Parece que no puedo encontrar ninguna orientación específica sobre lo que constituye una buena práctica con respecto al uso de una VPC frente a muchas para el alojamiento de aplicaciones. Esteenlacetoca el tema, pero es bastante antiguo y realmente no proporciona una respuesta.
Actualmente estoy trabajando en una migración de un entorno alojado tradicionalmente que consta de alrededor de 50 aplicaciones más dos granjas de bases de datos (SQL Server y Oracle) a AWS; El patrimonio total es de alrededor de 250 servidores Windows. Actualmente, cada aplicación se encuentra esencialmente en su propia subred /24.
Me han indicado que cada aplicación y granja de bases de datos debe ubicarse dentro de su propia cuenta de AWS y VPC, y no estoy seguro de la sabiduría de este enfoque; especialmente la parte de separar las aplicaciones de sus bases de datos.
Las cuentas me preocupan menos, ya que se trata más bien de una cuestión de facturación. Pero en lo que respecta a las VPC, estoy tratando de entender la diferencia entre, por ejemplo,:
- Replicar todo el entorno dentro de 1 VPC, vs.
- Presentamos 50 VPC para alojar la misma cantidad de aplicaciones/servidores.
Qué se debe tener en cuenta al decidir entre (1) y (2), o algún compromiso en el medio. Revisé los documentos de AWS y realmente no puedo encontrar ningún consejo claro sobre este tema.
La diferencia clave, a mi modo de ver, es entre el tráfico de red entre VPC y entre VPC. Esto significa:
- Ahora hay un costo adicional porque el tráfico entre VPC cuesta y el tráfico dentro de VPC no.
- Existe cierta complejidad adicional en el sentido de que es necesario seleccionar, configurar y gestionar un mecanismo entre VPC, como Peering o Transit Gateways.
Pero ninguna de las anteriores es una razón clara para hacer las cosas de una forma u otra; Si bien 50 VPC es bastante, las cifras en cuestión están dentro de los límites del Peering, por ejemplo.
¿Hay algo más que debería tener en cuenta?
- ¿Qué pasa con las características de rendimiento del tráfico intra VPC frente al tráfico Inter VPC, etc.?
Otras Consideraciones:
- Los bloques CIDR deben gestionarse entre las VPC para evitar conflictos.
- La MTU máxima de peering es 1500 bytes
- De forma predeterminada, el tráfico entre VPC no está cifrado.
- Complicaciones del DNS.
Gracias por cualquier ayuda.
Respuesta1
Mira aZona de aterrizaje de AWSyTorre de control de AWSpara las mejores prácticas.
He diseñado algunas redes empresariales de AWS y estas son mis recomendaciones generales cuando tiene muchas cargas de trabajo para el área que está solicitando (las recomendaciones completas para el diseño de la zona de aterrizaje son un taller de dos días que imparto para los clientes).
- Una cuenta por aplicación, por entorno (por ejemplo, la aplicación1 tiene cuentas para desarrollo, preproducción y producción, la aplicación2 tiene sus propias cuentas, etc.)
- Todos los recursos para cada aplicación, como el servidor de aplicaciones, el servidor de bases de datos, etc., van a esa cuenta. Dividir el servidor de aplicaciones y la base de datos entre cuentas aumenta el costo sin ningún beneficio real.
- La cuenta de servicios compartidos se puede utilizar para cosas que la mayoría de las aplicaciones necesitan: AD,
- La cuenta de seguridad debe dominar las tareas de guardia, los dispositivos de seguridad, etc.
- Puerta de enlace de tránsito para comunicaciones, además de conectividad local (que aborda sus preguntas sobre la red)
- Federe en un servidor de directorio de su elección: local, servicio AD, Azure AD, etc.
- Utilice AWS Organisations, con políticas de control de servicios para permisos de alto nivel y roles de IAM para permitir a los usuarios hacer solo lo que quieran, es decir, no les permita deshabilitar servicios de seguridad, cambiar límites como puerta de enlace de Internet o VPN, etc.
- Considere usarVPC compartidaspara reducir los costos de ancho de banda, pero tenga cuidado, es un tema complicado
Esto te brinda un buen aislamiento y reduce el radio de explosión, pero necesitas una automatización decente ya que tendrías 150 cuentas. Una cuenta es solo un contenedor para facturación y VPC. Sí, pagas más por el ancho de banda.
La alternativa, para reducir los costos de ancho de banda, es todo en una VPC. Eso hace que el aislamiento, el control y el radio de explosión sean un problema.
Respuesta2
Además, para mi producto, utilizo una cuenta separada y altamente bloqueada para realizar copias de seguridad del entorno de producción. (RDS, S3, etc.) y en una región diferente desde la que se ejecuta prod. ¡Las pruebas de recuperación ante desastres en la cuenta bloqueada se realizan cada 15 días para garantizar que las copias de seguridad funcionen!