Construindo uma infraestrutura de rede múltipla escalável e segura VPC AWS - Construindo uma infraestrutura de rede múltipla escalável e segura VPC AWS
IntroduçãoPlanejamento e gerenciamento de endereços IPVocê é Well-Architected?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Construindo uma infraestrutura de rede múltipla escalável e segura VPC AWS

Data de publicação: 17 de abril de 2024 () Histórico do documento

Os clientes da Amazon Web Services (AWS) geralmente confiam em centenas de contas e nuvens privadas virtuais (VPCs) para segmentar suas cargas de trabalho e expandir sua presença. Esse nível de escala geralmente cria desafios em relação ao compartilhamento de recursos, à interconectividade e às instalações locais de VPC conectividade. VPC

Este whitepaper descreve as melhores práticas para criar arquiteturas de rede escaláveis e seguras em uma grande rede usando AWS serviços como Amazon Virtual Private Cloud (AmazonVPC),,, AWS Transit GatewayAWS PrivateLink, Gateway AWS Direct ConnectLoad Balancer e Amazon Route 53 AWS Network Firewall. Ele demonstra soluções para gerenciar uma infraestrutura em crescimento, garantindo escalabilidade, alta disponibilidade e segurança, mantendo os custos indiretos baixos.

Introdução

AWS os clientes começam criando recursos em uma única AWS conta que representa um limite de gerenciamento que segmenta permissões, custos e serviços. No entanto, à medida que a organização do cliente cresce, torna-se necessária uma maior segmentação dos serviços para monitorar custos, controlar o acesso e facilitar o gerenciamento ambiental. Uma solução com várias contas resolve esses problemas fornecendo contas específicas para serviços de TI e usuários dentro de uma organização. AWS fornece várias ferramentas para gerenciar e configurar essa infraestrutura, inclusive AWS Control Tower

Um diagrama que descreve a implantação AWS Control Tower inicial

AWS Implantação inicial da Control Tower

Quando você configura seu ambiente de várias contas usando AWS Control Tower, ele cria duas unidades organizacionais (OUs):

  • OU de segurança — Dentro dessa OU, AWS Control Tower cria duas contas:

  • Arquivamento de registros

  • Auditoria (essa conta corresponde à conta do Security Tooling discutida anteriormente na orientação.)

  • Sandbox OU — Essa OU é o destino padrão para contas criadas dentro AWS Control Tower dela. Ele contém contas nas quais seus criadores podem explorar e experimentar AWS serviços e outras ferramentas e serviços, de acordo com as políticas de uso aceitável da sua equipe.

AWS Control Tower permite criar, registrar e gerenciar mais OUs para expandir o ambiente inicial e implementar a orientação.

O diagrama a seguir mostra o OUs inicialmente implantado por AWS Control Tower. Você pode expandir seu AWS ambiente para implementar qualquer uma das recomendações OUs incluídas no diagrama, a fim de atender às suas necessidades.

Um diagrama que descreve a AWS organizaçãoOUs.

AWS organizacional OUs

Para obter mais detalhes sobre o uso de ambientes com várias contas AWS Control Tower, consulte o Apêndice E no whitepaper Organizando seu AWS ambiente usando várias contas.

A maioria dos clientes começa com alguns VPCs para implantar sua infraestrutura. O número que VPCs um cliente cria geralmente está relacionado ao número de contas, usuários e ambientes em estágios (produção, desenvolvimento, teste etc.). À medida que o uso da nuvem cresce, o número de usuários, unidades de negócios, aplicativos e regiões com os quais um cliente interage também cresce, levando à criação de novosVPCs.

À medida que o número VPCs cresce, o VPC gerenciamento cruzado se torna essencial para a operação da rede em nuvem do cliente. Este whitepaper aborda as melhores práticas para três áreas específicas de conectividade cruzada e híbrida: VPC

Planejamento e gerenciamento de endereços IP

Para criar um design escalável de várias VPC redes para várias contas, o planejamento e o gerenciamento de endereços IP são essenciais. Um bom esquema de endereçamento IP precisa considerar suas necessidades de rede atuais e futuras. Seu esquema de endereços IP O IP precisa cobrir suas cargas de trabalho locais, suas cargas de trabalho na nuvem e também deve permitir uma expansão futura (por exemplo, adição de novas Regiões da AWS unidades de negócios e fusões ou aquisições). Isso também deve evitar que suas equipes criem inadvertidamente IPs sobrepostos. CIDRs Se a sobreposição de IP CIDR for desejada, como para cargas de trabalho isoladas ou desconectadas, essa decisão precisa ser consciente e deve levar em conta as implicações no roteamento, na segurança e nos custos. Talvez você também precise considerar a criação dos processos de aprovação necessários para essas exceções. Um bom esquema de endereçamento IP também ajuda a simplificar o design da rede e a configuração de roteamento.

Considerações importantes:

  • Planeje seu esquema de endereçamento IP (público e privadoIPs) com antecedência e selecione uma ferramenta de gerenciamento de endereço IP para alocar, gerenciar e rastrear o uso do endereço IP em todas as suas cargas de trabalho.

  • Use esquemas de endereçamento IP hierárquicos e resumidos.

  • Planeje uma atribuição consistente de IP com base no ambiente Região da AWS, na organização ou na unidade de negócios.

  • Designe um IP distinto CIDRs (ambos IPv4 eIPv6) para redes locais e na nuvem.

  • Previna e rastreie proativamente a sobreposição de IP. CIDRs

  • Dimensione seu IP CIDRs adequadamente para permitir o escalonamento e o crescimento futuro.

  • Habilite suas cargas de trabalho IPv6 ou a compatibilidade de pilha dupla para reduzir os conflitos de IP e o esgotamento do espaço de endereçamento. IPv4

Você pode usar o Amazon VPC IP Address Manager (IPAM) para simplificar o planejamento, o rastreamento e o monitoramento de endereços IP públicos e privados para suas AWS cargas de trabalho. IPAMpermite que você organize, aloque, monitore e compartilhe o espaço de endereço IP entre vários Regiões da AWS e. Contas da AWS Também ajuda na alocação automática do VPCs uso CIDRs de regras comerciais específicas.

Consulte as melhores práticas do Amazon VPC IP Address Manager, o gerenciamento de grupos de IP em VPCs todas as regiões usando o Amazon VPC IP Address Manager e o gerenciamento de endereços IP para ver postagens de AWS Control Tower blog para aprender as melhores práticas de endereçamento IP e como usar IPAM para gerenciar pools de IP em VPCs Regiões da AWS, AWS Control Tower e.

Você é Well-Architected?

O Well-Architected Framework da AWS ajuda você a entender os prós e os contras das decisões que você toma ao criar sistemas na nuvem. Os seis pilares do framework permitem a você conhecer as melhores práticas de arquitetura para criar e operar sistemas confiáveis, seguros, econômicos e sustentáveis na nuvem. Usando o AWS Well-Architected Tool, disponível gratuitamente no AWS Management Console, você pode analisar suas workloads em relação a essas práticas recomendadas respondendo a um conjunto de perguntas para cada pilar.

Para obter orientações especializadas e melhores práticas adicionais para a arquitetura de sua nuvem (implantações de arquitetura de referência, diagramas e whitepapers), consulte o AWS Architecture Center.