Karena semakin banyak organisasi yang merangkul komputasi cloud, mengelola beberapa akun AWS dan virtual private cloud (VPC) dapat menjadi kompleks dan menantang. Dalam hal mengelola sumber daya jaringan di AWS, ada dua pendekatan utama: menggunakan VPC Khusus atau VPC Bersama. Setiap pendekatan memiliki kelebihan dan kekurangannya sendiri, dan memilih pendekatan yang tepat bergantung pada kasus penggunaan dan persyaratan khusus Anda.

AWS VPC Sharing adalah pendekatan yang memungkinkan Anda berbagi sumber daya VPC di beberapa akun AWS, menyederhanakan manajemen jaringan, dan mengurangi biaya. Dalam postingan blog ini, kita akan menjelajahi Berbagi VPC, manfaatnya, kasus penggunaan, dan model VPC yang Dibagikan.

Apa itu strategi multi-akun?

Strategi multi-akun adalah pendekatan untuk mengelola sumber daya AWS menggunakan beberapa akun AWS, masing-masing dengan tujuan atau fungsi tertentu. Strategi multi-akun dapat membantu Anda mencapai beberapa sasaran, seperti:

1. Keamanan yang ditingkatkan: Dengan menggunakan akun AWS terpisah untuk beban kerja atau layanan berbeda, Anda dapat mengurangi risiko akses tidak sah dan pelanggaran data. Anda juga dapat menerapkan kebijakan keamanan dan persyaratan kepatuhan dengan lebih mudah.
2. Peningkatan efisiensi: Dengan menggunakan akun AWS terpisah untuk lingkungan berbeda, seperti pengembangan, pengujian, dan produksi, Anda dapat meningkatkan penggunaan sumber daya dan mengurangi biaya. Anda juga dapat mengelola sumber daya secara lebih efisien dengan memusatkan administrasi dan pemantauan.
3. Penagihan yang disederhanakan: Dengan menggunakan akun AWS terpisah untuk unit bisnis atau pelanggan yang berbeda, Anda dapat menyederhanakan penagihan dan alokasi biaya. Anda juga dapat menggunakan AWS Organizations untuk mengelola metode penagihan dan pembayaran di beberapa akun AWS.

Mengapa Berbagi VPC?

Berbagi VPC adalah fitur yang memungkinkan Anda berbagi sumber daya VPC, seperti subnet, tabel rute, dan grup keamanan, dengan akun AWS lainnya. Dengan berbagi VPC, Anda dapat memusatkan sumber daya jaringan dan mengelolanya dengan lebih efisien. Anda juga dapat mengontrol akses ke sumber daya VPC Anda dan menerapkan kebijakan keamanan di beberapa akun AWS.

Berbagi VPC memungkinkan pelanggan berbagi subnet dengan akun AWS lain dalam organisasi AWS yang sama. Konsep ini memiliki banyak keunggulan, antara lain:

1. Pemisahan tugas, karena struktur VPC, perutean, dan penetapan alamat IP dapat dikontrol secara terpusat.
2. Pemilik aplikasi masih dapat memiliki sumber daya, akun, dan grup keamanan mereka.
3. Peserta berbagi VPC dapat mereferensikan ID grup keamanan satu sama lain.
4. Efisiensi meningkat melalui kepadatan subnet yang lebih tinggi dan penggunaan VPN serta AWS Direct Connect yang lebih baik.
5. Arsitektur jaringan yang disederhanakan dapat membantu menghindari batasan keras, seperti batas 50 VIF per koneksi AWS Direct Connect.
6. Pengoptimalan biaya melalui penggunaan kembali gateway NAT, gateway transit, firewall jaringan, titik akhir antarmuka VPC, dan lalu lintas intra-Availability Zone.
7. Berbagi VPC memungkinkan pemisahan akun dan jaringan, memungkinkan pelanggan untuk memiliki VPC yang lebih sedikit, lebih besar, dan dikelola secara terpusat sambil mempertahankan aplikasi yang sangat saling terhubung.

