Configuração de VPCs - AWS Orientação prescritiva
VPC de firewallVPC de entradaVPC de saídaLogs de fluxo da VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração de VPCs

Uma VPC é uma rede logicamente isolada na AWS que se assemelha a uma rede de data center tradicional. Uma rede robusta geralmente inclui três VPCs diferentes na conta de rede:

  • VPC de firewall

  • VPC de entrada

  • VPC de saída

Cada uma dessas VPCs é designada para uma finalidade específica. Aplicações e outros serviços não devem ser implantados nessas VPCs, exceto os descritos neste guia.

Ao criar essas VPCs, escolha a opção Somente VPC. Em seguida, escolha a opção Bloco CIDR IPv4 alocado pelo IPAM, selecione o grupo do IPAM relevante e insira a máscara de rede apropriada.

VPC de firewall

A VPC de firewall é dedicada a criar e configurar um firewall usando o AWS Network Firewall. No VPC de firewall, crie seis sub-redes privadas:

  • Três sub-redes dedicadas para anexo do gateway de trânsito

  • Três sub-redes dedicadas para o firewall

VPC de entrada

Ao configurar a conta de rede, considere o tráfego que chega aos seus serviços hospedados na AWS. Na VPC de entrada, você hospeda um Application Load Balancer. Você também configura o firewall padrão do AWS WAF da organização e outros serviços relacionados à segurança para ajudar a evitar atividades maliciosas que possam comprometer a segurança. Na VPC de entrada, crie seis sub-redes:

  • Três sub-redes públicas para hospedar o Application Load Balancer

  • Três sub-redes de anexo do gateway de trânsito em que você configurará o roteamento para o firewall para qualquer outro bloco CIDR de rede, exceto o bloco CIDR da VPC de entrada

VPC de saída

A VPC de saída controla o tráfego que sai da conta de rede. Na VPC de saída, crie as seguintes seis sub-redes:

  • Três sub-redes públicas em três zonas de disponibilidade diferentes, com um gateway NAT em cada sub-rede.

  • Três sub-redes privadas nas três zonas de disponibilidade, cada uma contendo uma tabela de rotas configurada com a rota 0.0.0.0/0 para o ID do gateway NAT criado na respectiva sub-rede pública. Conecte gateways de trânsito às sub-redes privadas.

Associe qualquer zona hospedada privada à VPC de saída.

Logs de fluxo da VPC

Para registrar todas as solicitações às interfaces de rede para análise futura, configure o VPC Flow Logs. Para obter mais informações, consulte a documentação da Amazon VPC e o padrão Configure VPC Flow Logs for centralization across Contas da AWS.