Tanquem el Capítol 33 amb el projecte més ambiciós de tots: una landing zone multi-compte amb Terraform i Control Tower. Si els projectes anteriors construïen aplicacions o plataformes concretes, aquest construeix els fonaments sobre els quals es desplega tot la resta en una organització gran. Combina els conceptes més avançats del llibre (governança, multi-compte, automatització a escala) en un projecte que demostra un domini de nivell professional. És la culminació pràctica de tot el que s’ha après.
Què és una landing zone (un repàs)
Recorda els Capítols 30 i 31: una landing zone és l’entorn base, ben organitzat i segur, que una empresa prepara abans de començar a desplegar les seves aplicacions. És com urbanitzar un terreny (posar carrers, aigua, electricitat, normes) abans de construir les cases. En una organització gran, això implica múltiples comptes d’AWS (subcapítol 30.1) governades de forma centralitzada.
Una landing zone és la BASE sobre la qual tot la resta es construeix: - múltiples comptes organitzades (Cap. 30.1) - governança i seguretat centralitzades (Cap. 30.3) - tot automatitzat i replicable (Cap. 30.4)
Aquest projecte construeix aquesta base: és el més complex perquè lliga els conceptes més avançats del llibre.
Les peces i com encaixen
El projecte combina els conceptes avançats de la Part VII, cadascun amb el seu paper:
Organizations: l’estructura de comptes
AWS Organizations (subcapítol 23.1) és la base: permet tenir múltiples comptes organitzades en una jerarquia (amb OUs, organizational units) i aplicar polítiques centralitzades (SCPs, els «límits» del que cada compte pot fer). És el «mapa» de la teva organització al núvol.
Control Tower: muntar i governar la landing zone
Control Tower (subcapítol 30.2) és el servei que munta i governa la landing zone per tu, aplicant bones pràctiques automàticament. Amb la seva Account Factory (subcapítol 30.2), crear nous comptes que compleixen les normes des del primer minut es torna senzill i repetible. És l’«urbanitzador» que prepara el terreny seguint les millors pràctiques.
Control Tower → munta i governa la landing zone amb bones pràctiques + Account Factory → crear comptes conformes fàcilment
Logs i seguretat centralitzats
La landing zone centralitza la observabilitat i la seguretat de tots els comptes (subcapítol 30.3): els logs van a un compte central, i serveis com GuardDuty (subcapítol 23.3) o Security Hub (subcapítol 23.4) vigilen tota l’organització des d’un punt central. Així res s’escapa, per molts comptes que hi hagi.
Terraform: definir tot com a codi a escala
I Terraform (tota la Part II en endavant, i especialment el subcapítol 30.4) defineix tota aquesta landing zone com a codi, de manera repetible, versionada i a escala multi-compte (recorda els patrons del subcapítol 30.4 per gestionar molts comptes amb Terraform). És el que fa que tota aquesta base sigui automàtica, replicable i professional, en comptes de muntada a mà.
L’arquitectura completa
Així encaixa tot en una landing zone:
┌─────────────────── Organització (AWS Organizations) ───────────────────┐
│ │
│ Control Tower (munta i governa la landing zone amb bones pràctiques) │
│ │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌────────────┐ │
│ │ Compte │ │ Compte │ │ Compte │ │ Compte │ │
│ │ seguretat │ │ logs │ │ producció │ │ desenvolup │ │
│ │ (GuardDuty, │ │ (logs │ │ (apps) │ │ (apps) │ │
│ │ Sec. Hub) │ │ centrals) │ │ │ │ │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └────────────┘ │
│ ▲ ▲ │
│ └── seguretat i logs centralitzats de TOTA l’organització ────┘
│ │
│ SCPs (límits del que cada compte pot fer) aplicats a totes │
└─────────────────────────────────────────────────────────────────────────┘
Tot definit amb TERRAFORM (com a codi)És una organització completa: múltiples comptes (seguretat, logs, producció, desenvolupament...) governades per Control Tower, amb seguretat i logs centralitzats, límits (SCPs) aplicats a totes, i tot definit amb Terraform. Aquesta és la base sobre la qual l’empresa desplegaria després les seves aplicacions (com les dels projectes anteriors!).
