REL 2: Comment planifiez-vous la topologie de votre réseau ?

Les charges de travail existent souvent dans plusieurs environnements. Il s'agit notamment de plusieurs environnements cloud (accessibles publiquement et privés) et éventuellement de votre infrastructure de centre de données existante. Les plans doivent inclure des considérations réseau telles que la connectivité intrasystème et intersystème, la gestion des adresses IP publiques, la gestion des adresses IP privées et la résolution des noms de domaine.

Ressources

AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking

Bonnes pratiques:

• Utiliser une connectivité réseau hautement disponible pour vos points de terminaison publics de charge de travail: Ces points de terminaison et leur routage doivent être hautement disponibles. Pour ce faire, utilisez le DNS hautement disponible, les réseaux de diffusion de contenu (CDN), API Gateway, l'équilibrage de charge ou les proxys inverses.

• Mettre en service une connectivité redondante entre les réseaux privés dans le cloud et les environnements sur site: Utilisez plusieurs connexions AWS Direct Connect (DX) ou tunnels VPN entre des réseaux privés déployés séparément. Utilisez plusieurs emplacements DX pour une haute disponibilité. Si vous utilisez plusieurs régions AWS, assurez la redondance dans au moins deux d'entre elles. Il serait souhaitable d'évaluer les appliances AWS Marketplace qui mettent fin aux VPN. Si vous utilisez des appliances AWS Marketplace, déployez des instances redondantes pour une plus haute disponibilité dans différentes zones de disponibilité.

• Créer des comptes d'allocation de sous-réseau IP pour l’expansion et la disponibilité: Les plages d'adresses IP d’Amazon VPC doivent être assez grandes pour répondre aux exigences de charge de travail, y compris en prévision d'une future expansion ou allocation d'adresses IP aux sous-réseaux sur les zones de disponibilité. Cela inclut les équilibreurs de charge, les instances EC2 et les applications basées sur conteneur.

• Préférer les topologies en étoile au maillage plusieurs à plusieurs: Si plus de deux espaces d'adresses réseau (par exemple, des VPC et des réseaux sur site) sont connectés via l'appairage de VPC, AWS Direct Connect ou VPN, utilisez un modèle en étoile, comme celui fourni par AWS Transit Gateway.

• Appliquer des plages d'adresses IP privées sans chevauchement dans tous les espaces d'adressage privés où ils sont connectés: Les plages d'adresses IP de chacun de vos VPC ne doivent pas se chevaucher lorsqu'elles sont appairées ou connectées via VPN. De même, vous devez éviter les conflits d'adresses IP entre un VPC et des environnements sur site, ou avec d'autres fournisseurs de cloud que vous utilisez. Vous devez également avoir un moyen d'allouer des plages d'adresses IP privées si nécessaire.

Plan d'amélioration

Utiliser une connectivité réseau hautement disponible pour vos points de terminaison publics de charge de travail

Vérifier que vous disposez d'une connectivité hautement disponible pour les utilisateurs de la charge de travail: Amazon Route 53, AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway et Elastic Load Balancing (ELB) fournissent tous des points de terminaison hautement disponibles orientés public. Vous pouvez également choisir d'évaluer les appliances logicielles AWS Marketplace pour l'équilibrage de charge et la gestion des proxys.

• Vérifier que vous disposez d'une connexion hautement disponible pour vos utilisateurs
  • Si vos utilisateurs accèdent à votre application via Internet, utilisez les opérations d'API de service pour confirmer la bonne utilisation des passerelles Internet. Vérifiez également que les entrées des tables de routage pour les sous-réseaux hébergeant vos points de terminaison d'application sont bonnes.
    DescribeInternetGateways
    DescribeRouteTables
  • Si vos utilisateurs accèdent à votre application via votre environnement sur site, assurez-vous que la connectivité entre AWS et votre environnement sur site est hautement disponible.
• S’assurer que vous utilisez un DNS hautement disponible pour gérer les noms de domaine de vos points de terminaison d’application
  • Utiliser Route 53 pour gérer vos noms de domaine
    What is Amazon Route 53?
  • Utiliser un fournisseur DNS tiers qui répond à vos exigences
• Vérifier que vous utilisez un proxy inverse ou un équilibreur de charge hautement disponible devant votre application
  • Utiliser Elastic Load Balancing
    What is Elastic Load Balancing?
  • Utiliser une appliance AWS Marketplace qui répond à vos exigences

Mettre en service une connectivité redondante entre les réseaux privés dans le cloud et les environnements sur site

Vous assurer que vous disposez d’une connectivité hautement disponible entre AWS et l'environnement sur site: Utilisez plusieurs connexions AWS Direct Connect (DX) ou tunnels VPN entre des réseaux privés déployés séparément. Utilisez plusieurs emplacements DX pour une haute disponibilité. Si vous utilisez plusieurs régions AWS, assurez la redondance dans au moins deux d'entre elles. Il serait souhaitable d'évaluer les appliances AWS Marketplace qui mettent fin aux VPN. Si vous utilisez des appliances AWS Marketplace, déployez des instances redondantes pour une plus haute disponibilité dans différentes zones de disponibilité.

