本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在非工作負載子網路的多帳戶 VPC 設計中保留可路由 IP 空間
*Adam Spicer,Amazon Web Services*
## 總結
Amazon Web Services (AWS) 已發佈最佳實務,建議將虛擬私有雲端 (VPC) 中的專用子網路用於[傳輸閘道附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html)和 [Gateway Load Balancer 端點](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/getting-started.html) (以支援 [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-high-level-steps.html) 或第三方設備)。這些子網路用於包含這些服務的彈性網路介面。如果您同時使用 AWS Transit Gateway 和 Gateway Load Balancer,則會在 VPC 的每個可用區域中建立兩個子網路。由於 VPCs的設計方式,這些額外的子網路[不能小於 /28 遮罩](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing),並且可以使用寶貴的可路由 IP 空間,否則可用於可路由工作負載。此模式示範如何針對這些專用子網路使用次要、不可路由的無類別網域間路由 (CIDR) 範圍,以協助保留可路由 IP 空間。
## 先決條件和限制
**先決條件 **
+ 可路由 IP 空間的[多 VPC 策略](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/welcome.html)
+ 您正在使用之服務的不可路由 CIDR 範圍 ([傳輸閘道附件](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html)和 [Gateway Load Balancer](https://aws.amazon.com/blogs/apn/centralized-traffic-inspection-with-gateway-load-balancer-on-aws/) 或 [Network Firewall 端點](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/))
## Architecture
**目標架構 **
此模式包含兩個參考架構:一個架構具有用於傳輸閘道 (TGW) 連接和閘道Load Balancer端點 (GWLBe) 的子網路,而第二個架構僅具有用於 TGW 連接的子網路。
**架構 1 ‒ 具有傳入路由至設備的 TGW 連接 VPC**
下圖代表跨越兩個可用區域的 VPC 參考架構。在輸入時,VPC 會使用[輸入路由模式](https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/),將目的地為公有子網路的流量導向至[bump-in-the-wire設備](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/)以進行防火牆檢查。TGW 連接支援從私有子網路輸出到單獨的 VPC。
此模式會針對 TGW 連接子網路和 GWLBe 子網路使用不可路由的 CIDR 範圍。在 TGW 路由表中,此不可路由 CIDR 會使用一組更具體的路由,以黑洞 (靜態) 路由設定。如果路由要傳播到 TGW 路由表,則會套用這些更具體的黑洞路由。
在此範例中,/23 可路由 CIDR 會分割並完全配置給可路由子網路。
![\[具有傳入路由至設備的 TGW 連接 VPC。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/0171d91d-ab1e-41ca-a425-1e6e610080e1/images/adad1c83-cdc2-4c5e-aa35-f47fc31af384.png)
**架構 2 – TGW 連接的 VPC**
下圖代表跨越兩個可用區域的 VPC 的另一個參考架構。TGW 連接支援從私有子網路到個別 VPC 的傳出流量 (輸出)。它只會針對 TGW 連接子網路使用不可路由的 CIDR 範圍。在 TGW 路由表中,此不可路由 CIDR 會使用一組更具體的路由,以黑洞路由設定。如果路由要傳播到 TGW 路由表,則會套用這些更具體的黑洞路由。
在此範例中,/23 可路由 CIDR 會分割並完全配置給可路由子網路。
![\[VPC 跨越 2 個可用區域與 TGW 連接,用於從私有子網路輸出到單獨的 VPC。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/0171d91d-ab1e-41ca-a425-1e6e610080e1/images/31a2a241-5be6-425e-93e9-5ff7ffeca3a9.png)
## 工具
**AWS 服務和資源**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 可協助您在已定義的虛擬網路中啟動 AWS 資源。這個虛擬網路類似於您在自己的資料中心內操作的傳統網路,具有使用可擴展的 AWS 基礎設施的優勢。在此模式中,VPC 次要 CIDRs用於保留工作負載 CIDRs 中的可路由 IP 空間。
+ [網際網路閘道傳入路由 ](https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/)(邊緣關聯) 可與專用不可路由子網路的 Gateway Load Balancer 端點搭配使用。
