REL02-BP05 在互相连接的所有私有地址空间中强制实施非重叠的私有 IP 地址范围 - AWS Well-Architected 框架

REL02-BP05 在互相连接的所有私有地址空间中强制实施非重叠的私有 IP 地址范围

当多个 VPC 对等连接、通过 Transit Gateway 连接或者通过 VPN 连接时,各个 VPC 的 IP 地址范围不得重叠。避免 VPC 与本地环境之间或者与所使用的其他云提供商之间出现 IP 地址冲突。您还必须能够在需要时分配私有 IP 地址范围。IP 地址管理(IPAM)系统有助于实现这一操作的自动化。

期望结果:

  • VPC、本地环境或其他云提供商之间不存在 IP 地址范围冲突。

  • 适当的 IP 地址管理支持更轻松地扩展网络基础设施来适应不断增长和变化的网络要求。

常见反模式:

  • 在 VPC 中使用与本地、企业网络或者其他云提供商相同的 IP 范围。

  • 不追踪用于部署工作负载的 VPC 的 IP 范围。

  • 依赖手动 IP 地址管理流程,例如电子表格。

  • CIDR 块过大或过小,这往往会导致 IP 地址浪费或地址空间不足以容纳您的工作负载。

建立此最佳实践的好处:主动规划网络可确保您不会遇到互连网络中多次出现相同 IP 地址的情况。这可防止使用不同应用程序的工作负载部分出现路由问题。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

使用 IPAM(例如 Amazon VPC IP 地址管理器)来监控并管理 CIDR 使用情况。AWS Marketplace 也提供了几个 IPAM。评估您在 AWS 上的可能使用量、将 CIDR 范围添加到现有 VPC,并且在创建 VPC 时要考虑到计划的使用量增长情况。

实施步骤

  • 捕获当前的 CIDR 使用量数据(例如,VPC 和子网)。

    • 使用服务 API 操作收集当前的 CIDR 使用量数据。

    • 使用 Amazon VPC IP 地址管理器来发现资源

  • 捕获当前的子网使用量数据。

    • 使用服务 API 操作在每个区域中按 VPC 收集子网

    • 使用 Amazon VPC IP 地址管理器来发现资源

  • 记录当前使用量数据。

  • 确定是否创建了任何重叠的 IP 范围。

  • 计算备用容量。

  • 确定重叠的 IP 范围。您可以迁移到新的地址范围,也可以考虑在需要连接重叠范围时使用私有 NAT 网关AWS PrivateLink 等技术。

资源

相关最佳实践:

相关文档:

相关视频: