Python para processar os arquivos JSON, extrair os campos de dados e criar um relatório CSV.
1. A EC2 instância da Amazon carrega o arquivo CSV no bucket do Amazon S3.
1. Uma EventBridge regra da Amazon detecta o upload do arquivo e usa um tópico do Amazon SNS para enviar um e-mail notificando o usuário de que o relatório foi concluído.
1. O usuário baixa o arquivo CSV do bucket do Amazon S3. O usuário importa os resultados para o modelo do Excel e revisa os resultados.
*Opção 2: Acesse os resultados em AWS Security Hub CSPM*
![\[Diagrama de arquitetura de acesso às descobertas do Analisador de Acesso à Rede por meio do AWS Security Hub\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
O diagrama mostra o seguinte processo:
1. Se você estiver executando manualmente a solução, o usuário se autentica na EC2 instância da Amazon usando o Gerenciador de Sessões e, em seguida, executa o script **naa-script.sh**. Esse script de shell executa as etapas de 2 a 7.
Se você estiver executando a solução automaticamente, o script **naa-script.sh** será iniciado automaticamente na programação que você definiu na expressão cron. Esse script de shell executa as etapas de 2 a 7. Para obter mais informações, consulte *Automação e escala* no fim desta seção.
1. A EC2 instância da Amazon baixa o arquivo **naa-exception.csv** mais recente do bucket do Amazon S3. Esse arquivo é usado posteriormente no processo, quando o script Python processa as exclusões.
1. A EC2 instância da Amazon assume a função `NAAEC2Role` do IAM, que concede permissões para acessar o bucket do Amazon S3 e assumir `NAAExecRole` as funções do IAM nas outras contas da organização.
1. A EC2 instância da Amazon assume a função `NAAExecRole` do IAM na conta de gerenciamento da organização e gera uma lista das contas na organização.
1. A EC2 instância da Amazon assume a função do `NAAExecRole` IAM nas contas dos membros da organização (chamadas de contas de *carga de trabalho no diagrama de arquitetura) e realiza uma avaliação de segurança em cada conta*. As descobertas são armazenadas como arquivos JSON na EC2 instância da Amazon.
1. A EC2 instância da Amazon usa um script Python para processar os arquivos JSON e extrair os campos de dados para importação no CSPM do Security Hub.
1. A EC2 instância da Amazon importa as descobertas do Network Access Analyzer para o Security Hub CSPM.
1. Uma EventBridge regra da Amazon detecta a importação e usa um tópico do Amazon SNS para enviar um e-mail notificando o usuário de que o processo foi concluído.
1. O usuário visualiza as descobertas no CSPM do Security Hub.
**Automação e escala**
Você pode programar essa solução para executar o script **naa-script.sh** automaticamente em um agendamento personalizado. Para definir um agendamento personalizado, no modelo **naa-resources.yaml** CloudFormation , modifique o parâmetro. `CronScheduleExpression` Por exemplo, o valor padrão de `0 0 * * 0` executa a solução à meia-noite de todos os domingos. Um valor de `0 0 * 1-12 0` executaria a solução à meia-noite do primeiro domingo de cada mês. Para obter mais informações sobre o uso de expressões cron, consulte [Cron e expressões rate](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) na documentação do Systems Manager.
Se quiser ajustar a programação após a implantação da pilha `NAA-Resources`, você pode editar manualmente a programação cron em `/etc/cron.d/naa-schedule`.
## Ferramentas
**Serviços da AWS**
+ [O Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fornece capacidade de computação escalável no. Nuvem AWS Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.
+ EventBridgeA [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) é um serviço de ônibus de eventos sem servidor que ajuda você a conectar seus aplicativos com dados em tempo real de várias fontes. Por exemplo, AWS Lambda funções, endpoints de invocação HTTP usando destinos de API ou barramentos de eventos em outros. Contas da AWS
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fornece uma visão abrangente do seu estado de segurança em AWS. Também ajuda você a verificar seu AWS ambiente de acordo com os padrões e as melhores práticas do setor de segurança.
+ O [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) ajuda você a coordenar e gerenciar a troca de mensagens entre publicadores e clientes, incluindo servidores web e endereços de e-mail.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
+ O [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) ajuda você a gerenciar suas aplicações e infraestrutura em execução na Nuvem AWS. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala. Esse padrão usa o Session Manager, um atributo do Systems Manager.
**Repositório de código**
O código desse padrão está disponível no repositório de [análise de várias contas do GitHub Network Access Analyzer](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). O repositório de código contém os seguintes arquivos:
+ **naa-script.sh** — Esse script bash é usado para iniciar uma análise de vários dados do Network Access Analyzer Contas da AWS, em paralelo. Conforme definido no CloudFormation modelo **naa-resources.yaml**, esse script é implantado automaticamente na pasta na instância da Amazon. `/usr/local/naa` EC2
+ **naa-resources.yaml** — Você usa esse CloudFormation modelo para criar uma pilha na conta de segurança na organização. Esse modelo implanta todos os recursos necessários para essa conta a fim de oferecer suporte à solução. Essa pilha deve ser implantada antes do modelo **naa-execrole.yaml**.
**nota**
Se essa pilha for excluída e reimplantada, você deverá reconstruir o conjunto de pilhas `NAAExecRole` para reconstruir as dependências entre contas entre as perfis do IAM.
