Je viens de commencer à créer une organisation AWS avec des unités organisationnelles (OU) séparées pour chaque produit, ce qui donne quatre produits distincts au sein de mon organisation.
Pour chaque produit, j’ai configuré des comptes AWS séparés pour les environnements PROD et NON-PROD afin d’assurer des charges de travail isolées.
Pour faciliter le télétravail, j’ai configuré une connexion VPN en utilisant le OpenVPN Access Server dans le compte NON-PROD pour le produit A.
Cette connexion VPN permet aux développeurs d’accéder aux ressources AWS situées dans le VPC associé.
Cependant, je dois maintenant partager la connexion VPN avec tous les développeurs, leur permettant d’accéder aux ressources AWS spécifiques à chaque produit.
J’aimerais recevoir des conseils sur la façon d’y parvenir. Voici mes questions spécifiques :
Comment puis-je partager la connexion VPN entre plusieurs développeurs, en veillant à ce qu’ils aient accès aux ressources AWS séparées par produit ?
Y a-t-il des meilleures pratiques recommandées ou des services AWS qui peuvent m’aider à atteindre cet objectif ?
Quelles considérations de sécurité devrais-je garder à l’esprit lors de la mise en œuvre de cette solution ?
Je conseille de créer un compte réseau dédié pour cela, afin de le garder séparé des charges de travail déployées du produit. Ce compte contiendra un VPC pour héberger le serveur OpenVPN qui a une connectivité avec les VPC dans les autres comptes via peering ou Transit Gateway (espérons qu’aucun d’eux n’ait de CIDRs en overlap).
Vous attribuerez ensuite des groupes d’utilisateurs dans OpenVPN en fonction des comptes auxquels ils doivent accéder, et restreindrez l’accès aux CIDRs pertinents dans OpenVPN (voir « Contrôle d’accès » sur cette page).
Pour ce scénario, quand le développeur à distance se connecte au VPN, il sera dans le VPC du « compte réseau » puis utilisera la « connexion peering » de ce VPC vers un autre VPC (compte du produit A) ?
Correct - par défaut, le trafic des développeurs apparaîtra comme provenant du serveur OpenVPN et sera automatiquement routé via la connexion peering pertinente, en fonction du VPC de produit auquel ils tentent d’accéder.
Merci, mec ! J’ai examiné la solution que vous avez suggérée.
Le peering VPC est avantageux pour un petit nombre de VPC ; cependant, si mon entreprise développe les produits E, F, G, H, la connexion peering pourrait devenir responsable des opérations et des tâches impliquant des mises à jour de routage.
pour le Transit Gateway est excellent pour résoudre ce problème opérationnel, mais ce n’est pas rentable pour mon entreprise.
La limite AWS par défaut pour les connexions de peering par VPC est de 50 (et peut être augmentée à 125), donc vous ne devriez pas atteindre de limite là. Je comprends vos préoccupations concernant la complexité opérationnelle, mais en fin de compte votre cas d’utilisation est relativement simple puisque vous connectez tout à un seul VPC plutôt que de tenter un maillage complet — si vous standardisez la création d’un nouveau produit/VPC avec IaC, la charge administrative sera finalement assez faible.