Arquitectura de cuentas de red - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Arquitectura de cuentas de red

El siguiente diagrama muestra el entorno de zona de landing de cuentas múltiples de AMS, que muestra los flujos de tráfico de red entre cuentas, y es un ejemplo de una configuración de alta disponibilidad.

 

AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.
Diagram showing network traffic flow between Cuentas de AWS, VPCs, and internet gateways.

AMS configura automáticamente todos los aspectos de la red en función de nuestras plantillas estándar y de las opciones que haya seleccionado durante la incorporación. Se aplica un diseño de red de AWS estándar a su cuenta de AWS y se crea una VPC para usted y se conecta a AMS mediante VPN o Direct Connect. Para obtener más información sobre Direct Connect, consulte AWS Direct Connect. VPCs Los estándares incluyen la DMZ, los servicios compartidos y una subred de aplicaciones. Durante el proceso de incorporación, es VPCs posible que se soliciten y creen más en función de sus necesidades (por ejemplo, divisiones de clientes o socios). Tras la incorporación, se le proporciona un diagrama de red: un documento de entorno que explica cómo se ha configurado la red.

nota

Para obtener información sobre los límites y restricciones de servicio predeterminados para todos los servicios activos, consulte la documentación sobre los límites de servicio de AWS.

El diseño de nuestra red se basa en el «Principio de Privilegio Mínimo» de Amazon. Para lograrlo, enrutamos todo el tráfico, de entrada y salida, a través de una zona desmilitarizada, excepto el tráfico que proviene de una red confiable. La única red de confianza es la que se configura entre el entorno local y la VPC mediante el uso de una and/or VPN y AWS Direct Connect (DX). El acceso se concede mediante el uso de instancias bastión, lo que impide el acceso directo a cualquier recurso de producción. Todas sus aplicaciones y recursos residen en subredes privadas a las que se puede acceder mediante balanceadores de carga públicos. El tráfico de salida público fluye a través de las puertas de enlace NAT de la VPC de salida (en la cuenta de red) hacia la puerta de enlace de Internet y, después, hacia Internet. Como alternativa, el tráfico puede fluir a través de su VPN o Direct Connect a su entorno local.