Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Preserve el espacio IP enrutable en VPC diseños de cuentas múltiples para subredes que no son de carga de trabajo
Creado por Adam Spicer () AWS
Repositorio de código: patrón secundario no enrutable CIDRs | Entorno: producción | Tecnologías: infraestructura DevOps; gestión y gobierno; redes |
AWSservicios: AWS Transit Gateway; AmazonVPC; Elastic Load Balancing (ELB) |
Resumen
Amazon Web Services (AWS) ha publicado las prácticas recomendadas que recomiendan el uso de subredes dedicadas en una nube privada virtual (VPC) tanto para los adjuntos de las puertas de enlace de tránsito como para los puntos de enlace de Gateway Load Balancer (para admitir Network AWS Firewall o dispositivos de terceros). Estas subredes se utilizan para contener interfaces de red elásticas para estos servicios. Si utiliza AWS Transit Gateway y un Gateway Load Balancer, se crean dos subredes en cada zona de disponibilidad para. VPC Debido a su diseño, estas subredes adicionales no pueden ser más pequeñas que una máscara de /28 y pueden consumir un valioso espacio IP enrutable que, de otro modo, podría utilizarse para cargas de trabajo enrutables. VPCs Este patrón demuestra cómo se puede utilizar un rango de enrutamiento entre dominios sin clase (CIDR) secundario y no enrutable para estas subredes dedicadas, a fin de ayudar a preservar el espacio IP enrutable.
Requisitos previos y limitaciones
Requisitos previos
Estrategia múltiple para un espacio IP enrutable VPC
Un CIDR rango no enrutable para los servicios que está utilizando (adjuntos a la puerta de enlace de tránsito y puntos finales de Gateway Load Balancer o
Network Firewall )
Arquitectura
Arquitectura de destino
Este patrón incluye dos arquitecturas de referencia: una arquitectura tiene subredes para los adjuntos de la puerta de enlace de tránsito (TGW) y un punto final de Gateway Load Balancer GWLBe (), y la segunda arquitectura tiene TGW subredes solo para los adjuntos.
Arquitectura 1: TGW conectada VPC con enrutamiento de entrada a un dispositivo
El siguiente diagrama representa una arquitectura de referencia para una VPC que abarca dos zonas de disponibilidad. Al entrar, VPC utiliza un patrón de enrutamiento de entrada
Este patrón utiliza un CIDR rango no enrutable para la subred TGW adjunta y la subred. GWLBe En la tabla de TGW enrutamiento, este no enrutable CIDR se configura con una ruta de agujero negro (estática) mediante un conjunto de rutas más específicas. Si las rutas se propagaran a la tabla de TGW enrutamiento, se aplicarían estas rutas de agujero negro más específicas.
En este ejemplo, el enrutable /23 se divide y CIDR se asigna completamente a las subredes enrutables.
Arquitectura 2: -adjunta TGW VPC
El siguiente diagrama representa otra arquitectura de referencia para una VPC que abarca dos zonas de disponibilidad. Un TGW adjunto admite el tráfico saliente (egreso) de las subredes privadas a una separada. VPC Utiliza un CIDR rango no enrutable solo para la subred de adjuntos. TGW En la tabla de TGW enrutamiento, este no enrutable CIDR se configura con una ruta de agujero negro mediante un conjunto de rutas más específicas. Si las rutas se propagaran a la tabla de TGW enrutamiento, se aplicarían estas rutas de agujero negro más específicas.
En este ejemplo, el enrutable /23 se divide y CIDR se asigna completamente a las subredes enrutables.
Herramientas
AWSservicios y recursos
Amazon Virtual Private Cloud (AmazonVPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esta red virtual se parece a una red tradicional que utilizaría en su propio centro de datos, con las ventajas de utilizar la infraestructura escalable que ofreceAWS. En este patrón, CIDRs las VPC secundarias se utilizan para conservar el espacio IP enrutable en la carga CIDRs de trabajo.
El enrutamiento de ingreso de la puerta de enlace de Internet
(asociaciones de periferia) se puede utilizar junto con los puntos de conexión del equilibrador de carga de la puerta de enlace para subredes dedicadas no enrutables. AWSTransit Gateway es un hub central que conecta VPCs las redes locales. Según este patrón, VPCs se conectan centralmente a una puerta de enlace de tránsito y los accesorios de la puerta de enlace de tránsito se encuentran en una subred dedicada no enrutable.
