本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
REL02-BP05 在所有連線的私有地址空間中強制執行不重疊的私有 IP 地址範圍
對等、透過 Transit Gateway 連線或透過 連線時,每個 的 IP 地址範圍VPCs不得重疊VPN。避免 IP 地址在 VPC和內部部署環境之間或您使用的其他雲端提供者之間發生衝突。您也必須有一種在需要時分配私有 IP 位址範圍的方法。IP 地址管理 (IPAM) 系統可協助自動化此作業。
預期成果:
-
VPCs、內部部署環境或其他雲端提供者之間沒有 IP 地址範圍衝突。
-
適當的 IP 位址管理可以更輕鬆地擴展網路基礎設施,以適應網路需求的成長和變化。
常見的反模式:
-
在 中使用VPC與內部部署、公司網路或其他雲端供應商相同的 IP 範圍
-
不追蹤VPCs用於部署工作負載的 IP 範圍。
-
仰賴手動 IP 位址管理程序,例如試算表。
-
大小過大或過小的CIDR區塊,這會導致 IP 地址浪費或工作負載的地址空間不足。
建立此最佳實務的優勢:主動規劃網路,可確保在互連網路中不會出現多個相同的 IP 位址。這可防止使用不同應用程式的工作負載部分發生路由問題。
未建立此最佳實務時的曝險等級:中
實作指引
使用 IPAM,例如 Amazon VPC IP Address Manager ,來監控和管理您的CIDR使用。您也可以IPAMs從 取得數個 AWS Marketplace。在 上評估您的潛在用量 AWS、將CIDR範圍新增至現有 VPCs,並建立 VPCs 以允許規劃的使用量成長。
實作步驟
-
擷取電流CIDR消耗 (例如 VPCs和 子網路)。
-
使用 服務API操作來收集目前CIDR消耗。
-
-
記錄當前的子網路用量。
-
使用服務API操作來收集每個區域中每個 的子網路。 VPC
-
-
記錄當前用量。
-
確定是否建立了任何重疊的 IP 範圍。
-
計算備用容量。
-
識別重疊的 IP 範圍。您可以遷移到新的地址範圍,也可以考慮使用私有NAT閘道之類的技術,或者AWS PrivateLink如果您需要連接重疊範圍。
資源
相關的最佳實務:
相關文件:
相關影片: