un router virtuale che mette in comunicazione tutte le VPC della nostra Landing Zone in maniera semplice ed efficace<\/strong>.<\/p>\n\n\n\nAnche per adottare questa soluzione avremo bisogno del cosiddetto network-account su cui riesieder\u00e0 effettivamente il Transit Gateway. Essendo un approccio Multi-VPC ci serviranno anche almeno 2 VPC, una nell\u2019account A e una nell\u2019account B (anche il network account pu\u00f2 avere la sua VPC). A differenza della soluzione proposta precedentemente, in questo caso tutte le VPC saranno indipendenti dal punto di vista della loro configurazione e gestione mentre solo il Transit Gateway in s\u00e9 per s\u00e9 sar\u00e0 riservato agli amministratori di rete.<\/p>\n\n\n\n
Ricordiamo che, dovendo utilizzare numerose VPC, dovremo evitare il pi\u00f9 possibile di utilizzare CIDR sovrapposti tra di loro e soprattutto che vadano a coprire reindirizzamenti pubblici.<\/p>\n\n\n\n
Per agganciare una delle nostre VPC al Transit Gateway dovremo creare un Attachment<\/strong> sia che questa VPC si trovi nel network-account o che si trovi in uno degli altri account della landing zone. Anche in questa occasione ci avvarremo del servizio AWS RAM per poter condividere il nostro Transit Gateway appena creato con uno o pi\u00f9 account della nostra Landing Zone (ogni account avr\u00e0 il proprio attachment). Una volta che avremo accettato la condivisione potremo procedere, dal nostro account A, con la creazione del nostro Transit Gateway attachment per poi collegarlo alla nostra VPC. Cos\u00ec facendo avremo creato un collegamento \u201cvirtuale\u201d tra la nostra VPC e il Transit Gateway centralizzato.<\/strong> Se si desiderasse utilizzare l’Infrastructure-as-Code (IaC) potremmo automatizzare questi passaggi direttamente Tramite AWS CloudFormation.<\/p>\n\n\n\nAllo stato attuale avremmo una o pi\u00f9 VPC che afferiscono allo stesso Transit Gateway, ma senza la possibilit\u00e0 di comunicare fra di loro.<\/p>\n\n\n\n
Come ogni router, per gestire il percorso dei nostri pacchetti di rete, bisogner\u00e0 configurare le rotte<\/strong> che nel nostro caso risiedono nelle Transit Gateway Route Table<\/strong>. In generale potremmo avere una routing table per ogni attachment cos\u00ec da poter meglio dividere le varie rotte e la segregazione delle VPC di account specifici e particolarmente critici.<\/p>\n\n\n\nPer agganciare una Route Table ad un Attachmen baster\u00e0 creare un association direttamente dalla console di AWS specificando i vari ID richiesti.<\/p>\n\n\n\n
<\/p>\n\n\n
\n
<\/figure><\/div>\n\n\n<\/p>\n\n\n\n
Segregazione delle rotte<\/h3>\n\n\n\n Purtroppo, come per ogni altra soluzione multi-VPC, anche questa avr\u00e0 bisogno di molto effort a livello gestionale per assicurarsi che col proliferare delle VPC venga comunque mantenuto un buon isolamento a livello di sciruezza. Ricordiamo che, se pur dobbiamo mantenere un certo livello di sicurezza, dovremo anche permettere ai nostri applicativi di funzionare in maniera ottimale, senza andare ad impattare sui loro normali flussi operativi. Molto dell\u2019effort, infatti, sar\u00e0 da spendere nella configurazione precisa e puntuale delle rotte i ogni singola Routing Table. Una buona gestione di tutte le VPC afferenti al nostro Tranist Gateway ci permetter\u00e0 di essere tutelati anche qualora una delle nostre istanze venisse infettata da malintenzionati.<\/p>\n\n\n\n
VPC Peering<\/h3>\n\n\n\n L\u2019approccio che meglio si contrappone a quello del Transit Gateway \u00e8 quello di utilizzare i VPC Peering. <\/p>\n\n\n\n