+ **naa-execrole.yaml** — Você usa esse CloudFormation modelo para criar um conjunto de pilhas que implanta a função `NAAExecRole` do IAM em todas as contas da organização, incluindo a conta de gerenciamento.
+ **naa-processfindings.py** — O script **naa-script.sh** chama automaticamente esse script Python para processar as saídas JSON do Network Access Analyzer, excluir quaisquer recursos em boas condições no arquivo **naa-exclusions.csv** e, em seguida, gerar um arquivo CSV com os resultados consolidados ou importar os resultados para o CSPM do Security Hub.
## Épicos
### Preparar-se para implantação
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Clone o repositório de códigos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Consulte os modelos. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Crie as CloudFormation pilhas
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Provisione recursos na conta de segurança. | Usando o modelo **naa-resources.yaml**, você cria uma CloudFormation pilha que implanta todos os recursos necessários na conta de segurança. Para obter instruções, consulte [Criação de uma pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) na CloudFormation documentação. Observe o seguinte ao implantar esse modelo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Provisione o perfil do IAM nas contas dos membros. | Na conta AWS Organizations de gerenciamento ou em uma conta com permissões de administrador delegado para CloudFormation, use o modelo **naa-execrole.yaml** para criar um conjunto de pilhas. CloudFormation O conjunto de pilhas implanta o perfil `NAAExecRole` do IAM para todas as contas-membro da organização. Para obter instruções, consulte [Criar um conjunto de pilhas com permissões gerenciadas pelo serviço na documentação](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org). CloudFormation Observe o seguinte ao implantar esse modelo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Provisione o perfil do IAM na conta de gerenciamento. | Usando o modelo **naa-execrole.yaml**, você cria uma CloudFormation pilha que implanta a função do `NAAExecRole` IAM na conta de gerenciamento da organização. O conjunto de pilhas que você criou anteriormente não implanta o perfil do IAM na conta de gerenciamento. Para obter instruções, consulte [Criação de uma pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) na CloudFormation documentação. Observe o seguinte ao implantar esse modelo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Realizar a análise
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Personalize o script de shell. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analise as contas de destino. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opção 1: recupere os resultados do bucket do Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Opção 2 — Analise os resultados no Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Corrija e exclua as descobertas
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Corrija as descobertas. | Corrija as descobertas que você deseja abordar. Para obter mais informações e melhores práticas sobre como criar um perímetro em torno de suas AWS identidades, recursos e redes, consulte [Construindo um perímetro de dados em AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS Whitepaper). | AWS DevOps |
| Exclua recursos com caminhos de rede em boas condições. | Se o Analisador de Acesso à Rede gerar descobertas para recursos que devem ser acessíveis pela Internet, você poderá adicionar esses recursos a uma lista de exclusão. Na próxima vez que o Analisador de Acesso à Rede for executado, ele não gerará uma descoberta para esse recurso.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Opcional) Atualize o script naa-script.sh
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Atualize o script naa-script.sh. | Se você quiser atualizar o script **naa-script.sh** para a versão mais recente no repositório, faça o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Limpar (opcional)
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Exclua todos os recursos implantados. | Você pode deixar os recursos implantados nas contas.Para desprovisionar todos os recursos, faça o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## Solução de problemas
| Problema | Solução |
| --- | --- |
| Não é possível se conectar à EC2 instância da Amazon usando o Gerenciador de Sessões. | O SSM Agent deve conseguir se comunicar com o endpoint do Session Manager. Faça o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Ao implantar o conjunto de pilhas, o CloudFormation console solicita que você faça isso. `Enable trusted access with AWS Organizations to use service-managed permissions` | Isso indica que o acesso confiável não foi habilitado entre AWS Organizations CloudFormation e. É necessário o acesso confiável para implantar o conjunto de pilhas gerenciadas pelo serviço. Escolha o botão para habilitar o acesso confiável. Para obter mais informações, consulte [Habilitar acesso confiável](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) na CloudFormation documentação. |
## Recursos relacionados
+ [Novo — Analisador de acesso à rede Amazon VPC](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/) (AWS publicação no blog)
+ [AWS Re:inforce 2022 - Valide controles efetivos de acesso à rede em AWS (NIS202) (vídeo)](https://youtu.be/aN2P2zeQek0)
+ [Demonstração - Análise do caminho de dados de entrada na Internet em toda a organização usando o Analisador de Acesso à Rede](https://youtu.be/1IFNZWy4iy0) (vídeo)
## Mais informações
**Exemplo de saída de console**
O exemplo a seguir mostra o resultado da geração da lista de contas de destino e da análise das contas de destino.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Exemplos de relatórios CSV**
As imagens a seguir são exemplos da saída CSV.
![\[Exemplo 1 do relatório CSV gerado por essa solução.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Exemplo 2 do relatório CSV gerado por essa solução.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Configure a resolução de DNS para redes híbridas em um ambiente com várias contas AWS
*Anvesh Koganti, Amazon Web Services*
## Resumo
Este padrão fornece uma solução abrangente para configurar a resolução de DNS em ambientes de rede híbrida que incluem várias contas da Amazon Web Services (AWS). Ele permite a resolução bidirecional de DNS entre redes locais e o ambiente por meio de endpoints. AWS Amazon Route 53 Resolver O padrão apresenta duas soluções para permitir a resolução de DNS em uma [arquitetura centralizada com várias contas](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized):
+ A *configuração básica* não usa perfis do Route 53. Isso ajuda a otimizar os custos para implantações pequenas e médias de menor complexidade.
