REL02-BP03 S’assurer que l’allocation des sous-réseaux IP tient compte de l’expansion et de la disponibilité

Les plages d’adresses IP de Amazon VPC doivent être assez grandes pour répondre aux exigences de charges de travail, y compris en prévision d’une expansion et de l’allocation d’adresses IP aux sous-réseaux sur les zones de disponibilité. Cela inclut les équilibreurs de charge, les instances EC2 et les applications basées sur conteneur.

Lorsque vous planifiez votre topologie de réseau, la première étape consiste à définir l’espace d’adressage IP lui-même. Des plages d’adresses IP privées (conformément aux directives RFC 1918) doivent être allouées pour chaque VPC. Vous devez remplir les exigences suivantes dans le cadre de ce processus :

Autorisez un espace d’adressage IP pour plus d’un VPC par région.
Au sein d’un VPC, prévoyez de l’espace pour plusieurs sous-réseaux afin de pouvoir couvrir plusieurs zones de disponibilité.
Pensez à laisser de l’espace de bloc CIDR non utilisé au sein d’un VPC pour une future expansion.
Assurez-vous qu’il existe un espace d’adressage IP pour répondre aux besoins de tout parc transitoire d’instances Amazon EC2 que vous pourriez utiliser, comme les parcs d’instances Spot pour le machine learning, les clusters Amazon EMR ou les clusters Amazon Redshift. Une attention similaire doit être accordée aux clusters Kubernetes, tels qu’Amazon Elastic Kubernetes Service (Amazon EKS), car chaque pod Kubernetes se voit attribuer une adresse routable depuis le bloc CIDR du VPC par défaut.
Remarque : les quatre premières adresses IP et la dernière adresse IP dans le bloc CIDR de chaque sous-réseau sont réservées et ne peuvent pas être utilisées.
Notez que le bloc CIDR initial du VPC alloué à votre VPC ne peut pas être modifié ou supprimé, mais vous pouvez ajouter des blocs CIDR non superposés au VPC. Les CIDR IPv4 de sous-réseau ne sont pas modifiables, mais les CIDR IPv6 le sont.
Le plus grand bloc d’adresse CIDR VPC possible est un /16 et le plus petit est un /28.
Envisagez d’autres réseaux connectés (VPC, sur site ou autres fournisseurs de cloud) et veillez à ce que l’espace d’adressage IP ne se chevauche pas. Pour plus d’informations, consultez REL02-BP05 Appliquer des plages d’adresses IP privées sans chevauchement dans tous les espaces d’adressage privés où ils sont connectés.

Résultat souhaité : Un sous-réseau IP évolutif peut vous aider à faire face à la croissance future et à éviter tout gaspillage inutile.

Anti-modèles courants :

Ignorer la croissance future et utiliser des blocs CIDR trop petits, qui requièrent une reconfiguration, ce qui peut entraîner des temps d’arrêt.
Estimation incorrecte du nombre d’adresses IP qu’un Elastic Load Balancer peut utiliser.
Déploiement de nombreux équilibreurs de charge à trafic élevé dans les mêmes sous-réseaux.
Utilisation de mécanismes de dimensionnement automatisés sans surveiller la consommation d’adresses IP.
La définition de plages CIDR excessivement étendues va bien au-delà des prévisions de croissance futures, ce qui peut entraîner des difficultés pour l’appairage avec d’autres réseaux dont les plages d’adresses se chevauchent.

Avantages liés au respect de cette bonne pratique : Ces tailles sont la garantie que vous pouvez prendre en charge la croissance de vos charges de travail et continuer à fournir une disponibilité au fur et à mesure de votre mise à l’échelle.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : Moyen

Directives d’implémentation

Planifiez votre réseau en prévision de votre croissance, de la conformité réglementaire et de son intégration avec d’autres composants. La croissance peut être sous-estimée, la conformité réglementaire peut changer, et les acquisitions ou les connexions à des réseaux privés peuvent être difficiles à implémenter sans une planification appropriée.

Sélectionnez les régions et Comptes AWS pertinents en fonction de vos exigences de services, de la latence, des exigences réglementaires et de reprise après sinistre (DR).
Identifiez vos besoins pour les déploiements VPC régionaux.
Identifiez la taille des VPC.
- Déterminez si vous allez déployer une connectivité multi-VPC.
  - Qu’est-ce que Transit Gateway ?
  - Connectivité multi-VPC dans un seule région
- Déterminez si vous avez besoin d’une mise en réseau séparée pour les exigences réglementaires.
- Créez des VPC avec des blocs CIDR de taille appropriée pour répondre à vos besoins actuels et futurs.
  - Si vos prévisions de croissance sont inconnues, il peut être préférable d’opter pour des blocs CIDR plus importants afin de réduire le risque de reconfiguration future.
- Envisagez d’utiliser l’adressage IPv6 pour les sous-réseaux dans le cadre d’un VPC à double pile. IPv6 convient parfaitement à une utilisation dans des sous-réseaux privés contenant des flottes d’instances éphémères ou des conteneurs qui nécessiteraient autrement un grand nombre d’adresses IPv4.

Ressources

Bonnes pratiques Well-Architected connexes :

REL02-BP05 Appliquer des plages d’adresses IP privées sans chevauchement dans tous les espaces d’adressage privés où ils sont connectés

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

REL02-BP02 Mettre en service une connectivité redondante entre les réseaux privés dans le cloud et les environnements sur site

REL02-BP04 Préférer les topologies en étoile au maillage « many-to-many »