Uso compartido de VPC - Creación de una infraestructura de red multiVPC AWS escalable y segura

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso compartido de VPC

Compartir las VPC resulta útil cuando el propietario de la VPC no tiene que gestionar estrictamente el aislamiento de la red entre equipos, sino los usuarios y los permisos a nivel de cuenta. Con la VPC compartida, varias cuentas de AWS crean sus recursos de aplicaciones (como las instancias de Amazon EC2) en VPC de Amazon compartidas y administradas de forma centralizada. En este modelo, la cuenta propietaria de la VPC (propietario) comparte una o más subredes con otras cuentas (participantes). Después de compartir una subred, los participantes pueden ver, crear, modificar y eliminar los recursos de su aplicación en las subredes compartidas con ellos. Los participantes no pueden ver, modificar ni eliminar recursos que pertenezcan a otros participantes o al propietario de la VPC. La seguridad entre los recursos de las VPC compartidas se administra mediante grupos de seguridad, listas de control de acceso a la red (NACL) o mediante un firewall entre las subredes.

Ventajas del uso compartido de VPC:

  • Diseño simplificado: sin complejidad en torno a la conectividad entre VPC

  • Menos VPC gestionadas

  • Separación de funciones entre los equipos de red y los propietarios de las aplicaciones

  • Mejor utilización de las direcciones IPv4

  • Costos más bajos: sin cargos por transferencia de datos entre instancias que pertenezcan a cuentas diferentes dentro de la misma zona de disponibilidad

nota

Cuando compartes una subred con varias cuentas, tus participantes deberían tener cierto nivel de cooperación, ya que comparten espacio IP y recursos de red. Si es necesario, puede optar por compartir una subred diferente para cada cuenta de participante. Una subred por participante permite que la ACL de red proporcione aislamiento de red además de los grupos de seguridad.

La mayoría de las arquitecturas de los clientes contendrán varias VPC, muchas de las cuales se compartirán con dos o más cuentas. Se pueden usar Transit Gateway y el emparejamiento de VPC para conectar las VPC compartidas. Por ejemplo, supongamos que tiene 10 aplicaciones. Cada aplicación requiere su propia cuenta de AWS. Las aplicaciones se pueden clasificar en dos carteras de aplicaciones (las aplicaciones de la misma cartera tienen requisitos de red similares: las aplicaciones de 1 a 5 en «Marketing» y las aplicaciones de 6 a 10 en «Ventas»).

Puede tener una VPC por cartera de aplicaciones (dos VPC en total) y la VPC se comparte con las distintas cuentas de propietarios de aplicaciones de esa cartera. Los propietarios de aplicaciones implementan aplicaciones en sus respectivas VPC compartidas (en este caso, en las diferentes subredes para segmentar y aislar las rutas de la red mediante NACL). Las dos VPC compartidas se conectan a través de Transit Gateway. Con esta configuración, podría pasar de tener que conectar 10 VPC a solo dos, como se muestra en la siguiente figura.

Un diagrama que muestra un ejemplo de configuración para una VPC compartida

Ejemplo de configuración: VPC compartida

nota

Los participantes que comparten VPC no pueden crear todos los recursos de AWS en una subred compartida. Para obtener más información, consulte la sección Limitaciones de la documentación sobre el uso compartido de VPC.

Para obtener más información sobre las consideraciones clave y las mejores prácticas para el uso compartido de VPC, consulte la entrada del blog Uso compartido de VPC: consideraciones clave y mejores prácticas.