VPC-Freigabe - Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-Freigabe

Die gemeinsame Nutzung von VPCs ist nützlich, wenn die Netzwerkisolierung zwischen Teams nicht strikt vom VPC-Besitzer verwaltet werden muss, sondern die Benutzer und Berechtigungen auf Kontoebene. Mit Shared VPC erstellen mehrere AWS-Konten ihre Anwendungsressourcen (wie Amazon EC2 EC2-Instances) in gemeinsam genutzten, zentral verwalteten Amazon-VPCs. In diesem Modell teilt sich das Konto, dem die VPC gehört (Besitzer), ein oder mehrere Subnetze mit anderen Konten (Teilnehmern). Wenn ein Subnetz freigegeben wurde, können die Teilnehmer ihre Anwendungsressourcen in den für sie freigegebenen Subnetzen anzeigen, erstellen, ändern oder löschen. Teilnehmer können keine Ressourcen anzeigen, ändern oder löschen, die anderen Teilnehmern oder dem VPC-Eigentümer gehören. Die Sicherheit zwischen Ressourcen in gemeinsam genutzten VPCs wird mithilfe von Sicherheitsgruppen, Network Access Control Lists (NACLs) oder durch eine Firewall zwischen den Subnetzen verwaltet.

Vorteile VPC VPC-Sharing:

  • Vereinfachtes Design — keine Komplexität im Zusammenhang mit Inter-VPC-Konnektivität

  • Weniger verwaltete VPCs

  • Aufgabentrennung zwischen Netzwerkteams und Anwendungsbesitzern

  • Bessere Nutzung von IPv4-Adressen

  • Niedrigere Kosten — keine Datenübertragungsgebühren zwischen Instances, die zu unterschiedlichen Konten innerhalb derselben Availability Zone gehören

Anmerkung

Wenn Sie ein Subnetz mit mehreren Konten gemeinsam nutzen, sollten Ihre Teilnehmer ein gewisses Maß an Kooperation haben, da sie IP-Bereich und Netzwerkressourcen gemeinsam nutzen. Bei Bedarf können Sie für jedes Teilnehmerkonto ein anderes Subnetz gemeinsam nutzen. Ein Subnetz pro Teilnehmer ermöglicht es Netzwerk-ACL, zusätzlich zu Sicherheitsgruppen auch Netzwerkisolierung bereitzustellen.

Die meisten Kundenarchitekturen werden mehrere VPCs enthalten, von denen viele mit zwei oder mehr Konten gemeinsam genutzt werden. Transit Gateway und VPC-Peering können verwendet werden, um die gemeinsam genutzten VPCs zu verbinden. Nehmen wir zum Beispiel an, Sie haben 10 Anwendungen. Jede Anwendung benötigt ein eigenes AWS-Konto. Die Apps können in zwei Anwendungsportfolios eingeteilt werden (Apps innerhalb desselben Portfolios haben ähnliche Netzwerkanforderungen, App 1—5 unter „Marketing“ und App 6—10 unter „Vertrieb“).

Sie können eine VPC pro Anwendungsportfolio haben (insgesamt zwei VPCs), und die VPC wird mit den verschiedenen Anwendungsbesitzerkonten innerhalb dieses Portfolios gemeinsam genutzt. App-Besitzer stellen Apps in ihrer jeweiligen gemeinsam genutzten VPC bereit (in diesem Fall in den verschiedenen Subnetzen zur Segmentierung und Isolierung von Netzwerkrouten mithilfe von NACLs). Die beiden gemeinsam genutzten VPCs sind über das Transit Gateway verbunden. Mit diesem Setup könnten Sie von der Notwendigkeit, 10 VPCs zu verbinden, auf nur zwei umsteigen, wie in der folgenden Abbildung dargestellt.

Ein Diagramm, das ein Beispiel-Setup für eine gemeinsam genutzte VPC darstellt

Beispiel-Setup — gemeinsam genutzte VPC

Anmerkung

VPC-Sharing-Teilnehmer können nicht alle AWS-Ressourcen in einem gemeinsam genutzten Subnetz erstellen. Weitere Informationen finden Sie im Abschnitt Einschränkungen in der Dokumentation zu VPC Sharing.

Weitere Informationen zu den wichtigsten Überlegungen und bewährten Methoden für die gemeinsame Nutzung von VPC finden Sie im Blogbeitrag VPC-Sharing: wichtige Überlegungen und bewährte Methoden.