Solution 1 : créer des points de terminaison VPC dans un compte réseau central pour une seule région - AWS Conseils prescriptifs
Cas d’utilisationDéfisSolutionArchitectureÉtapes d’implémentation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Solution 1 : créer des points de terminaison VPC dans un compte réseau central pour une seule région

Cas d’utilisation

Vos applications sont mappées à différentes unités commerciales et vous souhaitez les migrer vers différents comptes AWS cibles de la même manière à des Région AWS fins de facturation et d'isolation.

Défis

Pour y parvenir via un réseau privé, vous devez créer plusieurs points de terminaison d'interface VPC dans chaque compte cible. Cela augmente les frais administratifs et les coûts liés à la maintenance des terminaux. (Voir AWS PrivateLink les tarifs.)

Solution

Créez des points de terminaison VPC dans un compte AWS réseau central et utilisez Transit Gateway pour vous connecter aux comptes d'applications cibles.

Architecture

Le schéma suivant illustre l'architecture de cette solution.

Flux de trafic pour le réhébergement de plusieurs comptes dans la même région.

Dans le diagramme, les chiffres représentent le flux de trafic suivant :

  1. L'instance Amazon Elastic Compute Cloud (Amazon EC2) ou le serveur de réplication du service de migration d'applications qui doit se connecter à Amazon Simple Storage Service (Amazon S3), Application Migration Service ou EC2 Amazon via un point de terminaison d'interface situé dans le compte réseau central VPC doit d'abord résoudre le nom de domaine en interrogeant le résolveur VPC+2. La zone hébergée privée du point de terminaison est associée au VPC de mise en place du service de migration d'applications dans la même région pour terminer la résolution du domaine.

    Note

    Pour chaque zone hébergée privée que vous associez à un VPC, le résolveur crée une règle et l'associe au VPC. Si vous associez la zone hébergée privée à plusieurs VPCs, le résolveur associe la règle à tous les VPCs.

  2. Lorsque l'instance connaît l'adresse IP privée à laquelle se connecter, elle envoie le trafic à la passerelle de transit ENI. Le trafic est envoyé à la passerelle de transit et transféré au VPC de ressources partagées, en fonction de la table de routage de la passerelle de transit.

  3. La passerelle de transit ENI du VPC à ressources partagées transmet le trafic au point de terminaison d'interface correspondant.

  4. Le point de terminaison VPC renvoie la réponse à la passerelle de transit ENI.

  5. Le trafic est redirigé vers la passerelle de transit. Comme indiqué dans la table de routage de la passerelle de transit, le trafic est envoyé au VPC intermédiaire du service de migration d'applications Spoke. La réponse est envoyée par la passerelle de transit ENI à la destination, c'est-à-dire au serveur de réplication de l' EC2 instance ou du service de migration des applications.

  6. Une application cliente située dans le centre de données de l'entreprise résout un nom de domaine sous la forme <aws_service>.<aws_region>.amazonaws.com (par exemple,mgn.us-east-1.amazonaws.com). Il envoie la requête à son résolveur DNS préconfiguré. Le résolveur DNS du centre de données de l'entreprise dispose d'une règle de transfert qui dirige toute requête DNS pour des amazonaws.com domaines vers le point de terminaison entrant Route 53 Resolver. Transit Gateway transmet la requête au VPC de ressources partagées, qui transmet la requête DNS au point de terminaison entrant Route 53 Resolver.

    Le point de terminaison entrant Route 53 Resolver utilise le résolveur VPC+2. La zone hébergée privée du point de terminaison associée à la ressource partagée VPC contient les enregistrements DNS pour lesquels amazonaws.com Route 53 Resolver peut résoudre la requête.

  7. Le point de terminaison sortant Route 53 Resolver renvoie la réponse à la requête DNS à l'application cliente locale.

Étapes d’implémentation

Pour configurer l'architecture illustrée dans le schéma précédent, procédez comme suit :

  1. Connectez le centre de données de votre entreprise au compte réseau central AWS via AWS Direct Connect ou AWS Site-to-Site VPN.

  2. Dans le compte réseau, utilisez Transit Gateway pour assurer la connectivité entre VPCs. La passerelle de transit est partagée entre Comptes AWS en utilisant AWS RAM et en outre connectée au sous-réseau intermédiaire du compte de l'application cible via une pièce jointe VPC.

    Note

    Il Comptes AWS n'est pas nécessaire que Target fasse partie de la même AWS organisation. Pour plus d'informations, consultez la section Ressources partageables dans la AWS RAM documentation.

  3. Créez des points de terminaison d'interface VPC pour Amazon EC2, Application Migration Service et Amazon S3 dans le compte réseau central sans activer de nom DNS privé.

    Note

    Lorsque vous créez un point de terminaison VPC pour un Service AWS, vous pouvez activer le DNS privé. Lorsqu'il est activé, le paramètre crée pour vous une zone hébergée privée gérée de Route 53. Cette zone gérée résout le nom DNS au sein d'un VPC. Cependant, cela ne fonctionne pas en dehors du VPC. C'est la raison pour laquelle vous utilisez le partage de zone hébergé privé et Route 53 Resolver pour obtenir une résolution de nom unifiée pour les points de terminaison VPC partagés.

  4. Créez une zone hébergée privée pour chaque point de terminaison (Application Migration Service EC2, Amazon, Amazon S3). Par exemple, pour le service de migration d'applications dans la us-east-1 région :

    • Créez une zone hébergée privée avec le nom de domainemgn.us-east-1.amazonaws.com.

    • Créez un enregistrement d'hôte de type A qui pointe le nom de domaine vers le point de terminaison IPs.

  5. Créez des règles entrantes et sortantes de Route 53 Resolver pour faciliter la résolution DNS hybride, et partagez les règles avec les personnes requises Compte AWS dans la même région.