Pertahankan ruang IP yang dapat dirutekan dalam desain VPC multi-akun untuk subnet non-beban kerja - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatPraktik terbaikEpikSumber daya terkaitInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pertahankan ruang IP yang dapat dirutekan dalam desain VPC multi-akun untuk subnet non-beban kerja

Adam Spicer, Amazon Web Services

Ringkasan

Amazon Web Services (AWS) telah menerbitkan praktik terbaik yang merekomendasikan penggunaan subnet khusus di cloud pribadi virtual (VPC) untuk lampiran gateway transit dan titik akhir Load Balancer Gateway (untuk mendukung AWS Network Firewall atau peralatan pihak ketiga). Subnet ini digunakan untuk memuat antarmuka jaringan elastis untuk layanan ini. Jika Anda menggunakan AWS Transit Gateway dan Load Balancer Gateway, dua subnet dibuat di setiap Availability Zone untuk VPC. Karena VPCs caranya dirancang, subnet tambahan ini tidak boleh lebih kecil dari mask/28 dan dapat mengkonsumsi ruang IP routable yang berharga yang dapat digunakan untuk beban kerja yang dapat dirutekan. Pola ini menunjukkan bagaimana Anda dapat menggunakan rentang Classless Inter-Domain Routing (CIDR) sekunder yang tidak dapat dirutekan untuk subnet khusus ini untuk membantu mempertahankan ruang IP yang dapat dirutekan.

Prasyarat dan batasan

Prasyarat

Arsitektur

Arsitektur target

Pola ini mencakup dua arsitektur referensi: satu arsitektur memiliki subnet untuk lampiran transit gateway (TGW) dan titik akhir Gateway Load Balancer (GWLBe), dan arsitektur kedua hanya memiliki subnet untuk lampiran TGW.

Arsitektur 1 - VPC terpasang TGW dengan perutean masuk ke alat

Diagram berikut mewakili arsitektur referensi untuk VPC yang mencakup dua Availability Zones. Saat masuk, VPC menggunakan pola perutean ingress untuk mengarahkan lalu lintas yang ditujukan untuk subnet publik ke alat untuk inspeksi firewall. bump-in-the-wire Lampiran TGW mendukung jalan keluar dari subnet pribadi ke VPC terpisah.

Pola ini menggunakan rentang CIDR yang tidak dapat dirutekan untuk subnet lampiran TGW dan subnet. GWLBe Dalam tabel routing TGW, CIDR yang tidak dapat dirutekan ini dikonfigurasi dengan rute blackhole (statis) dengan menggunakan serangkaian rute yang lebih spesifik. Jika rute disebarkan ke tabel perutean TGW, rute lubang hitam yang lebih spesifik ini akan berlaku.

Dalam contoh ini, /23 routable CIDR dibagi dan sepenuhnya dialokasikan ke subnet routable.

VPC terpasang TGW dengan perutean masuk ke alat.

Arsitektur 2 — VPC terlampir TGW

Diagram berikut mewakili arsitektur referensi lain untuk VPC yang mencakup dua Availability Zones. Lampiran TGW mendukung lalu lintas keluar (jalan keluar) dari subnet pribadi ke VPC terpisah. Ini menggunakan rentang CIDR yang tidak dapat dirutekan hanya untuk subnet lampiran TGW. Dalam tabel routing TGW, CIDR yang tidak dapat dirutekan ini dikonfigurasi dengan rute blackhole dengan menggunakan serangkaian rute yang lebih spesifik. Jika rute disebarkan ke tabel perutean TGW, rute lubang hitam yang lebih spesifik ini akan berlaku.

Dalam contoh ini, /23 routable CIDR dibagi dan sepenuhnya dialokasikan ke subnet routable.

VPC mencakup 2 zona ketersediaan dengan lampiran TGW untuk keluar dari subnet pribadi ke VPC terpisah.

Alat

Layanan dan sumber daya AWS

  • Amazon Virtual Private Cloud (Amazon VPC) membantu Anda meluncurkan sumber daya AWS ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur AWS yang dapat diskalakan. Dalam pola ini, VPC sekunder digunakan untuk mempertahankan ruang IP CIDRs yang dapat dirutekan dalam beban kerja. CIDRs

  • Perutean masuknya gateway Internet (asosiasi tepi) dapat digunakan bersama dengan titik akhir Gateway Load Balancer untuk subnet khusus yang tidak dapat dirutekan.

