REL 2: ¿Cómo planifica la topología de red?

A menudo, las cargas de trabajo se encuentran en varios entornos. Entre ellos se incluyen varios entornos en la nube (de acceso público y privado) y, posiblemente, su infraestructura de centros de datos existente. Los planes deben incluir las consideraciones sobre la red, como la conectividad dentro del sistema y entre sistemas, la administración de direcciones IP públicas y privadas y la resolución de nombres de dominio.

Recursos

AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking

Prácticas recomendadas:

• Utilice la conectividad de red de alta disponibilidad para sus puntos de enlace públicos de carga de trabajo: Estos puntos de enlace y el direccionamiento hacia ellos deben ser de alta disponibilidad. Para lograr esto, utilice el DNS de alta disponibilidad, las redes de entrega de contenidos (CDN), API Gateway, el equilibrio de cargas o los proxies inversos.

• Aprovisione conectividad redundante entre las redes privadas en la nube y los entornos en las instalaciones: Utilice varias conexiones de AWS Direct Connect (DX) o túneles VPN entre redes privadas implementadas por separado. Utilice varias ubicaciones de DX para obtener alta disponibilidad. Si utiliza varias regiones de AWS, asegúrese de tener redundancia en al menos dos de ellas. Es posible que quiera evaluar los dispositivos de AWS Marketplace que terminan las VPN. Si utiliza los dispositivos de AWS Marketplace, implemente instancias redundantes para obtener alta disponibilidad en diferentes zonas de disponibilidad.

• Garantice las cuentas de asignación de subredes IP para expansión y disponibilidad: Los intervalos de direcciones IP de Amazon VPC deben ser lo suficientemente amplios como para adaptarse a los requisitos de las carga de trabajo, lo que incluye factorizar futuras expansiones y asignaciones de direcciones IP a subredes en las zonas de disponibilidad. Esto incluye balanceadores de carga, instancias EC2 y aplicaciones basadas en contenedores.

• Opte por las topologías radiales, en lugar de las topologías de mallas de varios a varios: Si existen más de dos espacios de direcciones de red (por ejemplo, VPC y redes en las instalaciones) conectados a través de la interconexión de VPC, AWS Direct Connect o VPN, utilice un sistema radial, como los que ofrece AWS Transit Gateway.

• Implemente intervalos de direcciones IP privadas que no se superpongan en todos los espacios de direcciones privadas, en los cuales estén conectadas: Los intervalos de direcciones IP de cada VPC no deben superponerse cuando se conectan a través de una VPN. Del mismo modo, debe evitar los conflictos de direcciones IP entre la VPC y los entornos en las instalaciones o con otros proveedores en la nube que utilice. Además, debe disponer de una forma para asignar los intervalos de direcciones IP privadas cuando sea necesario.

Plan de mejora

Utilice la conectividad de red de alta disponibilidad para sus puntos de enlace públicos de carga de trabajo

Asegúrese de tener una conectividad de alta disponibilidad para los usuarios de la carga de trabajo: Amazon Route 53, AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway y Elastic Load Balancing (ELB) proporcionan puntos de enlace de acceso público de alta disponibilidad. También puede optar por evaluar los dispositivos de software de AWS Marketplace para el equilibrio de carga y las conexiones proxy.

• Asegúrese de tener una conexión de alta disponibilidad para sus usuarios
  • Si sus usuarios acceden a su aplicación a través de Internet, utilice las operaciones de la API del servicio para confirmar el uso correcto de las gateway de Internet. También confirme que las entradas de las tablas de enrutamiento de las subredes que alojan los puntos de enlace de su aplicación sean correctas.
    DescribeInternetGateways
    DescribeRouteTables
  • Si sus usuarios acceden a su aplicación a través de su entorno en las instalaciones, asegúrese de que la conectividad entre este y AWS sea de alta disponibilidad.
• Asegúrese de utilizar un DNS de alta disponibilidad para administrar los nombres de dominio de los puntos de enlace de su aplicación.
  • Utilice Route 53 para administrar sus nombres de dominio
    What is Amazon Route 53?
  • Utilice un proveedor de DNS de terceros que cumpla con sus requisitos
• Asegúrese de utilizar un proxy inverso o un balanceador de carga de alta disponibilidad delante de su aplicación
  • Utilice Elastic Load Balancing
    What is Elastic Load Balancing?
  • Use un dispositivo de AWS Marketplace que cumpla con sus requisitos

Aprovisione conectividad redundante entre las redes privadas en la nube y los entornos en las instalaciones

Asegúrese de tener una conectividad de alta disponibilidad entre AWS y el entorno de las instalaciones: Utilice varias conexiones de AWS Direct Connect (DX) o túneles VPN entre redes privadas implementadas por separado. Utilice varias ubicaciones de DX para obtener alta disponibilidad. Si utiliza varias regiones de AWS, asegúrese de tener redundancia en al menos dos de ellas. Es posible que quiera evaluar los dispositivos de AWS Marketplace que terminan las VPN. Si utiliza los dispositivos de AWS Marketplace, implemente instancias redundantes para obtener alta disponibilidad en diferentes zonas de disponibilidad.

• Asegúrese de que tiene una conexión redundante con su entorno en las instalaciones: Es posible que necesite conexiones redundantes a varias regiones de AWS para cubrir sus necesidades de disponibilidad.
  AWS Direct Connect Resiliency Recommendations
  Using Redundant Site-to-Site VPN Connections to Provide Failover
  • Utilice las operaciones de la API del servicio a fin de identificar el uso adecuado de los circuitos de Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Si solo existe una conexión de Direct Connect o no posee ninguna, configure túneles VPN redundantes para sus puertas de enlace privadas virtuales
    What is AWS Site-to-Site VPN?
• Capture su conectividad actual (por ejemplo, Direct Connect, puertas de enlace privadas virtuales y dispositivos de AWS Marketplace)
  • Utilice las operaciones de la API del servicio para consultar la configuración de las conexiones de Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Utilice las operaciones de la API del servicio para recopilar las puertas de enlace privadas virtuales donde las usan las tablas de direcciones
    DescribeVpnGateways
    DescribeRouteTables
  • Utilice las operaciones de la API del servicio para recopilar las aplicaciones de AWS Marketplace donde las usan las tablas de direcciones
    DescribeRouteTables

Garantice las cuentas de asignación de subredes IP para expansión y disponibilidad

Planifique su red para que se adapte al crecimiento, el cumplimiento normativo y la integración con otros: El crecimiento se puede subestimar, el cumplimiento normativo puede cambiar y las adquisiciones o las conexiones de redes privadas pueden ser difíciles de implementar sin una planificación adecuada.

• Seleccione las cuentas y regiones de AWS relevantes en función de sus requisitos de servicio, latencia, normativa y recuperación de desastres (DR)
• Identifique las necesidades para las implementaciones regionales de VPC
  • Determine si va a implementar la conectividad para varias VPC
    What Is a Transit Gateway?
    Single Region Multi-VPC Connectivity
  • Determine si necesita una red por separado para los requisitos normativos
• Identifique el tamaño de las VPC
  • Haga las VPC tan grandes como sea posible. El bloque inicial de CIDR de la VPC asignado a su VPC no puede cambiarse ni eliminarse, pero puede agregar bloques de CIDR adicionales que no se superpongan a la VPC. Sin embargo, esto puede fragmentar los intervalos de sus direcciones
  • Permita el uso de balanceadores de carga elástico, grupos de Auto Scaling, invocaciones simultáneas de AWS Lambda y puntos de enlace de servicio

Opte por las topologías radiales, en lugar de las topologías de mallas de varios a varios

Opte por las topologías radiales, en lugar de las topologías de mallas de varios a varios: Si existen más de dos espacios de direcciones de red (VPC y redes en las instalaciones) conectados a través de la interconexión de VPC, AWS Direct Connect o VPN, utilice un sistema radial, como los que ofrece AWS Transit Gateway.

• Si solo tiene dos de esas redes, puede simplemente conectarlas entre sí. Sin embargo, a medida que aumenta la cantidad de redes, la complejidad de tales conexiones de malla se vuelve insostenible. AWS Transit Gateway ofrece un sistema radial fácil de mantener, el cual permite dirigir el tráfico en sus redes.
  What Is a Transit Gateway?

Implemente intervalos de direcciones IP privadas que no se superpongan en todos los espacios de direcciones privadas, en los cuales estén conectadas

Monitoree y administre el uso de CIDR: Evalúe su uso potencial en AWS, agregue intervalos de CIDR a las VPC existentes y cree varias VPC para permitir un crecimiento planeado en el uso.

• Capture el consumo actual de CIDR (por ejemplo, VPC, subredes, etc.)
  • Utilice las operaciones de la API del servicio para recopilar el consumo actual de CIDR
• Capture el uso de subred actual
  • Utilice las operaciones de la API del servicio para recopilar subredes por VPC en cada región
    DescribeSubnets
  • Registre el uso actual
  • Determine si ha creado algún intervalo de IP superpuesto
  • Calcule la capacidad excedente
  • Observe la superposición de los intervalos de IP: Puede migrar a un nuevo intervalo de direcciones o utilizar los dispositivos de traducción de redes y puertos (NAT) de AWS Marketplace, si necesita conectar los intervalos que se superponen.