# REL 2 如何规划网络拓扑?
工作负载通常存在于多个环境中。其中包括多个云环境(可公开访问云和私有云),可能还包括现有数据中心基础设施。相关计划必须涵盖网络注意事项,如系统内部和系统间连接、公有 IP 地址管理、私有 IP 地址管理,以及域名解析。
**Topics**
+ [REL02-BP01 为工作负载公有端点使用高度可用的网络连接](rel_planning_network_topology_ha_conn_users.md)
+ [REL02-BP02 为云环境和本地部署环境之间的私有网络预置冗余连接](rel_planning_network_topology_ha_conn_private_networks.md)
+ [REL02-BP03 确保 IP 子网分配考虑扩展和可用性](rel_planning_network_topology_ip_subnet_allocation.md)
+ [REL02-BP04 轴辐式拓扑优先于多对多网格](rel_planning_network_topology_prefer_hub_and_spoke.md)
+ [REL02-BP05 在互相连接的所有私有地址空间中强制实施非重叠的私有 IP 地址范围](rel_planning_network_topology_non_overlap_ip.md)
# REL02-BP01 为工作负载公有端点使用高度可用的网络连接
这些端点及其路由必须高度可用。为此,需使用高度可用的 DNS、内容分发网络 (CDN)、API Gateway、负载均衡或反向代理。
Amazon Route 53、AWS Global Accelerator、Amazon CloudFront、Amazon API Gateway 和 Elastic Load Balancing(ELB)都提供了高度可用的公共端点。您还可以选择评估 AWS Marketplace 软件设备是否适用于负载均衡和代理。
您的工作负载所提供的服务的用户,无论其是最终用户或其他服务,都要在这些服务终端节点上发起请求。您可以使用多个 AWS 资源以提供高度可用的端点。
Elastic Load Balancing 提供跨可用区的负载均衡,执行第 4 层(TCP)或第 7 层(http/https)路由,与 AWS WAF 集成,并与 AWS Auto Scaling 集成以帮助构建自我修复基础设施,吸收流量增长,并同时在流量减少时释放资源。
Amazon Route 53 是一项可扩展且高度可用的域名系统(DNS,Domain Name System)服务,可将用户请求连接至在 AWS 中运行的基础设施,如 Amazon EC2 实例、Elastic Load Balancing 负载均衡器或 Amazon S3 存储桶,此外还可用于将用户路由至 AWS 以外的基础设施。
AWS Global Accelerator 是一项网络层服务,您可以用它将流量引导至 AWS 全球网络中的最佳端点。
分布式拒绝服务(DDoS,Distributed Denial of Service)攻击会引发使您的用户的合法流量无法进入并降低可用性的风险。AWS Shield 提供自动防护,无需额外成本即可避免您的工作负载上的 AWS 服务端点遭受此类攻击。您可以使用 APN 合作伙伴和 AWS Marketplace 提供的虚拟设备来增强这些功能,以满足您的需求。
**常见反模式:**
+ 在实例或容器中使用公有互联网地址并通过 DNS 管理与它们的连接。
+ 使用互联网协议地址而非域名查找服务。
+ 为较大地理区域提供内容(网页、静态资产、媒体文件),而不使用内容分发网络。
**建立此最佳实践的好处:** 通过在工作负载中实施高度可用的服务,您将清楚自己的工作负载可供用户使用。
**未建立此最佳实践暴露的风险等级:** 高
## 实施指导
确保为工作负载用户提供高度可用的连接:Amazon Route 53、AWS Global Accelerator、Amazon CloudFront、Amazon API Gateway 和 Elastic Load Balancing(ELB)都提供高度可用的面向公众的端点。您还可以选择评估 AWS Marketplace 软件设备是否适用于负载均衡和代理。
+ 确保您与用户之间具有高度可用的连接。
+ 确保使用高度可用的 DNS 来管理应用程序端点域名。
+ 如果您的用户通过互联网访问应用程序,请使用服务 API 操作以确保正确使用互联网网关。另外,请确认托管应用程序端点的子网的路由表条目正确无误。
+ [DescribeInternetGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeInternetGateways.html)
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
+ 确保在应用程序前使用高度可用的反向代理或负载均衡器。
+ 如果用户通过本地部署环境访问您的应用程序,请确保 AWS 与本地部署环境之间的连接高度可用。
+ 使用 Route 53 管理您的域名。
+ [什么是 Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ 使用符合您要求的第三方 DNS 提供商。
+ 使用 Elastic Load Balancing。
+ [什么是 Elastic Load Balancing?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ 使用符合您要求的 AWS Marketplace 设备。
## 资源
**相关文档:**
+ [AWS 合作伙伴:可帮助您规划联网的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [适用于网络基础设施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud 连接选项白皮书](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [多数据中心 HA 网络连接](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [使用 Direct Connect 弹性工具包开始操作](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html)
