REL02-BP03 確保 IP 子網路配置考量擴充性和可用性 - AWS 建構良好的架構

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

REL02-BP03 確保 IP 子網路配置考量擴充性和可用性

Amazon VPC IP 地址範圍必須足夠大,以適應工作負載需求,包括考慮未來擴展,以及將 IP 地址配置到可用區域的子網路。這包括負載平衡器、EC2執行個體和容器型應用程式。

規劃您的網路拓樸時,首先要定義 IP 位址空間。應為每個 配置私有 IP 地址範圍 (遵循 RFC 1918 年準則)VPC。在此流程中請滿足下列要求:

  • 允許VPC每個區域的 IP 地址空間超過一個。

  • 在 中VPC,為多個子網路留出空間,以便您可以涵蓋多個可用區域。

  • 考慮將未使用的CIDR區塊空間保留在 中VPC,以供未來擴充。

  • 確保有 IP 地址空間來滿足您可能使用的任何暫時性 Amazon EC2執行個體機群的需求,例如用於機器學習的 Spot Fleet、Amazon EMR叢集或 Amazon Redshift 叢集。由於每個 Kubernetes Pod 依預設都會從VPCCIDR區塊中指派一個可路由地址,因此應該對 Kubernetes 叢集進行類似的考量,例如 Amazon Elastic Kubernetes Service (Amazon EKS)。

  • 請注意,每個子網路CIDR區塊的前四個 IP 地址和最後一個 IP 地址都已保留,且無法使用。

  • 請注意,配置到 的初始VPCCIDR區塊VPC無法變更或刪除,但您可以將其他非重疊CIDR區塊新增至 VPC。不過,子網路IPv4CIDRs無法變更IPv6CIDRs。

  • 最大的可能VPCCIDR區塊為 /16,最小區塊為 /28。

  • 考慮其他連線網路 (VPC、內部部署或其他雲端供應商),並確保 IP 地址空間不重疊。如需詳細資訊,請參閱 REL02-BP05 在所有連線的私有地址空間中強制執行不重疊的私有 IP 地址範圍。

預期成果:可擴展的 IP 子網路可以幫助您適應未來的成長,並避免不必要的浪費。

常見的反模式:

  • 未考慮未來的成長,導致CIDR區塊太小且需要重新設定,進而可能導致停機時間。

  • 錯誤預估 Elastic Load Balancer 可以使用的 IP 位址數量。

  • 在相同的子網路中部署許多高流量負載平衡器

  • 使用自動擴展機制,同時無法監控 IP 位址使用情況。

  • 定義過大CIDR的範圍遠遠超過未來的成長預期,這可能會導致難以與其他地址範圍重疊的網路互連。

建立此最佳實務的優勢:如此可確保您可以適應工作負載的增長,並在向上擴展時繼續提供可用性。

未建立此最佳實務時的曝險等級:

實作指引

規劃網路以適應增長、法規要求以及與其他網路整合。增長可能會被低估,合規要求可能會發生變化,並且如果沒有適當的規劃,採購或私有網路連線可能會難以實作。

  • 根據您的服務需求、延遲、法規 AWS 帳戶 和災難復原 (DR) 需求選取相關 和 區域。

  • 識別區域VPC部署的需求。

  • 識別 的大小VPCs。

    • 判斷您是否要部署多VPC連線能力。

    • 確定您是否需要區隔聯網以滿足法規要求。

    • VPCs 使用適當大小的CIDR區塊進行 ,以滿足您的目前和未來需求。

      • 如果您有未知的成長預測,您可能想要在較大的CIDR區塊側邊錯誤,以減少未來重新設定的可能性

    • 請考慮使用子網路IPv6定址作為雙堆疊 的一部分VPC。IPv6 非常適合用於包含暫時性執行個體或容器機群的私有子網路,否則需要大量IPv4地址。

資源

相關 Well-Architected 的最佳實務:

相關文件:

相關影片: