选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
在多账户VPC设计中为非工作负载子网保留可路由的 IP 空间 - AWS Prescriptive Guidance
摘要先决条件和限制架构工具最佳实践操作说明相关资源其他信息

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在多账户VPC设计中为非工作负载子网保留可路由的 IP 空间

PDF

由亚当·斯派塞创作 () AWS

摘要

Amazon Web Services (AWS) 已发布最佳实践,建议在虚拟私有云 (VPC) 中为传输网关附件和 Gateway Loa d Balancer 终端节点(以支持AWS网络防火墙或第三方设备)使用专用子网。这些子网用于包含这些服务的弹性网络接口。如果您同时使用 T AWS ransit Gateway 和 Gateway Load Balancer,则会在每个可用区中为该VPC创建两个子网。由于设计方式VPCs,这些额外的子网不能小于 /28 掩码,并且会消耗宝贵的可路由 IP 空间,而这些空间本来可以用于可路由的工作负载。此模式演示了如何为这些专用子网使用辅助的、不可路由的无类域间路由 (CIDR) 范围来帮助保留可路由的 IP 空间。

先决条件和限制

先决条件

架构

目标架构

此模式包括两种参考架构:一种架构具有用于传输网关 (TGW) 附件的子网和一个 Gateway Load Balancer 端点 (GWLBe),第二个架构具有仅用于TGW连接的子网。

架构 1-TGW 附加到VPC设备的入口路由

下图显示了跨越两个可用区的参考架构。VPC在入口时,VPC使用入口路由模式将发往公有子网的流量引导到bump-in-the-wire 设备进行防火墙检查。TGW连接支持从私有子网出口到单独的子网。VPC

此模式对TGW连接子网和子网使用不可路由的CIDRGWLBe范围。在TGW路由表中,使用一组更具体的路由,将此不可CIDR路由配置为黑洞(静态)路由。如果要将路由传播到TGW路由表,则会应用这些更具体的黑洞路由。

在此示例中,/23 可路由器CIDR被分割并完全分配给可路由的子网。

TGW-附VPC带到设备的入口路由。

架构 2 — 附TGW加 VPC

下图显示了跨越两个可用区的另一种参考架构。VPCTGW附件支持从私有子网到单独子网的出站流量(出口)。VPC它仅对TGW连接子网使用不可路由的CIDR范围。在TGW路由表中,使用一组更具体的路CIDR由,将此不可路由配置为黑洞路由。如果要将路由传播到TGW路由表,则会应用这些更具体的黑洞路由。

在此示例中,/23 可路由器CIDR被分割并完全分配给可路由的子网。

VPC跨越 2 个可用区,TGW连接私有子网的出口。VPC

工具

AWS服务和资源

  • Amazon Virtual Private Cloud(亚马逊VPC)可帮助您将AWS资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络,并具有使用 AWS 的可扩展基础设施的优势。在这种模式中,VPC辅助用于CIDRs在工作负载CIDRs中保留可路由的 IP 空间。

  • 互联网网关入口路由(边缘关联)可以与网关负载均衡器端点一起使用,用于专用的不可路由子网。

  • AWSTransit Gatew ay 是一个连接本地网络VPCs的中央枢纽。在这种模式中VPCs,集中连接到传输网关,传输网关附件位于不可路由的专用子网中。

  • 网关负载均衡器可帮助您部署、扩展和管理虚拟设备,例如防火墙、入侵检测和防御系统以及深度数据包检测系统。网关充当所有流量的单一入口和出口点。在这种模式下,网关负载均衡器的端点可以在不可路由的专用子网中使用。

  • AWSNetwork Fire wall 是一项针对VPCsAWS云端的状态托管网络防火墙以及入侵检测和防御服务。在此模式中,防火墙的端点可以在专用的不可路由子网中使用。

代码存储库

此模式的运行手册和AWS CloudFormation 模板可在 GitHub 不可路由的次要CIDR模式存储库中找到。您可使用示例文件在您的环境中设置工作实验室。

最佳实践

AWSTransit Gate

  • 为每个传输网关VPC连接使用单独的子网。

  • 从辅助不可路由CIDR范围中为传输网关连接子网分配一个 /28 子网。

  • 在每个中转网关路由表中,为不可路由CIDR范围添加一条更具体的静态路由作为黑洞。

网关负载均衡器与入口路由

  • 使用入口路由将流量从互联网引导至网关负载均衡器端点。

  • 为每个网关负载均衡器端点使用单独子网。

  • 从 Gateway Load Balancer 端点子网的辅助不可路由CIDR范围中分配一个 /28 子网。

操作说明

任务描述所需技能

确定不可路由CIDR的范围。

确定一个不可路由的CIDR范围,该范围将用于传输网关连接子网以及(可选)用于任何 Gateway Load Balancer 或 Network Firewall 端点子网。此CIDR范围将用作VPC. CIDR 的辅助范围。它不能从VPC的主CIDR范围或更大的网络进行路由

云架构师

确定可路由的CIDR范围。VPCs

确定一组将用于您的VPCs可路由CIDR范围。此CIDR范围将用作您的主要CIDR范围VPCs.

云架构师

创建VPCs。

创建您的VPCs并将其连接到传输网关。根据您在前两个步骤中确定的CIDR范围,每个CIDR范围都VPC应有一个可路由的主范围和一个不可路由的辅助范围。

云架构师

创建 VPCs

任务描述所需技能

确定不可路由CIDR的范围。

确定一个不可路由的CIDR范围,该范围将用于传输网关连接子网以及(可选)用于任何 Gateway Load Balancer 或 Network Firewall 端点子网。此CIDR范围将用作VPC. CIDR 的辅助范围。它不能从VPC的主CIDR范围或更大的网络进行路由

云架构师

确定可路由的CIDR范围。VPCs

确定一组将用于您的VPCs可路由CIDR范围。此CIDR范围将用作您的主要CIDR范围VPCs.

云架构师

创建VPCs。

创建您的VPCs并将其连接到传输网关。根据您在前两个步骤中确定的CIDR范围,每个CIDR范围都VPC应有一个可路由的主范围和一个不可路由的辅助范围。

云架构师
任务描述所需技能

创建更具体的不可路由的黑洞CIDRs。

每个中转网关路由表都需要为不可CIDRs路由的路由创建一组黑洞路由。这些配置可确保来自辅助VPCCIDR服务器的任何流量都不可路由,并且不会泄漏到更大的网络中。这些路由应该比CIDR上设置为辅助路由的不可路由CIDR的路由更具体。VPC例如,如果辅助不可路由的路由CIDR是 100.64.0.0/26,则传输网关路由表中的黑洞路由应为 100.64.0.0/27 和 100.64.0.32/27。

云架构师

配置中转网关黑洞路由

任务描述所需技能

创建更具体的不可路由的黑洞CIDRs。

每个中转网关路由表都需要为不可CIDRs路由的路由创建一组黑洞路由。这些配置可确保来自辅助VPCCIDR服务器的任何流量都不可路由,并且不会泄漏到更大的网络中。这些路由应该比CIDR上设置为辅助路由的不可路由CIDR的路由更具体。VPC例如,如果辅助不可路由的路由CIDR是 100.64.0.0/26,则传输网关路由表中的黑洞路由应为 100.64.0.0/27 和 100.64.0.32/27。

云架构师

相关资源

其他信息

在处理需要大量 IP 地址的大规模容器部署时,不可路由的辅助CIDR范围也很有用。您可以将此模式与私有NAT网关配合使用,从而使用不可路由的子网来托管您的容器部署。有关更多信息,请参阅博客文章如何使用私有NAT解决方案解决私有 IP 耗尽问题。

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。