Estratégia de roteamento para várias VPCs na AWS

Navegue suas respostas
1

Estou planejando configurar várias nuvens virtuais privadas (VPC) na AWS. Essas VPCs estarão localizadas em diferentes geos. Cada VPC terá instâncias públicas e privadas. Eu preciso incorporar uma estratégia de roteamento eficiente para todas as instâncias em execução em todas as VPCs. A comunicação cruzada do VPC ocorrerá nos túneis Ipsec. Qualquer sugestão sobre as seguintes preocupações será muito útil para mim.

  1. Devo criar uma estrutura hub-n-spoke em que cada VPC terá um túnel Ipsec para o VPC do hub ou devo criar um túnel Ipsec para cada par de VPC e formar um clique ?
  2. Eu tenho que manter uma instância em cada VPC que funcionará como gateway Ipsec e há o risco de que essa instância se torne um gargalo ou pior, um único ponto de falha. Existem opções de arquitetura onde eu posso evitar isso?
  3. Qual esquema de endereçamento IP devo seguir para que, no futuro, eu possa mover uma instância da sub-rede pública para a sub-rede privada e vice-versa, sem afetar o roteamento geral?

Por favor, forneça também links para docs / estudos de caso relevantes que você acha que podem me ajudar neste cenário.

Obrigado.

    
por tilmik 07.01.2014 / 10:43

1 resposta

2

Primeiro, você não pode mover uma instância entre sub-redes. Uma vez que uma ENI primária tenha sido atribuída a uma instância, ela não poderá ser desanexada, portanto permanecerá nessa sub-rede. O melhor que você pode fazer é lançar uma nova instância em uma nova sub-rede, interrompê-la e, em seguida, mover o volume principal do EBS da instância antiga para a nova. Mas, claro, isso lhe dará um novo endereço IP.

Em segundo lugar, você deve criar uma malha completa de conexões VPN entre todas as zonas de disponibilidade em todas as regiões onde você está criando VPCs. Assim, se você tiver dois AZs na região alfa e dois AZs na região bravo, você terá 4 túneis VPN. Por que vale a pena essas instâncias também podem atuar como as instâncias NAT de saída para sub-redes privadas na zona de disponibilidade. Há alguma documentação nesta configuração.

Por fim, a maneira de evitar o ponto único de falha para as instâncias de VPN / NAT é usar o escalonamento automático e provisionamento com script das instâncias. Isto é assim, se a instância falhar, ela será imediatamente substituída por uma nova instância. O truque é que todas as instâncias de VPN / NAT precisarão de um ENI que será reutilizado toda vez que a instância falhar e for substituída. Esta apresentação da re: Invent 2013 tem uma visão geral do processo: video e slides .

    
por 09.01.2014 / 21:44

Tags

Desvantagem para MaxCmds alto? Vcenter 5.5: não é possível criar o datacenter