+ A *configuração avançada* usa perfis do Route 53 para simplificar as operações. É ideal para implantações de DNS maiores ou mais complexas.
**nota**
Consulte a seção *Limitações* para ver as limitações e cotas do serviço antes da implementação. Considere fatores como despesas gerais de gerenciamento, custos, complexidade operacional e a experiência da equipe ao tomar sua decisão.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ambiente de AWS várias contas com Amazon Virtual Private Cloud (Amazon VPC) implantado em serviços compartilhados e contas de carga de trabalho (de preferência configurado por meio do [AWS Control Tower AWS seguindo as melhores](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) práticas de estrutura de contas).
+ Conectividade híbrida existente (AWS Direct Connect ou AWS Site-to-Site VPN) entre sua rede local e o AWS ambiente.
+ Amazon VPC peering ou Nuvem AWS WAN para AWS Transit Gateway conectividade de rede de camada 3 entre. VPCs (Essa conectividade é necessária para o tráfego do aplicativo. Não é necessário que a resolução de DNS funcione. A resolução de DNS opera independentemente da conectividade de rede entre VPCs o.)
+ Servidores DNS em execução no ambiente on-premises.
**Limitações**
+ Os endpoints, regras e perfis do Route 53 Resolver são construções regionais e podem exigir replicação em vários Regiões da AWS para organizações globais.
+ Para obter uma lista abrangente de cotas de serviço para o Route 53 Resolver, zonas hospedadas privadas e perfis, consulte [Quotas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html) na documentação do Route 53.
## Arquitetura
**Pilha de tecnologias de destino**
+ Endpoints de saída e entrada do Route 53
+ Regras do Route 53 Resolver para encaminhamento condicional
+ AWS Resource Access Manager (AWS RAM)
+ Zona hospedada privada do Route 53
**Arquitetura de destino**
**Endpoints de saída e entrada**
O diagrama a seguir mostra o fluxo de resolução de DNS do local AWS para o local. Essa é a configuração de conectividade para resoluções de saída em que o domínio está hospedado on-premises. Confira abaixo uma visão geral de alto nível do processo envolvido na configuração. Consulte a seção [Épicos ](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics) para obter detalhes.
1. Implante endpoints de saída do Route 53 Resolver na VPC de serviços compartilhados.
1. Crie regras do Route 53 Resolver (regras de encaminhamento) na conta de serviços compartilhados para domínios hospedados on-premises.
1. Compartilhe e associe as regras a outras contas que hospedam recursos que precisam resolver domínios hospedados no local. VPCs Isso pode ser feito de maneiras diferentes, dependendo do seu caso de uso, conforme descrito posteriormente nesta seção.
![\[Endpoints de entrada e saída em um fluxo de resolução de DNS da AWS para on-premises.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Depois de configurar a conectividade, as etapas envolvidas na resolução de saída são as seguintes:
1. A instância Amazon Elastic Compute Cloud (Amazon EC2) envia uma solicitação de resolução de DNS `db.onprem.example.com` para o Resolvedor Route 53 da VPC no endereço VPC\$12.
1. O Resolvedor do Route 53 verifica as regras do Resolver e encaminha a solicitação para o servidor DNS local IPs usando o endpoint de saída.
1. O endpoint de saída encaminha a solicitação para o DNS local. IPs O tráfego passa pela conectividade de rede híbrida estabelecida entre a VPC de serviços compartilhados e o data center on-premises.
1. O servidor DNS on-premises responde de volta ao endpoint de saída, que então encaminha a resposta de volta para o Route 53 Resolver da VPC. O Resolver retorna a resposta para a EC2 instância.
O diagrama a seguir mostra o fluxo de resolução de DNS do ambiente local para o. AWS Essa é a configuração de conectividade para resoluções de entrada em que o domínio está hospedado na AWS. Confira abaixo uma visão geral de alto nível do processo envolvido na configuração. Consulte a seção [Épicos ](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics) para obter detalhes.
1. Implante endpoints de entrada do Resolver na VPC de serviços compartilhados.
1. Crie zonas hospedadas privadas na conta de serviços compartilhados (abordagem centralizada).
1. Associe as zonas hospedadas privadas à VPC de serviços compartilhados. Compartilhe e associe essas zonas a várias contas VPCs para resolução de VPC-to-VPC DNS. Isso pode ser feito de maneiras diferentes, dependendo do seu caso de uso, conforme descrito posteriormente nesta seção.
![\[Endpoints de entrada e saída em um fluxo de resolução de DNS de on-premises para a AWS.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Depois de configurar a conectividade, as etapas envolvidas na resolução de entrada são as seguintes:
1. O recurso on-premises envia uma solicitação de resolução de DNS para `ec2.prod.aws.example.com` ao servidor DNS on-premises.
1. O servidor DNS on-premises encaminha a solicitação para o endpoint do Resolver de entrada na VPC de serviços compartilhados pela conexão de rede híbrida.
1. O endpoint de entrada do Resolver pesquisa a solicitação na zona hospedada privada associada com a ajuda do Route 53 Resolver da VPC e obtém o endereço IP apropriado.
