REL 2: Como você planeja sua topologia de rede?

Muitas vezes, as cargas de trabalho estão presentes em vários ambientes. Dentre eles estão vários ambientes de nuvem (acessíveis publicamente e privados) e possivelmente sua infraestrutura de datacenter existente. Os planos devem incluir considerações de rede, como conectividade dentro dos sistemas e entre eles, gerenciamento de endereços IP públicos e privados e resolução de nomes de domínio.

Recursos

AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)
What is Amazon Route 53?
What is Elastic Load Balancing?
What is Amazon CloudFront?
What Is a Transit Gateway?
What Is Amazon VPC?
Working with Direct Connect Gateways
Using the Direct Connect Resiliency Toolkit to get started
Multiple data center HA network connectivity
What Is AWS Global Accelerator?
VPC Endpoints and VPC Endpoint Services (AWS PrivateLink)
Amazon Virtual Private Cloud Connectivity Options Whitepaper
AWS Marketplace for Network Infrastructure
APN Partner: partners that can help plan your networking

Melhores práticas:

• Use conectividade de rede altamente disponível em seus endpoints públicos de carga de trabalho: Esses endpoints e o roteamento para eles devem ser altamente disponíveis. Para que isso seja possível, use DNS altamente disponível, Content Delivery Networks (CDNs – Redes de entrega de conteúdo), API Gateway, balanceamento de carga ou proxies reversos.

• Provisione conectividade redundante entre as redes privadas na nuvem e nos ambientes no local: Use várias conexões do AWS Direct Connect (DX) ou túneis VPN entre as redes privadas implantadas separadamente. Use vários locais do DX para alta disponibilidade. Se estiver usando várias regiões da AWS, garanta a redundância em pelo menos duas delas. Você pode avaliar os appliances do AWS Marketplace que encerram as VPNs. Se você usa appliances do AWS Marketplace, implante instâncias redundantes em zonas de disponibilidade diferentes para alta disponibilidade.

• Garanta contas de alocação de sub-rede IP para expansão e disponibilidade: Os intervalos de endereços IP do Amazon VPC devem ser grandes o suficiente para acomodar os requisitos da carga de trabalho, incluindo a futura expansão e alocação de endereços IP para sub-redes nas zonas de disponibilidade. Isso inclui load balancers, instâncias do EC2 e aplicativos baseados em contêiner.

• Prefira topologias hub-and-spoke em vez da malha muitos-para-muitos: Se mais de dois espaços de endereço de rede (por exemplo, VPCs e redes no local) estiverem conectados por meio do emparelhamento de VPC, do AWS Direct Connect ou da VPN, use um modelo hub-and-spoke, como o fornecido pelo AWS Transit Gateway.

• Aplique intervalos de endereços IP privados não sobrepostos a todos os espaços de endereços privados em que estão conectados: Os intervalos de endereços IP de cada uma das suas VPCs não devem se sobrepor quando emparelhados ou conectados por VPN. Você deve evitar conflitos de endereço IP da mesma forma entre uma VPC e ambientes no local ou com outros provedores de nuvem que você usa. Você também deve ter uma maneira de alocar intervalos de endereços IP privados quando necessário.

Plano de melhoria

Use conectividade de rede altamente disponível em seus endpoints públicos de carga de trabalho

Verifique se você tem conectividade altamente disponível para os usuários da carga de trabalho: O Amazon Route 53, o AWS Global Accelerator, o Amazon CloudFront, o Amazon API Gateway e o Elastic Load Balancing (ELB) oferecem endpoints altamente disponíveis voltados para o público. Você também pode avaliar os appliances de software do AWS Marketplace de balanceamento de carga e proxy.

• Verifique se você tem uma conexão altamente disponível para seus usuários
  • Se os usuários acessam seu aplicativo pela Internet, use as operações de API de serviço para confirmar o uso correto dos gateways da Internet. Confirme também se as entradas das tabelas de rotas para as sub-redes que hospedam os endpoints do seu aplicativo estão corretas.
    DescribeInternetGateways
    DescribeRouteTables
  • Se os usuários acessam seu aplicativo por meio do ambiente no local, verifique se a conectividade entre a AWS e o ambiente no local é altamente disponível.
• Verifique se você está usando um DNS altamente disponível para gerenciar os nomes de domínio dos endpoints do seu aplicativo
  • Use o Route 53 para gerenciar seus nomes de domínio
    What is Amazon Route 53?
  • Use um provedor DNS de terceiros que atenda aos seus requisitos
• Verifique se você está usando um proxy reverso ou um load balancer altamente disponível na frente do aplicativo
  • Use o Elastic Load Balancing
    What is Elastic Load Balancing?
  • Use um appliance do AWS Marketplace que atenda aos seus requisitos

Provisione conectividade redundante entre as redes privadas na nuvem e nos ambientes no local

Verifique se você tem conectividade altamente disponível entre a AWS e o ambiente no local: Use várias conexões do AWS Direct Connect (DX) ou túneis VPN entre as redes privadas implantadas separadamente. Use vários locais do DX para alta disponibilidade. Se estiver usando várias regiões da AWS, garanta a redundância em pelo menos duas delas. Você pode avaliar os appliances do AWS Marketplace que encerram as VPNs. Se você usa appliances do AWS Marketplace, implante instâncias redundantes em zonas de disponibilidade diferentes para alta disponibilidade.

• Verifique se você tem uma conexão redundante com o ambiente no local: Você pode precisar de conexões redundantes com várias regiões da AWS para atender às suas necessidades de disponibilidade.
  AWS Direct Connect Resiliency Recommendations
  Using Redundant Site-to-Site VPN Connections to Provide Failover
  • Use as operações de API de serviço para identificar o uso correto dos circuitos do Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Se houver apenas uma conexão do Direct Connect ou se você não tiver nenhuma, configure túneis VPN redundantes para seus gateways privados virtuais
    What is AWS Site-to-Site VPN?
• Capture a conectividade atual (por exemplo, Direct Connect, gateways privados virtuais, appliances do AWS Marketplace)
  • Use as operações de API de serviço para consultar a configuração das conexões do Direct Connect
    DescribeConnections
    DescribeConnectionsOnInterconnect
    DescribeDirectConnectGatewayAssociations
    DescribeDirectConnectGatewayAttachments
    DescribeDirectConnectGateways
    DescribeHostedConnections
    DescribeInterconnects
  • Use as operações de API de serviço para coletar os gateways privados virtuais em que as tabelas de rotas os utilizam
    DescribeVpnGateways
    DescribeRouteTables
  • Use as operações de API de serviço para coletar os aplicativos do AWS Marketplace em que as tabelas de rotas os utilizam
    DescribeRouteTables

Garanta contas de alocação de sub-rede IP para expansão e disponibilidade

Planeje sua rede para acomodar o crescimento, a conformidade regulatória e a integração com outras pessoas: O crescimento pode ser subestimado, a conformidade regulatória pode mudar e as aquisições ou conexões de rede privada podem ser difíceis de implementar sem o planejamento adequado.

• Selecione as contas e as regiões relevantes da AWS conforme seus requisitos de serviço, de latência, regulatórios e de Disaster Recovery (DR – Recuperação de desastres)
• Identifique suas necessidades de implantações regionais de VPC
  • Determine se você pretende implantar conectividade com várias VPCs
    What Is a Transit Gateway?
    Single Region Multi-VPC Connectivity
  • Determine se você precisa de rede segregada por requisitos normativos
• Identifique o tamanho das VPCs
  • Crie VPCs com o maior tamanho possível. O bloco CIDR inicial da VPC alocado para sua VPC não pode ser alterado ou excluído, mas você pode adicionar outros blocos CIDR não sobrepostos à VPC. No entanto, isso pode fragmentar seus intervalos de endereços
  • Permita o uso de Elastic Load Balancers, grupos de Auto Scaling, chamadas simultâneas do AWS Lambda e endpoints de serviço

Prefira topologias hub-and-spoke em vez da malha muitos-para-muitos

Prefira topologias hub-and-spoke em vez da malha muitos-para-muitos: Se mais de dois espaços de endereço de rede (VPCs e redes no local) estiverem conectados por meio do emparelhamento de VPC, do AWS Direct Connect ou da VPN, use um modelo hub-and-spoke, como o fornecido pelo AWS Transit Gateway.

• Para apenas duas redes desse tipo, você pode simplesmente conectá-las uma à outra. No entanto, à medida que o número de redes cresce, a complexidade dessas conexões em malha torna-se insustentável. O AWS Transit Gateway oferece um modelo hub-and-spoke fácil de manter, que permite o roteamento do tráfego entre várias redes.
  What Is a Transit Gateway?

Aplique intervalos de endereços IP privados não sobrepostos a todos os espaços de endereços privados em que estão conectados

Monitore e gerencie seu uso do CIDR: Avalie seu uso potencial na AWS, adicione intervalos CIDR às VPCs existentes e crie VPCs para permitir um crescimento planejado do uso.

• Capture o consumo atual do CIDR (por exemplo, VPCs, sub-redes etc.)
  • Use as operações da API de serviço para coletar o consumo atual do CIDR
• Capture seu uso atual da sub-rede
  • Use as operações de API de serviço para coletar sub-redes por VPC em cada região
    DescribeSubnets
  • Registre o uso atual
  • Determine se você criou algum intervalo de IPs sobrepostos
  • Calcule a capacidade não utilizada
  • Observe os intervalos de IPs sobrepostos: Você poderá migrar para um novo intervalo de endereços ou usar os appliances de Network and Port Translation (NAT) do AWS Marketplace se precisar conectar os intervalos sobrepostos.