Architettura di rete SALZ

Il diagramma seguente illustra il layout della rete VPC VPC con account singolo di AWS Managed Services (AMS) single-account landing zone (SALZ) ed è un esempio di configurazione ad alta disponibilità.

AMS configura per te tutti gli aspetti del networking in base ai nostri modelli standard e alle opzioni selezionate fornite durante l'onboarding. Al tuo account AWS viene applicato un design di rete AWS standard e viene creato per te un cloud privato virtuale (VPC) collegato ad AMS tramite VPN o Direct Connect. Scopri di più su Direct Connect su AWS Direct Connect. Lo standard VPCs include la DMZ, i servizi condivisi e una sottorete di applicazioni. Durante il processo di onboarding, VPCs potrebbero essere richiesti e creati altri dati in base alle esigenze dell'utente (ad esempio, divisioni clienti, partner). Dopo l'onboarding, ti viene fornito un diagramma di rete, un documento ambientale che spiega come è stata configurata la tua rete.

Il design della nostra rete si basa sul «Principio del minimo privilegio» di Amazon. A tal fine, indirizziamo tutto il traffico, in entrata e in uscita, attraverso i gateway, ad eccezione del traffico proveniente da una rete affidabile. L'unica rete affidabile è quella configurata tra l'ambiente locale e il VPC tramite l'uso di una and/or VPN e AWS Direct Connect (DX). L'accesso è garantito tramite l'uso di istanze bastion, impedendo così l'accesso diretto a qualsiasi risorsa di produzione. Tutte le applicazioni e le risorse risiedono all'interno di sottoreti private raggiungibili tramite sistemi di bilanciamento del carico pubblici. Il traffico pubblico in uscita fluisce attraverso i nostri proxy di inoltro verso l'Internet Gateway e quindi verso Internet. In alternativa, il traffico può fluire attraverso la tua VPN o Direct Connect verso il tuo ambiente locale.