ワークロード以外のサブネットのマルチアカウントVPC設計でルーティング可能な IP スペースを保持する - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールベストプラクティスエピック関連リソース追加情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ワークロード以外のサブネットのマルチアカウントVPC設計でルーティング可能な IP スペースを保持する

作成者: Adam Spicer (AWS)

コードリポジトリ: ルーティング不可能なセカンダリCIDRsパターン

環境:本稼働

テクノロジー: インフラストラクチャ DevOps、管理とガバナンス、ネットワーク

AWS サービス: AWS Transit Gateway、AmazonVPC、Elastic Load Balancing (ELB)

[概要]

Amazon Web Services (AWS) は、トランジットゲートウェイアタッチメントGateway Load Balancer エンドポイント (AWSNetwork Firewall またはサードパーティーアプライアンスをサポート) の両方に、仮想プライベートクラウド (VPC) で専用サブネットを使用することを推奨するベストプラクティスを公開しています。これらのサブネットは、これらのサービスのエラスティックネットワークインターフェイスを格納するために使用されます。AWS Transit Gateway と Gateway Load Balancer の両方を使用する場合、 の各アベイラビリティーゾーンに 2 つのサブネットが作成されますVPC。設計VPCs上、これらの追加のサブネットは /28 マスクより小さくすることはできず、ルーティング可能なワークロードに使用できる貴重なルーティング可能な IP スペースを消費する可能性があります。このパターンは、これらの専用サブネットにセカンダリでルーティング不可能なクラスレスドメイン間ルーティング (CIDR) 範囲を使用して、ルーティング可能な IP スペースを維持する方法を示しています。

前提条件と制限

前提条件

アーキテクチャ

ターゲット アーキテクチャ

このパターンには 2 つのリファレンスアーキテクチャが含まれています。1 つのアーキテクチャには Transit Gateway (TGW) アタッチメント用のサブネットと Gateway Load Balancer エンドポイント (GWLBe) があり、2 番目のアーキテクチャにはTGWアタッチメント用のサブネットのみがあります。

アーキテクチャ 1 TGW- アプライアンスへの進入ルーティングVPCでアタッチ

次の図は、2 つのアベイラビリティーゾーンにまたVPCがる のリファレンスアーキテクチャを示しています。進入時、 は進入ルーティングパターンVPCを使用して、パブリックサブネット宛てのトラフィックをファイアウォール検査用のbump-in-the-wire アプライアンスに送信します。TGW アタッチメントは、プライベートサブネットから別の へのエグレスをサポートしますVPC。

このパターンは、TGWアタッチメントサブネットとGWLBeサブネットにルーティング不可能なCIDR範囲を使用します。TGW ルーティングテーブルでは、このルーティング不可能なルートCIDRは、より具体的なルートのセットを使用してブラックホール (静的) ルートで設定されます。ルートがTGWルーティングテーブルに伝播された場合、これらのより具体的なブラックホールルートが適用されます。

この例では、/23 ルーティング可能CIDRは分割され、ルーティング可能なサブネットに完全に割り当てられます。

TGW- アプライアンスへの進入ルーティングVPCでアタッチされます。

アーキテクチャ 2 – TGWアタッチ済み VPC

次の図は、2 つのアベイラビリティーゾーンにまたVPCがる の別のリファレンスアーキテクチャを示しています。TGW アタッチメントは、プライベートサブネットから別の へのアウトバウンドトラフィック (送信) をサポートしますVPC。ルーティング不可能なCIDR範囲は、TGWアタッチメントサブネットにのみ使用されます。TGW ルーティングテーブルでは、このルーティング不可能なルートCIDRは、より具体的なルートのセットを使用してブラックホールルートで設定されます。ルートがTGWルーティングテーブルに伝播された場合、これらのより具体的なブラックホールルートが適用されます。

この例では、/23 ルーティング可能CIDRは分割され、ルーティング可能なサブネットに完全に割り当てられます。

VPC は 2 つのアベイラビリティーゾーンにまたがり、プライベートサブネットから個別の へのエグレス用のTGWアタッチメントを備えていますVPC。

ツール

AWS サービスとリソース

  • Amazon Virtual Private Cloud (Amazon VPC) は、定義した仮想ネットワークにAWSリソースを起動するのに役立ちます。この仮想ネットワークは、独自のデータセンターで運用する従来のネットワークに似ており、 のスケーラブルなインフラストラクチャを使用する利点がありますAWS。このパターンでは、VPCセカンダリ CIDRs はワークロード でルーティング可能な IP スペースを保持するために使用されますCIDRs。