Per què és el projecte més complet
Aquest projecte és la culminació perquè ajunta el més avançat del llibre:
Conceptes del llibre que consolides (els més avançats!): - Multi-compte: per què i com separar (Cap. 30.1) - Organizations i SCPs (Cap. 23.1) - Control Tower i Account Factory (Cap. 30.2) - Logs i seguretat centralitzats (Cap. 30.3) - GuardDuty, Security Hub a nivell organització (Cap. 23) - Terraform a escala multi-compte (Cap. 30.4) - Bones pràctiques de Well-Architected (Cap. 27) - Golden paths i platform engineering com a continuació (Cap. 31)
⚠️ És un projecte avançat. No és per fer-lo només començar: requereix haver entès bé la Part VII. Si l’aboques, fes-ho amb calma, i fins i tot una versió simplificada (uns pocs comptes, l’essencial) ja t’ensenya enormement. No cal replicar una landing zone d’una multinacional per aprendre els conceptes.
Exemple del món real: algú que aspira a rols avançats (arquitecte cloud, platform engineer) vol demostrar que domina l’organització del núvol a escala, no només desplegar una app. Construeix una landing zone multi-compte simplificada: defineix amb Terraform una organització amb diversos comptes (un de seguretat, un de logs, un de producció, un de desenvolupament), fa servir Control Tower per governar-la amb bones pràctiques, centralitza els logs i activa GuardDuty i Security Hub per a tota l’organització, i aplica SCPs com a límits. En construir-ho, s’enfronta a la complexitat real de governar múltiples comptes i entén de veritat com les grans empreses estructuren el seu núvol. Acaba amb un projecte que demostra un domini de nivell professional, molt per sobre de saber desplegar una aplicació aïllada. Per als rols que ambiciona, aquest és el projecte que marca la diferència.
El que has de recordar
- La landing zone multi-compte és el projecte més ambiciós: construeix els fonaments sobre els quals una organització desplega tot la resta. Una landing zone és l’entorn base, organitzat i segur (com urbanitzar un terreny abans de construir), amb múltiples comptes governades centralment (Caps. 30, 31).
- Combina el més avançat: Organizations (estructura de comptes + SCPs, Cap. 23.1), Control Tower (munta i governa amb bones pràctiques + Account Factory, Cap. 30.2), logs i seguretat centralitzats (GuardDuty, Security Hub per a tota l’organització, Caps. 30.3, 23) i Terraform (defineix tot com a codi a escala, Cap. 30.4).
- Arquitectura: una organització amb diversos comptes (seguretat, logs, producció, desenvolupament...), governada per Control Tower, amb seguretat/logs centralitzats i SCPs a totes, tot en Terraform. És la base per desplegar després les apps dels altres projectes.
- És la culminació pràctica del llibre (ajunta multi-compte, governança, Well-Architected, platform engineering). ⚠️ És avançat: abordeu-lo amb calma; una versió simplificada ja ensenya moltíssim.
Has completat el Capítol 33 i tens quatre projectes —de menor a major complexitat— per consolidar tot el que has après construint coses reals! Al Capítol 34, l’últim del llibre, veurem els recursos i la comunitat que t’acompanyaran en el teu camí per seguir creixent més enllà d’aquestes pàgines.
Cloud, AWS & Terraform — De zero a expert
Capítol 1 · Què és el cloud computing
- 1.1 El model client-servidor tradicional
- 1.2 Problemes que venia a resoldre el núvol
- 1.3 On-premise vs cloud vs híbrid
- 1.4 Els tres models de servei: IaaS, PaaS, SaaS
- 1.5 Els cinc pilars del cloud (segons NIST)
- 1.6 Avantatges reals: elasticitat, pagament per ús, disponibilitat global
Capítol 2 · El mercat cloud i els grans proveïdors
- 2.1 AWS, Azure i GCP: diferències i quotes de mercat
- 2.2 Per què aprendre AWS primer
- 2.3 Conceptes que són universals entre proveïdors
Capítol 3 · Regions, zones de disponibilitat i edge
- 3.1 Què és una regió AWS i com triar-la
