O que é uma boa estratégia de sub-rede para o AWS VPC? [fechadas]

3

Atualmente tenho cada VPC por cluster (stg, prd, tst, misc) e os clusters padrão (stg, prd) têm essas sub-redes:

  • elb: para elb público (s) que receberão tráfego público direto
  • elb-int: para elb (s) interno (s) que receberão serviço para comunicação de serviço
  • svc: para o serviço de aplicativo
  • db: para o banco de dados
  • dmz: para gateway (s) nat, proxy, etc
VPC (stg, prd)
├10.100.0.0/16 az-1
|  ├10.100.0.0/20  elb
|  ├10.100.16.0/20 elb-int
|  ├10.100.32.0/20 svc
|  ├10.100.48.0/20 svc
|  ├10.100.64.0/20 db
|  ├10.100.80.0/20 dmz
|  ├10.100.96.0/20 <reserved>
|  ├ ...
|  └10.1-0.240.0/20 <reserved>
├10.101.0.0/16 az-2
|  ├10.101.0.0/20  elb
|  ├10.101.16.0/20 elb-int
|  ├10.101.32.0/20 svc
|  ├10.101.48.0/20 svc
|  ├10.101.64.0/20 db
|  ├10.101.80.0/20 dmz
|  ├10.101.96.0/20 <reserved>
|  ├ ...
|  └10.101.240.0/20 <reserved>
└10.102.0.0/16 az-3
   ├10.102.0.0/20  elb
   ├10.102.16.0/20 elb-int
   ├10.102.32.0/20 svc
   ├10.102.48.0/20 svc
   ├10.102.64.0/20 db
   ├10.102.80.0/20 dmz
   ├10.102.96.0/20 <reserved>
   ├ ...
   └10.102.240.0/20 <reserved>

Eu sei que esta questão é ampla, como "depende da situação", tipo pergunta. Mas eu pesquisei na internet e não encontrei nenhuma orientação sensata sobre isso.

Então eu fiz esta pergunta para descobrir como os administradores de sistemas escolhem uma estratégia para sua (s) sub-rede (s). Por favor, compartilhe a sua e, se puder, faça uma pequena declaração explicando porque escolheu essa abordagem.

    
por rocketspacer 12.10.2018 / 05:50

1 resposta

5

Receio que o ServerFault não seja um local para conduzir pesquisas ou solicitar respostas baseadas em opinião.

De qualquer forma, sua configuração parece ser muito complicada .

Como na segurança e no firewall da AWS é feito predominantemente usando Grupos de segurança , não importa se você tem 6 camadas de sub-rede como você descreve na pergunta ou apenas 2 por VPC - Pública e Privada .

  • Os recursos nas sub-redes públicas possuem IPs públicos / elásticos e podem ser acessados da Internet, se as regras da SG permitirem

    Por exemplo - public ELB / ALB, jump hosts, etc

  • Os recursos nas sub-redes privadas não podem ser acessados de fora e usam o NAT para conversar

    Por exemplo - clusters de RDS, clusters de ECS, servidores da Web (ocultos por trás do ELB), etc.

  • Opcionalmente, você pode ter sub-redes privadas sem acesso à internet - às vezes usadas em bancos de dados (RDS), mas quase sempre são colocadas nas sub-redes privadas .

É claro que suas camadas de sub-rede públicas e privadas devem abranger alguns AZs para alcançar alta disponibilidade, mas não exagere. Use 2 ou 3 AZs max , o que geralmente é suficiente, mesmo que em algumas regiões você possa ter muito mais.

Tecnicamente, é claro que você não pode abranger uma sub-rede em AZs, mas você pode ter 172.31.0.0/24 priv-a em AZ "a" e priv-b 172.31.1.0/24 em AZ "b" e implantar ELBs e ASGs em ambos e tratá-lo como um.

Observe que todas as opções acima se aplicam a por VPC . Normalmente, você terá várias VPCs , por exemplo. um por estágio (dev, teste, ..) e até mesmo várias contas da AWS por projeto (por exemplo, dev e prod ) para uma maior separação entre cargas de trabalho de produção e desenvolvimento / teste.

Nada disso são regras difíceis, é claro. Alguns clientes exigem mais camadas de sub-rede ou mais AZs por VPC, mas essas são exceções.

Para a maioria das VPCs, as sub-redes Pública + Privada em 3 AZs estão perfeitamente bem.

E lembre-se - Grupos de segurança são seus amigos:)

    
por 12.10.2018 / 07:04