在多帳戶 VPC 設計中保留非工作負載子網路的可路由 IP 空間 - AWS 方案指引
Summary先決條件和限制架構工具最佳實務史诗相關資源其他資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在多帳戶 VPC 設計中保留非工作負載子網路的可路由 IP 空間

由亞當·斯派塞(AWS)創建

代碼存儲庫:不可路由的輔助 CIDR 模式

環境:生產

技術:基礎設施 DevOps; 管理與治理; 網絡

AWS 服務:AWS Transit Gateway;Amazon VPC;Elastic Load Balancing (ELB)

Summary

Amazon Web Services (AWS) 已發佈最佳實務,建議在虛擬私有雲端 (VPC) 中針對傳輸閘道附件和閘道 Load Balancer 端點 (以支援 AWS Network Firewall 或第三方設備) 使用專用子網路。這些子網路是用來包含這些服務的彈性網路介面。如果您同時使用 AWS Transit Gateway 和閘道 Load Balancer,則會在 VPC 的每個可用區域中建立兩個子網路。由於 VPC 的設計方式,這些額外的子網路不能小於 /28 遮罩,而且可能會消耗寶貴的可路由 IP 空間,否則可用於路由工作負載。此模式示範如何為這些專用子網路使用次要、不可路由的無類別網域間路由 (CIDR) 範圍,以協助保留可路由 IP 空間。

先決條件和限制

前提

架構

目標架構

此模式包括兩個參考架構:一個架構具有傳輸閘道 (TGW) 附件的子網路和閘道 Load Balancer 端點 (GWLBE),第二個架構只有 TGW 附件的子網路。

架構 1 ‒ 連接 TGW 的 VPC,具有輸入路由至設備

下圖表示跨越兩個可用區域的 VPC 參考架構。在輸入時,VPC 會使用輸入路由模式,將目的地為公有子網路的流量導向至應用bump-in-the-wire 裝置以進行防火牆檢查。TGW 附件支援從私有子網路輸出至個別 VPC。

此模式對 TGW 附件子網路和 GWLbe 子網路使用不可路由的 CIDR 範圍。在 TGW 路由表中,此不可路由的 CIDR 通過使用一組更具體的路由配置為黑洞(靜態)路由。如果路由要傳播到 TGW 路由表,這些更具體的黑洞路由將適用。

在此範例中,將 /23 可路由 CIDR 分割並完全配置給可傳遞子網路。

具有輸入路由至應用裝置的 TGW 連接 VPC。

架構 2 — 連接 TGW 的 VPC

下圖顯示跨越兩個可用區域的 VPC 的另一個參考架構。TGW 附件支援從私有子網路到個別 VPC 的輸出流量 (輸出)。它僅針對 TGW 附件子網路使用不可路由的 CIDR 範圍。在 TGW 路由表中,此不可路由的 CIDR 使用一組更具體的路由配置為黑洞路由。如果路由要傳播到 TGW 路由表,這些更具體的黑洞路由將適用。

在此範例中,將 /23 可路由 CIDR 分割並完全配置給可傳遞子網路。

VPC 跨越 2 個具有 TGW 附件的可用區域,用於從私有子網路輸出至個別 VPC。

工具

AWS 服務和資源

  • Amazon Virtual Private Cloud (Amazon VPC) 可協助您將 AWS 資源啟動到您已定義的虛擬網路中。這個虛擬網路類似於您在自己的資料中心中操作的傳統網路,並具有使用 AWS 可擴展基礎設施的好處。在此模式中,VPC 次要 CIDR 用於保留工作負載 CIDR 中的可路由 IP 空間。

  • 網際網路閘道輸入路由 (Edge 關聯) 可與閘道 Load Balancer 端點搭配使用,用於專用的非路由子網路。

  • AWS Transit Gateway 是連接 VPC 和現場部署網路的中央中樞。在此模式中,VPC 會集中連接至傳輸閘道,而傳輸閘道附件位於專用的非路由式子網路中。

  • Gateway Load Balancer 可讓您部署、擴展和管理虛擬設備,如防火牆、入侵偵測與預防系統,以及深層封包檢查系統。閘道充當所有流量的單一入口和出口點。在此病毒碼中,閘道 Load Balancer 的端點可用於專用的非路由子網路中。

  • AWS Network Firewall 是適用於 AWS 雲端中 VPC 的可設定狀態、受管網路防火牆以及入侵偵測與防護服務。在此病毒碼中,防火牆的端點可用於專用的非路由子網路中。

代碼存儲庫

GitHub 不可路由的次要 CIDR CloudFormation 模式存放庫中提供此模式的 Runbook 和 AWS 範本。您可以使用範例檔案在您的環境中設定工作實驗室。

最佳實務

AWS Transit Gateway

  • 為每個傳輸閘道 VPC 連接使用個別子網路。

  • 從傳輸閘道附件子網路的次要非路由 CIDR 範圍配置 /28 子網路。

  • 在每個傳輸閘道路由表中,為不可路由的 CIDR 範圍新增一個靜態、更具體的路由作為黑洞。

閘道 Load Balancer 和輸入路由

  • 使用輸入路由將流量從網際網路導向至閘道 Load Balancer 端點。

  • 為每個閘道 Load Balancer 端點使用不同的子網路。

  • 針對閘道 Load Balancer 端點子網路,從次要非路由 CIDR 範圍配置 /28 子網路。

史诗

任務描述所需技能

決定不可路由的 CIDR 範圍。

判斷將用於傳輸閘道附件子網路和任何閘道 Load Balancer 或 Network Firewall 端點子網路 (選擇性) 的不可路由 CIDR 範圍。此 CIDR 範圍將用作 VPC 的次要 CIDR。它不得從 VPC 的主要 CIDR 範圍或較大的網路進行路由。

雲端架構師

決定 VPC 的可路由 CIDR 範圍。

決定將用於 VPC 的一組可路由 CIDR 範圍。此 CIDR 範圍將用作虛擬私人雲端的主要 CIDR。

雲端架構師

建立虛擬私人雲端。

建立 VPC 並將其附加至傳輸閘道。根據您在前兩個步驟中決定的範圍,每個 VPC 都應具有可路由的主要 CIDR 範圍和不可路由的次要 CIDR 範圍。

雲端架構師
任務描述所需技能

將更特定的不可路由的 CIDR 建立為黑洞。

每個傳輸閘道路由表都必須為不可路由的 CIDR 建立一組黑洞路由。這些設定是為了確保來自次要 VPC CIDR 的任何流量都保持不可路由,並且不會洩漏到較大的網路中。這些路由應該比 VPC 上設定為次要 CIDR 的不可路由 CIDR 更具體。例如,如果次要不可路由的 CIDR 是 100.64.0.0/26,則傳輸閘道路由表中的黑洞路由應該是 100.64.0.0/27 和 100.64.0.32/27。

雲端架構師

相關資源

其他資訊

在處理需要大量 IP 位址的大型擴充容器部署時,不可路由的次要 CIDR 範圍也很有用。您可以將此模式與私有 NAT 閘道搭配使用,以使用不可路由的子網路來裝載容器部署。如需詳細資訊,請參閱部落格文章如何使用私有 NAT 解決方案解決私有 IP 耗盡問題。