As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Construindo uma infraestrutura de rede AWS multi-VPC escalável e segura
Data de publicação: **17 de abril de 2024** () [Histórico do documento](document-revisions.md)
Os clientes da Amazon Web Services (AWS) geralmente confiam em centenas de contas e nuvens privadas virtuais (VPCs) para segmentar suas cargas de trabalho e expandir sua presença. Esse nível de escala geralmente cria desafios em relação ao compartilhamento de recursos, conectividade entre VPCs e instalações locais à conectividade VPC.
[Este whitepaper descreve as melhores práticas para criar arquiteturas de rede escaláveis e seguras em uma grande rede usando AWS serviços como [Amazon Virtual Private Cloud (Amazon](https://aws.amazon.com/vpc/) VPC),,, [AWS Transit Gateway](https://aws.amazon.com/transit-gateway), [AWS PrivateLink](https://aws.amazon.com/privatelink/)Gateway [Direct Connect](https://aws.amazon.com/directconnect/)[Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/) e Amazon Route 53. [AWS Network Firewall](https://aws.amazon.com/network-firewall/)](https://aws.amazon.com/route53/) Ele demonstra soluções para gerenciar uma infraestrutura em crescimento, garantindo escalabilidade, alta disponibilidade e segurança, mantendo os custos indiretos baixos.
## Introdução
AWS os clientes começam criando recursos em uma única AWS conta que representa um limite de gerenciamento que segmenta permissões, custos e serviços. No entanto, à medida que a organização do cliente cresce, torna-se necessária uma maior segmentação dos serviços para monitorar custos, controlar o acesso e facilitar o gerenciamento ambiental. Uma solução com várias contas resolve esses problemas fornecendo contas específicas para serviços de TI e usuários dentro de uma organização. AWS fornece várias ferramentas para gerenciar e configurar essa infraestrutura, inclusive [AWS Control Tower](https://aws.amazon.com/controltower/).
![\[Um diagrama que descreve a implantação AWS Control Tower inicial\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/control-tower-deployment.png)
Quando você configura seu ambiente de várias contas usando AWS Control Tower, ele cria duas unidades organizacionais (OUs):
+ **OU de segurança** — Dentro dessa OU, AWS Control Tower cria duas contas:
+ Arquivo de log
+ Auditoria (essa conta corresponde à conta do Security Tooling discutida anteriormente na orientação.)
+ **Sandbox OU** — Essa OU é o destino padrão para contas criadas dentro AWS Control Tower dela. Ele contém contas nas quais seus criadores podem explorar e experimentar AWS serviços e outras ferramentas e serviços, de acordo com as políticas de uso aceitável da sua equipe.
**AWS Control Tower permite criar, registrar e gerenciar mais OUs para expandir o ambiente inicial e implementar a orientação.**
O diagrama a seguir mostra o OUs inicialmente implantado por AWS Control Tower. Você pode expandir seu AWS ambiente para implementar qualquer uma das recomendações OUs incluídas no diagrama, a fim de atender às suas necessidades.
![\[Um diagrama que descreve a AWS organização OUs.\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/organization-ous.png)
Para obter mais detalhes sobre o uso de ambientes com várias contas AWS Control Tower, consulte o [https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html) no whitepaper *Organizando seu AWS ambiente usando* várias contas.
A maioria dos clientes começa com alguns VPCs para implantar sua infraestrutura. O número que VPCs um cliente cria geralmente está relacionado ao número de contas, usuários e ambientes em estágios (produção, desenvolvimento, teste etc.). À medida que o uso da nuvem cresce, o número de usuários, unidades de negócios, aplicativos e regiões com os quais um cliente interage também cresce, levando à criação de novos VPCs.
À medida que o número VPCs cresce, o gerenciamento entre VPCs se torna essencial para a operação da rede em nuvem do cliente. Este whitepaper aborda as melhores práticas para três áreas específicas em conectividade híbrida e entre VPCs:
+ **Conectividade de rede** — redes interconectadas VPCs e locais em grande escala.
