REL02-BP05 在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍 - AWS Well-Architected 架構
實作指引資源

REL02-BP05 在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍

如果透過 VPN 對等互連或連線,則每個 VPC 的 IP 地址範圍不得重疊。同樣地,您必須避免 VPC 與內部部署環境或您所使用之其他雲端供應商之間出現 IP 地址衝突。您也須有一種在需要時分配私有 IP 地址範圍的方法。

IP 地址管理 (IPAM) 系統可以協助解決此問題。AWS Marketplace 提供多套 IPAM 系統。

常用的反模式:

  • 在 VPC 中使用與內部部署或公司網路相同的 IP 範圍。

  • 不追蹤用來部署工作負載之 VPC 的 IP 範圍。

建立此最佳實務的優勢: 主動規劃網路可確保在互連網路中不會出現多個相同的 IP 地址。這可防止在使用不同應用程式的工作負載部分中發生路由問題。

若未建立此最佳實務,暴露的風險等級為:

實作指引

  • 監控和管理您的 CIDR 使用。評估您在 AWS 上的潛在使用情況,將 CIDR 範圍新增到現有 VPC,並建立 VPC 以允許計劃的用量增長。

    • 擷取當前的 CIDR 消耗 (例如,VPC、子網路)

      • 使用服務 API 操作來收集當前的 CIDR 消耗。

    • 記錄您當前的子網路用量。

      • 使用服務 API 操作來收集每個區域中每個 VPC 的子網路。

      • 記錄目前用量。

      • 確定是否建立了任何重疊的 IP 範圍。

      • 計算備用容量。

      • 識別重疊的 IP 範圍。如果需要連線重疊範圍,則可以遷移至新的地址範圍,也可以使用 AWS Marketplace 的網路和連接埠轉換 (NAT) 設備。

資源

相關文件:

相關影片: