Condivisione Amazon VPC - Creazione di un'infrastruttura di rete AWS multi-VPC sicura e scalabile

La condivisione dei VPC è utile quando l'isolamento di rete tra i team non richiede una gestione rigorosa da parte del proprietario del VPC, mentre gli utenti e le autorizzazioni a livello di account la richiedono. Con un VPC condiviso, più account AWS creano le risorse delle applicazioni (ad esempio le istanze Amazon EC2) in istanze di Amazon VPC condivise gestite centralmente. In questo modello l'account che possiede il VPC (proprietario) condivide una o più sottoreti con altri account (partecipanti). Una volta condivisa una sottorete, i partecipanti possono visualizzare, creare, modificare ed eliminare le proprie risorse delle applicazioni nelle sottoreti condivise. Non possono invece visualizzare, modificare o eliminare le risorse che appartengono ad altri partecipanti o al proprietario del VPC. La sicurezza tra le risorse nei VPC condivisi viene gestita utilizzando gruppi di sicurezza e liste di controllo degli accessi di rete per la sottorete.

Vantaggi della condivisione dei VPC:

Progettazione semplificata: nessuna complessità per la connettività tra VPC
Meno VPC gestiti
Segregazione dei compiti tra i team di rete e i proprietari delle applicazioni
Migliore utilizzo degli indirizzi IPv4
Costi inferiori: nessun costo di trasferimento dei dati tra istanze appartenenti ad account diversi all'interno della stessa zona di disponibilità

Nota: quando si condivide una sottorete con più account, i partecipanti devono avere un certo livello di collaborazione poiché condividono lo spazio IP e le risorse di rete. Se necessario, è possibile scegliere di condividere una sottorete diversa per ogni account partecipante. Una sottorete per partecipante consente alla lista di controllo degli accessi di rete di fornire l'isolamento di rete oltre ai gruppi di sicurezza.

La maggior parte delle architetture dei clienti contiene più VPC, molti dei quali sono condivisi con due o più account. È possibile utilizzare Transit Gateway e il peering VPC per connettere i VPC condivisi. Supponiamo ad esempio di avere 10 applicazioni. Ogni applicazione richiede il proprio account AWS. Le app possono essere classificate in due portfolio di applicazioni (le app all'interno dello stesso portfolio hanno requisiti di rete simili, App 1-5 nella categoria relativa al marketing e App 6-10 nella categoria relativa alle vendite).

È possibile avere un VPC per portfolio di applicazioni (due VPC in totale) e il VPC viene condiviso con i diversi account dei proprietari delle applicazioni all'interno di tale portfolio. I proprietari delle app distribuiscono le app nel rispettivo VPC condiviso (in questo caso, nelle diverse sottoreti per la segmentazione e l'isolamento delle route di rete tramite liste di controllo degli accessi di rete). I due VPC condivisi sono connessi tramite Transit Gateway. Con questa configurazione, è possibile passare dal dover connettere 10 VPC a soli 2 (Figura 6).

Figura 6. Configurazione di esempio – VPC condiviso

Nota

I partecipanti alla condivisione dei VPC non possono creare tutte le risorse AWS in una sottorete condivisa. Per ulteriori informazioni, consulta la pagina relativa alle limitazioni di Amazon VPC.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS PrivateLink

Connettività ibrida