- 3.2 Availability Zones: alta disponibilitat des del disseny
- 3.3 Edge locations i CloudFront
- 3.4 Latència, resiliència i sobirania de dades
Capítol 4 · Càlcul: EC2
- 4.1 Instàncies: tipus, famílies i quan triar cadascuna
- 4.2 AMIs, key pairs i Security Groups
- 4.3 Cicle de vida d'una instància
- 4.4 Elastic IPs i Placement Groups
- 4.5 Savings Plans vs Reserved vs On-Demand vs Spot
Capítol 5 · Emmagatzematge: S3
- 5.1 Buckets, objectes i claus
- 5.2 Classes d'emmagatzematge (Standard, IA, Glacier…)
- 5.3 Versionat i cicle de vida d'objectes
- 5.4 Polítiques de bucket i ACLs
- 5.5 Hosting de llocs web estàtics
Capítol 6 · Xarxes: VPC
- 6.1 Què és una VPC i per què la necessites
- 6.2 Subxarxes públiques i privades
- 6.3 Internet Gateway i NAT Gateway
- 6.4 Route Tables i Network ACLs
- 6.5 VPC Peering i endpoints
Capítol 7 · Identitat i accés: IAM
- 7.1 Usuaris, grups, rols i polítiques
- 7.2 El principi de mínim privilegi
- 7.3 Polítiques basades en identitat vs en recurs
- 7.4 MFA i credencials temporals (STS)
- 7.5 Bones pràctiques de seguretat IAM
Capítol 8 · Bases de dades gestionades
- 8.1 RDS: motors, Multi-AZ i rèpliques de lectura
- 8.2 Aurora i els seus avantatges sobre RDS vanilla
- 8.3 DynamoDB: model clau-valor / documents
- 8.4 ElastiCache per a memòria cau en memòria
- 8.5 Quan utilitzar cada tipus de base de dades
Capítol 9 · Per què Infraestructura com a Codi
- 9.1 Problemes del provisionament manual
- 9.2 IaC declaratiu vs imperatiu
- 9.3 Terraform vs CloudFormation vs Pulumi vs CDK
- 9.4 El cicle plan → apply → destroy
Capítol 10 · HCL: el llenguatge de Terraform
- 10.1 Blocs resource, variable, output, locals
- 10.2 Tipus de dades: string, number, bool, list, map, object
- 10.3 Expressions, referències i funcions built-in
- 10.4 Condicionals i bucles (count, for_each, for)
Capítol 11 · Providers i estat
- 11.1 Com funciona el provider d'AWS
- 11.2 El fitxer terraform.tfstate i la seva importància
- 11.3 State local vs state remot (S3 + DynamoDB)
- 11.4 Comandes essencials: init, plan, apply, destroy, fmt, validate
Capítol 12 · La teva primera infraestructura real amb Terraform
- 12.1 Crear una VPC amb subxarxes des de zero
- 12.2 Posar en marxa una instància EC2 pública
- 12.3 Associar un Security Group i una Elastic IP
- 12.4 Outputs i referències entre recursos
- 12.5 Flux de treball en equip: PR review de plans
Capítol 13 · Balanceig de càrrega i autoescalat
- 13.1 Application Load Balancer vs Network Load Balancer
- 13.2 Target Groups, listeners i regles
- 13.3 Auto Scaling Groups: polítiques i mètriques
- 13.4 Warm pools i lifecycle hooks
Capítol 14 · Serverless amb Lambda
- 14.1 El model d'execució de Lambda
- 14.2 Triggers: API Gateway, S3, DynamoDB Streams, SQS
- 14.3 Gestió de dependències i capes (Layers)
- 14.4 Cold starts i estratègies per reduir-los
- 14.5 Límits i antipatrones
Capítol 15 · Missatgeria i esdeveniments
- 15.1 SQS: cues estàndard vs FIFO, DLQ
- 15.2 SNS: topics, subscripcions, fan-out
- 15.3 EventBridge: event buses i regles
- 15.4 Patrons: pub/sub, desacoblament, saga
Capítol 16 · Lliurament de contingut i DNS
- 16.1 Route 53: tipus de registres i routing policies
- 16.2 CloudFront: distribucions, memòries cau i origins
- 16.3 ACM: certificats SSL/TLS gratuïts
- 16.4 WAF integrat amb CloudFront
Capítol 17 · Contenidors a AWS
- 17.1 Docker: repàs exprés de conceptes clau
- 17.2 ECR: registre privat d'imatges
- 17.3 ECS: task definitions, services, Fargate vs EC2
- 17.4 EKS: quan Kubernetes i quan no
Capítol 18 · Mòduls: reutilització i composició
- 18.1 Anatomia d'un mòdul Terraform
- 18.2 Variables d'entrada, outputs i dependències
- 18.3 Mòduls locals vs mòduls del Terraform Registry
- 18.4 Versionat de mòduls amb Git tags
- 18.5 Disseny de mòduls genèrics vs específics de domini
Capítol 19 · Workspaces i gestió d'entorns