+ [VPC 终端节点和 VPC 终端节点服务 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [什么是 AWS Global Accelerator?](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [什么是 Transit Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [什么是 Amazon CloudFront?](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html)
+ [什么是 Amazon Route 53?](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [什么是 Elastic Load Balancing?](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html)
+ [使用 Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)
**相关视频:**
+ [AWS re:Invent 2018:Amazon VPC 的高级 VPC 设计和新功能(NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019:适用于众多 VPC 的 AWS Transit Gateway 参考架构(NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP02 为云环境和本地部署环境之间的私有网络预置冗余连接
在单独部署的私有网络之间使用多个 AWS Direct Connect 连接或 VPN 隧道。使用多个 Direct Connect 位置实现高可用性。如果使用多个 AWS 区域,请确保其中至少有两个区域存在冗余。您可能想要评估终止 VPN 的 AWS Marketplace 设备。如果您使用 AWS Marketplace 设备,请在不同的可用区中部署冗余实例以实现高可用性。
AWS Direct Connect 是一项云服务,可以在本地环境和 AWS 之间轻松建立专用网络连接。使用 Direct Connect Gateway,您的本地数据中心可以连接至跨多个 AWS 区域的多个 AWS VPC。
此类冗余可解决会对连接弹性造成影响的潜在故障:
+ 您将如何灵活应对拓扑中的故障?
+ 如果您配置错了某些内容并删除了连接,会发生什么情况?
+ 您是否能应对服务流量或使用量的意外增加?
+ 您是否能够吸收未遂的分布式拒绝服务 (DDoS) 攻击?
若通过 VPN 将您的 VPC 连接至本地数据中心,您应该考虑在选择运行该设备所需的供应商和实例大小时所需要的弹性和带宽要求。如果您使用的 VPN 设备在其实施中没有弹性,则您应该通过第二个设备获取冗余连接。对于所有这些场景,您需要定义可接受的恢复时间并进行测试,以确保您可以满足这些要求。
如果选择通过 Direct Connect 连接将您的 VPC 连接至数据中心,而且您要求连接具有高可用性,请从每个数据中心获得冗余 Direct Connect 连接。冗余连接应使用来自与第一个不同位置的其他 Direct Connect 连接。如果您有多个数据中心,则确保连接在不同的位置终止。使用 [Direct Connect 弹性工具包](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resiliency_toolkit.html) 以帮助您完成设置。
如果您选择使用 Site-to-Site VPN 并通过互联网失效转移到 VPN,一定要了解,它支持每个 VPN 隧道高达 1.25-Gbps 的吞吐量,但在多个 AWS 托管 VPN 隧道终止于同一 VGW 的情况下,不支持将等价多路径(ECMP,Equal Cost Multi Path)用于出站流量。我们不建议您使用 AWS 托管 VPN 作为 Direct Connect 连接的备份,除非您可以接受失效转移期间的速度低于 1 Gbps。
您还可以使用 VPC 端点将您的 VPC 私下连接至受支持的 AWS 服务和 VPC 端点服务,它们得到 AWS PrivateLink 的支持而无需通过公有互联网传输。终端节点为虚拟设备。它们是水平扩展、冗余,而且高度可用的 VPC 组件。它们支持在您的 VPC 和服务实例之间进行通信,而不会对您的网络流量施加可用性风险或带宽限制。
**常见反模式:**
+ 在本地网络和 AWS 之间只有一个连接供应方。
+ 使用 AWS Direct Connect 连接的连接功能,但只有一个连接。
+ 您的 VPN 连接只有一条路径。
**建立此最佳实践的好处:** 通过在云环境和公司或本地部署环境之间实施冗余连接,您可以确保两个环境之间的依赖服务能够可靠通信。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
+ 确保您在 AWS 和本地部署环境之间具有高度可用的连接。在单独部署的私有网络之间使用多个 AWS Direct Connect 连接或 VPN 隧道。使用多个 Direct Connect 位置实现高可用性。如果使用多个 AWS 区域,请确保其中至少有两个区域存在冗余。您可能想要评估终止 VPN 的 AWS Marketplace 设备。如果您使用 AWS Marketplace 设备,请在不同的可用区中部署冗余实例以实现高可用性。
+ 确保您拥有面向本地部署环境的冗余连接。您可能需要面向多个 AWS 区域的冗余连接,以满足可用性需求。
+ [AWS Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [使用冗余 Site-to-Site VPN 连接以提供故障转移](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html)
