Compartilhamento da VPC - Construindo uma infraestrutura de rede AWS multi-VPC escalável e segura

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhamento da VPC

VPCs O compartilhamento é útil quando o isolamento da rede entre as equipes não precisa ser gerenciado estritamente pelo proprietário da VPC, mas os usuários e as permissões no nível da conta devem ser. Com a VPC compartilhada, várias contas da AWS criam seus recursos de aplicativos (como EC2 instâncias da Amazon) na Amazon compartilhada e gerenciada centralmente. VPCs Nesse modelo, a conta proprietária da VPC (proprietário) compartilha uma ou mais sub-redes com outras contas (participantes). Quando uma sub-rede é compartilhada, os participantes podem visualizar, criar, modificar e excluir os recursos de seus aplicativos nas sub-redes compartilhadas com eles. Os participantes não poderão visualizar, modificar ou excluir recursos que pertencerem a outros participantes ou proprietários da VPC. A segurança entre recursos compartilhados VPCs é gerenciada usando grupos de segurança, listas de controle de acesso à rede (NACLs) ou por meio de um firewall entre as sub-redes.

Benefícios do compartilhamento de VPC:

  • Design simplificado — sem complexidade em relação à conectividade entre VPCs

  • Menos gerenciado VPCs

  • Segregação de tarefas entre equipes de rede e proprietários de aplicativos

  • Melhor utilização IPv4 do endereço

  • Custos mais baixos — sem cobranças de transferência de dados entre instâncias pertencentes a contas diferentes na mesma zona de disponibilidade

nota

Quando você compartilha uma sub-rede com várias contas, seus participantes devem ter algum nível de cooperação, pois estão compartilhando espaço IP e recursos de rede. Se necessário, você pode optar por compartilhar uma sub-rede diferente para cada conta de participante. Uma sub-rede por participante permite que a ACL de rede forneça isolamento de rede, além dos grupos de segurança.

A maioria das arquiteturas de clientes conterá várias VPCs, muitas das quais serão compartilhadas com duas ou mais contas. O Transit Gateway e o VPC peering podem ser usados para conectar o compartilhado. VPCs Por exemplo, suponha que você tenha 10 aplicativos. Cada aplicativo exige sua própria conta da AWS. Os aplicativos podem ser categorizados em dois portfólios de aplicativos (aplicativos dentro do mesmo portfólio têm requisitos de rede semelhantes, aplicativo 1—5 em 'Marketing' e aplicativo 6—10 em 'Vendas').

Você pode ter uma VPC por portfólio de aplicativos (dois no VPCs total), e a VPC é compartilhada com as diferentes contas do proprietário do aplicativo dentro desse portfólio. Os proprietários de aplicativos implantam aplicativos em sua respectiva VPC compartilhada (nesse caso, nas diferentes sub-redes para uso de segmentação e isolamento de rotas de rede). NACLs Os dois compartilhados VPCs são conectados por meio do Transit Gateway. Com essa configuração, você pode deixar de conectar 10 VPCs para apenas dois, conforme mostrado na figura a seguir.

Um diagrama que descreve um exemplo de configuração para VPC compartilhada

Exemplo de configuração — VPC compartilhada

nota

Os participantes do compartilhamento de VPC não podem criar todos os recursos da AWS em uma sub-rede compartilhada. Para obter mais informações, consulte a seção Limitações na documentação de compartilhamento de VPC.

Para obter mais informações sobre as principais considerações e as melhores práticas para o compartilhamento de VPC, consulte a postagem do blog Compartilhamento de VPC: considerações principais e melhores práticas.