Model VPC bersama

Ada banyak cara untuk mendesain konfigurasi subnet VPC Bersama. Saat merancang VPC Bersama Anda, beberapa faktor harus dipertimbangkan, seperti cara menyelaraskan subnet dengan peserta VPC. Individu biasanya membuat kumpulan subnet khusus untuk setiap peserta VPC, dengan satu subnet untuk setiap Availability Zone di Wilayah AWS tiga AZ.

Pendekatan ini meminimalkan dampak dari setiap masalah yang muncul karena setiap peserta memiliki kumpulan subnetnya sendiri, mengurangi risiko menghabiskan semua alamat IP yang tersedia dan memengaruhi peserta lain. Selain itu, Anda dapat mengalokasikan kumpulan subnet terpisah untuk tujuan infrastruktur VPC.

Salah satu pola yang paling umum adalah memiliki beberapa zona keamanan di VPC Bersama yang sama.

• Pemilik VPC memiliki kontrol terpusat atas ACL jaringan dan perutean untuk semua subnet.
• Semua akun yang berpartisipasi secara otomatis menggunakan gateway transit di akun pemilik untuk merutekan lalu lintas ke sumber daya lokal.
• Semua akun peserta mengakses internet melalui gateway NAT yang dikonfigurasi di akun pemilik, dan lalu lintas selalu diperiksa melalui firewall jaringan AWS akun pemilik.
• Pemilik VPC bertanggung jawab untuk mengelola log terkait VPC, seperti log aliran VPC dan log kueri DNS.
• Temuan GuardDuty hanya dapat diakses oleh akun AWS yang memiliki sumber daya tempat aktivitas berbahaya terdeteksi.
• VPC pemilik bertanggung jawab untuk mengelola resolusi DNS dan aturan penerusan, dan tidak diperlukan konfigurasi tambahan untuk VPC yang berpartisipasi untuk menggunakan DNS tersebut.
• VPC yang berpartisipasi dapat menggunakan titik akhir yang dikonfigurasi di subnet VPC akun pemilik.

Kasus Penggunaan untuk Strategi Multi-Akun dengan Berbagi VPC

Kebijakan multi-akun dengan berbagi VPC dapat digunakan dalam beberapa skenario, seperti:

1. TI Bisnis: Jika Anda adalah organisasi TI perusahaan, Anda dapat menggunakan kebijakan multi-akun dengan berbagi VPC untuk mengelola sumber daya untuk berbagai unit bisnis atau departemen. Anda juga dapat menggunakan berbagi VPC untuk mengontrol akses ke sumber daya jaringan dan menerapkan kebijakan keamanan.
2. Penyedia Layanan Terkelola: Jika Anda adalah penyedia layanan terkelola, Anda dapat menggunakan kebijakan multi-akun dengan berbagi VPC untuk mengelola sumber daya bagi banyak pelanggan. Anda juga dapat menggunakan berbagi VPC untuk memusatkan sumber daya jaringan dan meningkatkan efisiensi.
3. Penyedia Perangkat Lunak sebagai Layanan (SaaS): Jika Anda adalah penyedia SaaS, Anda dapat menggunakan kebijakan multi-akun dengan berbagi VPC untuk mengelola sumber daya dari penyewa atau pelanggan yang berbeda. Anda juga dapat menggunakan berbagi VPC untuk mengontrol akses ke sumber daya jaringan dan menegakkan kebijakan keamanan.

Kesimpulan

Kebijakan multi-akun dengan berbagi VPC memberikan pendekatan yang kuat untuk mengelola sumber daya AWS di beberapa akun AWS. Dengan menggunakan akun AWS terpisah untuk beban kerja atau layanan berbeda dan berbagi sumber daya VPC, Anda dapat meningkatkan keamanan, meningkatkan efisiensi, dan mengurangi biaya. Dengan mengikuti praktik terbaik yang diuraikan dalam entri blog ini, Anda dapat menerapkan strategi multi-akun dengan berbagi VPC dan mulai menuai manfaatnya.