Creazione di un'infrastruttura di rete AWS multi-VPC scalabile e sicura

Data di pubblicazione: 17 aprile 2024 () Cronologia dei documenti

I clienti di Amazon Web Services (AWS) spesso si affidano a centinaia di account e cloud privati virtuali (VPC) per segmentare i propri carichi di lavoro ed espandere la propria presenza. Questo livello di scalabilità spesso crea problemi relativi alla condivisione delle risorse, alla connettività tra VPC e alle strutture locali alla connettività VPC.

Questo white paper descrive le best practice per creare architetture di rete scalabili e sicure in una rete di grandi dimensioni utilizzando AWS servizi come Amazon Virtual Private Cloud (Amazon VPC),, AWS Transit Gateway, AWS PrivateLinkGateway Load AWS Direct ConnectBalancer e Amazon Route 53. AWS Network Firewall Presenta soluzioni per la gestione di un'infrastruttura in crescita, garantendo scalabilità, alta disponibilità e sicurezza mantenendo bassi i costi generali.

Introduzione

AWS i clienti iniziano creando risorse in un unico AWS account che rappresenta un limite di gestione che segmenta autorizzazioni, costi e servizi. Tuttavia, man mano che l'organizzazione del cliente cresce, diventa necessaria una maggiore segmentazione dei servizi per monitorare i costi, controllare l'accesso e fornire una gestione ambientale più semplice. Una soluzione multi-account risolve questi problemi fornendo account specifici per i servizi IT e gli utenti all'interno di un'organizzazione. AWS fornisce diversi strumenti per gestire e configurare questa infrastruttura, tra cui. AWS Control Tower 

AWS Installazione iniziale di Control Tower

Quando configuri un ambiente multi-account utilizzando AWS Control Tower, vengono create due unità organizzative (OU):

• Unità organizzativa di sicurezza: all'interno di questa unità organizzativa, AWS Control Tower crea due account:

• Archivio dei log

• Verifica (questo account corrisponde all'account Security Tooling discusso in precedenza nella guida).

• Sandbox OU: questa unità organizzativa è la destinazione predefinita per gli account creati all'interno. AWS Control Tower Contiene account in cui i builder possono esplorare e sperimentare AWS servizi e altri strumenti e servizi, in base alle politiche di utilizzo accettabile del team.

AWS Control Tower consente di creare, registrare e gestire unità organizzative aggiuntive per espandere l'ambiente iniziale e implementare le linee guida.

Il diagramma seguente mostra le unità organizzative inizialmente distribuite da. AWS Control TowerÈ possibile espandere l' AWS ambiente per implementare una qualsiasi delle unità organizzative consigliate incluse nel diagramma, per soddisfare i requisiti.

AWS unità organizzative

Per ulteriori dettagli sull'utilizzo di ambienti con più account AWS Control Tower, consultare l'Appendice E del white paper Organization Your AWS Environment Using Multiple Accounts.

Nota

In questo white paper, «Control Tower» è un termine generico per la configurazione multi-account/multi-VPC scalabile, sicura e performante in cui vengono distribuiti i carichi di lavoro. Questa configurazione può essere creata utilizzando diversi strumenti. Puoi trovare ulteriori informazioni sulle migliori pratiche, i principi di progettazione e i vantaggi di Multi-Account Cloud Foundation nel white paper Organizing Your AWS Environment Using Multiple Accounts.

La maggior parte dei clienti inizia con pochi VPC per implementare la propria infrastruttura. Il numero di VPC creati da un cliente è in genere correlato al numero di account, utenti e ambienti in più fasi (produzione, sviluppo, test e così via). Con l'aumento dell'utilizzo del cloud, cresce anche il numero di utenti, unità aziendali, applicazioni e regioni con cui un cliente interagisce, il che porta alla creazione di nuovi VPC.

Con l'aumento del numero di VPC, la gestione cross-VPC diventa essenziale per il funzionamento della rete cloud del cliente. Questo white paper illustra le best practice per tre aree specifiche della connettività cross-VPC e ibrida:

• Connettività di rete: interconnessione di VPC e reti locali su larga scala.

• Sicurezza di rete: creazione di punti di uscita centralizzati per l'accesso a Internet e agli endpoint, come il gateway NAT (Network Address Translation), gli endpoint VPC e i Gateway Load Balancer. AWS PrivateLinkAWS Network Firewall

• Gestione DNS: risoluzione del DNS all'interno della Control Tower e del DNS ibrido.

Pianificazione e gestione degli indirizzi IP

Per creare un design di rete multi-VPC scalabile e multi-account, la pianificazione e la gestione degli indirizzi IP sono fondamentali. Un buon schema di indirizzamento IP deve tenere conto delle esigenze di rete attuali e future. L'IP dello schema di indirizzi IP deve coprire i carichi di lavoro on-premise, i carichi di lavoro cloud e deve consentire anche future espansioni (ad esempio, l'aggiunta di nuove Regioni AWS unità aziendali e fusioni o acquisizioni). Dovrebbe inoltre impedire ai team di creare inavvertitamente CIDR IP sovrapposti. Se si desidera che IP CIDR si sovrappongano, ad esempio per carichi di lavoro isolati o disconnessi, questa decisione deve essere consapevole e tenere conto delle implicazioni sul routing, sulla sicurezza e sui costi. Potrebbe inoltre essere necessario prendere in considerazione la creazione dei processi di approvazione necessari per tali eccezioni. Un buon schema di indirizzamento IP aiuta anche a semplificare la progettazione della rete e la configurazione del routing.

Considerazioni chiave:

• Pianifica in anticipo lo schema di indirizzamento IP (IP pubblici e privati) e seleziona uno strumento di gestione degli indirizzi IP per allocare, gestire e tenere traccia dell'utilizzo degli indirizzi IP in tutti i carichi di lavoro.

• Utilizza schemi di indirizzamento IP gerarchici e riepilogativi.

• Pianifica un'assegnazione IP coerente in base all'ambiente Regione AWS, all'organizzazione o all'unità aziendale.

• Designate CIDR IP distinti (sia IPv4 che IPv6) per reti locali e cloud.

• Previeni e monitora in modo proattivo i CIDR IP sovrapposti.

• Dimensiona i tuoi CIDR IP in modo appropriato per consentire la scalabilità e la crescita futura.

• Abilita i carichi di lavoro per la compatibilità IPv6 o dual-stack per ridurre i conflitti IP e ovviare all'esaurimento dello spazio IPv4.

Puoi utilizzare Amazon VPC IP Address Manager (IPAM) per semplificare la pianificazione, il tracciamento e il monitoraggio degli indirizzi IP pubblici e privati per i tuoi carichi di lavoro. AWS IPAM ti consente di organizzare, allocare, monitorare e condividere lo spazio degli indirizzi IP su più e. Regioni AWS Account AWS Inoltre, aiuta con l'allocazione automatica dei CIDR ai VPC utilizzando regole aziendali specifiche.

Consulta le best practice di Amazon VPC IP Address Manager, Gestione dei pool IP tra VPC e regioni utilizzando Amazon VPC IP Address Manager e IP Address Management per i post di AWS Control Tower blog su come apprendere le migliori pratiche di indirizzamento IP e come utilizzare IPAM per gestire i pool IP tra VPC, e. Regioni AWS AWS Control Tower

Sei Well-Architected?

Il AWS Well-Architected Framework ti aiuta a comprendere i pro e i contro delle decisioni che prendi quando crei sistemi nel cloud. I sei pilastri del Framework consentono di apprendere le migliori pratiche architettoniche per progettare e gestire sistemi affidabili, sicuri, efficienti, convenienti e sostenibili. Utilizzando AWS Well-Architected Tool, disponibile gratuitamente in AWS Management Console, puoi esaminare i tuoi carichi di lavoro rispetto a queste best practice rispondendo a una serie di domande per ogni pilastro.

Per ulteriori indicazioni e best practice da parte degli esperti per la tua architettura cloud (implementazioni dell'architettura di riferimento, diagrammi e white paper), consulta l'Architecture Center.AWS