Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Préservez l'espace IP routable dans les conceptions VPC multi-comptes pour les sous-réseaux autres que les charges de travail
Créée par Adam Spicer (AWS)
Référentiel de code : modèle CIDR secondaire non routable | Environnement : Production | Technologies : infrastructure DevOps ; gestion et gouvernance ; mise en réseau |
Services AWS : AWS Transit Gateway ; Amazon VPC ; Elastic Load Balancing (ELB) |
Récapitulatif
Amazon Web Services (AWS) a publié les meilleures pratiques qui recommandent d'utiliser des sous-réseaux dédiés dans un cloud privé virtuel (VPC) pour les pièces jointes des passerelles de transit et les points de terminaison Gateway Load Balancer (pour prendre en charge AWS Network Firewall ou des appareils tiers). Ces sous-réseaux sont utilisés pour contenir des interfaces réseau élastiques pour ces services. Si vous utilisez à la fois AWS Transit Gateway et un Gateway Load Balancer, deux sous-réseaux sont créés dans chaque zone de disponibilité pour le VPC. En raison de la façon dont les VPC sont conçus, ces sous-réseaux supplémentaires ne peuvent pas être plus petits qu'un masque /28 et peuvent consommer un espace IP routable précieux qui pourrait autrement être utilisé pour des charges de travail routables. Ce modèle montre comment vous pouvez utiliser une plage de routage interdomaine sans classe (CIDR) secondaire et non routable pour ces sous-réseaux dédiés afin de préserver l'espace IP routable.
Conditions préalables et limitations
Prérequis
Architecture
Architecture cible
Ce modèle inclut deux architectures de référence : une architecture comporte des sous-réseaux pour les pièces jointes de passerelle de transit (TGW) et un point de terminaison Gateway Load Balancer (GWLbe), et la seconde architecture possède des sous-réseaux pour les pièces jointes TGW uniquement.
Architecture 1 ‒ VPC rattaché au TGW avec routage d'entrée vers une appliance
Le schéma suivant représente une architecture de référence pour un VPC qui couvre deux zones de disponibilité. Lors de l'entrée, le VPC utilise un modèle de routage d'entrée
Ce modèle utilise une plage d'adresses CIDR non routable pour le sous-réseau d'attachement TGW et le sous-réseau GWLbe. Dans la table de routage TGW, ce CIDR non routable est configuré avec une route en trou noir (statique) en utilisant un ensemble de routes plus spécifiques. Si les itinéraires devaient être propagés vers la table de routage TGW, ces itinéraires en trou noir plus spécifiques s'appliqueraient.
Dans cet exemple, le CIDR routable /23 est divisé et entièrement alloué aux sous-réseaux routables.
Architecture 2 — VPC rattaché au TGW
Le schéma suivant représente une autre architecture de référence pour un VPC qui couvre deux zones de disponibilité. Une pièce jointe TGW prend en charge le trafic sortant (sortie) des sous-réseaux privés vers un VPC distinct. Il utilise une plage d'adresses CIDR non routable uniquement pour le sous-réseau des pièces jointes TGW. Dans la table de routage TGW, ce CIDR non routable est configuré avec un itinéraire en trou noir en utilisant un ensemble de routes plus spécifiques. Si les itinéraires devaient être propagés vers la table de routage TGW, ces itinéraires en trou noir plus spécifiques s'appliqueraient.
Dans cet exemple, le CIDR routable /23 est divisé et entièrement alloué aux sous-réseaux routables.
Outils
Services et ressources AWS
Amazon Virtual Private Cloud (Amazon VPC) vous aide à lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous exploiteriez dans votre propre centre de données, avec les avantages liés à l'utilisation de l'infrastructure évolutive d'AWS. Dans ce modèle, les CIDR secondaires VPC sont utilisés pour préserver l'espace IP routable dans les CIDR de charge de travail.
Le routage d'entrée de la passerelle Internet
(associations de périphérie) peut être utilisé avec les points de terminaison Gateway Load Balancer pour les sous-réseaux dédiés non routables. AWS Transit Gateway est un hub central qui connecte les VPC et les réseaux sur site. Dans ce modèle, les VPC sont connectés de manière centralisée à une passerelle de transit, et les pièces jointes de la passerelle de transit se trouvent dans un sous-réseau dédié non routable.
