{"id":6353,"date":"2023-09-29T08:00:00","date_gmt":"2023-09-29T06:00:00","guid":{"rendered":"https:\/\/blog.besharp.it\/?p=6353"},"modified":"2023-09-27T15:47:30","modified_gmt":"2023-09-27T13:47:30","slug":"vpc-shared-vs-multi-vpc-scegliere-la-migliore-infrastruttura-di-rete-per-la-tua-azienda","status":"publish","type":"post","link":"https:\/\/blog.besharp.it\/it\/vpc-shared-vs-multi-vpc-scegliere-la-migliore-infrastruttura-di-rete-per-la-tua-azienda\/","title":{"rendered":"VPC shared VS multi-VPC: scegliere la migliore infrastruttura di rete per la tua azienda"},"content":{"rendered":"\n
Come abbiamo visto nello scorso articolo, ormai quando si parla di infrastrutture di rete per la nostra Landing zone non pensiamo pi\u00f9 soltanto al Transit Gateway ma a una gamma di possiblit\u00e0 pi\u00f9 ampia.
La vera domanda che dobbiamo porci adesso \u00e8 capire quando utilizzare un opproccio a discapito di un altro, capendo quali benefici o svantaggi questa decisione porter\u00e0 con se.<\/p>\n\n\n\n
Nel corso di questo articolo cercheremo di esporvi i vantaggi e gli svantaggi di ognuna delle soluzioni e, successivamente, portarvi anche dei piccoli esempi di use-case per ognugna di queste soluzione.<\/p>\n\n\n\n
Dopo aver capito quali sono le varie possibilit\u00e0 che abbiamo per configurare la rete della nostra landing zone, capiamo quali potrebbero essere alcuni scenari possibili che ci aiuteranno a capire quale approccio fa al caso nostro e delle nostre esigenze.
Di seguito proveremo a proporre 3 possibili scenari e insieme capiremo quale delle possibilit\u00e0 si adatta a quello descritto. Ricordiamo che magari potreste avere esigenze particolari non contemplate in questo articolo, quello che vi proponiamo noi sono solo delle linee guida per prendere le vostre decisioni senza imporre una vera e propria regola.<\/p>\n\n\n\n
Poniamoci nel caso pi\u00f9 popolare; un\u2019azienda che ha deciso di appoggiarsi al cloud per tutta la sua infrastruttura \u00e8 che molto probabile nell\u2019arco degli anni ha fatto proliferare il numero dei suoi account. Per la nostra azienda ipotetica, tematiche come la Landing Zone, la gestione dei costi e la centralizzazione dei servizi principlai \u00e8 orami pane cuotidiano.
Purtroppo per\u00f2 l\u2019IT non \u00e8 cresciuto al pari passo degli applicativi e del buisiness quindi, spesso si trovano a combattere contro il troppo overhead per gestire la loro infrastruttura.
In questo caso tra tutte le varie opzioni, la singola VPC condivisa potrebbe essere proprio quel tassello che dar\u00e0 una marcia in pi\u00f9 all\u2019operativit\u00e0 quotidiana del nostro IT, senza dover rinunciare a tutti i benefici di scalabilit\u00e0 e compliances che siamo abbiatuti a vedere in una Landing Zone ben strutturata.
A differenza di come avremmo con un Transit Gateway, con questa soluzione potremo gestire la rete di tutti gli account direttamente da una console centralizzata nel nostro \u201cnetwork-account\u201d. Come spiegato nell\u2019articolo precedente, quando ci riferiamo a \u201cnetwork-account\u201d intendiamo un account AWS all\u2019interno della nostra Organization adibito alla creazione della VPC e di tutte le sue subnet che successivamente verranno condivise coi vari account.
Poter modificare le rotte, creare nuove subnet e gestire il traffico cross-account direttamente da una console ci permetter\u00e0 di risparmiare moltissimo tempo che andrebbe \u201cspeso\u201d per cambiare account con l\u2019assumeRole o con il nostro portale di SSO qual\u2019ora fossimo federeati con il nostro IDP. Per quanto ormai la gestione multi-account sia diventata la quotidianit\u00e0 per questo genere di aziende, poter risparmiare del tempo significativo ci aiuterebbe meglio a concentrarci su tematiche pi\u00f9 importante come la security e la segregazione. Un altro punto a favore per questa soluzione sta nella segregazione dei permessi legati alle risorse di rete negli account applicativi. Gestendo l\u2019ownershi della VPC all\u2019interno del nostro account centralizzato, potremo limitare i permessi IAM legati agli utenti che lavorano sui vari account, cos\u00ec anche da assicurarci che configurazioni errate possano provocare dei buchi per la nostra sicurezza di rete.
Se volessi aggiungere un altro tassello alla nostra ipotetica azienda potremmo dire che i vari applicativi, presenti sui nostri account, spesso devono comunicare tra loro per scambiarsi informazioni preziose e necessarie per fornire un servizio di qualit\u00e0 a dei possibili clienti.<\/p>\n\n\n\n
Se vi siete trovati gi\u00e0 in questa situazione sicuramente saprete che in questi casi i costi extra-VPC la fanno da padrone. Ricordiamoci che su AWS il traffico che rimane all\u2019interno di una VPC e il traffico che passa da una VPC ad una ltra (anche nella stessa region di AWS) hanno due costi significativamente diversi. Se poi immaginiamo che si trovi anche un Transit Gateway tra le due VPC i costi aumentano ancora.<\/p>\n\n\n\n