REL02-BP03 Garantir contas de alocação de sub-rede IP para expansão e disponibilidade

Intervalos de endereços IP da Amazon VPC devem ser grandes o suficiente para acomodar os requisitos da workload, incluindo a futura expansão e alocação de endereços IP para sub-redes nas zonas de disponibilidade. Isso inclui load balancers, instâncias do EC2 e aplicativos baseados em contêiner.

Ao planejar sua topologia de rede, a primeira etapa é definir o espaço do endereço IP em si. Intervalos de endereços IP privados (seguindo as diretrizes RFC 1918) devem ser alocados para cada VPC. Atenda aos seguintes requisitos como parte desse processo:

• Permitir espaço de endereço IP para mais de uma VPC por Região.

• Em uma VPC, deixe espaço para várias sub-redes para cobrir várias zonas de disponibilidade.

• Considere deixar o espaço de bloco CIDR não utilizado em uma VPC para futura expansão.

• Verifique se há espaço de endereço IP para atender às necessidades de qualquer frota transitória de instâncias do Amazon EC2 que você use, como frotas spot para machine learning, clusters do Amazon EMR ou clusters do Amazon Redshift. Consideração semelhante deve ser dada aos clusters do Kubernetes, como o Amazon Elastic Kubernetes Service (Amazon EKS), pois cada pod do Kubernetes recebe um endereço roteável do bloco CIDR da VPC por padrão.

• Observe que os primeiros quatro endereços IP e o último endereço IP em cada bloco CIDR da sub-rede estão reservados e não estão disponíveis para seu uso.

• Observe que o bloco CIDR inicial da VPC alocado para sua VPC não pode ser alterado ou excluído, mas você pode adicionar blocos CIDR não sobrepostos à VPC. Os CIDRs IPv4 da sub-rede não podem ser alterados, mas os CIDRs IPv6 podem.

• O maior bloco CIDR de VPC possível é /16 e o menor é /28.

• Considere outras redes conectadas (VPC, on-premises ou outros provedores de nuvem) e garanta que o espaço de endereço IP não se sobreponha. Para mais informações, leia REL02-BP05 Aplicar intervalos de endereços IP privados não sobrepostos a todos os espaços de endereços privados onde estão conectados

Resultado desejado: uma sub-rede IP escalável pode ajudar você a se adaptar ao crescimento futuro e evitar desperdícios desnecessários.

Antipadrões comuns:

• deixar de considerar o crescimento futuro, levando a blocos CIDR muito pequenos que exigem reconfiguração e causando um possível tempo de inatividade.

• Estimar incorretamente quantos endereços IP um Elastic Load Balancer pode usar.

• Implantar muitos balanceadores de carga de alto tráfego nas mesmas sub-redes.

• Usar mecanismos de ajuste de escala automático automatizados sem monitorar o consumo de endereços IP.

• Definir intervalos CIDR excessivamente grandes muito além das expectativas de crescimento futuro, o que pode dificultar o emparelhamento com outras redes com intervalos de endereços sobrepostos.

Benefícios de estabelecer esta prática recomendada: Isso garante que você possa acomodar o crescimento das suas cargas de trabalho e continuar a fornecer disponibilidade à medida que elas se expandem.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Planeje sua rede para acomodar crescimento, conformidade regulamentar e integração com outras pessoas. O crescimento pode ser subestimado, a conformidade regulamentar pode mudar e as aquisições ou conexões de rede privada podem ser difíceis de implementar sem o planejamento adequado.

• Selecione as Contas da AWS e regiões relevantes conforme seus requisitos de serviço, de latência, regulatórios e de recuperação de desastres (DR).

• Identifique suas necessidades para implantações regionais de VPC.

• Identifique o tamanho das VPCs.

  • Determine se você pretende implantar conectividade com várias VPCs.

    • O que é um Transit Gateway?

    • Conectividade com várias VPCs de região única

  • Determine se você precisa de rede segregada por requisitos normativos.

  • Crie VPCs com blocos CIDR de tamanho adequado para acomodar suas necessidades atuais e futuras.

    • Se você tiver projeções de crescimento desconhecidas, talvez prefira arriscar blocos CIDR maiores para reduzir a possibilidade de reconfiguração futura

  • Considere o uso de soluções de endereçamento IPv6 para sub-redes como parte de uma VPC de pilha dupla. O IPv6 é adequado para sub-redes privadas contendo frotas de instâncias ou contêineres efêmeros que, de outra forma, exigiriam um grande número de endereços IPv4.

Recursos

Práticas recomendadas relacionadas ao Well-Architected:

• REL02-BP05 Aplicar intervalos de endereços IP privados não sobrepostos a todos os espaços de endereços privados onde estão conectados

Documentos relacionados:

• Parceiro do APN: parceiros que podem ajudar a planejar sua rede

• AWS Marketplace para infraestrutura de rede

• Amazon Virtual Private Cloud Connectivity Options Whitepaper

• Multiple data center HA network connectivity

• Conectividade com várias VPCs de região única

• O que é o Amazon VPC?

• IPv6 na AWS

• IPv6 on reference architectures

• Amazon Elastic Kubernetes Service launches IPv6 support

Vídeos relacionados:

• AWS re:Invent 2018: Advanced VPC Design and New Capabilities for Amazon VPC (NET303)

• AWS re:Invent 2019: AWS Transit Gateway reference architectures for many VPCs (NET406-R1)

• AWS re:Invent 2023: AWS Ready for what's next? Designing networks for growth and flexibility (NET310)