Buat objek Infoblox menggunakan sumber daya CloudFormation khusus AWS dan Amazon SNS - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitLampiran

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat objek Infoblox menggunakan sumber daya CloudFormation khusus AWS dan Amazon SNS

Tim Sutton, Amazon Web Services

Ringkasan

Pemberitahuan: AWS Cloud9 tidak lagi tersedia untuk pelanggan baru. Pelanggan yang sudah ada AWS Cloud9 dapat terus menggunakan layanan seperti biasa. Pelajari selengkapnya

Infoblox Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), dan manajemen alamat IP (Infoblox DDI) memungkinkan Anda untuk memusatkan dan mengontrol lingkungan hybrid yang kompleks secara efisien. Dengan Infoblox DDI, Anda dapat menemukan dan merekam semua aset jaringan dalam satu database manajemen alamat IP otoritatif (IPAM), selain mengelola DNS di tempat dan di Amazon Web Services (AWS) Cloud dengan menggunakan peralatan yang sama.

Pola ini menjelaskan cara menggunakan sumber daya CloudFormation khusus AWS untuk membuat objek Infoblox (misalnya, catatan DNS atau objek IPAM) dengan memanggil Infoblox WAPI API. Untuk informasi selengkapnya tentang WAPI Infoblox, lihat dokumentasi WAPI di dokumentasi Infoblox.

Dengan menggunakan pendekatan pola ini, Anda dapat memperoleh tampilan terpadu dari catatan DNS dan konfigurasi IPAM untuk AWS dan lingkungan lokal, selain menghapus proses manual yang membuat catatan dan menyediakan jaringan Anda. Anda dapat menggunakan pendekatan pola ini untuk kasus penggunaan berikut:

  • Menambahkan catatan A setelah membuat instance Amazon Elastic Compute Cloud (Amazon EC2) 

  • Menambahkan catatan CNAME setelah membuat Application Load Balancer

  • Menambahkan objek jaringan setelah membuat virtual private cloud (VPC)

  • Menyediakan rentang jaringan berikutnya dan menggunakan rentang itu untuk membuat subnet

Anda juga dapat memperluas pola ini dan menggunakan fitur perangkat Infoblox lainnya seperti menambahkan jenis catatan DNS yang berbeda atau mengonfigurasi Infoblox vDiscovery. 

Pola ini menggunakan hub-and-spoke desain di mana hub memerlukan konektivitas ke alat Infoblox di AWS Cloud atau di tempat dan menggunakan AWS Lambda untuk memanggil Infoblox API. Spoke berada di akun yang sama atau berbeda di organisasi yang sama di AWS Organizations, dan memanggil fungsi Lambda dengan menggunakan sumber daya CloudFormation khusus AWS.

Prasyarat dan batasan

Prasyarat

  • Alat atau kisi Infoblox yang ada, diinstal di AWS Cloud, di tempat, atau keduanya, dan dikonfigurasi dengan pengguna admin yang dapat mengelola tindakan IPAM dan DNS. Untuk informasi selengkapnya tentang ini, lihat Tentang akun admin di dokumentasi Infoblox. 

  • Zona otoritatif DNS yang ada yang ingin Anda tambahkan catatan pada alat Infoblox. Untuk informasi selengkapnya tentang ini, lihat Mengonfigurasi zona otoritatif dalam dokumentasi Infoblox.  

  • Dua akun AWS aktif di AWS Organizations. Satu akun adalah akun hub dan akun lainnya adalah akun spoke.

  • Akun hub dan spoke harus berada di Wilayah AWS yang sama. 

  • VPC akun hub harus terhubung ke alat Infoblox; misalnya, dengan menggunakan AWS Transit Gateway atau peering VPC.

  • AWS Serverless Application Model (AWS SAM), diinstal dan dikonfigurasi secara lokal dengan AWS Cloud9 atau AWS. CloudShell

  • ClientTest.yamlFile Infoblox-Hub.zip dan (terlampir), diunduh ke lingkungan lokal yang berisi AWS SAM.

Batasan

  • Token layanan sumber daya CloudFormation khusus AWS harus berasal dari Wilayah yang sama tempat tumpukan dibuat. Sebaiknya gunakan akun hub di setiap Wilayah, alih-alih membuat topik Amazon Simple Notification Service (Amazon SNS) di satu Wilayah dan memanggil fungsi Lambda di Wilayah lain.

Versi produk

  • Infoblox WAPI versi 2.7

Arsitektur

Diagram berikut menunjukkan alur kerja pola ini. 

Membuat objek Infoblox menggunakan sumber daya CloudFormation khusus AWS dan Amazon SNS.