1. Esses endereços IP são enviados de volta ao servidor DNS on-premises, que retorna a resposta ao recurso on-premises.
Essa configuração permite que os recursos locais resolvam nomes de domínio AWS privados roteando consultas pelos endpoints de entrada para a zona hospedada privada apropriada. Nessa arquitetura, as zonas hospedadas privadas são centralizadas em uma VPC de serviços compartilhados, o que permite o gerenciamento centralizado do DNS por uma única equipe. Essas zonas podem ser associadas a várias VPCs para abordar o caso de uso da resolução de VPC-to-VPC DNS. Como alternativa, talvez você queira delegar a propriedade e o gerenciamento do domínio DNS a cada um. Conta da AWS Nesse caso, cada conta gerencia suas próprias zonas hospedadas privadas e associa cada zona à VPC central de serviços compartilhados para uma resolução unificada com o ambiente on-premises. Essa abordagem descentralizada está fora do escopo deste padrão. Para obter mais informações, consulte Como [escalar o gerenciamento de DNS em várias contas e VPCs](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) no whitepaper Opções de *DNS de nuvem híbrida para Amazon VPC*.
Ao estabelecer os fluxos fundamentais de resolução de DNS usando os endpoints do Resolver, você precisa determinar como gerenciar o compartilhamento e a associação das regras do Resolver e das zonas hospedadas privadas em todas as Contas da AWS. Você pode abordar isso de duas maneiras: por meio do compartilhamento autogerenciado usando AWS RAM para compartilhar regras do Resolver e associações diretas de zonas hospedadas privadas, conforme detalhado na seção *Configuração básica*, ou por meio dos Perfis do Route 53, conforme discutido na seção *Configuração aprimorada*. A escolha depende das preferências de gerenciamento de DNS e dos requisitos operacionais da sua organização. Os diagramas de arquitetura a seguir ilustram um ambiente escalável que inclui várias contas VPCs diferentes, o que representa uma implantação corporativa típica.
**Configuração básica**
Na configuração básica, a implementação da resolução de DNS híbrida em um AWS ambiente de várias contas é usada AWS RAM para compartilhar regras de encaminhamento do Resolver e associações de zonas hospedadas privadas para gerenciar consultas de DNS entre locais e recursos. AWS Esse método usa endpoints centralizados do Route 53 Resolver em uma VPC de serviços compartilhados conectada à sua rede on-premises para executar a resolução de DNS de entrada e saída com eficiência.
+ Para resolução de saída, as regras de encaminhamento do Resolver são criadas na conta do Shared Services e depois compartilhadas com outras pessoas Contas da AWS usando. AWS RAM Esse compartilhamento é limitado às contas que estiverem na mesma região. As contas de destino podem então associar essas regras às suas VPCs e habilitar os recursos nelas VPCs para resolver nomes de domínio locais.
+ Para a resolução de entrada, zonas hospedadas privadas são criadas na conta de serviços compartilhados e associadas à VPC de serviços compartilhados. Essas zonas podem então ser associadas VPCs a outras contas usando a API do Route 53 ou a AWS Command Line Interface (AWS CLI). AWS SDKs Os recursos associados VPCs podem então resolver os registros DNS definidos nas zonas hospedadas privadas, o que cria uma visão unificada do DNS em todo o seu AWS ambiente.
O diagrama a seguir mostra os fluxos de resolução de DNS nessa configuração básica.
![\[Como usar a configuração básica para resolução de DNS híbrida em um ambiente da AWS com várias contas.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Essa configuração funciona bem quando você trabalha com a infraestrutura de DNS em uma escala limitada. No entanto, seu gerenciamento pode ficar mais difícil à medida que o ambiente aumenta. A sobrecarga operacional de gerenciar como a zona hospedada privada e as regras do Resolver são compartilhadas e associadas VPCs individualmente aumenta significativamente com a escala. Além disso, as cotas de serviço, como o limite de associação de 300 VPCs por zona hospedada privada, podem se tornar fatores restritivos em implantações em grande escala. A configuração avançada soluciona esses desafios.
**Configuração avançada**
Os perfis do Route 53 oferecem uma solução simplificada para gerenciar a resolução de DNS em redes híbridas em várias Contas da AWS. Em vez de gerenciar zonas hospedadas privadas e regras do Resolver individualmente, você pode agrupar as configurações de DNS em um único contêiner que pode ser facilmente compartilhado e aplicado em várias VPCs contas em uma região. Essa configuração mantém a arquitetura centralizada de endpoints do Resolver em uma VPC de serviços compartilhados e simplifica significativamente o gerenciamento das configurações de DNS.
O diagrama a seguir mostra os fluxos de resolução de DNS em uma configuração avançada.
![\[Como usar a configuração avançada com perfis do Route 53 para resolução de DNS híbrida em um ambiente da AWS com várias contas.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
Os perfis do Route 53 permitem agrupar associações de zonas hospedadas privadas, regras de encaminhamento do Resolver e regras de firewall de DNS em uma única unidade compartilhável. Você pode criar perfis na conta do Shared Services e compartilhá-los com contas de membros usando AWS RAM. Quando um perfil é compartilhado e aplicado ao alvo VPCs, todas as associações e configurações necessárias são gerenciadas automaticamente pelo serviço. Isso reduz significativamente a sobrecarga operacional do gerenciamento de DNS e fornece excelente escalabilidade para ambientes em crescimento.
**Automação e escala**
Use ferramentas de infraestrutura como código (IaC), como CloudFormation o Terraform, para provisionar e gerenciar automaticamente endpoints, regras, zonas hospedadas privadas e perfis do Route 53 Resolver. Integre a configuração de DNS com pipelines de integração contínua e entrega contínua (CI/CD) para obter consistência, repetibilidade e atualizações rápidas.
## Ferramentas
**Serviços da AWS**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ajuda você a compartilhar seus recursos com segurança Contas da AWS para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)responde recursivamente às consultas de DNS dos AWS recursos e está disponível por padrão em todos. VPCs Você pode criar endpoints do Resolver e regras de encaminhamento condicional para resolver namespaces DNS entre seu data center local e seu. VPCs
+ A [zona hospedada privada do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) é um contêiner que armazena informações sobre como você deseja que o Route 53 responda a consultas ao DNS para um domínio e seus subdomínios.
+ [Os perfis do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) permitem que você aplique e gerencie configurações do Route 53 relacionadas ao DNS em várias VPCs e diferentes configurações de forma Contas da AWS simplificada.
## Práticas recomendadas
Esta seção fornece algumas das práticas recomendadas para otimizar o Route 53 Resolver. Elas representam um subconjunto das práticas recomendadas do Route 53. Para uma lista abrangente, consulte [Best practices for Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html).
**Evite configurações de loop com endpoints Resolver**
+ Projete sua arquitetura de DNS para evitar o roteamento recursivo planejando com cuidado as associações de VPCs. Quando uma VPC hospeda um endpoint de entrada, evite associá-la a regras do Resolver que possam criar referências circulares.
+ Use AWS RAM estrategicamente ao compartilhar recursos de DNS entre contas para manter caminhos de roteamento limpos.
Para obter mais informações, consulte [Avoid loop configurations with Resolver endpoints](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html) na documentação do Route 53.
**Escalar endpoints do Resolver**
+ Para ambientes que exigem um alto número de consultas por segundo (QPS), é importante lembrar que há um limite de 10 mil QPS por ENI em um endpoint. Mais ENIs podem ser adicionados a um endpoint para escalar o DNS QPS.
+ CloudWatch Fornecedores `InboundQueryVolume` e `OutboundQueryVolume` métricas da Amazon (consulte a [CloudWatch documentação](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Recomendamos que você configure regras de monitoramento para alertar se o limite exceder um determinado valor (por exemplo, 80% de 10 mil QPS).
+ Configure regras de grupos de segurança com estado para endpoints do Resolver a fim de evitar que limites de rastreamento de conexão acionem um controle de consultas ao DNS durante um tráfego de alto volume. Para saber mais sobre como o rastreamento de conexão funciona em grupos de segurança, consulte [Rastreamento de conexão de grupos de EC2 segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) da Amazon na EC2 documentação da Amazon.
Para obter mais informações, consulte [Resolver endpoint scaling](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) na documentação do Route 53.
**Forneça alta disponibilidade para endpoints do Resolver**
+ Crie endpoints de entrada com endereços IP em, pelo menos, duas zonas de disponibilidade para garantir redundância.
+ Provisione interfaces de rede adicionais para garantir a disponibilidade durante manutenções ou picos de tráfego
Para obter mais informações, consulte [High availability for Resolver endpoints](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) na documentação do Route 53.
## Épicos
### Implantar endpoints do Route 53 Resolver
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Implante um endpoint de entrada. | O Route 53 Resolver usa o endpoint de entrada para receber consultas ao DNS de solucionadores DNS on-premises. Para obter instruções, consulte [Encaminhando consultas de DNS de entrada para você VPCs ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html) na documentação do Route 53. Anote o endereço IP do endpoint de entrada. | Administrador da AWS, administrador de nuvem |
| Implante um endpoint de saída. | O Route 53 Resolver usa o endpoint de saída para enviar consultas ao DNS para solucionadores DNS on-premises. Para obter instruções, consulte [Como encaminhar consultas ao DNS de saída para sua rede](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html) na documentação do Route 53. Anote o ID do endpoint de saída. | Administrador da AWS, administrador de nuvem |
### Configurar e compartilhar zonas hospedadas privadas do Route 53
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie uma zona hospedada privada para um domínio hospedado em na AWS. | Essa zona contém os registros DNS dos recursos em um domínio AWS hospedado (por exemplo,`prod.aws.example.com`) que devem ser resolvidos a partir do ambiente local. Para obter instruções, consulte [Como criar uma zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) na documentação do Route 53.Ao criar uma zona hospedada privada, você deve associar uma VPC à zona hospedada que pertence à mesma conta. Selecione a VPC de serviços compartilhados para essa finalidade. | Administrador da AWS, administrador de nuvem |
| Configuração básica: associe a zona hospedada privada VPCs a outras contas. | Se você estiver usando a configuração básica (consulte a seção [Arquitetura](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):Para permitir que recursos na conta do membro VPCs resolvam registros DNS nessa zona hospedada privada, você deve associar o seu VPCs à zona hospedada. Você deve autorizar a associação e, em seguida, fazer a associação programaticamente. Para obter instruções, consulte [Associating an Amazon VPC and a private hosted zone that you created with different Contas da AWS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html) na documentação do Route 53. | Administrador da AWS, administrador de nuvem |
| Configuração avançada: configure e compartilhe perfis do Route 53. | Se você estiver usando a configuração avançada (consulte a seção [Arquitetura](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)):[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Dependendo da estrutura da sua organização e dos requisitos de DNS, talvez seja necessário criar e gerenciar vários perfis para diferentes contas ou workloads. | Administrador da AWS, administrador de nuvem |
