As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acesse de forma privada um endpoint de AWS serviço central a partir de vários VPCs
Criado por Martin Guenthner (AWS) e Samuel Gordon () AWS
Repositório de código: VPC Endpoint Sharing | Ambiente: produção | Tecnologias: Rede; Infraestrutura |
AWSserviços: AWSRAM; Amazon Route 53; AmazonSNS; AWS Transit Gateway; Amazon VPC |
Resumo
Os requisitos de segurança e conformidade para seu ambiente podem especificar que o tráfego para serviços ou endpoints da Amazon Web Services (AWS) não deve atravessar a Internet pública. Esse padrão é uma solução projetada para uma hub-and-spoketopologia, em que um hub central VPC é conectado a vários raios VPCs distribuídos. Nessa solução, você usa AWS PrivateLink para criar um VPC endpoint de interface para o AWS serviço na conta do hub. Em seguida, você usa gateways de trânsito e uma regra distribuída do Sistema de Nomes de Domínio (DNS) para resolver solicitações para o endereço IP privado do endpoint, entre os conectados. VPCs
Esse padrão descreve como usar o AWS Transit Gateway, um endpoint de entrada do Amazon Route 53 Resolver e uma regra de encaminhamento compartilhada do Route 53 para resolver DNS as consultas dos recursos conectados. VPCs Você cria o endpoint, o gateway de trânsito, o resolvedor e a regra de encaminhamento na conta do hub. Em seguida, você usa o AWS Resource Access Manager (AWSRAM) para compartilhar o gateway de trânsito e a regra de encaminhamento com o spokeVPCs. Os AWS CloudFormation modelos fornecidos ajudam você a implantar e configurar os recursos no hub VPC e no spokeVPCs.
Pré-requisitos e limitações
Pré-requisitos
Uma conta hub e uma ou mais contas spoke, gerenciadas na mesma organização em AWS Organizations. Para obter mais informações, consulte Criação e gerenciamento de uma organização .
AWSO Resource Access Manager (AWSRAM) está configurado como um serviço confiável em AWS Organizations. Para obter mais informações, consulte Usando AWS Organizations com outros AWS serviços.
DNSa resolução deve ser ativada no hub e no spokeVPCs. Para obter mais informações, consulte DNSos atributos do seu VPC (documentação da Amazon Virtual Private Cloud).
Limitações
Esse padrão conecta contas hub e spoke na mesma AWS região. Para implantações em várias regiões, você deve repetir esse padrão para cada região.
O AWS serviço deve ser integrado PrivateLink como um VPC endpoint de interface. Para obter uma lista completa, consulte AWSos serviços que se integram com AWS PrivateLink (PrivateLink documentação).
A afinidade com a zona de disponibilidade não é garantida. Por exemplo, consultas da Zona de Disponibilidade A podem responder com um endereço IP da Zona de Disponibilidade B.
A interface de rede elástica associada ao VPC endpoint tem um limite de 10.000 consultas por segundo.
Arquitetura
Pilha de tecnologias de destino
Um hub VPC na AWS conta do hub
Um ou mais falaram VPCs em um AWS relato falado
Um ou mais VPC endpoints de interface na conta do hub
Resolvedores Route 53 de entrada e saída na conta do hub
Uma regra de encaminhamento do Route 53 Resolver implantada na conta do hub e compartilhada com a conta spoke
Um gateway de trânsito implantado na conta do hub e compartilhado com a conta spoke
AWSTransit Gateway conectando o hub e o spoke VPCs
Arquitetura de destino
A imagem a seguir mostra um exemplo de arquitetura para essa solução. Nessa arquitetura, a regra de encaminhamento do Route 53 Resolver na conta do hub tem a seguinte relação com os outros componentes da arquitetura:
A regra de encaminhamento é compartilhada com o VPC falado usando AWSRAM.
A regra de encaminhamento está associada ao resolvedor de saída no hub. VPC
A regra de encaminhamento tem como alvo o resolvedor de entrada no hub. VPC
A imagem a seguir mostra o fluxo de tráfego por meio da arquitetura de exemplo:
Um recurso, como uma instância do Amazon Elastic Compute Cloud (AmazonEC2), no discurso, VPC faz uma DNS solicitação para
<service>.<region>.amazonaws.com
. A solicitação é recebida pelo Amazon DNS Resolver, que fala.A regra de encaminhamento do Route 53, que é compartilhada da conta do hub e associada ao spokeVPC, intercepta a solicitação.
No hubVPC, o Resolvedor de saída usa a regra de encaminhamento para encaminhar a solicitação para o Resolvedor de entrada.
O Resolvedor de entrada usa o hub VPC Amazon DNS Resolver para resolver o endereço IP
<service>.<region>.amazonaws.com
para o endereço IP privado de um VPC endpoint. Se nenhum VPC endpoint estiver presente, ele será resolvido para o endereço IP público.
Ferramentas
AWSferramentas e serviços
AWS CloudFormationajuda você a configurar AWS recursos, provisioná-los de forma rápida e consistente e gerenciá-los durante todo o ciclo de vida em todas AWS as contas e regiões.
O Amazon Elastic Compute Cloud (AmazonEC2) fornece capacidade de computação escalável na AWS nuvem. Você pode iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.
AWSO Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
AWSO Resource Access Manager (AWSRAM) ajuda você a compartilhar com segurança seus recursos entre AWS contas para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade.
O Amazon Route 53 é um serviço web de Sistema de Nomes de Domínio (DNS) altamente disponível e escalável.
AWSO Systems Manager ajuda você a gerenciar seus aplicativos e infraestrutura em execução na AWS nuvem. Ele simplifica o gerenciamento de aplicativos e recursos, reduz o tempo para detectar e resolver problemas operacionais e ajuda você a gerenciar seus AWS recursos com segurança em grande escala.
AWSO Transit Gateway é um hub central que conecta VPCs redes locais.
A Amazon Virtual Private Cloud (AmazonVPC) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual se assemelha a uma rede tradicional que você operaria em seu próprio data center, com os benefícios de usar a infraestrutura escalável do. AWS
Outras ferramentas e serviços
O nslookup
é uma ferramenta de linha de comando usada para consultar registros. DNS Nesse padrão, você usa essa ferramenta para testar a solução.
Repositório de código
O código desse padrão está disponível em GitHub, no vpc-endpoint-sharing
Um modelo para implantar os seguintes recursos na conta do hub:
rSecurityGroupEndpoints
— O grupo de segurança que controla o acesso ao VPC endpoint.rSecurityGroupResolvers
: o grupo de segurança que controla o acesso ao Resolver do Route 53.rKMSEndpoint
,rSSMMessagesEndpoint
,rSSMEndpoint
, erEC2MessagesEndpoint
— Exemplo de VPC endpoints de interface na conta do hub. Personalize esses endpoints para o seu caso de uso.rInboundResolver
— Um resolvedor do Route 53 que resolve DNS consultas no hub Amazon DNS Resolver.rOutboundResolver
: um resolvedor de saída do Route 53 que encaminha as consultas para o Resolvedor de entrada.rAWSApiResolverRule
— A regra de encaminhamento do Route 53 Resolver que é compartilhada com todos os VPCs falados.rRamShareAWSResolverRule
— O AWS RAM compartilhamento que permite que o falante use VPCs a regrarAWSApiResolverRule
de encaminhamento.*
rVPC
— O hubVPC, usado para modelar os serviços compartilhados.*
rSubnet1
: uma sub-rede privada usada para hospedar os recursos do hub.*
rRouteTable1
— A tabela de rotas para o hubVPC.*
rRouteTableAssociation1
— Para a tabela derRouteTable1
rotas no hubVPC, a associação para a sub-rede privada.*
rRouteSpoke
— A rota do hub VPC até o raioVPC.*
rTgw
— O gateway de trânsito que é compartilhado com todos os falantesVPCs.*
rTgwAttach
— O anexo que permite ao hub VPC rotear o tráfego para o gateway derTgw
trânsito.*
rTgwShare
— O AWS RAM compartilhamento que permite que as contas spoke usem o gateway derTgw
trânsito.
Um modelo para implantar os seguintes recursos nas contas spoke:
rAWSApiResolverRuleAssociation
— Uma associação que permite que o spoke use VPC a regra de encaminhamento compartilhado na conta do hub.*
rVPC
— O falouVPC.*
rSubnet1, rSubnet2, rSubnet3
: uma sub-rede para cada zona de disponibilidade, usada para abrigar os recursos privados do spoke.*
rTgwAttach
— O anexo que permite que o spoke VPC direcione o tráfego para o gateway derTgw
trânsito.*
rRouteTable1
— A tabela de rotas para o raioVPC.*
rRouteEndpoints
— A rota dos recursos no raio VPC até o gateway de trânsito.*
rRouteTableAssociation1/2/3
— Para a tabela derRouteTable1
rotas no spokeVPC, as associações para as sub-redes privadas.*
rInstanceRole
— A IAM função usada para testar a solução.*
rInstancePolicy
— A IAM política usada para testar a solução.*
rInstanceSg
: o grupo de segurança usado para testar a solução.*
rInstanceProfile
— O perfil da IAM instância usado para testar a solução.*
rInstance
— Uma EC2 instância pré-configurada para acesso por meio do AWS Systems Manager. Use essa instância para testar a solução.
* Esses recursos oferecem suporte à arquitetura de amostra e podem não ser necessários ao implementar esse padrão em uma zona de pouso existente.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Clone o repositório de códigos. |
| Administrador de rede, arquiteto de nuvem |
Modifique os modelos. |
| Administrador de rede, arquiteto de nuvem |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Implante os recursos do hub. | Usando o modelo hub.yml, crie uma pilha. CloudFormation Quando solicitado, apresente os valores para os parâmetros do modelo. Para obter mais informações, consulte Criação de uma pilha (CloudFormation documentação). | Arquiteto de nuvem, administrador de rede |
Implante os recursos do spoke. | Usando o modelo spoke.yml, crie uma pilha. CloudFormation Quando solicitado, apresente os valores para os parâmetros do modelo. Para obter mais informações, consulte Criação de uma pilha (CloudFormation documentação). | Arquiteto de nuvem, administrador de rede |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Teste DNS consultas privadas ao AWS serviço. |
| Administrador de rede |
Teste DNS consultas públicas em um AWS serviço. |
| Administrador de rede |
Recursos relacionados
Construindo uma infraestrutura de várias VPC AWS redes escalável e segura (white paper
) AWS Trabalhando com recursos compartilhados (AWSRAMdocumentação)
Trabalhando com gateways de trânsito (documentação do AWS Transit Gateway)