  • インターネットゲートウェイのイングレスルーティング (エッジアソシエーション) は、専用の非ルーティングサブネットの ゲートウェイロードバランサーエンドポイントとともに使用できます。

  • AWS Transit Gateway は、 VPCsとオンプレミスネットワークを接続する中央ハブです。このパターンでは、 VPCsはトランジットゲートウェイに一元的にアタッチされ、トランジットゲートウェイアタッチメントはルーティング不可能な専用サブネットにあります。

  • ゲートウェイロードバランサ―を使用すると、ファイアウォール、侵入検知および防止システム、ディープパケットインスペクションシステムなどの仮想アプライアンスをデプロイ、スケール、管理できます。ゲートウェイは、すべてのトラフィックの単一の入口と出口の役割を果たします。このパターンでは、ゲートウェイロードバランサーのエンドポイントは、ルーティングできない専用のサブネットで使用できます。

  • AWS Network Firewall は、 AWS クラウドVPCs内の のステートフルでマネージド型のネットワークファイアウォールと侵入検出および防止サービスです。このパターンでは、ゲートウェイロードバランサーのエンドポイントは、ルーティングできない専用のサブネットで使用できます。

コードリポジトリ

このパターンのランブックとAWS CloudFormation テンプレートは、 GitHub ルーティング不可能なセカンダリCIDRパターンリポジトリで使用できます。サンプルファイルを使用して、環境内に作業ラボをセットアップできます。

ベストプラクティス

AWS Transit Gateway

  • トランジットゲートウェイVPCアタッチメントごとに個別のサブネットを使用します。

  • トランジットゲートウェイアタッチメントサブネットのルーティング不可能なセカンダリCIDR範囲から /28 サブネットを割り当てます。

  • 各トランジットゲートウェイルーティングテーブルに、ルーティング不可能なCIDR範囲の静的でより具体的なルートをブラックホールとして追加します。

ゲートウェイロードバランサーとイングレス・ルーティング

  • イングレスルーティングを使用して、インターネットからのトラフィックをゲートウェイロードバランサーエンドポイントに転送します。

  • 各ゲートウェイロードバランサーエンドポイントに個別のサブネットを使用します。

  • Gateway Load Balancer エンドポイントサブネットのルーティング不可能なセカンダリCIDR範囲から /28 サブネットを割り当てます。

エピック

タスク説明必要なスキル

ルーティング不可能なCIDR範囲を決定します。

トランジットゲートウェイアタッチメントサブネット、およびゲートウェイLoad Balancerまたはネットワークファイアウォールエンドポイントサブネット (オプション) に使用されるルーティング不可能なCIDR範囲を決定します。このCIDR範囲は、 CIDR のセカンダリとして使用されますVPC。VPCのプライマリCIDR範囲またはより大きなネットワークからルーティング可能であってはなりません

クラウドアーキテクト

のルーティング可能なCIDR範囲を決定しますVPCs。

に使用する一連のルーティング可能なCIDR範囲を決定しますVPCs。このCIDR範囲は、 CIDRのプライマリとして使用されますVPCs。

クラウドアーキテクト

を作成しますVPCs。

を作成しVPCs、トランジットゲートウェイにアタッチします。各 には、前の 2 つのステップで決定したCIDR範囲に基づいて、ルーティング可能なプライマリCIDR範囲とルーティング不可能なセカンダリ範囲VPCが必要です。

クラウドアーキテクト
タスク説明必要なスキル

より具体的なルーティング不可能なブラックホールCIDRsを作成します。

各トランジットゲートウェイルーティングテーブルには、ルーティング不可能な 用に一連のブラックホールルートを作成する必要がありますCIDRs。これらは、セカンダリからのトラフィックがルーティング不能VPCCIDRのままで、より大きなネットワークに漏れないように設定されています。これらのルートは、 CIDRでセカンダリとして設定CIDRされているルーティング不可能なルートよりも具体的である必要がありますVPC。例えば、ルーティング不可能なセカンダリCIDRが 100.64.0.0/26 の場合、トランジットゲートウェイルーティングテーブルのブラックホールルートは 100.64.0.0/27 および 100.64.0.32/27 である必要があります。

クラウドアーキテクト

関連リソース

追加情報

ルーティング不可能なセカンダリCIDR範囲は、大量の IP アドレスを必要とする大規模なコンテナデプロイを使用する場合にも役立ちます。このパターンをプライベートNATゲートウェイで使用して、ルーティング不可能なサブネットを使用してコンテナデプロイをホストできます。詳細については、ブログ記事「プライベートNATソリューション でプライベート IP の使い果たしを解決する方法」を参照してください。