1 votos

Lo que sería algunos patrones y antipatrones para implementar ambientes reflejados en AWS (u otros proveedores de nube)

Estoy buscando para encontrar algunos buenos patrones y anti-patrones para implementar reflejado ambientes (para simplificar, digamos que una Instancia de EC2, RDS y y S3, que es una situación muy común). Supongamos que tenemos para ello cientos o incluso miles de veces. He bateó algunas ideas en torno a como

  • Múltiples cuentas - Solo propósito - el Uso de todas las Regiones

    • Nos implementar una instancia de una VPC por región, y de desplegar nuestro conjunto de servicios en la región.
    • Bueno, Garantiza el aislamiento y la no noisy neighbors, TF módulos o CloudFormation Plantillas no será complicado
    • Mala, una maldita gestión de la pesadilla
  • Sola Cuenta - Multiusos

    • Podemos segmentar nuestro VPC en varias subredes y desplegar los recursos en cada subred de la agrupación
    • Bueno, más Fácil de manejar, más por menos
    • Los malos, Que son suaves limitado a 20 subredes por región (16 regiones * 20), posibilidad de vecinos ruidosos, las redes pueden llegar a ser de espagueti

Estoy buscando más maneras de hacer esto y por qué estaría mal (técnica de la deuda, tanto) o buena (fácilmente reutilizables y etc)

Un millón de gracias

3voto

Alex Moore Puntos 26

Así que un par de puntos generales que decir sobre esta bastante complejo el tema depende mucho de lo que realmente está tratando de lograr.

Usted tiene tres opciones:

  1. Solo VPC - único conjunto de grandes subredes en su ejemplo, que sería 4 - 2 'público' subredes y 2 'privado' subredes. A continuación, utilizar grupos de seguridad para aislar las implementaciones' - no hay ningún beneficio para el uso de subredes para la separación que veo, aparte de tener que administrar el espacio de direcciones IP y un montón de subredes. En última instancia, la única diferencia entre una subred es típicamente: AZ/ruta-tabla/nacl/dhcp-opciones - sólo el uso de una nueva subred si uno de esos cambios. Una subred no te da ningún 'ruidoso vecino' cuestiones de sí mismo. No es una capa de dominio 2 en un clásico de la vlan' sentido y arriba la puerta de enlace de internet es horiztonally escalable sin límites, como por: Amazon VPC preguntas frecuentes

  2. Varios VPC - si había una sola cuenta puede tener varios Vpc en una región, el limite es de 5 Vpc, pero la dura max es:

    El número de Vpc en la región multiplicado por el número de grupos de seguridad por VPC no puede superar los 10000.

    Amazon VPC Límites

    Lo cual es bastante elevado, en su ejemplo, usted podría decir que no podría ser de 4 grupos de seguridad (ELB, EC2 ASG, RDS, el acceso de Administrador), lo que significa 2,500 Vpc teóricamente? Yo no he oído de nadie que, pero podría ser una opción.

    Sin embargo, otra cosa que pensar en función de cómo auto-escalable de su plataforma, son algunos de los límites de la cuenta de ancho y si usted los golpea para una implementación, entonces podría afectar a otro - por ejemplo, simplemente el número de instancias de un tipo particular - o Lambda que la ejecución simultánea de los límites. Lo que conduce a la 3ª opción...

  3. Múltiples cuentas - Ahora usted puede crear nuevas cuentas a través de la API, gracias a la AWS Organizaciones de la API, sin embargo, los Límites de la página es, por desgracia vagas sobre lo que el límite está en términos de número de cuentas. Aunque he oído de las empresas más grandes tienen 1000 de cuentas. Ver: los Límites de AWS Organizaciones y Cómo Utilizar AWS a las Organizaciones Automatizar End-to-End de la Creación de la Cuenta

En general para el caso de uso, usted querrá tener una limpia pila de CloudFormation que puede ser completamente re-utilizar con la mínima variación simplemente para mantener la coherencia de la implementación, operaciones y soporte. A mí este puntos a la VPC, como la unidad de implementación o de la Cuenta como la unidad de implementación. Usted tendrá que tener cuidado para vigilar los límites en ambos casos. Hacerlo dentro de una VPC, ya sea con grandes subredes, o dividir por subred, en última instancia, será complicado para mantener mi punto de vista subjetivo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: