REL02-BP05 在連線的所有私有地址空間中強制使用不重疊的私有 IP 地址範圍
如果透過 VPN 對等互連或連線,則每個 VPC 的 IP 地址範圍不得重疊。同樣地,您必須避免 VPC 與內部部署環境或您所使用之其他雲端供應商之間出現 IP 地址衝突。您也須有一種在需要時分配私有 IP 地址範圍的方法。
IP 地址管理 (IPAM) 系統可以協助解決此問題。AWS Marketplace 提供多套 IPAM 系統。
常用的反模式:
-
在 VPC 中使用與內部部署或公司網路相同的 IP 範圍。
-
不追蹤用來部署工作負載之 VPC 的 IP 範圍。
建立此最佳實務的優勢: 主動規劃網路可確保在互連網路中不會出現多個相同的 IP 地址。這可防止在使用不同應用程式的工作負載部分中發生路由問題。
若未建立此最佳實務,暴露的風險等級為: 中
實作指引
監控和管理您的 CIDR 使用。評估您在 AWS 上的潛在使用情況,將 CIDR 範圍新增到現有 VPC,並建立 VPC 以允許計劃的用量增長。
-
擷取當前的 CIDR 消耗 (例如,VPC、子網路)
-
使用服務 API 操作來收集當前的 CIDR 消耗。
-
-
記錄您當前的子網路用量。
-
使用服務 API 操作來收集每個區域中每個 VPC 的子網路。
-
記錄目前用量。
-
確定是否建立了任何重疊的 IP 範圍。
-
計算備用容量。
-
識別重疊的 IP 範圍。如果需要連線重疊範圍,則可以遷移至新的地址範圍,也可以使用 AWS Marketplace 的網路和連接埠轉換 (NAT) 設備。
-
-
資源
相關文件:
相關影片:
