本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
REL02-BP03 確保 IP 子網路配置考量擴充性和可用性
Amazon VPC IP 地址範圍必須足夠大,以適應工作負載需求,包括考慮未來擴展,以及將 IP 地址配置到可用區域的子網路。這包括負載平衡器、EC2執行個體和容器型應用程式。
規劃您的網路拓樸時,首先要定義 IP 位址空間。應為每個 配置私有 IP 地址範圍 (遵循 RFC 1918 年準則)VPC。在此流程中請滿足下列要求:
-
允許VPC每個區域的 IP 地址空間超過一個。
-
在 中VPC,為多個子網路留出空間,以便您可以涵蓋多個可用區域。
-
考慮將未使用的CIDR區塊空間保留在 中VPC,以供未來擴充。
-
確保有 IP 地址空間來滿足您可能使用的任何暫時性 Amazon EC2執行個體機群的需求,例如用於機器學習的 Spot Fleet、Amazon EMR叢集或 Amazon Redshift 叢集。由於每個 Kubernetes Pod 依預設都會從VPCCIDR區塊中指派一個可路由地址,因此應該對 Kubernetes 叢集進行類似的考量,例如 Amazon Elastic Kubernetes Service (Amazon EKS)。
-
請注意,每個子網路CIDR區塊的前四個 IP 地址和最後一個 IP 地址都已保留,且無法使用。
-
請注意,配置到 的初始VPCCIDR區塊VPC無法變更或刪除,但您可以將其他非重疊CIDR區塊新增至 VPC。不過,子網路IPv4CIDRs無法變更IPv6CIDRs。
-
最大的可能VPCCIDR區塊為 /16,最小區塊為 /28。
-
考慮其他連線網路 (VPC、內部部署或其他雲端供應商),並確保 IP 地址空間不重疊。如需詳細資訊,請參閱 REL02-BP05 在所有連線的私有地址空間中強制執行不重疊的私有 IP 地址範圍。
預期成果:可擴展的 IP 子網路可以幫助您適應未來的成長,並避免不必要的浪費。
常見的反模式:
-
未考慮未來的成長,導致CIDR區塊太小且需要重新設定,進而可能導致停機時間。
-
錯誤預估 Elastic Load Balancer 可以使用的 IP 位址數量。
-
在相同的子網路中部署許多高流量負載平衡器
-
使用自動擴展機制,同時無法監控 IP 位址使用情況。
-
定義過大CIDR的範圍遠遠超過未來的成長預期,這可能會導致難以與其他地址範圍重疊的網路互連。
建立此最佳實務的優勢:如此可確保您可以適應工作負載的增長,並在向上擴展時繼續提供可用性。
未建立此最佳實務時的曝險等級:中
實作指引
規劃網路以適應增長、法規要求以及與其他網路整合。增長可能會被低估,合規要求可能會發生變化,並且如果沒有適當的規劃,採購或私有網路連線可能會難以實作。
-
根據您的服務需求、延遲、法規 AWS 帳戶 和災難復原 (DR) 需求選取相關 和 區域。
-
識別區域VPC部署的需求。
-
識別 的大小VPCs。
-
判斷您是否要部署多VPC連線能力。
-
確定您是否需要區隔聯網以滿足法規要求。
-
VPCs 使用適當大小的CIDR區塊進行 ,以滿足您的目前和未來需求。
-
如果您有未知的成長預測,您可能想要在較大的CIDR區塊側邊錯誤,以減少未來重新設定的可能性
-
-
請考慮使用子網路IPv6定址
作為雙堆疊 的一部分VPC。IPv6 非常適合用於包含暫時性執行個體或容器機群的私有子網路,否則需要大量IPv4地址。
-
資源
相關 Well-Architected 的最佳實務:
相關文件:
相關影片: