Назад | Перейти на главную страницу

Какова хорошая стратегия подсети для AWS VPC?

В настоящее время у меня есть каждый VPC для каждого кластера (stg, prd, tst, misc), а стандартные кластеры (stg, prd) имеют следующие подсети:

VPC (stg, prd)
├10.100.0.0/16 az-1
|  ├10.100.0.0/20  elb
|  ├10.100.16.0/20 elb-int
|  ├10.100.32.0/20 svc
|  ├10.100.48.0/20 svc
|  ├10.100.64.0/20 db
|  ├10.100.80.0/20 dmz
|  ├10.100.96.0/20 <reserved>
|  ├ ...
|  └10.1-0.240.0/20 <reserved>
├10.101.0.0/16 az-2
|  ├10.101.0.0/20  elb
|  ├10.101.16.0/20 elb-int
|  ├10.101.32.0/20 svc
|  ├10.101.48.0/20 svc
|  ├10.101.64.0/20 db
|  ├10.101.80.0/20 dmz
|  ├10.101.96.0/20 <reserved>
|  ├ ...
|  └10.101.240.0/20 <reserved>
└10.102.0.0/16 az-3
   ├10.102.0.0/20  elb
   ├10.102.16.0/20 elb-int
   ├10.102.32.0/20 svc
   ├10.102.48.0/20 svc
   ├10.102.64.0/20 db
   ├10.102.80.0/20 dmz
   ├10.102.96.0/20 <reserved>
   ├ ...
   └10.102.240.0/20 <reserved>

Я знаю, что это широкий вопрос, вроде вопроса «это зависит от ситуации». Но я поискал в Интернете и не нашел разумных указаний по этому поводу.

Поэтому я задал этот вопрос, чтобы узнать, как системные администраторы выбирают стратегию для своей подсети (ей). Поделитесь своим мнением и, если можете, разместите небольшое заявление, объясняющее, почему вы выбрали этот подход.

Боюсь, ServerFault - не место для проведения опросов или получения ответов на основе мнения.

В любом случае ваша установка кажется слишком сложный.

Поскольку в AWS безопасность и брандмауэры выполняются преимущественно с использованием Группы безопасности на самом деле не имеет значения, есть ли у вас 6 уровней подсети, как вы описываете в вопросе или всего 2 на VPC - Государственное и частное.

  • Ресурсы в Публичные подсети имеют публичные / эластичные IP-адреса и могут быть доступны из Интернета, если это разрешено правилами SG

    Например - общедоступные ELB / ALB, хосты переходов и т. Д.

  • Ресурсы в Частные подсети нельзя получить доступ извне и использовать NAT для разговора

    Например - кластеры RDS, кластеры ECS, веб-серверы (скрытые за ELB) и т. Д.

  • По желанию вы можете иметь Частные подсети без доступа в Интернет - это иногда используется для баз данных (RDS), но почти так же часто они просто помещаются в обычный Частные подсети.

Конечно ваши публичные и частные уровни подсети должны охватывать несколько зон доступности. для достижения высокой доступности, но не переусердствуйте. Используйте максимум 2 или 3 АЗ, обычно этого достаточно, даже если в некоторых регионах может быть намного больше.

Технически конечно нельзя размах подсеть в зонах доступности, но вы можете иметь priv-a 172.31.0.0/24 в зоне доступности «a» и priv-b 172.31.1.0/24 в зоне доступности «b», и развертывать ELB и ASG в обеих зонах и рассматривать их как одну.

Обратите внимание, что все вышесказанное применимо на VPC - обычно у вас будет несколько VPC, например. по одному на этап (dev, test, ..) и даже несколько учетных записей AWS на проект (например, разработчик и толкать) для большего разделения рабочих нагрузок на производство и разработку / тестирование.

Конечно, это не жесткие правила. Некоторым клиентам требуется больше уровней подсети или больше зон доступности для каждого VPC, но это исключения.

Для большинства VPC вполне подходят общедоступные и частные подсети в 3 зонах доступности.

И помни - Группы безопасности - ваши друзья :)