Architettura degli account di rete - Guida per l'utente avanzato di AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Architettura degli account di rete

Il diagramma seguente illustra l'ambiente di landing zone multi-account AMS, mostra i flussi di traffico di rete tra gli account ed è un esempio di configurazione ad alta disponibilità.

 

AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.
Diagram showing network traffic flow between Account AWS, VPCs, and internet gateways.

AMS configura per te tutti gli aspetti del networking in base ai nostri modelli standard e alle opzioni selezionate fornite durante l'onboarding. Al tuo account AWS viene applicato un design di rete AWS standard e viene creato un VPC per te e connesso ad AMS tramite VPN o Direct Connect. Per ulteriori informazioni su Direct Connect, consulta AWS Direct Connect. Lo standard VPCs include la DMZ, i servizi condivisi e una sottorete di applicazioni. Durante il processo di onboarding, VPCs potrebbero essere richiesti e creati altri dati in base alle esigenze dell'utente (ad esempio, divisioni clienti, partner). Dopo l'onboarding, viene fornito un diagramma di rete: un documento ambientale che spiega come è stata configurata la rete.

Nota

Per informazioni sui limiti e i vincoli di servizio predefiniti per tutti i servizi attivi, consulta la documentazione di AWS Service Limits.

Il design della nostra rete si basa sul «Principio del minimo privilegio» di Amazon. A tal fine, indirizziamo tutto il traffico, in ingresso e in uscita, attraverso una DMZ, ad eccezione del traffico proveniente da una rete affidabile. L'unica rete affidabile è quella configurata tra l'ambiente locale e il VPC tramite l'uso di una and/or VPN e AWS Direct Connect (DX). L'accesso è garantito tramite l'uso di istanze bastion, impedendo così l'accesso diretto a qualsiasi risorsa di produzione. Tutte le applicazioni e le risorse risiedono all'interno di sottoreti private raggiungibili tramite sistemi di bilanciamento del carico pubblici. Il traffico pubblico in uscita attraversa i gateway NAT nel VPC in uscita (nell'account di rete) verso l'Internet Gateway e quindi verso Internet. In alternativa, il traffico può fluire attraverso la tua VPN o Direct Connect verso il tuo ambiente locale.