View a markdown version of this page

Architettura degli account di rete - Guida per l'utente AMS Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Architettura degli account di rete

Il diagramma seguente illustra l'ambiente di landing zone multi-account AMS, mostra i flussi di traffico di rete tra gli account ed è un esempio di configurazione ad alta disponibilità.

 

AWS Diagramma dell'architettura di rete che mostra più account, VPC e componenti di connettività.
Diagramma del flusso del traffico di rete che mostra sette fasi dall'uscita attraverso i vari componenti di AWS rete alle istanze dell'applicazione.

AMS configura per te tutti gli aspetti del networking in base ai nostri modelli standard e alle opzioni selezionate fornite durante l'onboarding. Al tuo account AWS viene applicato un design di rete AWS standard e viene creato un VPC per te e connesso ad AMS tramite VPN o Direct Connect. Per ulteriori informazioni su Direct Connect, consulta AWS Direct Connect. I VPC standard includono la DMZ, i servizi condivisi e una sottorete di applicazioni. Durante il processo di onboarding, potrebbero essere richiesti e creati VPC aggiuntivi in base alle esigenze dell'utente (ad esempio, divisioni clienti, partner). Dopo l'onboarding, viene fornito un diagramma di rete: un documento ambientale che spiega come è stata configurata la rete.

Nota

Per informazioni sui limiti e i vincoli di servizio predefiniti per tutti i servizi attivi, consulta la documentazione di AWS Service Limits.

Il design della nostra rete si basa sul «Principio del minimo privilegio» di Amazon. A tal fine, indirizziamo tutto il traffico, in ingresso e in uscita, attraverso una DMZ, ad eccezione del traffico proveniente da una rete affidabile. L'unica rete affidabile è quella configurata tra l'ambiente locale e il VPC tramite l'uso di una and/or VPN e AWS Direct Connect (DX). L'accesso è garantito tramite l'uso di istanze bastion, impedendo così l'accesso diretto a qualsiasi risorsa di produzione. Tutte le applicazioni e le risorse risiedono all'interno di sottoreti private raggiungibili tramite sistemi di bilanciamento del carico pubblici. Il traffico pubblico in uscita attraversa i gateway NAT nel VPC in uscita (nell'account di rete) verso l'Internet Gateway e quindi verso Internet. In alternativa, il traffico può fluire attraverso la tua VPN o Direct Connect verso il tuo ambiente locale.