+ **Segurança de rede** [— Criação de pontos de saída centralizados para acessar a Internet e endpoints, como gateway de [tradução de endereços de rede (NAT), [VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) e balanceadores de carga de gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html). [AWS PrivateLink[AWS Network Firewall](https://aws.amazon.com/network-firewall/)](https://aws.amazon.com/privatelink/)](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)
+ **Gerenciamento de DNS** — Resolvendo o DNS dentro da Control Tower e do DNS híbrido.
## Planejamento e gerenciamento de endereços IP
Para criar um design escalável de rede multi-VPC com várias contas, o planejamento e o gerenciamento de endereços IP são essenciais. Um bom esquema de endereçamento IP precisa considerar suas necessidades de rede atuais e futuras. Seu esquema de endereços IP O IP precisa cobrir suas cargas de trabalho locais, suas cargas de trabalho na nuvem e também deve permitir uma expansão futura (por exemplo, adição de novas Regiões da AWS unidades de negócios e fusões ou aquisições). Isso também deve evitar que suas equipes criem inadvertidamente IPs sobrepostos. CIDRs Se a sobreposição de CIDR IP for desejada, como para cargas de trabalho isoladas ou desconectadas, essa decisão precisa ser consciente e deve levar em conta as implicações no roteamento, na segurança e nos custos. Talvez você também precise considerar a criação dos processos de aprovação necessários para essas exceções. Um bom esquema de endereçamento IP também ajuda a simplificar o design da rede e a configuração de roteamento.
Considerações importantes:
+ Planeje seu esquema de endereçamento IP (público e privado IPs) com antecedência e selecione uma ferramenta de gerenciamento de endereço IP para alocar, gerenciar e rastrear o uso do endereço IP em todas as suas cargas de trabalho.
+ Use esquemas de endereçamento IP hierárquicos e resumidos.
+ Planeje uma atribuição consistente de IP com base no ambiente Região da AWS, na organização ou na unidade de negócios.
+ Designe um IP distinto CIDRs (ambos IPv4 e IPv6) para redes locais e na nuvem.
+ Previna e rastreie proativamente a sobreposição de IP. CIDRs
+ Dimensione seu IP CIDRs adequadamente para permitir o escalonamento e o crescimento futuro.
+ Habilite suas cargas de trabalho IPv6 ou a compatibilidade de pilha dupla para reduzir os conflitos de IP e o esgotamento do espaço de endereçamento. IPv4
Você pode usar o Amazon VPC IP Address Manager (IPAM) para simplificar o planejamento, o rastreamento e o monitoramento de endereços IP públicos e privados para suas cargas de trabalho. AWS O IPAM permite que você organize, aloque, monitore e compartilhe espaço de endereço IP entre vários e. Regiões da AWS Contas da AWS Também ajuda na alocação automática do VPCs uso CIDRs de regras comerciais específicas.
Consulte as [melhores práticas do Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-vpc-ip-address-manager-best-practices/), o [gerenciamento de grupos de IP em VPCs todas as regiões usando o Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/) e o [gerenciamento de endereços IP para ver postagens de AWS Control Tower blog para](https://aws.amazon.com/blogs/networking-and-content-delivery/ip-address-management-for-aws-control-tower/) aprender as melhores práticas de endereçamento IP e como usar o IPAM para gerenciar pools de IP em, e. VPCs Regiões da AWS AWS Control Tower
## Você é Well-Architected?
O [Well-Architected Framework da AWS](https://aws.amazon.com/architecture/well-architected/) ajuda você a entender os prós e os contras das decisões que você toma ao criar sistemas na nuvem. Os seis pilares do framework permitem a você conhecer as melhores práticas de arquitetura para criar e operar sistemas confiáveis, seguros, econômicos e sustentáveis na nuvem. Usando o [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/), disponível gratuitamente no [Console de gerenciamento da AWS](https://console.aws.amazon.com/wellarchitected), você pode analisar suas workloads em relação a essas práticas recomendadas respondendo a um conjunto de perguntas para cada pilar.
Para obter orientações especializadas e melhores práticas adicionais para a arquitetura de sua nuvem (implantações de arquitetura de referência, diagramas e whitepapers), consulte o [AWS Architecture Center](https://aws.amazon.com/architecture/).