+ 使用服务 API 操作确定正确使用了 Direct Connect 线路。
+ [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html)
+ [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html)
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll)
+ [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html)
+ [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html)
+ [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html)
+ 如果您仅有一个 Direct Connect 连接或没有此连接,请设置连接虚拟私有网关的冗余 VPN 隧道。
+ [什么是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html)
+ 捕获您的当前连接(例如,Direct Connect、虚拟私有网关、AWS Marketplace 设备)。
+ 使用服务 API 操作查询 Direct Connect 连接的配置。
+ [DescribeConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnections.html)
+ [DescribeConnectionsOnInterconnect](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeConnectionsOnInterconnect.html)
+ [DescribeDirectConnectGatewayAssociations](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAssociations.html)
+ [DescribeDirectConnectGatewayAttachments](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGatewayAttachments.htmll)
+ [DescribeDirectConnectGateways](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeDirectConnectGateways.html)
+ [DescribeHostedConnections](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeHostedConnections.html)
+ [DescribeInterconnects](https://docs.aws.amazon.com/directconnect/latest/APIReference/API_DescribeInterconnects.html)
+ 使用服务 API 操作收集路由表使用的虚拟私有网关。
+ [DescribeVpnGateways](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpnGateways.html)
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
+ 使用服务 API 操作收集路由表使用的 AWS Marketplace 应用程序。
+ [DescribeRouteTables](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRouteTables.html)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可帮助您规划联网的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [AWS Direct Connect 弹性建议](https://aws.amazon.com/directconnect/resiliency-recommendation/)
+ [适用于网络基础设施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud 连接选项白皮书](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [多数据中心 HA 网络连接](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [使用冗余 Site-to-Site VPN 连接以提供故障转移](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNConnections.html)
+ [使用 Direct Connect 弹性工具包开始操作](https://docs.aws.amazon.com/directconnect/latest/UserGuide/resilency_toolkit.html)
+ [VPC 终端节点和 VPC 终端节点服务 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [什么是 Transit Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [什么是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html)
+ [使用 Direct Connect 网关](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html)
**相关视频:**
+ [AWS re:Invent 2018:Amazon VPC 的高级 VPC 设计和新功能(NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019:适用于众多 VPC 的 AWS Transit Gateway 参考架构(NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP03 确保 IP 子网分配考虑扩展和可用性
Amazon VPC IP 地址范围必须足够大,以满足工作负载的要求,包括考虑未来的扩展以及跨可用区为子网分配 IP 地址。这包括负载均衡器、EC2 实例和基于容器的应用程序。
当您规划网络拓扑时,第一步是定义 IP 地址空间本身。应(按照 RFC 1918 准则)为每个 VPC 分配私有 IP 地址范围。作为此流程的一部分,要满足以下要求:
+ 在每个区域中为多个 VPC 留出 IP 地址空间。
+ 在 VPC 内,为跨多个可用区的多个子网留出空间。
+ 始终在 VPC 内保留未使用的 CIDR 块空间以用于未来扩展。
+ 确保有 IP 地址空间以满足您可能使用的任何 EC2 实例临时性队列的需求,如适用于机器学习的 Spot 队列、Amazon EMR 集群或 Amazon Redshift 集群。
+ 注意,每个子网 CIDR 块中的前四个 IP 地址和最后一个 IP 地址将被预留而无法供您使用。
+ 您应计划部署大型 VPC CIDR 块。注意,最初被分配到您的 VPC 的 VPC CIDR 块无法被更改或删除,但您可以向 VPC 添加额外的非重叠的 CIDR 块。虽然无法更改 IPv4 CIDR,但可以对 IPv6 CIDR 进行更改。请记住,部署最大的 VPC (/16) 会产生超过 65000 个 IP 地址。单单在基础 10.x.x.x IP 地址空间内,您可以预置 255 个这样的 VPC。因此,您可以趋向于过大数量而不是过小数量,这样更容易管理 VPC。
**常见反模式:**
+ 创建小型 VPC。
+ 创建小型子网,然后在业务增长过程中向配置添加子网。
+ 错误估计 Elastic Load Balancer 可以使用的 IP 地址数量。
+ 在相同子网中部署多个高流量负载均衡器。
**建立此最佳实践的好处:** 这可确保您能适应工作负载增长要求,并在扩展过程中继续提供可用性。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 规划您的网络以适应增长、符合监管合规性以及实现与其他服务的集成。如果没有合理的规划,则增长可能会被低估、监管合规性可能会发生变化并且收购或私有网络连接可能难以实施。
+ 根据您的服务要求、延迟、法规和灾难恢复(DR,Disaster Recovery)要求选择相关 AWS 账户和区域。
+ 确定您的区域 VPC 部署需求。
+ 确定 VPC 的大小。
+ 确定您是否要部署多 VPC 连接。
+ [什么是 Transit Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [单区域多 VPC 连接](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/)
+ 确定您是否需要隔离网络以满足法规要求。
+ 使 VPC 尽可能大。最初为 VPC 分配的 VPC CIDR 块无法更改或删除,但您可以向 VPC 添加额外的非重叠 CIDR 块。但是,这样可能会分割您的地址范围。
+ 使 VPC 尽可能大。最初为 VPC 分配的 VPC CIDR 块无法更改或删除,但您可以向 VPC 添加额外的非重叠 CIDR 块。但是,这样可能会分割您的地址范围。
## 资源
**相关文档:**
+ [AWS 合作伙伴:可帮助您规划联网的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [适用于网络基础设施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud 连接选项白皮书](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [多数据中心 HA 网络连接](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [单区域多 VPC 连接](https://aws.amazon.com/answers/networking/aws-single-region-multi-vpc-connectivity/)
+ [什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
**相关视频:**
+ [AWS re:Invent 2018:Amazon VPC 的高级 VPC 设计和新功能(NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019:适用于众多 VPC 的 AWS Transit Gateway 参考架构(NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP04 轴辐式拓扑优先于多对多网格
如果通过 VPC 对等连接、AWS Direct Connect 或 VPN 连接的网络地址空间超过两个(例如,VPC 和本地网络),则使用与 AWS Transit Gateway 所提供的模型类似的轴辐式模型。
如果只有两个此类网络,您可以简单地使其相互连接,但随着网络数量的增加,这种网格连接的复杂性将变得无法接受。AWS Transit Gateway 提供易于维护的轴辐式模型,允许在您的多个网络中对流量进行路由。
![\[显示未使用 AWS Transit Gateway 的情况的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/without-transit-gateway.png)
![\[显示使用 AWS Transit Gateway 的情况的图表\]](http://docs.aws.amazon.com/zh_cn/wellarchitected/2022-03-31/framework/images/with-transit-gateway.png)
