Não consigo encontrar nenhuma orientação específica sobre o que constitui uma boa prática em relação ao uso de um VPC em vez de muitos para hospedagem de aplicativos. Esselinktoca no assunto, mas é bastante antigo e não fornece realmente uma resposta.
Atualmente estou trabalhando na migração de um ambiente hospedado tradicionalmente que consiste em cerca de 50 aplicativos mais dois farms de banco de dados (SQL Server e Oracle) para AWS; o patrimônio total é de cerca de 250 servidores Windows. Atualmente, cada aplicativo fica essencialmente em sua própria sub-rede /24.
Recebi uma orientação de que cada aplicativo e farm de banco de dados deve ficar dentro de sua própria conta AWS e VPC, e não tenho certeza da sabedoria dessa abordagem; especialmente a parte de separar os aplicativos de seus bancos de dados.
Estou menos preocupado com as contas, pois é mais uma questão de faturamento. Mas no que diz respeito aos VPCs, estou tentando entender a diferença entre dizer:
- Replicar todo o ambiente em 1 VPC, vs.
- Apresentando 50 VPCs para hospedar o mesmo número de aplicativos/servidores.
O que deve ser levado em consideração ao decidir entre (1) e (2), ou algum compromisso intermediário. Examinei os documentos da AWS e não consigo encontrar nenhum conselho claro sobre esse tópico.
As principais diferenças, a meu ver, estão entre o tráfego de rede intra-VPC e o inter-VPC. Isso significa:
- agora há um custo adicional porque os custos de tráfego entre VPC e o tráfego intra-VPC não.
- Há alguma complexidade adicional na medida em que um mecanismo Inter-VPC, como peering ou gateways de trânsito, precisa ser selecionado, configurado e gerenciado.
Mas nenhuma das opções acima é uma razão clara para fazer as coisas de uma forma ou de outra; embora 50 VPCs sejam bastante, os números em questão estão dentro dos limites do peering, por exemplo.
Há mais alguma coisa que eu deveria levar em consideração?
- E quanto às características de desempenho do tráfego intra vs. inter VPC, etc.?
Outras considerações:
- Os blocos CIDR devem ser gerenciados nas VPCs para evitar conflitos.
- O MTU máximo do peering é de 1.500 bytes
- por padrão, o tráfego entre VPC não é criptografado.
- Complicações de DNS.
Obrigado por qualquer ajuda.
Responder1
Olhe paraZona de destino da AWSeTorre de controle AWSpara melhores práticas.
Projetei algumas redes corporativas da AWS e aqui estão minhas recomendações gerais quando você tem muitas cargas de trabalho para a área que está solicitando (as recomendações completas para o design da zona de destino são um workshop de dois dias que realizo para clientes)
- Uma conta por aplicativo, por ambiente (por exemplo, app1 tem contas para desenvolvimento, pré-produção e produção, app2 tem suas próprias contas, etc.)
- Todos os recursos de cada aplicativo, como servidor de aplicativos, servidor de banco de dados, etc., vão para essa conta. Dividir o servidor de aplicativos e o banco de dados entre contas aumenta o custo sem nenhum benefício real.
- A conta de serviços compartilhados pode ser usada para coisas que a maioria dos aplicativos precisa - AD,
- A conta de segurança deve dominar o serviço de guarda, dispositivos de segurança, etc.
- Gateway de trânsito para comunicações, além de conectividade local (que aborda suas questões de rede)
- Federar para um servidor de diretório de sua escolha – local, serviço AD, Azure AD, etc.
- Use organizações AWS, com políticas de controle de serviço para permissões de alto nível e funções IAM para permitir que os usuários façam apenas o que você deseja - ou seja, não deixe que eles desabilitem serviços de segurança, alterem limites como gateway de Internet ou VPN, etc.
- Considere usarVPCs compartilhadaspara reduzir custos de largura de banda - mas tenha cuidado, é um assunto complicado
Isso oferece um bom isolamento e reduz o raio de explosão, mas você precisa de uma automação decente, pois teria 150 contas. Uma conta é apenas um contêiner para faturamento e VPCs. Sim, você paga mais pela largura de banda.
A alternativa, para reduzir os custos de largura de banda, é tudo em uma VPC. Isso torna o isolamento, o controle e o raio de explosão um problema.
Responder2
Além disso, para meu produto, uso uma conta separada e altamente bloqueada para backups do ambiente de produção. (RDS, S3, etc.) e em uma região diferente da qual o prod está sendo executado. Os testes de recuperação de desastres na conta bloqueada acontecem a cada 15 dias para garantir que os backups funcionem!