Каковы лучшие практики зонирования подсетей AWS VPC?

Question

Каковы общие правила, когда следует разделять ресурсы в отдельной подсети внутри VPC?

Большинство статей, которые я нашел в интернете, вращаются вокруг публичных / частных подсетей, но они не были слишком глубокими.Например, есть много вещей, которые вы можете считать закрытыми: ec2 (s) за ELB, базы данных, ... и вещи, которые вы можете считать публичными: ELB (s), NAT (ы), Bastion (s), ...

Должны ли они все входить в 1 большую общедоступную подсеть и 1 большую частную подсеть?Если нет, то какой метод рекомендуется?

Answer 1

Прежде всего, вам нужна одна подсеть для каждой зоны доступности.Я бы не развернул производственную среду без минимум двух АЗ (предпочтительно трех).

Во-вторых, я бы использовал подсети для разделения вашего приложения на грубые «ярусы».Публичные и частные подсети как минимум (по одной на AZ).Общедоступные балансировщики нагрузки в общедоступных подсетях, серверы в частных подсетях.Если вы хотите получить более детальную информацию, вы делитесь на несколько уровней, таких как традиционная сеть (Public, Web DMZ, Database).

Я хотел бы иметь в виду одну вещь: как рост повлияет на вещи.Группы автоматического масштабирования могут стать довольно большими.Если вы используете лямбда-функции в VPC, вы можете легко получить тысячи одновременных лямбд, поглощающих IP-адреса в вашей подсети.Контейнерная сеть с EKS потребляет много IP-адресов.Если вы смешаете Lambdas с автоматически масштабируемыми группами в одной подсети, вы можете столкнуться с неприятным столкновением.