### Configurar e compartilhar regras de encaminhamento do Route 53 Resolver
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie uma regra de encaminhamento para um domínio hospedado on-premises. | Essa regra instruirá o Route 53 Resolver a encaminhar qualquer consulta ao DNS para domínios on-premises (como `onprem.example.com`) para resolvedores do DNS on-premises. Para criar essa regra, você precisará dos endereços IP dos resolvedores do DNS on-premises e da ID do endpoint de saída. Para obter instruções, consulte [Criação de regras de encaminhamento](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html) na documentação do Route 53. | Administrador da AWS, administrador de nuvem |
| Configuração básica: compartilhe e associe a regra de encaminhamento à sua VPCs em outras contas. | Se estiver usando a configuração básica:Para que a regra de encaminhamento entre em vigor, você deve compartilhar e associar a regra às suas VPCs em outras contas. O Route 53 Resolver então leva a regra em consideração ao resolver um domínio. Para obter instruções, consulte [Compartilhamento de regras do Resolvedor com outras pessoas Contas da AWS e uso de regras compartilhadas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) e [Associação de regras de encaminhamento a uma VPC](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) na documentação do Route 53. | Administrador da AWS, administrador de nuvem |
| Configuração avançada: configure e compartilhe perfis do Route 53. | Se estiver usando a configuração avançada:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)Dependendo da estrutura da sua organização e dos requisitos de DNS, talvez seja necessário criar e gerenciar vários perfis para diferentes contas ou workloads. | Administrador da AWS, administrador de nuvem |
### Configurar resolvedores de DNS locais para integração AWS
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Configure o encaminhamento condicional nos resolvedores do DNS on-premises. | Para que as consultas DNS sejam enviadas AWS do ambiente local para resolução, você deve configurar o encaminhamento condicional nos resolvedores de DNS locais para apontar para o endereço IP do endpoint de entrada. Isso instrui os resolvedores de DNS a encaminhar todas as consultas de DNS do domínio AWS hospedado (por exemplo, for`prod.aws.example.com`) para o endereço IP do endpoint de entrada para resolução pelo Route 53 Resolver. | Administrador de rede |
### Verifique a resolução end-to-end do DNS em um ambiente híbrido
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Teste a resolução de DNS AWS até o ambiente local. | Em uma instância de uma VPC que tenha a regra de encaminhamento associada a ela, execute uma consulta ao DNS para um domínio hospedado on-premises (por exemplo, `db.onprem.example.com`). | Administrador de rede |
| Teste a resolução de DNS do ambiente local para. AWS | Em um servidor local, execute a resolução de DNS para um domínio AWS hospedado (por exemplo, para). `ec2.prod.aws.example.com` | Administrador de rede |
## Recursos relacionados
+ [Opções de DNS de nuvem híbrida para Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html)AWS (whitepaper)
+ [Working with private hosted zones](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (documentação do Route 53)
+ [Getting started with Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (documentação do Route 53)
+ [Simplifique o gerenciamento de DNS em um ambiente de várias contas com o Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (AWS postagem no blog)
+ [Unifique o gerenciamento de DNS usando perfis do Amazon Route 53 com vários VPCs e Contas da AWS](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (AWS postagem no blog)
+ [Migrando seu ambiente DNS de várias contas para os perfis do Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS postagem no blog)
+ [Usando perfis do Amazon Route 53 para AWS ambientes escaláveis de várias contas](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (AWS postagem no blog)
# Verifique se os balanceadores de carga ELB exigem terminação TLS
*Priyanka Chaudhary, Amazon Web Services*
## Resumo
Na nuvem da Amazon Web Services (AWS), o Elastic Load Balancing (ELB) distribui automaticamente o tráfego de entrada do aplicativo em vários destinos, como instâncias do Amazon Elastic Compute Cloud (Amazon EC2), contêineres, endereços IP e funções do AWS Lambda. Os balanceadores de carga usam receptores para definir as portas e os protocolos que o balanceador de carga usa para aceitar o tráfego dos usuários. Os balanceadores de carga de aplicativos tomam decisões de roteamento na camada do aplicativo e usam os protocolos HTTP/HTTPS . Os Classic Load Balancers (Balanceadores de carga clássicos) tomam decisões de roteamento na camada de transporte, usando protocolos TCP ou Secure Sockets Layer (SSL), ou na camada de aplicação, usando HTTP/HTTPS.
Esse padrão fornece um controle de segurança que examina vários tipos de eventos para Application Load Balancers e Classic Load Balancers. Quando a função é invocada, o AWS Lambda inspeciona o evento e garante que o balanceador de carga esteja em conformidade.
A função inicia um evento Amazon CloudWatch Events nas seguintes chamadas de API: [CreateLoadBalancer[CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html)](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), [DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html), e. [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html) Quando o evento detecta um deles APIs, ele chama o AWS Lambda, que executa um script Python. O script Python avalia se o receptor contém um certificado SSL e se a política aplicada está usando Transport Layer Security (TLS). Se a política SSL for determinada como diferente de TLS, a função enviará uma notificação do Amazon Simple Notification Service (Amazon SNS) ao usuário com as informações relevantes.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Uma conta AWS ativa
**Limitações**
+ Esse controle de segurança não verifica os balanceadores de carga existentes, a menos que seja feita uma atualização nos receptores do balanceador de carga.
+ Esse controle de segurança é regional. Você deve implantá-lo em cada região da AWS que você deseja monitorar.