Diagram menunjukkan komponen-komponen berikut untuk solusi pola ini:

  1. Sumber daya CloudFormation khusus AWS memungkinkan Anda menulis logika penyediaan khusus dalam templat yang CloudFormation dijalankan AWS saat Anda membuat, memperbarui, atau menghapus tumpukan. Saat Anda membuat tumpukan, AWS CloudFormation mengirimkan create permintaan ke topik SNS yang dipantau oleh aplikasi yang berjalan pada instance EC2 .

  2. Pemberitahuan Amazon SNS dari sumber daya CloudFormation khusus AWS dienkripsi melalui kunci AWS Key Management Service (AWS KMS) tertentu dan akses dibatasi ke akun di organisasi Anda di Organizations. Topik SNS memulai sumber daya Lambda yang memanggil API WAPI Infoblox.

  3. Amazon SNS memanggil fungsi Lambda berikut yang menggunakan URL WAPI Infoblox, nama pengguna, dan kata sandi AWS Secrets Manager Amazon Resource Names () sebagai variabel lingkungan: ARNs 

    • dnsapi.lambda_handler— MenerimaDNSName,DNSType, dan DNSValue nilai dari sumber daya CloudFormation khusus AWS dan menggunakannya untuk membuat catatan DNS A dan CNAMES.

    • ipaddr.lambda_handler— Menerima VPCCIDRType,SubnetPrefix,, dan Network Name nilai dari sumber daya CloudFormation khusus AWS dan menggunakannya untuk menambahkan data jaringan ke dalam database IPAM Infoblox atau menyediakan sumber daya khusus dengan jaringan berikutnya yang tersedia yang dapat digunakan untuk membuat subnet baru.

    • describeprefixes.lambda_handler— Memanggil describe_managed_prefix_lists AWS API dengan menggunakan "com.amazonaws."+Region+".s3" filter untuk mengambil yang diperlukanprefix ID.

    penting

    Fungsi Lambda ini ditulis dengan Python dan mirip satu sama lain tetapi panggilan berbeda. APIs

  4. Anda dapat menerapkan grid Infoblox sebagai peralatan jaringan fisik, virtual, atau berbasis cloud.  Ini dapat digunakan di tempat atau sebagai alat virtual menggunakan berbagai hypervisor, termasuk, VMware ESXi Microsoft Hyper-V, Linux KVM, dan Xen. Anda juga dapat menerapkan kisi Infoblox di AWS Cloud dengan Amazon Machine Image (AMI).

  5. Diagram menunjukkan solusi hybrid untuk grid Infoblox yang menyediakan DNS dan IPAM ke sumber daya di AWS Cloud dan di tempat.

Tumpukan teknologi

  • AWS CloudFormation

  • IAM

  • AWS KMS

  • AWS Lambda

  • AWS SAM

  • AWS Secrets Manager

  • Amazon SNS

  • Amazon VPC 

Alat

  • AWS CloudFormation membantu Anda menyiapkan sumber daya AWS, menyediakannya dengan cepat dan konsisten, serta mengelolanya sepanjang siklus hidupnya di seluruh akun dan Wilayah AWS.

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke sumber daya AWS dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

  • AWS Key Management Service (AWS KMS) membantu Anda membuat dan mengontrol kunci kriptografi untuk membantu melindungi data Anda.

  • AWS Lambda adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.

  • AWS Organizations adalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat.

  • AWS Secrets Manager membantu Anda mengganti kredensi hardcode dalam kode Anda, termasuk kata sandi, dengan panggilan API ke Secrets Manager untuk mengambil rahasia secara terprogram.

  • AWS Serverless Application Model (AWS SAM) adalah kerangka kerja sumber terbuka yang membantu Anda membangun aplikasi tanpa server di AWS Cloud.

  • Amazon Simple Notification Service (Amazon SNS) membantu Anda mengoordinasikan dan mengelola pertukaran pesan antara penayang dan klien, termasuk server web dan alamat email.

  • Amazon Virtual Private Cloud (Amazon VPC) membantu Anda meluncurkan sumber daya AWS ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur AWS yang dapat diskalakan.

Kode

Anda dapat menggunakan ClientTest.yaml contoh CloudFormation template AWS (terlampir) untuk menguji hub Infoblox. Anda dapat menyesuaikan CloudFormation template AWS untuk menyertakan sumber daya khusus dari tabel berikut.