**常见反模式:**
+ 使用 VPC 对等连接来连接两个以上的 VPC。
+ 为每个 VPC 建立多个 BGP 会话,从而建立跨多个 AWS 区域的虚拟私有云(VPC,Virtual Private Cloud)连接。
**建立此最佳实践的好处:** 随着网络数量增加,这种复杂的网格连接将变得无法维持。AWS Transit Gateway 提供易于维护的轴辐式模型,允许在您的多个网络中路由流量。
**未建立这种最佳实践的情况下暴露的风险等级:** 中
## 实施指导
+ 轴辐式拓扑优先于多对多网格。如果通过 VPC 对等连接、AWS Direct Connect 或 VPN 连接的网络地址空间超过两个(VPC,本地网络),则使用与 AWS Transit Gateway 所提供的模型类似的轴辐式模型。
+ 如果只有两个此类网络,您只需将其相互连接即可,但随着网络数量的增长,这种复杂的网格连接将变得无法维持。AWS Transit Gateway 提供易于维护的轴辐式模型,允许在您的多个网络中路由流量。
+ [什么是 Transit Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
## 资源
**相关文档:**
+ [AWS 合作伙伴:可帮助您规划联网的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [适用于网络基础设施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011)
+ [多数据中心 HA 网络连接](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [VPC 终端节点和 VPC 终端节点服务 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html)
+ [什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [什么是 Transit Gateway?](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
**相关视频:**
+ [AWS re:Invent 2018:Amazon VPC 的高级 VPC 设计和新功能(NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019:适用于众多 VPC 的 AWS Transit Gateway 参考架构(NET406-R1)](https://youtu.be/9Nikqn_02Oc)
# REL02-BP05 在互相连接的所有私有地址空间中强制实施非重叠的私有 IP 地址范围
多个 VPC 通过对等连接或 VPN 连接时,各个 VPC 的 IP 地址范围不得重叠。与之类似,您必须避免 VPC 和本地部署环境或与其他您使用的云提供商之间出现 IP 地址冲突。您还必须能够在需要时分配私有 IP 地址范围。
IP 地址管理 (IPAM) 系统可以帮助解决这个问题。AWS Marketplace 提供多个 IPAM。
**常见反模式:**
+ 在 VPC 中使用与本地部署或企业网络相同的 IP 范围。
+ 不必追踪用于部署工作负载的 VPC 的 IP 范围。
**建立此最佳实践的好处:** 主动规划网络可确保您不会遇到互连网络中多次出现相同 IP 地址的情况。这可防止使用不同应用程序的工作负载部分出现路由问题。
**未建立此最佳实践暴露的风险等级:** 中
## 实施指导
+ 监控和管理您的 CIDR 使用。评估您在 AWS 上的可能使用量、将 CIDR 范围添加到现有 VPC 并创建 VPC 以便使用量实现计划增长。
+ 捕获当前的 CIDR 使用量(例如,VPC、子网)
+ 使用服务 API 操作收集当前的 CIDR 使用量数据。
+ 捕获您当前的子网使用量。
+ 使用服务 API 操作在每个区域中按 VPC 收集子网。
+ [DescribeSubnets](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSubnets.html)
+ 记录当前使用量。
+ 确定您是否创建了任何重叠 IP 范围。
+ 计算备用容量。
+ 记录重叠的 IP 范围。您可以迁移到新地址范围,或使用 AWS Marketplace 的网络和端口转换(NAT)设备(如果需要连接重叠范围)。
## 资源
**相关文档:**
+ [AWS 合作伙伴:可帮助您规划联网的合作伙伴](https://aws.amazon.com/partners/find/results/?keyword=network)
+ [适用于网络基础设施的 AWS Marketplace](https://aws.amazon.com/marketplace/b/2649366011)
+ [Amazon Virtual Private Cloud 连接选项白皮书](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/introduction.html)
+ [多数据中心 HA 网络连接](https://aws.amazon.com/answers/networking/aws-multiple-data-center-ha-network-connectivity/)
+ [什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)
+ [什么是 IPAM?](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
**相关视频:**
+ [AWS re:Invent 2018:Amazon VPC 的高级 VPC 设计和新功能(NET303)](https://youtu.be/fnxXNZdf6ew)
+ [AWS re:Invent 2019:适用于众多 VPC 的 AWS Transit Gateway 参考架构(NET406-R1)](https://youtu.be/9Nikqn_02Oc)