KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Hướng Dẫn Mạng AWS: Bản Thiết Kế Tối Ưu và Danh Sách Kiểm Tra

Đăng vào 6 giờ trước

• 8 phút đọc

Chủ đề:

KungFuTech

Giới thiệu

Trong môi trường điện toán đám mây ngày nay, việc thiết lập một kiến trúc mạng AWS hiệu quả là rất quan trọng. Một ví dụ thực tế từ một dự án di chuyển T2C cho thấy việc thiếu NAT Gateway trong một VPC đa AZ đã dẫn đến tăng 20% chi phí chuyển dữ liệu. Bài viết này sẽ hướng dẫn bạn cách xây dựng một kiến trúc mạng AWS vững chắc và hiệu quả thông qua các sơ đồ và danh sách kiểm tra chi tiết.

Nội dung

Chuẩn bị trước khi tạo VPC đầu tiên

Trước khi bắt đầu thiết lập VPC, cần quan tâm đến các tài khoản, không gian IP và tự động hóa để phát triển sau này trở nên dễ dàng hơn.

1) Tài khoản và quy tắc bảo vệ

  • Sử dụng AWS Organizations cho các tài khoản mạng, nền tảng và ứng dụng chia sẻ.
  • Giữ các tài khoản lưu trữ nhật ký và an ninh riêng biệt.
  • Gán thẻ chủ sở hữu, môi trường và dịch vụ cho mọi tài nguyên.

2) Không gian và lập bản đồ

  • Quyết định CIDRs và ghi lại các ánh xạ AZ từ sớm.
  • CIDR không chồng lấn với không gian tóm tắt.
  • Ghi lại ánh xạ tên AZ sang ID trong mã.
  • Lên kế hoạch cho IPv6 thay vì cải tiến sau này.

3) Mọi thứ đều dưới dạng mã

  • Thực hiện các thay đổi có thể xem xét và tái tạo.
  • VPC, subnet và DNS được viết dưới dạng IaC.
  • Yêu cầu xem xét mã và kiểm tra CI cho các lần gộp.

Mini checklist

  • Tạo các tổ chức và tài khoản cơ bản.
  • Ghi chép lựa chọn CIDR và IPv6.
  • Ghi lại các ánh xạ AZ.
  • Chuẩn bị các pipeline và thẻ.

Những điều cần nhớ

  • Cấu trúc sớm đơn giản hóa thay đổi trong tương lai.
  • IaC cộng với thẻ giúp việc kiểm tra và chuyển giao nhanh hơn.

Bản thiết kế VPC

Giữ hình dạng giống nhau cho tất cả các dịch vụ để đảm bảo rõ ràng và phân lập lỗi.

1) Các tầng và tuyến đường

  • Tách biệt lưu lượng truy cập vào, ứng dụng và dữ liệu.
  • Các subnet công cộng, riêng tư ứng dụng và riêng tư dữ liệu trong mỗi AZ.
  • Một bảng định tuyến cho mỗi tầng.
  • Nhóm bảo mật cho quy tắc tinh vi, ACL mạng cho các điều khiển thô.

2) NAT và endpoints

  • Loại bỏ điểm đơn và giữ lưu lượng riêng tư.
  • NAT Gateway cho mỗi AZ.
  • Gateway endpoints cho S3 và DynamoDB.
  • Interface endpoints cho ECR, Secrets Manager, các nhà cung cấp.
  • VPC Flow Logs đến S3 hoặc CloudWatch.

3) VPC với các tầng subnet

  • Hai hoặc nhiều AZ, ba tầng cho mỗi AZ.
  • IGW trên tầng công cộng, NAT cho mỗi AZ.
  • Nổi bật các gateway và interface endpoints.

Mini checklist

  • Hai hoặc nhiều AZ.
  • Ba tầng cho mỗi AZ.
  • NAT cho mỗi AZ, endpoints có mặt.
  • Kích hoạt Flow Logs.

Những điều cần nhớ

  • Các tầng cộng với NAT cho mỗi AZ giữ cho các đường đi ngắn và có thể dự đoán.
  • Endpoints giảm egress và độ phơi bày.

