REL02-BP05 Erzwingen von sich nicht überschneidenden privaten IP-Adressbereichen in allen privaten Adressbereichen, in denen eine Verbindung besteht
Die IP-Adressbereiche Ihrer VPCs dürfen sich nicht überschneiden, wenn sie per Peering oder über Transit Gateway oder VPN verbunden sind. Vermeiden Sie IP-Adresskonflikte zwischen einer VPC und On-Premises-Umgebungen oder anderen verwendeten Cloud-Anbietern. Sie müssen bei Bedarf auch die Möglichkeit haben, private IP-Adressbereiche zuzuweisen. Ein IP-Adressenverwaltungssystem (IPAM) kann bei der Automatisierung helfen.
Gewünschtes Ergebnis:
-
Keine Konflikte mit IP-Adressbereichen zwischen VPCs, On-Premises-Umgebungen oder anderen Cloud-Anbietern.
-
Eine angemessene IP-Adressverwaltung ermöglicht eine einfachere Skalierung der Netzwerkinfrastruktur, um wachsenden und sich wandelnden Netzwerkanforderungen gerecht zu werden.
Typische Anti-Muster:
-
Verwendung desselben IP-Bereichs in Ihrer VPC wie On-Premises, in Ihrem Unternehmensnetzwerk oder bei anderen Cloud-Anbietern.
-
Keine Verfolgung von IP-Bereichen von VPCs, die zur Bereitstellung der Workloads verwendet werden.
-
Alleinige Nutzung manueller IP-Adressverwaltungsprozesse wie Tabellenkalkulationen.
-
Über- oder Unterdimensionierung von CIDR-Blöcken, was zu einer Verschwendung von IP-Adressen oder zu wenig Adressbereichen für Ihren Workload führt.
Vorteile der Nutzung dieser bewährten Methode: Mit der aktiven Planung des Netzwerks stellten Sie sicher, dass dieselbe IP-Adresse in miteinander verbunden Netzwerken nicht mehrmals vorkommt. So wird verhindert, dass Routing-Probleme in Teilen der Workload auftreten, die die verschiedenen Anwendungen verwenden.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Verwenden Sie ein IPAM, z. B. den Amazon VPC IP Address Manager, um Ihre CIDR-Nutzung zu überwachen und zu verwalten. Im AWS Marketplace stehen auch mehrere IPAMs zur Verfügung. Bewerten Sie die potenzielle Nutzung in AWS, fügen Sie vorhandenen VPCs CIDR-Bereiche hinzu und erstellen Sie neue VPCs, um das geplante Wachstum abzudecken.
Implementierungsschritte
-
Ermitteln Sie den aktuellen CIDR-Umfang (z. B. VPCs und Subnetze).
-
Erfassen Sie über die Service API den aktuellen CIDR-Umfang.
-
Verwenden Sie den Amazon VPC IP Address Manager, um Ressourcen zu entdecken.
-
-
Erfassen Sie die aktuelle Subnetzauslastung.
-
Ermitteln Sie über die Service-API die in jeder Region pro VPC vorhandenen Subnetze.
-
Verwenden Sie den Amazon VPC IP Address Manager, um Ressourcen zu entdecken.
-
-
Zeichnen Sie die aktuelle Auslastung auf.
-
Prüfen Sie, ob sich IP-Bereiche überschneiden.
-
Berechnen Sie die freie Kapazität.
-
Identifizieren Sie sich überschneidende IP-Bereiche. Sie können wahlweise zu einem neuen Adressbereich migrieren oder Techniken wie privates NAT-Gateway oder AWS PrivateLink verwenden, wenn Sie die sich überschneidenden Bereiche verbinden müssen.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
-
AWS re:Invent 2023: Advanced VPC designs and new capabilities
-
AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs
-
AWS re:Invent 2023: Ready for what’s next? Designing networks for growth and flexibility
-
AWS re:Invent 2021: {New Launch} Manage your IP addresses at scale on AWS