  • AWS Transit Gateway adalah hub pusat yang menghubungkan VPCs dan jaringan lokal. Dalam pola ini, terpasang VPCs secara terpusat ke gateway transit, dan lampiran gateway transit berada dalam subnet khusus yang tidak dapat dirutekan.

  • Gateway Load Balancers membantu Anda menerapkan, menskalakan, dan mengelola peralatan virtual, seperti firewall, sistem deteksi dan pencegahan intrusi, dan sistem inspeksi paket mendalam. Gateway berfungsi sebagai titik masuk dan keluar tunggal untuk semua lalu lintas. Dalam pola ini, titik akhir untuk Load Balancer Gateway dapat digunakan dalam subnet khusus yang tidak dapat dirutekan.

  • AWS Network Firewall adalah firewall jaringan yang stateful, dikelola, dan layanan deteksi dan pencegahan intrusi untuk AWS Cloud VPCs . Dalam pola ini, titik akhir untuk firewall dapat digunakan dalam subnet non-routable khusus.

Repositori kode

Runbook dan CloudFormation templat AWS untuk pola ini tersedia di repositori Pola CIDR Sekunder GitHub Non-Routable. Anda dapat menggunakan file sampel untuk menyiapkan lab kerja di lingkungan Anda.

Praktik terbaik

AWS Transit Gateway

  • Gunakan subnet terpisah untuk setiap lampiran VPC gateway transit.

  • Alokasikan subnet /28 dari rentang CIDR non-routable sekunder untuk subnet lampiran gateway transit.

  • Di setiap tabel routing gateway transit, tambahkan rute statis yang lebih spesifik untuk rentang CIDR yang tidak dapat dirutekan sebagai lubang hitam.

Load Balancer Gateway dan perutean ingress

  • Gunakan perutean ingress untuk mengarahkan lalu lintas dari internet ke titik akhir Load Balancer Gateway.

  • Gunakan subnet terpisah untuk setiap titik akhir Load Balancer Gateway.

  • Alokasikan subnet /28 dari rentang CIDR sekunder yang tidak dapat dirutekan untuk subnet titik akhir Gateway Load Balancer.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Tentukan rentang CIDR yang tidak dapat dirutekan.

Tentukan rentang CIDR yang tidak dapat dirutekan yang akan digunakan untuk subnet lampiran gateway transit dan (opsional) untuk setiap subnet titik akhir Gateway Load Balancer atau Network Firewall. Rentang CIDR ini akan digunakan sebagai CIDR sekunder untuk VPC. Itu tidak boleh dirutekan dari rentang CIDR utama VPC atau jaringan yang lebih besar.

Arsitek awan

Tentukan rentang CIDR yang dapat dirutekan untuk. VPCs

Tentukan satu set rentang CIDR yang dapat dirutekan yang akan digunakan untuk Anda. VPCs Rentang CIDR ini akan digunakan sebagai CIDR utama untuk Anda. VPCs

Arsitek awan

Buat VPCs.

Buat Anda VPCs dan lampirkan ke gateway transit. Setiap VPC harus memiliki rentang CIDR primer yang dapat dirutekan dan rentang CIDR sekunder yang tidak dapat dirutekan, berdasarkan rentang yang Anda tentukan dalam dua langkah sebelumnya.

Arsitek awan
TugasDeskripsiKeterampilan yang dibutuhkan

Buat non-routable yang lebih spesifik CIDRs sebagai lubang hitam.

Setiap tabel routing gateway transit harus memiliki satu set rute blackhole yang dibuat untuk non-routable. CIDRs Ini dikonfigurasi untuk memastikan bahwa setiap lalu lintas dari CIDR VPC sekunder tetap tidak dapat dirutekan dan tidak bocor ke jaringan yang lebih besar. Rute ini harus lebih spesifik daripada CIDR yang tidak dapat dirutekan yang ditetapkan sebagai CIDR sekunder pada VPC. Misalnya, jika CIDR non-routable sekunder adalah 100.64.0.0/26, rute blackhole di tabel routing gateway transit harus 100.64.0.0/27 dan 100.64.0.32/27.

Arsitek awan

Sumber daya terkait

Informasi tambahan

Rentang CIDR sekunder yang tidak dapat dirutekan juga dapat berguna saat bekerja dengan penerapan kontainer berskala lebih besar yang memerlukan sekumpulan besar alamat IP. Anda dapat menggunakan pola ini dengan Gateway NAT pribadi untuk menggunakan subnet yang tidak dapat dirutekan untuk meng-host penerapan kontainer Anda. Untuk informasi lebih lanjut, lihat posting blog Cara mengatasi kelelahan IP Pribadi dengan Solusi NAT Pribadi.