Preserve o espaço IP roteável em VPC projetos de várias contas para sub-redes sem carga de trabalho - Recomendações da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Preserve o espaço IP roteável em VPC projetos de várias contas para sub-redes sem carga de trabalho

Criado por Adam Spicer () AWS

Repositório de código: padrão secundário não roteável CIDRs

Ambiente: produção

Tecnologias: Infraestrutura DevOps; Gestão e governança; Rede

AWSserviços: AWS Transit Gateway; AmazonVPC; Elastic Load Balancing () ELB

Resumo

A Amazon Web Services (AWS) publicou as melhores práticas que recomendam o uso de sub-redes dedicadas em uma nuvem privada virtual (VPC) para anexos de gateway de trânsito e endpoints do Gateway Load Balancer (para suportar o AWSFirewall de Rede ou dispositivos de terceiros). Essas sub-redes são usadas para conter interfaces de rede elásticas para esses serviços. Se você usa o AWS Transit Gateway e um Gateway Load Balancer, duas sub-redes são criadas em cada zona de disponibilidade para o. VPC Devido à forma como VPCs são projetadas, essas sub-redes extras não podem ser menores que uma máscara /28 e podem consumir um precioso espaço IP roteável que, de outra forma, poderia ser usado para cargas de trabalho roteáveis. Esse padrão demonstra como você pode usar um intervalo secundário e não roteável de roteamento entre domínios sem classe (CIDR) para essas sub-redes dedicadas para ajudar a preservar o espaço IP roteável.

Pré-requisitos e limitações

Pré-requisitos

Arquitetura

Arquitetura de destino

Esse padrão inclui duas arquiteturas de referência: uma arquitetura tem sub-redes para anexos do Transit Gateway (TGW) e um endpoint do Gateway Load Balancer (GWLBe), e a segunda arquitetura tem sub-redes somente para anexos. TGW

Arquitetura 1 ‒ TGW conectada VPC com roteamento de entrada para um dispositivo

O diagrama a seguir representa uma arquitetura de referência para uma VPC que abrange duas zonas de disponibilidade. Na entrada, o VPC usa um padrão de roteamento de entrada para direcionar o tráfego destinado à sub-rede pública para um bump-in-the-wire dispositivo para inspeção de firewall. Um TGW anexo suporta a saída das sub-redes privadas para uma separada. VPC

Esse padrão usa um CIDR intervalo não roteável para a sub-rede do TGW anexo e a sub-rede. GWLBe Na tabela TGW de roteamento, esse não roteável CIDR é configurado com uma rota de buraco negro (estática) usando um conjunto de rotas mais específicas. Se as rotas fossem propagadas para a tabela de TGW roteamento, essas rotas de buraco negro mais específicas se aplicariam.

Neste exemplo, o roteável /23 CIDR é dividido e totalmente alocado às sub-redes roteáveis.

TGW- conectado VPC com roteamento de entrada a um dispositivo.

Arquitetura 2 — TGW anexada VPC

O diagrama a seguir representa outra arquitetura de referência para uma VPC que abrange duas zonas de disponibilidade. Um TGW anexo suporta tráfego de saída (saída) das sub-redes privadas para uma separada. VPC Ele usa um CIDR intervalo não roteável somente para a sub-rede de TGW anexos. Na tabela TGW de roteamento, esse não roteável CIDR é configurado com uma rota blackhole usando um conjunto de rotas mais específicas. Se as rotas fossem propagadas para a tabela de TGW roteamento, essas rotas de buraco negro mais específicas se aplicariam.

Neste exemplo, o roteável /23 CIDR é dividido e totalmente alocado às sub-redes roteáveis.

VPCabrange duas zonas de disponibilidade com TGW anexo para saída de sub-redes privadas para separação. VPC

Ferramentas

AWSserviços e recursos

  • A Amazon Virtual Private Cloud (AmazonVPC) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual se assemelha a uma rede tradicional que você operaria em seu próprio data center, com os benefícios de usar a infraestrutura escalável do. AWS Nesse padrão, os VPC secundários CIDRs são usados para preservar o espaço IP roteável na carga de trabalhoCIDRs.

  • O roteamento de entrada do gateway da Internet (associações de borda) pode ser usado junto com os endpoints do balanceador de carga do gateway para sub-redes dedicadas não roteáveis.

