Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Preserve el espacio IP enrutable en los diseños de VPC de varias cuentas para subredes que no son de carga de trabajo
Creado por Adam Spicer (AWS)
Repositorio de código: patrón CIDR secundario no enrutable | Entorno: producción | Tecnologías: infraestructura DevOps; gestión y gobierno; redes |
Servicios de AWS: AWS Transit Gateway; Amazon VPC; Elastic Load Balancing (ELB) |
Resumen
Amazon Web Services (AWS) ha publicado prácticas recomendadas que animan a usar subredes dedicadas en una nube privada virtual (VPC) tanto para conexiones de puerta de enlace de tránsito como para los puntos de conexión del equilibrador de carga de la puerta de enlace (para admitir AWS Network Firewall o dispositivos de terceros). Estas subredes se utilizan para contener interfaces de red elásticas para estos servicios. Si utiliza AWS Transit Gateway y una puerta de enlace de equilibrador de carga, se crean dos subredes en cada zona de disponibilidad para la VPC. Debido a la forma en que están diseñadas las VPC, estas subredes adicionales no pueden ser más pequeñas que una máscara de /28 y pueden consumir un valioso espacio IP enrutable que, de otro modo, podría usarse para cargas de trabajo enrutables. Este patrón muestra cómo se puede utilizar un rango de enrutamiento entre dominios sin clase (CIDR) secundario y no enrutable para estas subredes dedicadas a fin de ayudar a preservar el espacio IP enrutable.
Requisitos previos y limitaciones
Requisitos previos
Estrategia de múltiples VPC para un espacio IP enrutable
Un rango de CIDR no enrutable para los servicios que está utilizando (conexión de puerta de enlace de tránsito y conexiones al equilibrador de carga de la puerta de enlace
o puntos de conexión de Network Firewall )
Arquitectura
Arquitectura de destino
Este patrón incluye dos arquitecturas de referencia: una arquitectura tiene subredes para la conexión de puerta de enlace de tránsito (TGW) y un punto de conexión de equilibrador de carga de la puerta de enlace (GWLbE), y la segunda arquitectura tiene subredes solo para las conexiones de la TGW.
Arquitectura 1: VPC conectada a TGW-con enrutamiento de entrada a un dispositivo
El siguiente diagrama representa una arquitectura de referencia para una VPC que abarca dos zonas de disponibilidad. Al entrar, la VPC utiliza un patrón de enrutamiento de entrada
Este patrón utiliza un rango CIDR no enrutable para la subred adjunta de TGW y la subred GWLbE. En la tabla de enrutamiento de TGW, este CIDR no enrutable se configura con una ruta de agujero negro (estática) mediante un conjunto de rutas más específicas. Si las rutas se propagaran a la tabla de enrutamiento de TGW, se aplicarían estas rutas de agujero negro más específicas.
En este ejemplo, el CIDR enrutable /23 se divide y se asigna completamente a las subredes enrutables.
Arquitectura 2: VPC adjunta a TGW
El siguiente diagrama representa otra arquitectura de referencia para una VPC que abarca dos zonas de disponibilidad. Una conexión de TGW admite el tráfico de salida (egreso) de las subredes privadas a una VPC independiente. Utiliza un rango CIDR no enrutable solo para la subred de conexión de TGW. En la tabla de enrutamiento de TGW, este CIDR no enrutable se configura con una ruta de agujero negro mediante un conjunto de rutas más específicas. Si las rutas se propagaran a la tabla de enrutamiento de TGW, se aplicarían estas rutas de agujero negro más específicas.
En este ejemplo, el CIDR enrutable /23 se divide y se asigna completamente a las subredes enrutables.
Herramientas
Servicios y recursos de AWS
Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS. En este patrón, los CIDR secundarios de VPC se utilizan para preservar el espacio IP enrutable en los CIDR de carga de trabajo.
El enrutamiento de ingreso de la puerta de enlace de Internet
(asociaciones de periferia) se puede utilizar junto con los puntos de conexión del equilibrador de carga de la puerta de enlace para subredes dedicadas no enrutables. AWS Transit Gateway es un concentrador central que conecta las VPC y las redes en las instalaciones. En este patrón, las VPC se conectan centralmente a una puerta de enlace de tránsito y las conexiones de puerta de enlace de tránsito se encuentran en una subred dedicada no enrutable.
Los equilibradores de carga de la puerta de enlace permiten implementar, escalar y administrar dispositivos virtuales, como firewalls, sistemas de prevención y detección de intrusiones así como sistemas de inspección profunda de paquetes. La puerta de enlace sirve como punto único de entrada y salida para todo el tráfico. En este patrón, los puntos de conexión de un equilibrador de carga de puerta de enlace se pueden usar en una subred dedicada no enrutable.
AWS Network Firewall es un servicio de detección y prevención de intrusiones y de firewall de red con estado y administrado para nubes privadas virtuales (VPC) en la nube de AWS. En este patrón, los puntos de conexión de un firewall se pueden usar en una subred dedicada no enrutable.
Repositorio de código
En el repositorio de patrones CIDR secundarios GitHub no enrutables
Prácticas recomendadas
AWS Transit Gateway
Utilice una subred independiente para cada archivo asociado a la VPC de la puerta de enlace de tránsito.
Asigne una subred /28 del rango CIDR secundario no enrutable para las subredes de conexión de puerta de enlace de tránsito.
En cada tabla de enrutamiento de la puerta de enlace de tránsito, añada una ruta estática más específica para el rango CIDR no enrutable como agujero negro.
Equilibrador de carga de puerta de enlace y enrutamiento de ingreso
Utilice el enrutamiento de ingreso para dirigir el tráfico de Internet a los puntos de conexión del equilibrador de carga de puerta de enlace.
Utilice una subred independiente para cada punto de conexión del equilibrador de carga de puerta de enlace.
Asigne una subred /28 del rango CIDR secundario no enrutable para las subredes de punto de conexión de puerta de enlace del equilibrador de carga.
Epics
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Determine el rango CIDR no enrutable. | Determine un rango CIDR no enrutable que se utilizará para la subred de conexión de puerta de enlace de tránsito y (opcionalmente) para cualquier subred de punto de conexión de equilibrador de carga de puerta de enlace o Network Firewall. Este rango de CIDR se utilizará como CIDR secundario para la VPC. No debe poder enrutarse desde el rango CIDR principal de la VPC ni desde la red más amplia. | Arquitecto de la nube |
Determine los rangos CIDR enrutables para las VPC. | Determine un conjunto de rangos CIDR enrutables que se utilizarán para sus VPC. Este rango CIDR se utilizará como el CIDR principal de sus VPC. | Arquitecto de la nube |
Cree VPCs. | Cree las VPC y conéctelas a la puerta de enlace de tránsito. Cada VPC debe tener un rango CIDR principal que se pueda enrutar y un rango CIDR secundario que no se pueda enrutar, según los rangos que haya determinado en los dos pasos anteriores. | Arquitecto de la nube |
| Tarea | Descripción | Habilidades requeridas |
|---|---|---|
Cree CIDR no enrutables más específicos como agujeros negros. | Cada tabla de enrutamiento de las puerta de enlace de tránsito debe tener un conjunto de rutas de agujeros negros creadas para los CIDR no enrutables. Están configurados para garantizar que el tráfico del CIDR de la VPC secundaria no se pueda enrutar y no se filtre a la red más amplia. Estas rutas deben ser más específicas que el CIDR no enrutable que se establece como el CIDR secundario en la VPC. Por ejemplo, si el CIDR secundario no enrutable es 100.64.0.0/26, las rutas de agujero negro de la tabla de enrutamiento de la puerta de enlace de tránsito deberían ser 100.64.0.0/27 y 100.64.0.32/27. | Arquitecto de la nube |
Recursos relacionados
Prácticas recomendadas para implementar el Equilibrador de carga de puerta de enlace
Arquitecturas de inspección distribuida con el Equilibrador de carga de puerta de enlace
Día de inmersión en redes
: laboratorio de firewall de Internet a VPC Prácticas recomendadas de diseño de una puerta de enlace de tránsito
Información adicional
El rango CIDR secundario no enrutable también puede resultar útil cuando se trabaja con implementaciones de contenedores de mayor escala que requieren un gran conjunto de direcciones IP. Puede utilizar este patrón con una puerta de enlace NAT privada para utilizar una subred no enrutable para alojar las implementaciones de contenedores. Para obtener más información, consulte la entrada de blog sobre cómo resolver el agotamiento de la IP privada con una solución de NAT privada
