Condivisione VPC - Creazione di un'infrastruttura di rete AWS multi-VPC scalabile e sicura

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione VPC

La condivisione dei VPC è utile quando l'isolamento della rete tra i team non deve essere gestito in modo rigoroso dal proprietario del VPC, ma gli utenti e le autorizzazioni a livello di account devono esserlo. Con Shared VPC, più account AWS creano le proprie risorse applicative (come le istanze Amazon EC2) in Amazon VPC condivisi e gestiti centralmente. In questo modello, l'account proprietario del VPC (proprietario) condivide una o più sottoreti con altri account (partecipanti). Una volta condivisa una sottorete, i partecipanti possono visualizzare, creare, modificare ed eliminare le proprie risorse delle applicazioni nelle sottoreti condivise. Non possono invece visualizzare, modificare o eliminare le risorse che appartengono ad altri partecipanti o al proprietario del VPC. La sicurezza tra le risorse nei VPC condivisi viene gestita tramite gruppi di sicurezza, elenchi di controllo degli accessi alla rete (NAC) o tramite un firewall tra le sottoreti.

Vantaggi della condivisione VPC:

  • Design semplificato: nessuna complessità relativa alla connettività tra VPC

  • Meno VPC gestiti

  • Separazione delle mansioni tra i team di rete e i proprietari delle applicazioni

  • Migliore utilizzo degli indirizzi IPv4

  • Costi inferiori: nessun costo di trasferimento dei dati tra istanze appartenenti a account diversi all'interno della stessa zona di disponibilità

Nota

Quando condividi una sottorete con più account, i partecipanti dovrebbero avere un certo livello di collaborazione poiché condividono lo spazio IP e le risorse di rete. Se necessario, puoi scegliere di condividere una sottorete diversa per ogni account partecipante. Una sottorete per partecipante consente all'ACL di rete di fornire l'isolamento della rete oltre ai gruppi di sicurezza.

La maggior parte delle architetture dei clienti conterrà più VPC, molti dei quali verranno condivisi con due o più account. Transit Gateway e il peering VPC possono essere utilizzati per connettere i VPC condivisi. Ad esempio, supponiamo di avere 10 applicazioni. Ogni applicazione richiede il proprio account AWS. Le app possono essere classificate in due portafogli di applicazioni (le app all'interno dello stesso portafoglio hanno requisiti di rete simili, l'app da 1 a 5 in «Marketing» e l'app 6-10 in «Vendite»).

Puoi avere un VPC per portafoglio di applicazioni (due VPC in totale) e il VPC è condiviso con i diversi account del proprietario dell'applicazione all'interno di quel portafoglio. I proprietari delle app distribuiscono le app nei rispettivi VPC condivisi (in questo caso, nelle diverse sottoreti per la segmentazione e l'isolamento delle rotte di rete tramite NAC). I due VPC condivisi sono collegati tramite Transit Gateway. Con questa configurazione, potresti passare dalla necessità di connettere 10 VPC a solo due, come illustrato nella figura seguente.

Un diagramma che illustra un esempio di configurazione per un VPC condiviso

Esempio di configurazione: VPC condiviso

Nota

I partecipanti alla condivisione VPC non possono creare tutte le risorse AWS in una sottorete condivisa. Per ulteriori informazioni, consulta la sezione Limitazioni nella documentazione sulla condivisione VPC.

Per ulteriori informazioni sulle considerazioni chiave e sulle best practice per la condivisione di VPC, consulta il post sul blog Condivisione VPC: considerazioni chiave e best practice.