• Vous assurer que vous avez une connexion redondante à votre environnement sur site: Il se peut que vous ayez besoin de connexions redondantes à plusieurs régions AWS pour atteindre vos besoins en disponibilité.
  AWS Direct Connect Resiliency Recommendations
  Using Redundant Site-to-Site VPN Connections to Provide Failover
  • Utiliser des opérations d'API de service pour confirmer la bonne utilisation des circuits Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Si une seule connexion Direct Connect existe ou si vous n'en avez aucune, configurez des tunnels VPN redondants vers vos passerelles réseau privées virtuelles
    What is AWS Site-to-Site VPN?
• Capturer votre connectivité actuelle (par exemple, Direct Connect, passerelles réseau privées virtuelles, appliances AWS Marketplace)
  • Utiliser des opérations d'API de service pour interroger la configuration des connexions Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Utiliser des opérations d'API de service pour collecter les passerelles réseau privées virtuelles là où les tables de routage les utilisent
    DescribeVpnGateways
    DescribeRouteTables
  • Utiliser des opérations d'API de service pour collecter les applications AWS Marketplace là où les tables de routage les utilisent
    DescribeRouteTables

Créer des comptes d'allocation de sous-réseau IP pour l’expansion et la disponibilité

Planification de votre réseau en prévision de votre croissance, de la conformité réglementaire et de l'intégration à d'autres personnes: La croissance peut être sous-estimée, la conformité réglementaire peut changer, et les acquisitions ou les connexions à des réseaux privés peuvent être difficiles à implémenter sans une planification appropriée.

• Sélectionner des comptes et régions AWS pertinents en fonction de vos exigences de service, de la latence, de la réglementation et des exigences de reprise après sinistre
• Identifier vos besoins pour les déploiements VPC régionaux
  • Identifier le besoin de déploiement ou non d’une connectivité multi-VPC
    What Is a Transit Gateway?
    Single Region Multi-VPC Connectivity
  • Vérifier le besoin d’une mise en réseau séparée pour les exigences réglementaires
• Identifiez la taille des VPC
  • Rendez vos VPC aussi larges que possible. Le bloc d'adresse CIDR du VPC initial alloué à votre VPC ne peut pas être modifié ou supprimé, mais vous pouvez ajouter des blocs d'adresse CIDR non superposés au VPC. Cela peut toutefois fragmenter vos plages d'adresses.
  • Autoriser l'utilisation d'équilibreurs Elastic Load Balancer, de groupes Auto Scaling, d'invocations AWS Lambda simultanées et de points de terminaison de service

Préférer les topologies en étoile au maillage plusieurs à plusieurs

Préférer les topologies en étoile au maillage plusieurs à plusieurs: Si plus de deux espaces d'adresses réseau (VPC, réseaux sur site) sont connectés via l'appairage de VPC, AWS Direct Connect ou VPN, utilisez un modèle en étoile comme celui fourni par AWS Transit Gateway.

• Quand il s’agit de seulement deux de ces réseaux, vous pouvez simplement les connecter l'un à l'autre, mais à mesure que le nombre de réseaux augmente, la complexité de ces connexions maillées devient intenable. AWS Transit Gateway fournit un modèle en étoile facile à gérer, permettant d'acheminer le trafic sur vos multiples réseaux.
  What Is a Transit Gateway?

Appliquer des plages d'adresses IP privées sans chevauchement dans tous les espaces d'adressage privés où ils sont connectés

Surveiller et gérer votre utilisation CIDR: Évaluez votre utilisation potentielle sur AWS, ajoutez des plages CIDR à des VPC existants, et créez des VPC pour autoriser une croissance d'utilisation planifiée.

• Capturer votre consommation CIDR actuelle (par exemple, les VPC, les sous-réseaux, etc.)
  • Utiliser les opérations d'API de service pour collecter les données de consommation CIDR actuelle
• Capturer votre utilisation de sous-réseau actuelle
  • Utiliser des opérations d'API de service pour collecter les sous-réseaux par VPC de chaque région
    DescribeSubnets
  • Enregistrer l'utilisation actuelle
  • Déterminez si vous avez créé des plages d'adresses IP se chevauchant
  • Calculer la capacité inutilisée
  • Relevez les plages d'adresses IP qui se chevauchant: Vous pouvez soit migrer vers une nouvelle plage d'adresses, soit utiliser les appliances de traduction de port et de réseau (NAT) d'AWS Marketplace si vous avez besoin de connecter les plages qui se chevauchent.