Buat catatan A menggunakan sumber daya kustom Infoblox spoke

Mengembalikan nilai: 

infobloxref — Referensi Infoblox

Contoh sumber daya:

ARECORDCustomResource:

  Type: "Custom::InfobloxAPI"

  Properties:

    ServiceToken: !Sub  arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction

    DNSName: 'arecordtest.company.com'

    DNSType: 'ARecord' 

    DNSValue: '10.0.0.1'

Buat catatan CNAME menggunakan sumber daya kustom Infoblox spoke

Mengembalikan nilai

infobloxref — Referensi Infoblox

Contoh sumber daya:

CNAMECustomResource:

  Type: "Custom::InfobloxAPI"

  Properties:

    ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox    

    DNSFunction

    DNSName: 'cnametest.company.com'

    DNSType: 'cname' 

    DNSValue: 'aws.amazon.com'

Buat objek jaringan menggunakan sumber daya kustom Infoblox spoke

Mengembalikan nilai:

infobloxref — Referensi Infoblox

network— Rentang jaringan (sama sepertiVPCCIDR)

Contoh sumber daya:

VPCCustomResource:

  Type: 'Custom::InfobloxAPI'

  Properties:

    ServiceToken: !Sub  arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction

    VPCCIDR: !Ref VpcCIDR

    Type: VPC

    NetworkName: My-VPC

Ambil subnet berikutnya yang tersedia menggunakan sumber daya kustom Infoblox spoke

Mengembalikan nilai:

infobloxref— Referensi Infoblox

network — Jangkauan jaringan subnet

Contoh sumber daya:

Subnet1CustomResource:

  Type: 'Custom::InfobloxAPI'

  DependsOn: VPCCustomResource

  Properties:

    ServiceToken: !Sub  arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction

    VPCCIDR: !Ref VpcCIDR

    Type: Subnet

    SubnetPrefix: !Ref SubnetPrefix

NetworkName: My-Subnet

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Buat VPC dengan koneksi ke alat Infoblox.

Masuk ke AWS Management Console untuk akun hub Anda dan buat VPC dengan mengikuti langkah-langkah di Amazon VPC pada penerapan referensi AWS Cloud Quick Start dari AWS Quick Starts.

penting

VPC harus memiliki konektivitas HTTPS ke alat Infoblox dan kami menyarankan Anda menggunakan subnet pribadi untuk koneksi ini.

Administrator jaringan, Administrator sistem

(Opsional) Buat titik akhir VPC untuk subnet pribadi.

Endpoint VPC menyediakan konektivitas ke layanan publik untuk subnet pribadi Anda. Titik akhir berikut diperlukan:

  • Titik akhir gateway untuk Amazon Simple Storage Service (Amazon S3) untuk memungkinkan Lambda berkomunikasi dengan AWS CloudFormation

  • Endpoint antarmuka untuk Secrets Manager untuk mengaktifkan konektivitas dengan Secrets Manager

  • Titik akhir antarmuka untuk AWS KMS untuk memungkinkan enkripsi topik SNS dan rahasia Secrets Manager

Untuk informasi selengkapnya tentang membuat titik akhir untuk subnet pribadi, lihat titik akhir VPC VPC di dokumentasi Amazon VPC.

Administrator jaringan, Administrator sistem
TugasDeskripsiKeterampilan yang dibutuhkan

Bangun template AWS SAM.

  1. Jalankan unzip Infoblox-Hub.zip perintah di lingkungan yang berisi AWS SAM.

  2. Jalankan cd Hub/ perintah untuk mengubah direktori Anda ke Hub direktori.

  3. Jalankan sam build perintah untuk memproses file template AWS SAM, kode aplikasi, dan file serta dependensi khusus bahasa apa pun. sam buildPerintah tersebut juga menyalin artefak build dalam format dan lokasi yang diharapkan untuk cerita berikut.

Pengembang, Administrator sistem

Terapkan template AWS SAM.

sam deployPerintah mengambil parameter yang diperlukan dan menyimpannya ke dalam samconfig.toml file, menyimpan CloudFormation template AWS dan fungsi Lambda dalam bucket S3, dan kemudian menerapkan template CloudFormation AWS ke akun hub Anda.  

Contoh kode berikut menunjukkan cara menerapkan template AWS SAM:

$ sam deploy --guided

Configuring SAM deploy
======================
        Looking for config file [samconfig.toml] :  Found
        Reading default arguments  :  Success
        Setting default arguments for 'sam deploy'
        =========================================
        Stack Name [Infoblox-Hub]:
        AWS Region [eu-west-1]:
        Parameter InfobloxUsername:
        Parameter InfobloxPassword:
        Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
        Parameter AWSOrganisationID [o-xxxxxxxxx]:
        Parameter VPCID [vpc-xxxxxxxxx]:
        Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
        Parameter VPCSubnetID1 [subnet-xxx]:
        Parameter VPCSubnetID2 [subnet-xxx]:
        Parameter VPCSubnetID3 [subnet-xxx]:
        Parameter VPCSubnetID4 []: 
        #Shows you resources changes to be deployed and require a 'Y' to initiate deploy
        Confirm changes before deploy [Y/n]: y
        #SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
        Save arguments to configuration file [Y/n]: y
        SAM configuration file [samconfig.toml]:
        SAM configuration environment [default]:
penting

Anda harus menggunakan --guided opsi ini setiap kali karena kredenal masuk Infoblox tidak disimpan dalam file. samconfig.toml

Pengembang, Administrator sistem

Sumber daya terkait

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip