Construindo uma infraestrutura de rede AWS multi-VPC escalável e segura - Construindo uma infraestrutura de rede AWS multi-VPC escalável e segura
IntroduçãoPlanejamento e gerenciamento de endereços IPVocê é Well-Architected?

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Construindo uma infraestrutura de rede AWS multi-VPC escalável e segura

Data de publicação: 17 de abril de 2024 () Histórico do documento

Os clientes da Amazon Web Services (AWS) geralmente confiam em centenas de contas e nuvens privadas virtuais (VPCs) para segmentar suas cargas de trabalho e expandir sua presença. Esse nível de escala geralmente cria desafios em relação ao compartilhamento de recursos, conectividade entre VPCs e instalações locais à conectividade VPC.

Este whitepaper descreve as melhores práticas para criar arquiteturas de rede escaláveis e seguras em uma grande rede usando AWS serviços como Amazon Virtual Private Cloud (Amazon VPC),,, AWS Transit Gateway, AWS PrivateLinkGateway AWS Direct ConnectLoad Balancer e Amazon Route 53. AWS Network Firewall Ele demonstra soluções para gerenciar uma infraestrutura em crescimento, garantindo escalabilidade, alta disponibilidade e segurança, mantendo os custos indiretos baixos.

Introdução

AWS os clientes começam criando recursos em uma única AWS conta que representa um limite de gerenciamento que segmenta permissões, custos e serviços. No entanto, à medida que a organização do cliente cresce, torna-se necessária uma maior segmentação dos serviços para monitorar custos, controlar o acesso e facilitar o gerenciamento ambiental. Uma solução com várias contas resolve esses problemas fornecendo contas específicas para serviços de TI e usuários dentro de uma organização. AWS fornece várias ferramentas para gerenciar e configurar essa infraestrutura, inclusive AWS Control Tower

Um diagrama que descreve a implantação AWS Control Tower inicial

AWS Implantação inicial da Control Tower

Quando você configura seu ambiente de várias contas usando AWS Control Tower, ele cria duas unidades organizacionais (OUs):

  • OU de segurança — Dentro dessa OU, AWS Control Tower cria duas contas:

  • Arquivo de registros

  • Auditoria (essa conta corresponde à conta do Security Tooling discutida anteriormente na orientação.)

  • Sandbox OU — Essa OU é o destino padrão para contas criadas dentro AWS Control Tower dela. Ele contém contas nas quais seus criadores podem explorar e experimentar AWS serviços e outras ferramentas e serviços, de acordo com as políticas de uso aceitável da sua equipe.

AWS Control Tower permite criar, registrar e gerenciar OUs adicionais para expandir o ambiente inicial e implementar a orientação.

O diagrama a seguir mostra as OUs inicialmente implantadas pelo AWS Control Tower. Você pode expandir seu AWS ambiente para implementar qualquer uma das OUs recomendadas incluídas no diagrama, para atender às suas necessidades.

Um diagrama que descreve OUs AWS organizacionais.

AWS OUs organizacionais

Para obter mais detalhes sobre o uso de ambientes com várias contas AWS Control Tower, consulte o Apêndice E no whitepaper Organizando seu AWS ambiente usando várias contas.

nota

Neste whitepaper, “Control Tower” é um termo amplo para a configuração escalável, segura e de alto desempenho de várias contas/VPC na qual você implanta suas cargas de trabalho. Essa configuração pode ser criada usando ferramentas diferentes. Você pode encontrar mais informações sobre as melhores práticas, os princípios de design e os benefícios da base de nuvem para várias contas no whitepaper Organizando seu AWS ambiente usando várias contas.

A maioria dos clientes começa com algumas VPCs para implantar sua infraestrutura. O número de VPCs que um cliente cria geralmente está relacionado ao número de contas, usuários e ambientes em estágios (produção, desenvolvimento, teste etc.). À medida que o uso da nuvem cresce, o número de usuários, unidades de negócios, aplicativos e regiões com os quais um cliente interage também cresce, levando à criação de novas VPCs.

À medida que o número de VPCs aumenta, o gerenciamento entre VPCs se torna essencial para a operação da rede em nuvem do cliente. Este whitepaper aborda as melhores práticas para três áreas específicas em conectividade híbrida e entre VPCs:

Planejamento e gerenciamento de endereços IP

Para criar um design escalável de rede multi-VPC com várias contas, o planejamento e o gerenciamento de endereços IP são essenciais. Um bom esquema de endereçamento IP precisa considerar suas necessidades de rede atuais e futuras. Seu esquema de endereços IP O IP precisa cobrir suas cargas de trabalho locais, suas cargas de trabalho na nuvem e também deve permitir uma expansão futura (por exemplo, adição de novas Regiões da AWS unidades de negócios e fusões ou aquisições). Isso também deve evitar que suas equipes criem inadvertidamente CIDRs IP sobrepostos. Se a sobreposição de CIDR IP for desejada, como para cargas de trabalho isoladas ou desconectadas, essa decisão precisa ser consciente e deve levar em conta as implicações no roteamento, na segurança e nos custos. Talvez você também precise considerar a criação dos processos de aprovação necessários para essas exceções. Um bom esquema de endereçamento IP também ajuda a simplificar o design da rede e a configuração de roteamento.

Considerações importantes:

  • Planeje seu esquema de endereçamento IP (IPs públicos e privados) com antecedência e selecione uma ferramenta de gerenciamento de endereços IP para alocar, gerenciar e rastrear o uso de endereços IP em todas as suas cargas de trabalho.

  • Use esquemas de endereçamento IP hierárquicos e resumidos.

  • Planeje uma atribuição consistente de IP com base no ambiente Região da AWS, na organização ou na unidade de negócios.

  • Designe CIDRs IP distintos (IPv4 e IPv6) para redes locais e na nuvem.

  • Previna e rastreie proativamente a sobreposição de CIDRs IP.

  • Dimensione seus CIDRs IP adequadamente para permitir o escalonamento e o crescimento futuro.

  • Habilite suas cargas de trabalho para compatibilidade com IPv6 ou pilha dupla para reduzir conflitos de IP e lidar com o esgotamento do espaço IPv4.

Você pode usar o Amazon VPC IP Address Manager (IPAM) para simplificar o planejamento, o rastreamento e o monitoramento de endereços IP públicos e privados para suas cargas de trabalho. AWS O IPAM permite que você organize, aloque, monitore e compartilhe espaço de endereço IP entre vários e. Regiões da AWS Contas da AWS Também ajuda na alocação automática de CIDRs para VPCs usando regras comerciais específicas.

Consulte as melhores práticas do Amazon VPC IP Address Manager, o gerenciamento de grupos de IP entre VPCs e regiões usando o Amazon VPC IP Address Manager e o gerenciamento de endereços IP para ver postagens de AWS Control Tower blog para aprender as melhores práticas de endereçamento IP e como usar o IPAM para gerenciar pools de IP em VPCs, e. Regiões da AWS AWS Control Tower

Você é Well-Architected?

O Well-Architected Framework da AWS ajuda você a entender os prós e os contras das decisões que você toma ao criar sistemas na nuvem. Os seis pilares do framework permitem a você conhecer as melhores práticas de arquitetura para criar e operar sistemas confiáveis, seguros, econômicos e sustentáveis na nuvem. Usando o AWS Well-Architected Tool, disponível gratuitamente no AWS Management Console, você pode analisar suas workloads em relação a essas práticas recomendadas respondendo a um conjunto de perguntas para cada pilar.

Para obter orientações especializadas e melhores práticas adicionais para a arquitetura de sua nuvem (implantações de arquitetura de referência, diagramas e whitepapers), consulte o AWS Architecture Center.