Kết nối VPC và tài khoản

Mở rộng kết nối mà không cần mạng lưới peering.

1) Transit Gateway như một hub

  • Tập trung, tách biệt và mở rộng.
  • TGW cho quy mô giữa các tài khoản và khu vực.
  • Bảng định tuyến theo môi trường để tách biệt sản xuất.
  • Đặt VPN hoặc Direct Connect trên hub.

2) Chia sẻ và Zero Trust

  • Phân chia vai trò và giữ chính sách chặt chẽ.
  • Sử dụng RAM cho chia sẻ VPC khi nền tảng sở hữu mạng.
  • Hạn chế các tuyến đường và truy cập dựa trên danh tính.

3) TGW hub và spoke

  • Các VPC ứng dụng gắn với hub TGW.
  • Bảng định tuyến tách biệt cho sản xuất và không sản xuất.

Mini checklist

  • TGW đã chọn, các tuyến đường bị phân đoạn.
  • Peering chỉ được sử dụng cho các cặp đơn giản.

Những điều cần nhớ

  • Hub với bảng định tuyến tách biệt tránh lộn xộn đường đi.
  • Sự sở hữu rõ ràng tăng tốc độ thay đổi an toàn.

Ingress, Egress và dịch vụ giữa các dịch vụ

Chọn điểm vào và ra, sau đó chuẩn hóa chính sách nội bộ.

1) Ingress

  • ALB cho HTTP hoặc HTTPS với WAF và quy tắc đường dẫn.
  • NLB cho TCP hoặc TLS truyền qua.
  • Gateway Load Balancer cho các công cụ bảo mật trực tiếp.

2) Egress và truy cập dịch vụ riêng tư

  • Giữ lưu lượng AWS trên các liên kết riêng tư.
  • NAT cho mỗi AZ cho IPv4, IGW chỉ ra ngoài cho IPv6.
  • Gateway và interface endpoints cho các dịch vụ phổ biến.

3) Dịch vụ giữa các dịch vụ

  • Giữ quan hệ rõ ràng.
  • Nhóm bảo mật giữa các dịch vụ.
  • VPC Lattice hoặc App Mesh khi cần chính sách rộng.

Mini checklist

  • Chọn loại bộ cân bằng tải đúng.
  • NAT cho mỗi AZ, endpoints được cấu hình.

Những điều cần nhớ

  • Truy cập và egress chuẩn hóa giảm thiểu các sửa chữa tạm thời.
  • Truy cập riêng tư giảm thiểu rủi ro và chi phí.

DNS và Route 53

Sử dụng DNS như một công cụ an toàn và triển khai.

1) Khu vực và phạm vi

  • Tách biệt các đối tượng một cách rõ ràng.
  • Khu vực công cộng cho các điểm cuối bên ngoài.
  • Khu vực riêng cho các dịch vụ nội bộ giữa nhiều VPC.

2) Chính sách định tuyến

  • Gửi thay đổi dần dần và chuyển đổi an toàn.
  • Sử dụng bản ghi trọng số cho canary.
  • Định tuyến dựa trên độ trễ cho các ứng dụng đa khu vực.
  • Kiểm tra sức khỏe với failover.
  • TTL ngắn trong quá trình triển khai, dài hơn sau đó.

3) Chính sách Route 53

  • Khu vực công và riêng, gắn kết với VPC.
  • Chính sách trọng số, failover, và độ trễ với kiểm tra sức khỏe.

Mini checklist

  • Khu vực đã được tạo và gắn kết.
  • Chính sách phù hợp với mục tiêu dịch vụ.
  • Kiểm tra sức khỏe và TTL được điều chỉnh.

Những điều cần nhớ

  • DNS có thể giai đoạn, điều hướng và phục hồi.
  • TTL là một kiểm soát vận hành.

Tư thế an ninh

Xây dựng các kiểm soát vào quy trình giao hàng hàng ngày.

1) Quyền truy cập và dữ liệu

  • Ưu tiên các dịch vụ quản lý và có thể kiểm toán.
  • Sử dụng Session Manager thay vì SSH không quản lý.
  • KMS cho dữ liệu khi nghỉ, TLS mọi nơi.
  • WAF trước các ứng dụng công cộng.

2) Phát hiện và tiêu chuẩn

  • Luôn luôn cảnh giác mà không ồn ào.
  • GuardDuty và Security Hub trên nhiều tài khoản.
  • Gán thẻ tiêu chuẩn cho sở hữu và vòng đời.

Mini checklist

  • Bật Session Manager, đóng SSH.
  • Đặt mã hóa và WAF.
  • Kích hoạt GuardDuty và Security Hub.

Những điều cần nhớ

  • Mặc định trong mã giữ cho các biện pháp bảo vệ nhất quán.
  • Kiểm toán nhanh hơn khi các thẻ và nhật ký là tiêu chuẩn.

Khả năng quan sát

Đo lường những gì liên quan đến tác động người dùng và chi phí.

1) Nhật ký và số liệu

  • Giữ bộ nhỏ và hữu ích.
  • VPC Flow Logs đến S3 với quy tắc vòng đời.
  • Nhật ký truy cập ALB hoặc NLB cho mỗi môi trường.
  • Số liệu NAT, gắn kết TGW và số lượng WAF là số liệu chính.

2) Theo dõi và giữ lại

  • Khớp độ sâu với nhu cầu.
  • OpenTelemetry cho theo dõi dịch vụ.
  • Tách biệt gỡ lỗi ngắn hạn khỏi lưu trữ tuân thủ dài hạn.

Mini checklist

  • Kích hoạt Flow Logs và LB logs.
  • Cảnh báo mục tiêu, không phải lũ lụt.

Những điều cần nhớ

  • Tín hiệu tốt hơn khối lượng.
  • Bảng điều khiển rõ ràng hướng dẫn hành động.

Chi phí như một yếu tố thiết kế

Coi chi phí là một lựa chọn thiết kế, không phải là một bất ngờ.

1) Địa điểm và endpoints

  • Giữ cho các đường đi ngắn và riêng tư.
  • NAT cho mỗi AZ và endpoints gateway giảm egress NAT.
  • Giữ lưu lượng trong cùng một AZ khi có thể.

2) Lựa chọn mặt phẳng dữ liệu

  • Chọn công cụ phù hợp với các tính năng đang sử dụng.
  • ALB khi bạn cần các tính năng L7, NLB khi không cần.
  • Theo dõi xử lý TGW và tránh các vòng lặp.

Mini checklist

  • Địa điểm đã được xác nhận, endpoints được sử dụng.
  • Loại bộ cân bằng tải đã được biện minh.

Những điều cần nhớ

  • Hầu hết tiết kiệm đến từ địa điểm và liên kết riêng tư.
  • Xem xét lại các đường đi trước khi chuyển đổi nền tảng.

Danh sách kiểm tra cấp PR

Ghi lại các yếu tố cơ bản vào từng yêu cầu thay đổi.

1) Trước khi hợp nhất

  • Giữ người xem tập trung.
  • Ghi chép lựa chọn CIDR và IPv6.
  • Subnet trải dài qua các AZ với bảng định tuyến theo tầng.
  • Kích hoạt Flow Logs, đặt lưu trữ trung tâm.
  • Kiểm tra các tuyến TGW và gắn kết.
  • Xác minh các bản ghi DNS và chính sách định tuyến.
  • Đảm bảo các mặc định bảo mật có mặt, bao gồm ghi chú về chi phí.

Mini checklist

  • Chủ sở hữu và người chịu trách nhiệm được liệt kê.
  • Tất cả các mục trong bản thiết kế đều được đánh dấu.

Những điều cần nhớ

  • Danh sách kiểm tra giảm thiểu sự trôi dạt và tăng tốc độ hợp nhất.
  • Tài liệu là một phần của sản phẩm.

Kết luận

Một mạng lưới yên tĩnh là kết quả của các mẫu nhất quán, sở hữu rõ ràng và những kiểm tra nhỏ không bao giờ bị bỏ qua. Sử dụng bản thiết kế này, thêm các sơ đồ và giữ các danh sách kiểm tra bên cạnh các yêu cầu kéo của bạn.

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào