REL02-BP03 Garantizar que la asignación de subredes IP tenga en cuenta la expansión y la disponibilidad

Los intervalos de direcciones IP de Amazon VPC deben ser lo suficientemente amplios como para dar cabida a los requisitos de las cargas de trabajo, como la posible expansión futura y la asignación de direcciones IP a las subredes de las zonas de disponibilidad. Esto incluye equilibradores de carga, instancias de EC2 y aplicaciones basadas en contenedores.

Cuando planifica la topología de su red, el primer paso es definir el espacio de la dirección IP. Se deben asignar rangos de direcciones IP privadas para cada VPC (siguiendo las directrices de la RFC 1918). Facilite los siguientes requisitos como parte de este proceso:

• Permita los espacios de direcciones IP para más de una VPC por región.

• En una VPC, deje espacio para varias subredes para poder cubrir varias zonas de disponibilidad.

• Considere la posibilidad de dejar siempre un espacio de bloque de CIDR sin usar en una VPC para posibles expansiones futuras.

• Asegúrese de que haya espacio de direcciones IP suficiente como para satisfacer las necesidades de flotas transitorias de instancias de Amazon EC2 que podría usar, como flotas de spot para el machine learning, clústeres de Amazon EMR o clústeres de Amazon Redshift. Se debe prestar una atención similar a los clústeres de Kubernetes, como Amazon Elastic Kubernetes Service (Amazon EKS), ya que a cada pod de Kubernetes se le asigna una dirección enrutable desde el bloque de CIDR de la VPC de forma predeterminada.

• Tenga en cuenta que las primeras cuatro direcciones IP y la última dirección IP de cada bloque CIDR de subred están reservadas y no están disponibles para que las use.

• Tenga en cuenta que el bloque de CIDR de la VPC inicial asignado a su VPC no debe cambiar ni eliminarse, pero puede añadir bloques de CIDR que no se solapen a la VPC. Los CIDR IPv4 de subred no se pueden cambiar; sin embargo, los CIDR IPv6 sí.

• El bloque de CIDR de VPC más grande posible es un /16 y el más pequeño es un /28.

• Tenga en cuenta otras redes conectadas (VPC, locales u otros proveedores de nube) y asegúrese de que el espacio de direcciones IP no se superponga. Para obtener más información, consulte REL02-BP05 Enforce non-overlapping private IP address ranges in all private address spaces where they are connected.

Resultado deseado: Una subred IP escalable puede ayudarle a adaptarse al crecimiento futuro y evitar desperdicios innecesarios.

Patrones comunes de uso no recomendados:

• Si no se tiene en cuenta el crecimiento futuro, los bloques de CIDR serán demasiado pequeños y habrá que reconfigurarlos, lo que puede provocar tiempos de inactividad.

• Calcular incorrectamente cuántas direcciones IP puede usar un equilibrador de carga elástico.

• Implementar muchos equilibradores de carga de tráfico intenso en las mismas subredes.

• Usar mecanismos de escalado automatizados sin monitorizar el consumo de direcciones IP.

• Definir rangos de CIDR excesivamente grandes que superen con creces las expectativas de crecimiento futuro, lo que puede generar dificultades para conectarse con otras redes con rangos de direcciones superpuestos.

Beneficios de establecer esta práctica recomendada: De esta forma, se asegurará de dar cabida al crecimiento de sus cargas de trabajo y seguir proporcionando disponibilidad cuando aumente la capacidad.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Medio

Guía para la implementación

Planificar su red para que se adapte al crecimiento, la conformidad normativa y la integración con otros. El crecimiento se puede subestimar, la conformidad normativa puede variar y las adquisiciones y conexiones de redes privadas pueden ser difíciles de realizar sin una planificación adecuada.

• Seleccione las regiones y Cuentas de AWS que correspondan según sus requisitos normativos y de servicio, latencia y recuperación ante desastres (DR).

• Identifique sus necesidades para despliegues regionales de VPC.

• Identifique el tamaño de las VPC.

  • Determine si va a implementar la conectividad de varias VPC.

    • What Is a Transit Gateway?

    • Conectividad de varias VPC en una sola región

  • Determinar si necesita redes segregadas conforme a los requisitos normativos.

  • Cree VPC con bloques de CIDR del tamaño adecuado para adaptarse a sus necesidades actuales y futuras.

    • Si desconoce sus proyecciones de crecimiento, es posible que desee optar por bloques de CIDR más grandes para no tener que volver a configurarlos en el futuro.

  • Piense en la posibilidad de usar el direccionamiento IPv6 para subredes como parte de una VPC de doble pila. IPv6 es ideal en subredes privadas que contienen flotas de instancias o contenedores efímeros que, de otro modo, requerirían un gran número de direcciones IPv4.

Recursos

Prácticas recomendadas por Well-Architected:

• REL02-BP05 Enforce non-overlapping private IP address ranges in all private address spaces where they are connected

Documentos relacionados:

• Socio de APN: socios que pueden ayudarle a planificar sus redes

• AWS Marketplace para la infraestructura de red

• Amazon Virtual Private Cloud Connectivity Options Whitepaper

• Conectividad de red de alta disponibilidad en varios centros de datos

• Conectividad de varias VPC en una sola región

• What Is Amazon VPC?

• IPv6 en AWS

• IPv6 en arquitecturas de referencia

• Amazon Elastic Kubernetes Service launches IPv6 support

Vídeos relacionados:

• AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)

• AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)

• AWS re:Invent 2023: AWS Ready for what's next? Designing networks for growth and flexibility (NET310)