在非工作負載子網路的多帳戶VPC設計中保留可路由 IP 空間 - AWS 方案指引
Summary先決條件和限制架構工具最佳實務史詩相關資源其他資訊

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在非工作負載子網路的多帳戶VPC設計中保留可路由 IP 空間

由 Adam Spicer 建立 (AWS)

Summary

Amazon Web Services (AWS) 已發佈最佳實務,建議在虛擬私有雲端 (VPC) 中使用傳輸閘道附件Gateway Load Balancer 端點的專用子網路 (以支援AWS網路防火牆或第三方設備)。這些子網路用於包含這些服務的彈性網路介面。如果您同時使用 AWS Transit Gateway 和 Gateway Load Balancer,則會在 的每個可用區域中建立兩個子網路VPC。由於VPCs設計方式,這些額外的子網路不能小於 /28 遮罩,並且可能會耗用寶貴的可路由 IP 空間,否則可用於可路由工作負載。此模式示範如何針對這些專用子網路使用次要、不可路由的無類別網域間路由 (CIDR) 範圍,以協助保留可路由 IP 空間。

先決條件和限制

先決條件

架構

目標架構

此模式包含兩個參考架構:一個架構具有用於傳輸閘道的子網路 (TGW) 連接和一個 Gateway Load Balancer 端點 (GWLBe),而第二個架構具有僅用於TGW連接的子網路。

架構 1 ‒ TGW- VPC連接傳入路由至設備

下圖代表VPC跨越兩個可用區域的 參考架構。在傳入時, VPC會使用傳入路由模式,將目的地為公有子網路的流量導向設備,bump-in-the-wire 以進行防火牆檢查。TGW 附件支援從私有子網路輸出到單獨的 VPC。

此模式會針對TGW連接子網路和GWLBe子網路使用不可路由CIDR的範圍。在TGW路由表中,此不可路由CIDR是透過使用一組更具體的路由,以黑洞 (靜態) 路由設定。如果路由要傳播到TGW路由表,則會套用這些更具體的黑洞路由。

在此範例中,/23 可路由CIDR會分割並完全配置到可路由子網路。

TGW- VPC連接傳入路由至 設備。

架構 2 – TGW已連接 VPC

下圖代表VPC跨越兩個可用區域的 的另一個參考架構。TGW 附件支援從私有子網路到個別 的傳出流量 (輸出)VPC。它只會針對TGW附件子網路使用不可路由CIDR的範圍。在TGW路由表中,此不可路由CIDR是透過使用一組更具體的路由,以黑洞路由設定。如果路由要傳播到TGW路由表,則會套用這些更具體的黑洞路由。

在此範例中,/23 可路由CIDR會分割並完全配置到可路由子網路。

VPC 跨越 2 個可用區域,TGW並連接從私有子網路輸出到單獨的 VPC。

工具

AWS 服務和資源

  • Amazon Virtual Private Cloud (Amazon VPC) 可協助您將AWS資源啟動至您定義的虛擬網路。此虛擬網路與您在自己的資料中心中操作的傳統網路相似,且具備使用 AWS 可擴展基礎設施的優勢。在此模式中,VPC次要 CIDRs 用於保留工作負載 中的可路由 IP 空間CIDRs。

  • 網際網路閘道傳入路由 (邊緣關聯) 可與 Gateway Load Balancer 端點搭配使用,以用於專用不可路由子網路。

  • AWS Transit Gateway 是連接 VPCs和內部部署網路的中心中樞。在此模式中, VPCs 會集中連接至傳輸閘道,而傳輸閘道附件位於專用的不可路由子網路中。

  • Gateway Load Balancer 可讓您部署、擴展和管理虛擬設備,如防火牆、入侵偵測與預防系統,以及深層封包檢查系統。閘道充當所有流量的單一入口和出口點。在此模式中,Gateway Load Balancer 的端點可用於專用的不可路由子網路。

  • AWS Network Firewall 是 AWS 雲端VPCs中具狀態、受管、網路防火牆和入侵偵測和預防服務。在此模式中,防火牆的端點可用於專用的不可路由子網路。

程式碼儲存庫

此模式的 Runbook 和AWS CloudFormation 範本可在 GitHub 非可路由次要CIDR模式儲存庫中使用。您可以使用範例檔案,在您的環境中設定工作實驗室。

最佳實務

AWS 傳輸閘道

  • 為每個傳輸閘道VPC連接使用單獨的子網路。

  • 從傳輸閘道連接子網路的次要不可路由CIDR範圍配置 /28 子網路。

  • 在每個傳輸閘道路由表中,將不可路由CIDR範圍的靜態、更具體路由新增為黑洞。

Gateway Load Balancer 和輸入路由

  • 使用輸入路由將流量從網際網路導向 Gateway Load Balancer 端點。

  • 針對每個 Gateway Load Balancer 端點使用個別子網路。

  • 從 Gateway Load Balancer 端點子網路的次要不可路由CIDR範圍配置 /28 子網路。

史詩

任務描述所需的技能

判斷不可路由CIDR的範圍。

決定用於傳輸閘道連接子網路的非路由CIDR範圍,以及 (選擇性) 用於任何 Gateway Load Balancer 或 Network Firewall 端點子網路。此CIDR範圍將用作 CIDR的次要 VPC。它不能從 的主要範圍或更大的網路進行路由。 VPC CIDR

雲端架構師

判斷 的可路由CIDR範圍VPCs。

決定一組將用於 的可路由CIDR範圍VPCs。此CIDR範圍將用作 CIDR的主要範圍VPCs。

雲端架構師

建立 VPCs。

建立您的 VPCs 並將其連接至傳輸閘道。每個 VPC 都應有一個可路由的主要CIDR範圍,以及一個不可路由的次要CIDR範圍,這取決於您在前兩個步驟中確定的範圍。

雲端架構師
任務描述所需的技能

建立更具體且無法路由CIDRs為黑洞。

每個傳輸閘道路由表都需要為不可路由的 建立一組黑洞路由CIDRs。這些設定是為了確保來自次要 的任何流量VPCCIDR都無法路由,且不會洩漏至較大的網路。這些路由應該比 CIDR CIDR上設定為次要的不可路由更具體VPC。例如,如果次要不可路由CIDR為 100.64.0.0/26,傳輸閘道路由表中的黑洞路由應為 100.64.0.0/27 和 100.64.0.32/27。

雲端架構師

相關資源

其他資訊

使用需要大量 IP 地址的擴展容器部署時,不可路由的次要CIDR範圍也很有用。您可以搭配私有NAT閘道使用此模式,以使用不可路由的子網路來託管容器部署。如需詳細資訊,請參閱部落格文章如何使用私有NAT解決方案解決私有 IP 耗盡問題。