Каковы передовые методы зонирования подсети AWS VPC?

Каковы общие правила разделения ресурсов в отдельную подсеть в VPC?

Большинство статей, которые я нашел в Интернете, посвящены публичным / частным подсетям, но они не были слишком подробными. Например, есть много вещей, которые вы можете считать частными: ec2 (s) за ELB, базы данных, ... и вещи, которые вы можете считать общедоступными: ELB (s), экземпляры NAT, Bastion (s), ...

Должны ли они все входить в 1 большую общедоступную подсеть и 1 большую частную подсеть? Если нет, то какой подход рекомендуется?


amazon-web-services amazon-vpc subnet
person rocketspacer    schedule 08.10.2018    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Во-первых, вам нужна одна подсеть для каждой зоны доступности. Я бы не стал развертывать производственную среду без как минимум двух зон доступности (желательно трех).

Во-вторых, я бы использовал подсети, чтобы разделить ваше приложение на грубые «уровни». Как минимум общедоступные и частные подсети (по одной на каждую зону доступности). Общедоступные балансировщики нагрузки в общедоступных подсетях, серверы в частных подсетях. Если вы хотите получить более детальную информацию, вы делитесь на несколько уровней, например, в традиционной сети (общедоступная, веб-демилитаризованная зона, база данных).

Одна вещь, которую я хотел бы иметь в виду, - это то, как рост повлияет на вещи. Группы с автоматическим масштабированием могут становиться довольно большими. Если вы используете Lambda-функции в VPC, вы можете легко получить тысячи одновременных Lambda, поглощающих IP-адреса в вашей подсети. Сеть контейнеров с EKS потребляет много IP-адресов. Если вы смешиваете лямбда-выражения с группами автоматического масштабирования в одной подсети, вы можете столкнуться с неприятным конфликтом.

person myron-semack    schedule 08.10.2018