## Arquitetura
**Arquitetura de destino**
![\[Garantir que os balanceadores de carga exijam encerramento do TLS.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Automação e escala**
+ Se você estiver usando o [AWS Organizations](https://aws.amazon.com/organizations/), poderá usar o [AWS Cloudformation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) para implantar esse modelo em várias contas que você deseja monitorar.
## Ferramentas
**Serviços da AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — CloudFormation A AWS ajuda você a modelar e configurar seus recursos da AWS, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida. Você pode usar um modelo para descrever seus recursos e as dependências deles, além de inicializá-los e configurá-los juntos como uma pilha, em vez de gerenciar recursos individualmente.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) — O Amazon CloudWatch Events fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos recursos da AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html): o AWS Lambda é um serviço de computação que permite a execução do código sem provisionar ou gerenciar servidores
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html): o Amazon Simple Storage Service (Amazon S3) é um serviço de armazenamento de objetos altamente escalável que pode ser usado para uma ampla variedade de soluções de armazenamento, incluindo sites, aplicativos móveis, backups e data lakes.
+ [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html): o Amazon Simple Notification Service (Amazon SNS) é um serviço da Web que coordena e gerencia a entrega ou o envio de mensagens entre publicadores e clientes, incluindo servidores da Web e endereços de e-mail. Os assinantes recebem todas as mensagens publicadas nos tópicos para os quais eles se inscrevem, e todos os assinantes em um tópico recebem as mesmas mensagens.
**Código **
Esse padrão inclui os seguintes anexos:
+ `ELBRequirestlstermination.zip`: o código Lambda para o controle de segurança.
+ `ELBRequirestlstermination.yml`— O CloudFormation modelo que configura o evento e a função Lambda.
## Épicos
### Configurar o bucket do S3
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Definir o bucket do S3. | No [console do Amazon S3](https://console.aws.amazon.com/s3/), escolha ou crie um bucket do S3 para hospedar o arquivo .zip do código do Lambda. Esse bucket do S3 deve estar na mesma região da AWS que o balanceador de carga que você deseja avaliar. Um nome de bucket do S3 é globalmente exclusivo, e o namespace é compartilhado por todas as contas da AWS. O nome do bucket do S3 não pode incluir barras iniciais. | Arquiteto de nuvem |
| Faça o upload do código do Lambda. | Faça upload do código do Lambda (arquivo `ELBRequirestlstermination.zip`) fornecido na seção *Anexos* para o bucket do S3. | Arquiteto de nuvem |
### Implante o CloudFormation modelo
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Inicie o CloudFormation modelo da AWS. | Abra o [ CloudFormation console da AWS](https://console.aws.amazon.com/cloudformation/) na mesma região da AWS do seu bucket do S3 e implante o modelo `ELBRequirestlstermination.yml` anexado. Para obter mais informações sobre a implantação de CloudFormation modelos da AWS, consulte [Como criar uma pilha no CloudFormation console da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) na CloudFormation documentação. | Arquiteto de nuvem |
| Preencher os parâmetros no modelo. | Ao iniciar o modelo, você será solicitado a fornecer as seguintes informações:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Arquiteto de nuvem |
### Confirmar a assinatura
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Confirmar a assinatura. | Quando o CloudFormation modelo é implantado com sucesso, ele envia um e-mail de assinatura para o endereço de e-mail que você forneceu. Você deve confirmar essa assinatura de e-mail para começar a receber notificações de violação. | Arquiteto de nuvem |
## Recursos relacionados
+ [Criação de uma pilha no CloudFormation console da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentação da AWS)
+ [O que é o AWS Lambda?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (Documentação do AWS Lambda)
+ [O que é um Classic Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (Documentação do ELB)
+ [O que é um Application Load Balancer?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (Documentação do ELB)
## Anexos
Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: [ attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# Visualização de logs e métricas do AWS Network Firewall usando o Splunk
*Ivo Pinto, Amazon Web Services*
## Resumo
Muitas organizações usam o [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) como uma ferramenta centralizada de agregação e visualização para registros e métricas de diferentes fontes. Esse padrão ajuda você a configurar o Splunk para buscar registros e métricas do [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) do [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) usando o complemento Splunk para AWS.
Para atingir esse objetivo, é necessário criar um perfil do AWS Identity and Access Management (IAM) com acesso somente para leitura. O complemento Splunk para AWS usa essa função para acessar. CloudWatch Você configura o complemento Splunk para AWS para buscar métricas e registros do. CloudWatch Por fim, você criará visualizações no Splunk usando os dados de logs e métricas recuperados.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Uma conta do [Splunk](https://www.splunk.com/)
+ Uma instância do Splunk Enterprise, versão 8.2.2 ou versões posteriores
+ Uma conta AWS ativa
+ Firewall de rede, [configurado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) [e configurado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) para enviar registros para o CloudWatch Logs
**Limitações**
+ O Splunk Enterprise deve ser implantado como um cluster de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) na Nuvem AWS.
+ A coleta de dados usando um perfil do IAM automaticamente descoberto para o Amazon EC2 não é compatível nas regiões da AWS localizadas na China.
## Arquitetura
![\[Arquitetura de registro em log do AWS Network Firewall e do Splunk\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
O diagrama ilustra o seguinte:
1. O Network Firewall publica registros em CloudWatch Logs.
1. O Splunk Enterprise recupera métricas e registros de. CloudWatch
Para preencher métricas e logs de exemplo nesta arquitetura, uma workload gera tráfego que passa pelo endpoint do Network Firewall para se conectar à internet. Isso é obtido pelo uso de [tabelas de rotas](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables). Embora esse padrão use uma única instância do Amazon EC2 como carga de trabalho, esse padrão pode ser aplicado a qualquer arquitetura, desde que o Network Firewall esteja configurado para enviar registros para Logs. CloudWatch
Essa arquitetura também usa uma instância do Splunk Enterprise em outra nuvem privada virtual (VPC). No entanto, a instância do Splunk pode estar em outro local, como na mesma VPC da carga de trabalho, desde que possa alcançar o. CloudWatch APIs
## Ferramentas
**Serviços da AWS**
+ O [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ajuda você a centralizar os registros de todos os seus sistemas, aplicativos e serviços da AWS para que você possa monitorá-los e arquivá-los com segurança.
+ O [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) oferece capacidade computacional escalável na Nuvem AWS. Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.
+ [O AWS Network Firewall é um firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) de rede gerenciado e monitorado, além de um serviço de detecção e prevenção de intrusões VPCs na nuvem da AWS.
**Outras ferramentas**
+ O [Splunk](https://www.splunk.com/) ajuda você a monitorar, visualizar e analisar dados de log.
## Épicos
### Criar um perfil do IAM
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Crie a política do IAM. | Siga as instruções em [Como criar políticas usando o editor JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) para criar a política do IAM que concede acesso somente para leitura aos dados e métricas do CloudWatch Logs. CloudWatch Cole a política a seguir no editor de JSON.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | Administrador da AWS |
| Crie um novo perfil do IAM. | Siga as instruções em [Criação de uma função para delegar permissões a um serviço da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) para criar a função do IAM que o complemento Splunk para AWS usa para acessar. CloudWatch Em **Políticas de permissões**, escolha a política que você criou anteriormente. | Administrador da AWS |
| Atribua o perfil do IAM às instâncias do EC2 presentes no cluster do Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador da AWS |
### Instalação do Splunk Add-On para AWS
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Instale o complemento . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador do Splunk |
| Configure as credenciais da AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Para obter mais informações, consulte [Find an IAM role within your Splunk platform instance](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) na documentação do Splunk. | Administrador do Splunk |
### Configure o acesso do Splunk ao CloudWatch
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Configure a recuperação dos registros do Firewall de Rede a partir dos CloudWatch Registros. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Por padrão, o Splunk busca os dados de logs a cada dez minutos. Esse é um parâmetro configurável em **Configurações avançadas**. Para obter mais informações, consulte [Configurar uma entrada de CloudWatch registros usando o Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) na documentação do Splunk. | Administrador do Splunk |
| Configure a recuperação das métricas do Network Firewall de CloudWatch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Por padrão, o Splunk busca os dados de métricas a cada cinco minutos. Esse é um parâmetro configurável em **Configurações avançadas**. Para obter mais informações, consulte [Configurar uma CloudWatch entrada usando o Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) na documentação do Splunk. | Administrador do Splunk |
### Criação de visualizações no Splunk usando consultas
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Visualize os principais endereços IP de origem. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador do Splunk |
| Visualize as estatísticas de pacotes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador do Splunk |
| Visualize as portas de origem mais usadas. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador do Splunk |
## Recursos relacionados
**Documentação da AWS**
+ [Criar um perfil para delegar permissões a um serviço da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (documentação do IAM)
+ [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (Documentação do IAM)
+ [Logging and monitoring in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html)(documentação do Network Firewall)
+ [Route table configurations for AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentação do Network Firewall)
**Publicações do blog da AWS**
+ [AWS Network Firewall deployment models](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Mais padrões
**Topics**
+ [Acesse um bastion host usando o Session Manager e o Amazon EC2 Instance Connect](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Acesse aplicativos de contêineres de forma privada no Amazon ECS usando o AWS Fargate, a PrivateLink AWS e um Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Acesse aplicativos de contêineres de forma privada no Amazon ECS usando a AWS PrivateLink e um Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Centralize a resolução de DNS usando o Microsoft AWS Managed Microsoft AD Active Directory local](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Crie um portal para microfrontends usando Angular e AWS Amplify Module Federation](create-amplify-micro-frontend-portal.md)
+ [Implante uma API do Amazon API Gateway em um site interno usando endpoints privados e um Application Load Balancer](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Implemente controles de acesso baseados em atributos de detetive para sub-redes públicas usando AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Implantação de controles de acesso preventivos por atributo para sub-redes públicas](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Habilite conexões criptografadas para instâncias de banco de dados PostgreSQL no Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Estenda VRFs para a AWS usando o AWS Transit Gateway Connect](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Migre uma carga de trabalho F5 BIG-IP para F5 BIG-IP VE no Nuvem AWS](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Migração dos NGINX Ingress Controllers ao habilitar o Modo Automático do Amazon EKS](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Preserve o espaço IP roteável em projetos de VPC com várias contas para sub-redes sem workload](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Impeça o acesso à Internet no nível da conta usando uma política de controle de serviços](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Envie alertas do AWS Network Firewall para um canal do Slack](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Ofereça conteúdo estático em um bucket do Amazon S3 por meio de uma VPC usando a Amazon CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Configure a recuperação de desastres para o Oracle JD Edwards com o EnterpriseOne AWS Elastic Disaster Recovery](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Use as consultas do BMC Discovery para extrair dados de migração para o planejamento da migração](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Uso do Network Firewall para capturar os nomes de domínio DNS da indicação do nome do servidor para o tráfego de saída](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)