REL 2: Come si pianifica la topologia di rete?

I carichi di lavoro sono spesso presenti in più ambienti. Questi includono più ambienti cloud (sia pubblicamente accessibili sia privati) e, possibilmente, l'infrastruttura del data center esistente. I piani devono includere considerazioni di rete, ad esempio connettività intrasistema e intersistema, gestione di indirizzi IP pubblici, gestione di indirizzi IP privati e risoluzione dei nomi di dominio.

Risorse

AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking

Best practice:

• Utilizzo di una connettività di rete a disponibilità elevata per gli endpoint pubblici del carico di lavoro: Questi endpoint e il routing verso di essi devono essere altamente disponibili. Per ottenere questo risultato, utilizza DNS ad alta disponibilità, reti di distribuzione di contenuti (CDN), API Gateway, bilanciamento del carico o proxy inversi.

• Effettua il provisioning di connettività ridondante tra reti private nel cloud e negli ambienti in locale: Utilizza più connessioni AWS Direct Connect (DX) o tunnel VPN tra reti private distribuite separatamente. Utilizza più ubicazioni DX per un'elevata disponibilità. Se utilizzi più regioni AWS, garantisci la ridondanza in almeno due di esse. È possibile valutare le appliance AWS Marketplace che terminano le VPN. Se utilizzi appliance di AWS Marketplace, distribuisci le istanze ridondanti per la disponibilità elevata in diverse zone di disponibilità.

• Verificare che l'allocazione delle sottoreti IP consenta l'espansione e la disponibilità: Gli intervalli di indirizzi IP di Amazon VPC devono essere abbastanza grandi da soddisfare i requisiti del carico di lavoro, tra cui la fattorizzazione nella futura espansione e l'allocazione di indirizzi IP alle sottoreti nelle zone di disponibilità. Sono inclusi sistemi di bilanciamento del carico, istanze EC2 e applicazioni basate su container.

• Preferire topologie hub-and-spoke rispetto a mesh molti-a-molti: Se più di due spazi di indirizzi di rete (ad esempio, VPC e reti in locale) sono connessi tramite peering VPC, AWS Direct Connect o VPN, utilizza un modello hub-and-spoke, come quello fornito da AWS Transit Gateway.

• Applicazione di intervalli di indirizzi IP privati non sovrapposti in tutti gli spazi con indirizzi privati a cui sono connessi: Gli intervalli di indirizzi IP di ogni VPC non devono sovrapporsi quando collegati in peering o connessi tramite VPN. Analogamente, è necessario evitare conflitti di indirizzi IP tra un VPC e ambienti in locale o con altri provider di servizi cloud utilizzati. Bisogna inoltre disporre di un modo per allocare gli intervalli di indirizzi IP privati quando necessario.

Piano di miglioramento

Utilizzo di una connettività di rete a disponibilità elevata per gli endpoint pubblici del carico di lavoro

Connettività altamente disponibile per gli utenti del carico di lavoro: Amazon Route 53, AWS Global Accelerator, Amazon CloudFront, Amazon API Gateway ed Elastic Load Balancing (ELB) forniscono tutti endpoint pubblici altamente disponibili. Puoi anche scegliere di valutare le appliance software di AWS Marketplace per il bilanciamento del carico e il proxy.

• Accertati di disporre di una connessione ad alta disponibilità con gli utenti
  • Se gli utenti accedono alla tua applicazione tramite Internet, utilizza le operazioni delle API di servizio per confermare il corretto utilizzo degli Internet gateway. Assicurati inoltre che le voci delle tabelle di routing per le sottoreti che ospitano gli endpoint dell'applicazione siano corrette.
    DescribeInternetGateways
    DescribeRouteTables
  • Se gli utenti accedono all'applicazione tramite l'ambiente in locale, verifica che la connettività tra quest'ultimo e AWS sia altamente disponibile.
• Accertati di utilizzare un DNS altamente disponibile per gestire i nomi di dominio degli endpoint delle applicazioni
  • Utilizza Route 53 per gestire i nomi di dominio
    What is Amazon Route 53?
  • Utilizza un provider DNS di terze parti che soddisfi i tuoi requisiti
• Assicurati di utilizzare un proxy inverso o un sistema di bilanciamento del carico altamente disponibile prima dell'applicazione
  • Utilizza Elastic Load Balancing
    What is Elastic Load Balancing?
  • Utilizza un'appliance di AWS Marketplace che soddisfi i tuoi requisiti

Effettua il provisioning di connettività ridondante tra reti private nel cloud e negli ambienti in locale

Garantire una connettività altamente disponibile tra AWS e l'ambiente in locale: Utilizza più connessioni AWS Direct Connect (DX) o tunnel VPN tra reti private distribuite separatamente. Utilizza più ubicazioni DX per un'elevata disponibilità. Se utilizzi più regioni AWS, garantisci la ridondanza in almeno due di esse. È possibile valutare le appliance AWS Marketplace che terminano le VPN. Se utilizzi appliance di AWS Marketplace, distribuisci le istanze ridondanti per la disponibilità elevata in diverse zone di disponibilità.

• Accertati di disporre di una connessione ridondante all'ambiente in locale: Per soddisfare le tue esigenze di disponibilità, possono essere necessarie connessioni ridondanti a più regioni AWS.
  AWS Direct Connect Resiliency Recommendations
  Using Redundant Site-to-Site VPN Connections to Provide Failover
  • Utilizza le operazioni delle API di servizi per identificare l'utilizzo corretto dei circuiti Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Se esiste solo una connessione Direct Connect o se non è presente alcuna connessione, configura tunnel VPN ridondanti ai gateway virtuali privati
    What is AWS Site-to-Site VPN?
• Acquisisci la tua attuale connettività (ad esempio, Direct Connect, gateway virtuali privati, appliance AWS Marketplace)
  • Utilizza le operazioni delle API di servizi per eseguire la query della configurazione delle connessioni Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Utilizza le operazioni delle API di servizi per raccogliere i gateway virtuali privati dove vengono utilizzati dalle tabelle di routing
    DescribeVpnGateways
    DescribeRouteTables
  • Utilizza le operazioni delle API di servizi per raccogliere le applicazioni di AWS Marketplace dove vengono utilizzate dalle tabelle di routing
    DescribeRouteTables

Verificare che l'allocazione delle sottoreti IP consenta l'espansione e la disponibilità

Pianificazione della rete in base a crescita, compliance normativa e integrazione con altre reti: Senza una pianificazione adeguata, la crescita può essere sottovalutata, la compliance normativa può cambiare e l'implementazione di acquisizioni o di connessioni a reti private può rivelarsi difficile.

• Seleziona gli account e le regioni AWS pertinenti in base ai tuoi requisiti di servizio, di latenza, normativi e di disaster recovery (DR)
• Identifica le esigenze delle distribuzioni di VPC regionali.
  • Stabilisci se intendi distribuire connettività multi-VPC
    What Is a Transit Gateway?
    Single Region Multi-VPC Connectivity
  • Determina se hai bisogno di reti separate a causa di requisiti normativi
• Identifica le dimensioni dei VPC.
  • Fai in modo che i VPC abbiano le dimensioni maggiori possibili. Il blocco CIDR VPC iniziale allocato al VPC non può essere modificato o eliminato, ma puoi aggiungere ulteriori blocchi CIDR non sovrapposti al VPC. Tuttavia, questo potrebbe frammentare gli intervalli degli indirizzi
  • Prevedi di utilizzare Elastic Load Balancer, gruppi Auto Scaling, chiamate AWS Lambda simultanee ed endpoint di servizio.

Preferire topologie hub-and-spoke rispetto a mesh molti-a-molti

Preferire topologie hub-and-spoke rispetto a mesh molti-a-molti: Se più di due spazi di indirizzi di rete (VPC, reti in locale) sono connessi tramite peering VPC, AWS Direct Connect o VPN, utilizza un modello hub-and-spoke, come quello fornito da AWS Transit Gateway.

• Se disponi solo di due reti di questo tipo, puoi semplicemente connetterle tra loro, tuttavia, man mano che il numero di reti cresce, la complessità di tali connessioni mesh diventa insostenibile. AWS Transit Gateway offre un modello hub-and-spoke di facile manutenzione, consentendo l'instradamento del traffico su più reti.
  What Is a Transit Gateway?

Applicazione di intervalli di indirizzi IP privati non sovrapposti in tutti gli spazi con indirizzi privati a cui sono connessi

Monitoraggio e gestione dell'uso di CIDR: Valuta il tuo utilizzo potenziale su AWS, aggiungi intervalli CIDR ai VPC esistenti e crea i VPC per consentire la crescita pianificata dell'utilizzo.

• Acquisisci il consumo attuale di CIDR (ad esempio, VPC, sottoreti e così via)
  • Utilizza le operazioni delle API di servizi per raccogliere il consumo attuale di CIDR.
• Acquisisci l'utilizzo attuale delle sottoreti.
  • Utilizza le operazioni delle API di servizi per raccogliere le sottoreti per VPC in ogni regione
    DescribeSubnets
  • Registra l'uso attuale
  • Verifica se hai creato intervalli di indirizzi IP sovrapposti.
  • Calcola la capacità inutilizzata.
  • Prendi nota degli intervalli di indirizzi IP sovrapposti:: Puoi eseguire la migrazione a un nuovo intervallo di indirizzi o utilizzare le appliance NAT (Network and Port Translation) di AWS Marketplace se hai l'esigenza di connettere gli intervalli sovrapposti.