Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une infrastructure réseau multi-VPC AWS évolutive et sécurisée
Date de publication : 17 avril 2024 (Historique du document)
Les clients d'Amazon Web Services (AWS) s'appuient souvent sur des centaines de comptes et de clouds privés virtuels (VPC) pour segmenter leurs charges de travail et étendre leur empreinte. Ce niveau d'échelle pose souvent des problèmes en termes de partage des ressources, de connectivité entre VPC et de connectivité VPC entre les installations sur site et les VPC.
Ce livre blanc décrit les meilleures pratiques pour créer des architectures réseau évolutives et sécurisées dans un vaste réseau à l'aide de AWS services tels qu'Amazon Virtual Private Cloud
Introduction
AWS les clients commencent par créer des ressources dans un AWS compte unique qui représente une limite de gestion qui segmente les autorisations, les coûts et les services. Cependant, à mesure que l'organisation du client se développe, une plus grande segmentation des services devient nécessaire pour surveiller les coûts, contrôler l'accès et faciliter la gestion environnementale. Une solution multi-comptes résout ces problèmes en fournissant des comptes spécifiques pour les services informatiques et les utilisateurs au sein d'une organisation. AWS fournit plusieurs outils pour gérer et configurer cette infrastructure, notamment AWS Control Tower
AWS Déploiement initial de Control Tower
Lorsque vous configurez votre environnement multi-comptes à l'aide de AWS Control Tower, il crée deux unités organisationnelles (UO) :
-
UO de sécurité : dans cette UO, AWS Control Tower crée deux comptes :
-
Archive du journal
-
Audit (Ce compte correspond au compte d'outillage de sécurité décrit précédemment dans le guide.)
-
Unité d'organisation Sandbox : cette unité d'organisation est la destination par défaut pour les comptes créés au sein AWS Control Tower de cette unité. Il contient des comptes dans lesquels vos créateurs peuvent explorer et expérimenter AWS des services, ainsi que d'autres outils et services, sous réserve des politiques d'utilisation acceptables de votre équipe.
AWS Control Tower vous permet de créer, d'enregistrer et de gérer des unités d'organisation supplémentaires afin d'étendre l'environnement initial afin de mettre en œuvre les directives.
Le schéma suivant montre les unités d'organisation initialement déployées par AWS Control Tower. Vous pouvez étendre votre AWS environnement pour implémenter l'une des unités d'organisation recommandées incluses dans le schéma, afin de répondre à vos besoins.
AWS UO organisationnels
Pour plus de détails sur l'utilisation d'un environnement multicompte AWS Control Tower, reportez-vous à l'annexe E du livre blanc sur l'organisation de votre AWS environnement à l'aide de plusieurs comptes.
Note
Dans ce livre blanc, « Control Tower » est un terme général désignant la configuration multicompte/multi-VPC évolutive, sécurisée et performante dans laquelle vous déployez vos charges de travail. Cette configuration peut être construite à l'aide de différents outils. Vous trouverez plus d'informations sur les meilleures pratiques, les principes de conception et les avantages de la solution cloud multi-comptes dans le livre blanc Organizing Your AWS Environment Using Multiple Accounts.
La plupart des clients commencent par quelques VPC pour déployer leur infrastructure. Le nombre de VPC créés par un client est généralement lié au nombre de comptes, d'utilisateurs et d'environnements intermédiaires (production, développement, test, etc.). À mesure que l'utilisation du cloud augmente, le nombre d'utilisateurs, d'unités commerciales, d'applications et de régions avec lesquels un client interagit augmente également, ce qui entraîne la création de nouveaux VPC.
À mesure que le nombre de VPC augmente, la gestion inter-VPC devient essentielle au fonctionnement du réseau cloud du client. Ce livre blanc présente les meilleures pratiques dans trois domaines spécifiques de la connectivité cross-VPC et hybride :
-
Connectivité réseau — Interconnecter les VPC et les réseaux sur site à grande échelle.
-
Sécurité du réseau — Création de points de sortie centralisés pour accéder à Internet et aux points de terminaison tels que la passerelle de traduction d'adresses réseau (NAT), AWS PrivateLink
les points de terminaison VPC et les équilibreurs de charge de passerelle. AWS Network Firewall -
Gestion du DNS : résolution du DNS au sein de la Control Tower et du DNS hybride.
Planification et gestion des adresses IP
Afin de créer une conception de réseau multi-comptes multi-VPC évolutive, la planification et la gestion des adresses IP sont impératives. Un bon schéma d'adressage IP doit tenir compte de vos besoins actuels et futurs en matière de réseau. L'adresse IP de votre schéma d'adresses IP doit couvrir vos charges de travail sur site, vos charges de travail dans le cloud, et doit également permettre une expansion future (par exemple, ajout de nouvelles unités commerciales Régions AWS, fusions ou acquisitions). Cela devrait également empêcher vos équipes de créer par inadvertance des CIDR IP qui se chevauchent. Si un chevauchement d'adresses CIDR IP est souhaité, par exemple pour des charges de travail isolées ou déconnectées, cette décision doit être prise en toute conscience et doit tenir compte des implications sur le routage, la sécurité et les coûts. Vous devrez peut-être également envisager de créer les processus d'approbation nécessaires pour ces exceptions. Un bon schéma d'adressage IP permet également de simplifier la conception de votre réseau et la configuration du routage.
Considérations clés :
-
Planifiez votre schéma d'adressage IP (adresses IP publiques et privées) dès le départ et sélectionnez un outil de gestion des adresses IP pour allouer, gérer et suivre l'utilisation des adresses IP dans toutes vos charges de travail.
-
Utilisez des schémas d'adressage IP hiérarchiques et résumés.
-
Planifiez une attribution de propriété intellectuelle cohérente en fonction de l'environnement Région AWS, de l'organisation ou de l'unité commerciale.
-
Désignez des CIDR IP distincts (IPv4 et IPv6) pour les réseaux sur site et dans le cloud.
-
Prévenez et suivez de manière proactive les CIDR IP qui se chevauchent.
-
Dimensionnez vos CIDR IP de manière appropriée pour permettre la mise à l'échelle et la croissance future.
-
Activez vos charges de travail pour la compatibilité IPv6 ou Dual-Stack afin de réduire les conflits IP et de remédier à l'épuisement de l'espace IPv4.
Vous pouvez utiliser Amazon VPC IP Address Manager (IPAM) pour simplifier la planification, le suivi et la surveillance des adresses IP publiques et privées pour vos charges de travail. AWS L'IPAM vous permet d'organiser, d'allouer, de surveiller et de partager l'espace d'adresses IP entre plusieurs Régions AWS et Comptes AWS. Il facilite également l'attribution automatique des CIDR aux VPC à l'aide de règles commerciales spécifiques.
Consultez les meilleures pratiques du gestionnaire d'adresses IP Amazon VPC, la gestion des pools d'adresses
Êtes-vous Well-Architected ?
Le AWS
Well-Architected