+ [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是連接 VPCs和內部部署網路的中央中樞。在此模式中,VPCs會集中連接至傳輸閘道,而傳輸閘道附件則位於專用的不可路由子網路中。
+ [Gateway Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/introduction.html) 可讓您部署、擴展和管理虛擬設備,如防火牆、入侵偵測與預防系統,以及深層封包檢查系統。閘道充當所有流量的單一入口和出口點。在此模式中,Gateway Load Balancer 的端點可用於專用的不可路由子網路。
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) 是 AWS 雲端中 VPCs 具狀態、受管的網路防火牆和入侵偵測和預防服務。在此模式中,防火牆的端點可用於專用的不可路由子網路。
**程式碼儲存庫**
此模式的 Runbook 和 AWS CloudFormation 範本可在 GitHub [不可路由次要 CIDR 模式](https://github.com/aws-samples/non-routable-secondary-vpc-cidr-patterns/)儲存庫中使用。您可以使用範例檔案,在您的環境中設定工作實驗室。
## 最佳實務
**AWS Transit Gateway**
+ 為每個傳輸閘道 VPC 連接使用個別子網路。
+ 從傳輸閘道連接子網路的次要不可路由 CIDR 範圍配置 /28 子網路。
+ 在每個傳輸閘道路由表中,將不可路由 CIDR 範圍的靜態、更具體的路由新增為黑洞。
**Gateway Load Balancer 和輸入路由**
+ 使用輸入路由將流量從網際網路導向 Gateway Load Balancer 端點。
+ 為每個 Gateway Load Balancer 端點使用單獨的子網路。
+ 從閘道Load Balancer端點子網路的次要不可路由 CIDR 範圍配置 /28 子網路。
## 史詩
### 建立 VPCs
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 判斷不可路由的 CIDR 範圍。 | 決定不可路由的 CIDR 範圍,用於傳輸閘道連接子網路,以及 (選擇性) 用於任何 Gateway Load Balancer 或 Network Firewall 端點子網路。此 CIDR 範圍將用作 VPC 的次要 CIDR。它不能**從 VPC 的主要 CIDR 範圍或更大的網路路由**。 | 雲端架構師 |
| 判斷 VPCs 的可路由 CIDR 範圍。 | 決定一組將用於 VPCs可路由 CIDR 範圍。此 CIDR 範圍將用作 VPCs的主要 CIDR。 | 雲端架構師 |
| 建立 VPCs。 | 建立 VPCs並將其連接到傳輸閘道。每個 VPC 應具有可路由的主要 CIDR 範圍,以及不可路由的次要 CIDR 範圍,這取決於您在前兩個步驟中決定的範圍。 | 雲端架構師 |
### 設定 Transit Gateway 黑洞路由
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 將更具體的不可路由 CIDRs 建立為黑洞。 | 每個傳輸閘道路由表都需要為不可路由 CIDRs 建立一組黑洞路由。這些設定可確保來自次要 VPC CIDR 的任何流量都無法路由,也不會洩漏到較大的網路。這些路由應該比設定為 VPC 上次要 CIDR 的不可路由 CIDR 更具體。例如,如果次要不可路由 CIDR 為 100.64.0.0/26,則傳輸閘道路由表中的黑洞路由應為 100.64.0.0/27 和 100.64.0.32/27。 | 雲端架構師 |
## 相關資源
+ [部署 Gateway Load Balancer 的最佳實務](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)
+ [具有 Gateway Load Balancer 的分散式檢查架構](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/distributed-inspection-architectures-gwlb-ra.pdf?did=wp_card&trk=wp_card)
+ [網路沉浸日 ](https://catalog.workshops.aws/networking/en-US/gwlb/lab2-internettovpc)[‒ 網際網路到 VPC Firewall Lab](https://catalog.workshops.aws/networking/en-US/gwlb/lab2-internettovpc)
+ [傳輸閘道設計最佳實務](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-best-design-practices.html)
## 其他資訊
在處理需要大量 IP 地址的擴展容器部署時,不可路由的次要 CIDR 範圍也很有用。您可以搭配私有 NAT Gateway 使用此模式,以使用不可路由的子網路來託管容器部署。如需詳細資訊,請參閱部落格文章[如何使用私有 NAT 解決方案解決私有 IP 耗盡](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-solve-private-ip-exhaustion-with-private-nat-solution/)問題。