- 19.1 Workspaces de Terraform: casos d'ús i limitacions
- 19.2 Estratègia de directoris per entorn (dev/stg/prod)
- 19.3 Terragrunt: DRY per a configuracions d'entorn
- 19.4 Variables d'entorn i fitxers .tfvars
Capítol 20 · Backends remots i locking
- 20.1 Configurar S3 + DynamoDB com a backend
- 20.2 State locking: evitar corrupció en equip
- 20.3 Migració d'estat entre backends
- 20.4 terraform import: portar recursos existents a l'estat
Capítol 21 · Testing d'infraestructura
- 21.1 Terraform validate i fmt en CI
- 21.2 Checkov i tfsec: anàlisi de seguretat estàtica
- 21.3 Terratest: tests d'integració en Go
- 21.4 Contract testing entre mòduls
Capítol 22 · Terraform en CI/CD
- 22.1 Pipeline bàsic: lint → plan → apply a GitHub Actions
- 22.2 Atlantis: GitOps per a Terraform
- 22.3 Terraform Cloud / HCP Terraform
- 22.4 Drift detection i reconciliació automàtica
Capítol 23 · Seguretat en profunditat
- 23.1 AWS Organizations i Service Control Policies
- 23.2 AWS Config: compliment continu
- 23.3 GuardDuty: detecció d'amenaces
- 23.4 Security Hub: visió centralitzada
- 23.5 KMS: gestió de claus i rotació
- 23.6 Secrets Manager vs Parameter Store
Capítol 24 · Observabilitat: logs, mètriques i traces
- 24.1 CloudWatch Logs, mètriques i alarmes
- 24.2 CloudWatch Dashboards i Contributor Insights
- 24.3 X-Ray: traçat distribuït
- 24.4 OpenTelemetry a AWS
- 24.5 Managed Grafana i Managed Prometheus
Capítol 25 · Optimització de costos
- 25.1 AWS Cost Explorer i pressupostos amb alertes
- 25.2 Trusted Advisor i Compute Optimizer
- 25.3 Rightsizing: com detectar sobredimensionament
- 25.4 Savings Plans vs Reserved Instances: decisió estratègica
- 25.5 FinOps: cultura i processos per controlar la despesa
Capítol 26 · Alta disponibilitat i disaster recovery
- 26.1 RTO i RPO: definir els objectius
- 26.2 Estratègies: backup/restore, pilot light, warm standby, multi-site
- 26.3 Route 53 health checks i failover automàtic
- 26.4 AWS Backup: política centralitzada de còpies
Capítol 27 · Well-Architected Framework d'AWS
- 27.1 Els sis pilars: excel·lència operacional, seguretat, fiabilitat, eficiència de rendiment, optimització de costos, sostenibilitat
- 27.2 Well-Architected Tool: revisions formals
- 27.3 Com aplicar el framework en decisions de disseny
Capítol 28 · Arquitectures serverless a escala
- 28.1 Event-driven architecture amb Lambda + EventBridge
- 28.2 Saga pattern per a transaccions distribuïdes
- 28.3 Step Functions: orquestració de workflows complexos
- 28.4 Lambda@Edge i CloudFront Functions
Capítol 29 · Plataformes de dades a AWS
- 29.1 Data Lake amb S3, Glue i Athena
- 29.2 Kinesis Data Streams i Firehose per a streaming
- 29.3 Redshift: data warehousing a escala
- 29.4 Lake Formation: govern del dada
Capítol 30 · Multi-compte i landing zones
- 30.1 Per què separar workloads en comptes diferents
- 30.2 AWS Control Tower i Account Factory
- 30.3 Gestió centralitzada de logs i seguretat
- 30.4 Terraform a escala multi-compte amb mòduls compartits
Capítol 31 · Platform Engineering i Internal Developer Platform
- 31.1 Golden paths i abstraccions sobre Terraform
- 31.2 Service Catalog d'AWS
- 31.3 Backstage com a portal de desenvolupadors
- 31.4 Mòduls Terraform com a producte intern
Capítol 32 · Certificacions AWS rellevants
- 32.1 Cloud Practitioner: val la pena?
- 32.2 Solutions Architect Associate → Professional
- 32.3 DevOps Engineer Professional
- 32.4 Specialty: Security, Database, Networking
- 32.5 HashiCorp Terraform Associate
Capítol 33 · Projectes per consolidar el que s'ha après
- 33.1 Projecte 1: blog serverless (S3 + CloudFront + Lambda + DynamoDB)
- 33.2 Projecte 2: API REST amb ECS Fargate + RDS + ALB
- 33.3 Projecte 3: plataforma de dades amb Glue + Athena + Redshift
- 33.4 Projecte 4: landing zone multi-compte amb Terraform i Control Tower