REL02-BP04 Preferir topologias hub-and-spoke em vez de malha muitos para muitos

Ao conectar várias redes privadas, como nuvens privadas virtuais (VPCs) e redes on-premises, opte por uma topologia hub-and-spoke em vez de uma em malha. Diferentemente das topologias em malha, em que cada rede se conecta diretamente às outras e aumenta a complexidade e as despesas indiretas de gerenciamento, a arquitetura hub-and-spoke centraliza as conexões por meio de um único hub. Essa centralização simplifica a estrutura da rede e aprimora a operabilidade, a escalabilidade e o controle.

O AWS Transit Gateway é um serviço gerenciado, escalável e de alta disponibilidade projetado para a construção de redes hub-and-spoke na AWS. Ele serve como o hub central da rede que fornece segmentação de rede, roteamento centralizado e conexão simplificada com ambientes on-premises e na nuvem. A figura a seguir ilustra como você pode usar o AWS Transit Gateway para criar a topologia hub-and-spoke.

AWS Transit Gateway connecting various services like VPCs, Direct Connect, and third-party appliances.

Resultado desejado: você conectou as nuvens privadas virtuais (VPCs) e redes on-premises por meio de um hub central. Você configura as conexões de emparelhamento por meio do hub, que atua como um roteador de nuvem altamente escalável. O roteamento é simplificado porque você não precisa trabalhar com relacionamentos de emparelhamento complexos. O tráfego entre redes é criptografado e você tem a capacidade de isolar redes.

Práticas comuns que devem ser evitadas:

Criar regras complexas de emparelhamento de rede.
Fornecer rotas entre redes que não devem se comunicar umas com as outras (por exemplo, workloads separadas que não têm interdependências).
Há uma governança ineficaz da instância do hub.

Benefícios de implementar essa prática recomendada: à medida que o número de redes conectadas aumenta, o gerenciamento e a expansão da conectividade em malha se tornam cada vez mais desafiadores. Uma arquitetura de malha apresenta desafios adicionais, como componentes adicionais de infraestrutura, requisitos de configuração e considerações de implantação. A malha também introduz uma sobrecarga adicional para gerenciar e monitorar os componentes do plano de dados e do ambiente de gerenciamento. Você deve pensar em como fornecer alta disponibilidade da arquitetura de malha, como monitorar a integridade e o desempenho da malha e como lidar com as atualizações dos componentes da malha.

Um modelo hub-and-spoke, por outro lado, estabelece o roteamento centralizado do tráfego em várias redes. Ele fornece uma abordagem mais simples para gerenciamento e monitoramento dos componentes do plano de dados e do ambiente de gerenciamento.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Crie uma conta de serviços de rede se não houver uma. Coloque o hub na conta de Serviços de Rede da organização. Essa abordagem permite que o hub seja gerenciado centralmente por engenheiros de rede.

O hub do modelo hub-and-spoke atua como um roteador virtual para o tráfego que flui entre suas nuvens privadas virtuais (VPC) e redes on-premises. Essa abordagem reduz a complexidade da rede e facilita a solução de problemas de rede.

Considere o design da rede, incluindo as VPCs, o AWS Direct Connect e as conexões do Site-to-Site VPN que você deseja interconectar.

Considere usar uma sub-rede separada para cada anexo da VPC do gateway de trânsito. Para cada sub-rede, use um CIDR pequeno (por exemplo /28), para que você tenha mais espaço de endereço para recursos de computação. Adicionalmente, crie uma network ACL e associe-a a todas as sub-redes que estão associadas ao hub. Mantenha a ACL de rede aberta nas direções de entrada e saída.

Projete e implemente as tabelas de rotas de modo que as rotas sejam fornecidas somente entre redes que devem se comunicar. Omita rotas entre redes que não devem se comunicar umas com as outras (por exemplo, entre workloads separadas que não têm interdependências).

Etapas de implementação

Planeje sua rede. Determine quais redes você deseja conectar e verifique se elas não compartilham intervalos CIDR sobrepostos.
Crie um AWS Transit Gateway e conecte as VPCs.
Se necessário, crie conexões VPN ou gateways Direct Connect e associe-os ao gateway de trânsito.
Defina como o tráfego é direcionado entre as VPCs conectadas e outras conexões por meio da configuração das tabelas de rotas do gateway de trânsito.
Use o Amazon CloudWatch para monitorar e ajustar as configurações conforme necessário para otimizar a performance e os custos.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Workshops relacionados:

Workshop do AWS Transit Gateway

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

REL02-BP03 Garantir contas de alocação de sub-rede IP para expansão e disponibilidade

REL02-BP05 Aplicar intervalos de endereços IP privados não sobrepostos a todos os espaços de endereços privados onde estão conectados