Когда у вас больше, чем один Transit Gateway (TGW) и постоянно растущее кол-во VPC, то подключение очередной в общую сеть становится весьма непростой задачей.
Это (подключение TGW аттачментов вместе с настройкой route tables для TGW) можно автоматизировать, чтобы было досточно добавить тэг к VPC, а Лямбды уже подхватят и сделают нужное за вас.
Называется эта штука STNO (Serverless Transit Network Orchestrator solution) :
https://aws.amazon.com/blogs/mt/serverless-transit-network-orchestrator-stno-in-control-tower/
Актуально для тех, кто работает с TGW и имеет распределённую по многим аккаунтам инфраструктуру, которую нужно связывать в единую сеть.
Детали по работе STNO есть в великолепном видео по работе TGW:
https://www.youtube.com/watch?v=9Nikqn_02Oc
#TransitGateway #multi_account_strategy
Это (подключение TGW аттачментов вместе с настройкой route tables для TGW) можно автоматизировать, чтобы было досточно добавить тэг к VPC, а Лямбды уже подхватят и сделают нужное за вас.
Называется эта штука STNO (Serverless Transit Network Orchestrator solution) :
https://aws.amazon.com/blogs/mt/serverless-transit-network-orchestrator-stno-in-control-tower/
Актуально для тех, кто работает с TGW и имеет распределённую по многим аккаунтам инфраструктуру, которую нужно связывать в единую сеть.
Детали по работе STNO есть в великолепном видео по работе TGW:
https://www.youtube.com/watch?v=9Nikqn_02Oc
#TransitGateway #multi_account_strategy
Amazon
Implementing Serverless Transit Network Orchestrator (STNO) in AWS Control Tower | Amazon Web Services
Introduction Many of the customers that we have worked with are using advanced network architectures in AWS for multi-VPC and multi-account architectures. Placing workloads into separate Amazon Virtual Private Clouds (VPCs) has several advantages, chief among…
Теперь можно ссылаться на Security Groups из другой VPC, которая присоединена через Transit Gateway:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#tgw-vpc-rules
Раньше можно было ссылаться на SG из других VPC только через VPC peering, теперь можно из через TGW. Правда для этого потребуется обновить TGW или VPC attachment:
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-sg-updates.html
Особенности:
▪️ Ссылаться через TGW peering нельзя (VPC -> TGW -> TGW peering -> TGW -> VPC, только VPC -> TGW -> VPC).
▪️ Ссылаться можно лишь в правиле для входящего трафика.
▪️ Не работает на древних виртуалках (только Nitro-based EC2 instances).
▪️ Не работает на любых виртуалках, расположенных в древних датацентрах, конкретно подзона
▪️ Не работает, как минимум пока, с PrivateLink и Reachability Analyzer.
Кому-то мелкая вещь и бессмысленная вещь, а кому-то упрощение управление зоопарком Security Groups в сложной сети.
#VPC #TransitGateway #SecurityGroup
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#tgw-vpc-rules
Раньше можно было ссылаться на SG из других VPC только через VPC peering, теперь можно из через TGW. Правда для этого потребуется обновить TGW или VPC attachment:
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-sg-updates.html
Особенности:
▪️ Ссылаться через TGW peering нельзя (VPC -> TGW -> TGW peering -> TGW -> VPC, только VPC -> TGW -> VPC).
▪️ Ссылаться можно лишь в правиле для входящего трафика.
▪️ Не работает на древних виртуалках (только Nitro-based EC2 instances).
▪️ Не работает на любых виртуалках, расположенных в древних датацентрах, конкретно подзона
use1-az3 (которую всегда рекомендовал исключать).▪️ Не работает, как минимум пока, с PrivateLink и Reachability Analyzer.
Кому-то мелкая вещь и бессмысленная вещь, а кому-то упрощение управление зоопарком Security Groups в сложной сети.
#VPC #TransitGateway #SecurityGroup
👍9🤔1😱1
Теперь можно ссылаться на Security Group из другой VPC не только подключённую через VPC Peering, но и через Transit Gateway:
https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-for-aws-transit-gateway/
Для этого потребуется указать опцию. Security Group Referencing support при создании TGW или модифицировать имеющийся.
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#vpc-attachment-security
⚠️ Также, как и для VPC Peering — работает лишь в том же AWS Region.
⚠️ Не сработает, если между VPC будет подключен AWS Network Firewall.
P.S. Закрыт ещё один гештальт длиной в шесть лет.
#SecurityGroup #VPC #TransitGateway
https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-security-group-referencing-for-aws-transit-gateway/
Для этого потребуется указать опцию. Security Group Referencing support при создании TGW или модифицировать имеющийся.
https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html#vpc-attachment-security
⚠️ Также, как и для VPC Peering — работает лишь в том же AWS Region.
⚠️ Не сработает, если между VPC будет подключен AWS Network Firewall.
P.S. Закрыт ещё один гештальт длиной в шесть лет.
#SecurityGroup #VPC #TransitGateway
Amazon
Introducing security group referencing for AWS Transit Gateway | Amazon Web Services
Today, we are introducing support for security group referencing on AWS Transit Gateway. This new feature allows you to create inbound security rules that reference security groups defined in other Amazon Virtual Private Clouds (Amazon VPCs) attached to a…
👍14🔥6❤2