As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Preserve o espaço IP roteável em VPC projetos de várias contas para sub-redes sem carga de trabalho
Criado por Adam Spicer () AWS
Repositório de código: padrão secundário não roteável CIDRs | Ambiente: produção | Tecnologias: Infraestrutura DevOps; Gestão e governança; Rede |
AWSserviços: AWS Transit Gateway; AmazonVPC; Elastic Load Balancing () ELB |
Resumo
A Amazon Web Services (AWS) publicou as melhores práticas que recomendam o uso de sub-redes dedicadas em uma nuvem privada virtual (VPC) para anexos de gateway de trânsito e endpoints do Gateway Load Balancer (para suportar o AWSFirewall de Rede ou dispositivos de terceiros). Essas sub-redes são usadas para conter interfaces de rede elásticas para esses serviços. Se você usa o AWS Transit Gateway e um Gateway Load Balancer, duas sub-redes são criadas em cada zona de disponibilidade para o. VPC Devido à forma como VPCs são projetadas, essas sub-redes extras não podem ser menores que uma máscara /28 e podem consumir um precioso espaço IP roteável que, de outra forma, poderia ser usado para cargas de trabalho roteáveis. Esse padrão demonstra como você pode usar um intervalo secundário e não roteável de roteamento entre domínios sem classe (CIDR) para essas sub-redes dedicadas para ajudar a preservar o espaço IP roteável.
Pré-requisitos e limitações
Pré-requisitos
Arquitetura
Arquitetura de destino
Esse padrão inclui duas arquiteturas de referência: uma arquitetura tem sub-redes para anexos do Transit Gateway (TGW) e um endpoint do Gateway Load Balancer (GWLBe), e a segunda arquitetura tem sub-redes somente para anexos. TGW
Arquitetura 1 ‒ TGW conectada VPC com roteamento de entrada para um dispositivo
O diagrama a seguir representa uma arquitetura de referência para uma VPC que abrange duas zonas de disponibilidade. Na entrada, o VPC usa um padrão de roteamento de entrada
Esse padrão usa um CIDR intervalo não roteável para a sub-rede do TGW anexo e a sub-rede. GWLBe Na tabela TGW de roteamento, esse não roteável CIDR é configurado com uma rota de buraco negro (estática) usando um conjunto de rotas mais específicas. Se as rotas fossem propagadas para a tabela de TGW roteamento, essas rotas de buraco negro mais específicas se aplicariam.
Neste exemplo, o roteável /23 CIDR é dividido e totalmente alocado às sub-redes roteáveis.
Arquitetura 2 — TGW anexada VPC
O diagrama a seguir representa outra arquitetura de referência para uma VPC que abrange duas zonas de disponibilidade. Um TGW anexo suporta tráfego de saída (saída) das sub-redes privadas para uma separada. VPC Ele usa um CIDR intervalo não roteável somente para a sub-rede de TGW anexos. Na tabela TGW de roteamento, esse não roteável CIDR é configurado com uma rota blackhole usando um conjunto de rotas mais específicas. Se as rotas fossem propagadas para a tabela de TGW roteamento, essas rotas de buraco negro mais específicas se aplicariam.
Neste exemplo, o roteável /23 CIDR é dividido e totalmente alocado às sub-redes roteáveis.
Ferramentas
AWSserviços e recursos
A Amazon Virtual Private Cloud (AmazonVPC) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual se assemelha a uma rede tradicional que você operaria em seu próprio data center, com os benefícios de usar a infraestrutura escalável do. AWS Nesse padrão, os VPC secundários CIDRs são usados para preservar o espaço IP roteável na carga de trabalhoCIDRs.
O roteamento de entrada do gateway da Internet
(associações de borda) pode ser usado junto com os endpoints do balanceador de carga do gateway para sub-redes dedicadas não roteáveis. AWSO Transit Gateway é um hub central que conecta VPCs redes locais. Nesse padrão, VPCs são conectados centralmente a um gateway de trânsito, e os anexos do gateway de trânsito estão em uma sub-rede dedicada não roteável.
Os balanceadores de carga do gateway ajudam você a implantar, escalar e gerenciar dispositivos virtuais, como firewalls, sistemas de detecção e prevenção de intrusões e sistemas de inspeção profunda de pacotes. O gateway atua como um único ponto de entrada e saída para todo o tráfego. Nesse padrão, os endpoints de um balanceador de carga do gateway podem ser usados em uma sub-rede dedicada não roteável.
AWSO Network Firewall é um firewall de rede gerenciado e com monitoramento de estado e serviço de detecção e prevenção de intrusões para VPCs a nuvem. AWS Nesse padrão, os endpoints de um firewall podem ser usados em uma sub-rede não roteável dedicada.
Repositório de código
Um runbook e AWS CloudFormation modelos para esse padrão estão disponíveis no repositório de padrões secundários GitHub CIDR não roteáveis
Práticas recomendadas
AWSTransit Gateway
Use uma sub-rede separada para cada VPC anexo do Transit Gateway.
Aloque uma sub-rede /28 do CIDR intervalo secundário não roteável para as sub-redes de anexos do Transit Gateway.
Em cada tabela de roteamento do gateway de trânsito, adicione uma rota estática e mais específica para o CIDR intervalo não roteável como um buraco negro.
Balanceador de carga do gateway e roteamento de entrada
Use o roteamento de entrada para direcionar o tráfego da Internet para os endpoints do balanceador de carga do gateway.
Use uma sub-rede separada para cada endpoint do balanceador de carga do gateway.
Aloque uma sub-rede /28 do CIDR intervalo secundário não roteável para as sub-redes de endpoint do Gateway Load Balancer.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Determine o intervalo não roteável. CIDR | Determine um CIDR intervalo não roteável que será usado para a sub-rede de anexo do Transit Gateway e (opcionalmente) para qualquer sub-rede de endpoint do Gateway Load Balancer ou do Network Firewall. Esse CIDR intervalo será usado como secundário CIDR para VPC o. Ele não deve ser roteável a partir do CIDR alcance primário VPC do ou da rede maior. | Arquiteto de nuvem |
Determine os CIDR intervalos roteáveis paraVPCs. | Determine um conjunto de CIDR intervalos roteáveis que serão usados para o seuVPCs. Esse CIDR intervalo será usado como principal CIDR para o seuVPCs. | Arquiteto de nuvem |
CrieVPCs. | Crie o seu VPCs e conecte-o ao gateway de trânsito. Cada um VPC deve ter um CIDR intervalo primário que seja roteável e um secundário CIDR que não seja roteável, com base nos intervalos que você determinou nas duas etapas anteriores. | Arquiteto de nuvem |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Crie buracos negros não roteáveis CIDRs mais específicos. | Cada tabela de roteamento do gateway de trânsito precisa ter um conjunto de rotas blackhole criadas para as não roteáveis. CIDRs Eles são configurados para garantir que qualquer tráfego do secundário VPC CIDR permaneça não roteável e não vaze para a rede maior. Essas rotas devem ser mais específicas do que as não roteáveis CIDR definidas como secundárias CIDR no. VPC Por exemplo, se o secundário não roteável CIDR for 100.64.0.0/26, as rotas blackhole na tabela de roteamento do Transit Gateway deverão ser 100.64.0.0/27 e 100.64.0.32/27. | Arquiteto de nuvem |
Recursos relacionados
Mais informações
O CIDR intervalo secundário não roteável também pode ser útil ao trabalhar com implantações de contêineres em maior escala que exigem um grande conjunto de endereços IP. Você pode usar esse padrão com um NAT gateway privado para usar uma sub-rede não roteável para hospedar suas implantações de contêiner. Para obter mais informações, consulte a postagem do blog Como resolver o esgotamento do IP privado com a solução privada NAT