Los equilibradores de carga de la puerta de enlace permiten implementar, escalar y administrar dispositivos virtuales, como firewalls, sistemas de prevención y detección de intrusiones así como sistemas de inspección profunda de paquetes. La puerta de enlace sirve como punto único de entrada y salida para todo el tráfico. En este patrón, los puntos de conexión de un equilibrador de carga de puerta de enlace se pueden usar en una subred dedicada no enrutable.
AWSNetwork Firewall es un firewall de red gestionado y con estado y un servicio de detección y prevención de intrusiones para VPCs la AWS nube. En este patrón, los puntos de conexión de un firewall se pueden usar en una subred dedicada no enrutable.
Repositorio de código
En el repositorio de patrones secundarios GitHub no enrutables
Prácticas recomendadas
AWSTransit Gateway
Utilice una subred independiente para cada VPC adjunto de Transit Gateway.
Asigne una subred /28 del CIDR rango secundario no enrutable para las subredes de conexión de la puerta de enlace de tránsito.
En cada tabla de enrutamiento de la puerta de enlace de tránsito, agregue una ruta estática más específica para el rango no CIDR enrutable como agujero negro.
Equilibrador de carga de puerta de enlace y enrutamiento de ingreso
Utilice el enrutamiento de ingreso para dirigir el tráfico de Internet a los puntos de conexión del equilibrador de carga de puerta de enlace.
Utilice una subred independiente para cada punto de conexión del equilibrador de carga de puerta de enlace.
Asigne una subred /28 del CIDR rango no enrutable secundario para las subredes de puntos finales de Gateway Load Balancer.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Determine el rango no enrutable. CIDR | Determine un CIDR rango no enrutable que se utilizará para la subred adjunta de la puerta de enlace de tránsito y (opcionalmente) para cualquier subred de punto final de Gateway Load Balancer o Network Firewall. Este CIDR rango se utilizará como secundario para. CIDR VPC No debe poder enrutarse desde el VPC CIDR rango principal ni desde la red más grande. | Arquitecto de la nube |
Determine los CIDR rangos enrutables para. VPCs | Determine un conjunto de CIDR rangos enrutables que se utilizarán para su. VPCs Este CIDR rango se utilizará como el principal CIDR para suVPCs. | Arquitecto de la nube |
CrearVPCs. | Crea las tuyas VPCs y adjúntalas a la pasarela de transporte. Cada uno VPC debe tener un CIDR rango principal que se pueda enrutar y un CIDR rango secundario que no se pueda enrutar, según los rangos que determinó en los dos pasos anteriores. | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree agujeros negros más específicos que no CIDRs se puedan enrutar. | Cada tabla de enrutamiento de las pasarelas de tránsito debe tener un conjunto de rutas negras creadas para las que no se pueden enrutar. CIDRs Están configuradas para garantizar que el tráfico procedente de la secundaria no se pueda VPC CIDR enrutar y no se filtre a la red más grande. Estas rutas deben ser más específicas que la ruta no enrutable CIDR que está configurada como secundaria en la. CIDR VPC Por ejemplo, si la ruta secundaria no enrutable CIDR es 100.64.0.0/26, las rutas de agujero negro de la tabla de enrutamiento de la puerta de enlace de tránsito deberían ser 100.64.0.0/27 y 100.64.0.32/27. | Arquitecto de la nube |
Recursos relacionados
Prácticas recomendadas para implementar el Equilibrador de carga de puerta de enlace
Arquitecturas de inspección distribuida con el Equilibrador de carga de puerta de enlace
Día VPC de
inmersión en redes: laboratorio de Internet a firewalls Prácticas recomendadas de diseño de una puerta de enlace de tránsito
Información adicional
El CIDR rango secundario no enrutable también puede resultar útil cuando se trabaja con despliegues de contenedores de mayor escala que requieren un gran conjunto de direcciones IP. Puede utilizar este patrón con una NAT puerta de enlace privada para utilizar una subred no enrutable para alojar las implementaciones de contenedores. Para obtener más información, consulte la entrada del blog Cómo resolver el agotamiento de la IP privada con una solución privada