Il VPC Peering altro non \u00e8 che un \u201cponte\u201d virtuale creato per mettere in comunicazione due VPC diverse<\/strong>, sia che queste si trovino in un solo account, sia che siano dislocate in account differenti. <\/p>\n\n\n\nDi solito questo \u00e8 un approccio che risulta valido quando si possiedono pochi account e non si vuole investire troppo effort nella gestione della rete.<\/p>\n\n\n\n
Avendo le VPC collegate potremo anche utilizzare i security group che non appartengono alla VPC di cui siamo i proprietari, aiutandoci a rendere pi\u00f9 sicura la nostra infrastruttura con regole ad hoc e ben mirate.<\/p>\n\n\n\n
Ricordiamo che se referenziamo un security group di un altra VPC questo non ci comparir\u00e0 come suggerimento direttamente dalla console ma dovremo inserirlo manualmente. Inoltre, nel caso in cui ci trovassimo cross-region non sarebbe possibile referenziare i security group delle varie VPC. Una cosa molto importante da tenere a mente quando si utilizza il VPC peering \u00e8 che quest\u2019ultimo non \u00e8 transitivo<\/strong>. Se abiliteremo il Peering tra la VPC-A e la VPC-B e successivamente tra la VPC-B e la VPC-C, la VPC-B potr\u00e0 comunicare con tutte le altre VPC ma le altre VPC non potranno comunicare tra loro dato che la VPC-B non riesce a ruotare il traffico verso il \u201cnext hop\u201d. <\/p>\n\n\n\nQuesto ci fa subito capire che il numero di peering che dovremo creare crescer\u00e0 esponenzialmente mano a mano che creeremo nuove VPC.<\/p>\n\n\n\n
Conclusione<\/h2>\n\n\n\n Come spesso ci si sente dire, la risposta a quale approccio sia il pi\u00f9 adatto alle nostre esigenze \u00e8 \u201cDipende\u201d.<\/p>\n\n\n\n
Tutto dipende da quale architettura abbiamo intenzione di adottare, quanto grande sar\u00e0 la nostra organizzazione e soprattutto quanto effort saremo in grado di sostenere nella sola gestione della rete.<\/p>\n\n\n\n
Ricordiamo sempre che una buona infrastruttura poggia le sue fondamenta su una rete ben progettata e scalabile, in grado di evolversi di pari passo con l’evoluzione e con la crescita della organization.<\/strong><\/p>\n\n\n\nPer capire meglio vantaggi e svantaggi delle varie possibilit\u00e0 introdotte in questo articolo, entreremo nel dettaglio del loro utilizzo in un articolo dedicato. Prenderemo ad esempio alcuni degli use-case pi\u00f9 comuni delineando una mappa di soluzioni a seconda dal caso.<\/p>\n\n\n\n
Seguiteci dunque per non perdervi la seconda parte del nostro viaggio nella centralizzazione del networking in ambienti Cloud multi-account su AWS!<\/p>\n\n\n\n
\n\n\n\nAbout Proud2beCloud<\/h4>\n\n\n\n Proud2beCloud<\/strong> is a blog by beSharp<\/a>, an Italian APN Premier Consulting Partner expert in designing, implementing, and managing complex Cloud infrastructures and advanced services on AWS. Before being writers, we are Cloud Experts working daily with AWS services since 2007. We are hungry readers, innovative builders, and gem-seekers. On Proud2beCloud, we regularly share our best AWS pro tips, configuration insights, in-depth news, tips&tricks, how-tos, and many other resources. Join the discussion!<\/p>\n","protected":false},"excerpt":{"rendered":"Introduzione Quando ci si trova a dover progettare una Landing Zone, uno dei temi pi\u00f9 salienti \u00e8 sicuramente la configurazione […]<\/p>\n","protected":false},"author":27,"featured_media":6288,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[469],"tags":[569,564,565,581,567],"yoast_head":"\n
AWS Landing Zone e networking centralizzato: un matrimonio ben riuscito - Proud2beCloud Blog<\/title>\n \n \n \n \n \n \n \n \n \n \n \n \n\t \n\t \n\t \n \n \n \n \n \n \n\t \n\t \n\t \n