Les équilibreurs de charge de passerelle vous permettent de déployer, de mettre à l'échelle et de gérer des appareils virtuels, telles que des pare-feu, des systèmes de détection et de prévention des intrusions et des systèmes d'inspection approfondie des paquets. La passerelle sert de point d'entrée et de sortie unique pour l'ensemble du trafic. Dans ce modèle, les points de terminaison d'un Gateway Load Balancer peuvent être utilisés dans un sous-réseau dédié non routable.
AWS Network Firewall est un pare-feu réseau dynamique et géré, ainsi qu'un service de détection et de prévention des intrusions pour les VPC dans le cloud AWS. Dans ce modèle, les points de terminaison d'un pare-feu peuvent être utilisés dans un sous-réseau dédié non routable.
Référentiel de code
Un runbook et des CloudFormation modèles AWS pour ce modèle sont disponibles dans le référentiel de modèles CIDR secondaires GitHub non routables
Bonnes pratiques
AWS Transit Gateway
Utilisez un sous-réseau distinct pour chaque attachement de VPC de passerelle de transit.
Allouez un sous-réseau /28 à partir de la plage d'adresses CIDR non routable secondaire pour les sous-réseaux d'attachement de la passerelle de transit.
Dans la table de routage de chaque passerelle de transit, ajoutez un itinéraire statique plus spécifique pour la plage d'adresses CIDR non routable sous forme de trou noir.
Gateway Load Balancer et routage d'entrée
Utilisez le routage d'entrée pour diriger le trafic depuis Internet vers les points de terminaison Gateway Load Balancer.
Utilisez un sous-réseau distinct pour chaque point de terminaison Gateway Load Balancer.
Allouez un sous-réseau /28 à partir de la plage d'adresses CIDR non routable secondaire pour les sous-réseaux de point de terminaison Gateway Load Balancer.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Déterminez la plage d'adresses CIDR non routable. | Déterminez une plage d'adresses CIDR non routable qui sera utilisée pour le sous-réseau d'attachement de la passerelle de transit et (éventuellement) pour tout sous-réseau de point de terminaison Gateway Load Balancer ou Network Firewall. Cette plage de CIDR sera utilisée comme CIDR secondaire pour le VPC. Il ne doit pas être routable depuis la plage d'adresses CIDR principale du VPC ou depuis le réseau plus vaste. | Architecte du cloud |
Déterminez les plages d'adresses CIDR routables pour les VPC. | Déterminez un ensemble de plages d'adresses CIDR routables qui seront utilisées pour vos VPC. Cette plage d'adresses CIDR sera utilisée comme adresse CIDR principale pour vos VPC. | Architecte du cloud |
Créez des VPC. | Créez vos VPC et attachez-les à la passerelle de transit. Chaque VPC doit avoir une plage d'adresses CIDR principale routable et une plage d'adresses CIDR secondaire non routable, en fonction des plages que vous avez déterminées au cours des deux étapes précédentes. | Architecte du cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Créez des CIDR non routables plus spécifiques sous forme de trous noirs. | Chaque table de routage de passerelle de transit doit comporter un ensemble de routes en trou noir créé pour les CIDR non routables. Ils sont configurés pour garantir que tout trafic provenant du VPC CIDR secondaire reste non routable et ne pénètre pas dans le réseau plus vaste. Ces routes doivent être plus spécifiques que le CIDR non routable défini comme CIDR secondaire sur le VPC. Par exemple, si le CIDR secondaire non routable est 100.64.0.0/26, les routes en trou noir dans la table de routage de la passerelle de transit doivent être 100.64.0.0/27 et 100.64.0.32/27. | Architecte du cloud |
Ressources connexes
Informations supplémentaires
La plage d'adresses CIDR secondaire non routable peut également être utile lorsque vous travaillez avec des déploiements de conteneurs à plus grande échelle qui nécessitent un grand nombre d'adresses IP. Vous pouvez utiliser ce modèle avec une passerelle NAT privée pour utiliser un sous-réseau non routable pour héberger vos déploiements de conteneurs. Pour plus d'informations, consultez le billet de blog Comment résoudre l'épuisement des adresses IP privées avec une solution NAT privée