  • AWSO Transit Gateway é um hub central que conecta VPCs redes locais. Nesse padrão, VPCs são conectados centralmente a um gateway de trânsito, e os anexos do gateway de trânsito estão em uma sub-rede dedicada não roteável.

  • Os balanceadores de carga do gateway ajudam você a implantar, escalar e gerenciar dispositivos virtuais, como firewalls, sistemas de detecção e prevenção de intrusões e sistemas de inspeção profunda de pacotes. O gateway atua como um único ponto de entrada e saída para todo o tráfego. Nesse padrão, os endpoints de um balanceador de carga do gateway podem ser usados em uma sub-rede dedicada não roteável.

  • AWSO Network Firewall é um firewall de rede gerenciado e com monitoramento de estado e serviço de detecção e prevenção de intrusões para VPCs a nuvem. AWS Nesse padrão, os endpoints de um firewall podem ser usados em uma sub-rede não roteável dedicada.

Repositório de código

Um runbook e AWS CloudFormation modelos para esse padrão estão disponíveis no repositório de padrões secundários GitHub CIDR não roteáveis. Você pode usar os arquivos de amostra para configurar um laboratório de trabalho em seu ambiente.

Práticas recomendadas

AWSTransit Gateway

  • Use uma sub-rede separada para cada VPC anexo do Transit Gateway.

  • Aloque uma sub-rede /28 do CIDR intervalo secundário não roteável para as sub-redes de anexos do Transit Gateway.

  • Em cada tabela de roteamento do gateway de trânsito, adicione uma rota estática e mais específica para o CIDR intervalo não roteável como um buraco negro.

Balanceador de carga do gateway e roteamento de entrada

  • Use o roteamento de entrada para direcionar o tráfego da Internet para os endpoints do balanceador de carga do gateway.

  • Use uma sub-rede separada para cada endpoint do balanceador de carga do gateway.

  • Aloque uma sub-rede /28 do CIDR intervalo secundário não roteável para as sub-redes de endpoint do Gateway Load Balancer.

Épicos

TarefaDescriçãoHabilidades necessárias

Determine o intervalo não roteável. CIDR

Determine um CIDR intervalo não roteável que será usado para a sub-rede de anexo do Transit Gateway e (opcionalmente) para qualquer sub-rede de endpoint do Gateway Load Balancer ou do Network Firewall. Esse CIDR intervalo será usado como secundário CIDR para VPC o. Ele não deve ser roteável a partir do CIDR alcance primário VPC do ou da rede maior.

Arquiteto de nuvem

Determine os CIDR intervalos roteáveis paraVPCs.

Determine um conjunto de CIDR intervalos roteáveis que serão usados para o seuVPCs. Esse CIDR intervalo será usado como principal CIDR para o seuVPCs.

Arquiteto de nuvem

CrieVPCs.

Crie o seu VPCs e conecte-o ao gateway de trânsito. Cada um VPC deve ter um CIDR intervalo primário que seja roteável e um secundário CIDR que não seja roteável, com base nos intervalos que você determinou nas duas etapas anteriores.

Arquiteto de nuvem
TarefaDescriçãoHabilidades necessárias

Crie buracos negros não roteáveis CIDRs mais específicos.

Cada tabela de roteamento do gateway de trânsito precisa ter um conjunto de rotas blackhole criadas para as não roteáveis. CIDRs Eles são configurados para garantir que qualquer tráfego do secundário VPC CIDR permaneça não roteável e não vaze para a rede maior. Essas rotas devem ser mais específicas do que as não roteáveis CIDR definidas como secundárias CIDR no. VPC Por exemplo, se o secundário não roteável CIDR for 100.64.0.0/26, as rotas blackhole na tabela de roteamento do Transit Gateway deverão ser 100.64.0.0/27 e 100.64.0.32/27.

Arquiteto de nuvem

Recursos relacionados

Mais informações

O CIDR intervalo secundário não roteável também pode ser útil ao trabalhar com implantações de contêineres em maior escala que exigem um grande conjunto de endereços IP. Você pode usar esse padrão com um NAT gateway privado para usar uma sub-rede não roteável para hospedar suas implantações de contêiner. Para obter mais informações, consulte a postagem do blog Como resolver o esgotamento do IP privado com a solução privada NAT.