REL02-BP05 在連線的所有私有地址空間中強制使用不重疊的私有 IP 位址範圍
在對等互連、透過 Transit Gateway 連線或透過 VPN 連線時,每個 VPC 的 IP 位址範圍不得重疊。避免 VPC 與內部部署環境或您所使用之其他雲端供應商之間出現 IP 位址衝突。您也必須有一種在需要時分配私有 IP 位址範圍的方法。IP 位址管理 (IPAM) 系統可以協助實現此自動化。
預期成果:
-
VPC、內部部署環境或其他雲端供應商之間沒有 IP 位址範圍衝突。
-
適當的 IP 位址管理可以更輕鬆地擴展網路基礎設施,以適應網路需求的成長和變化。
常見的反模式:
-
在 VPC 中使用與內部部署、公司網路或其他雲端供應商相同的 IP 範圍
-
不追蹤用來部署工作負載之 VPC 的 IP 範圍。
-
仰賴手動 IP 位址管理程序,例如試算表。
-
大小過大或過小的 CIDR 區塊會導致 IP 位址浪費或位址空間不足以滿足您的工作負載。
建立此最佳實務的優勢:主動規劃網路,可確保在互連網路中不會出現多個相同的 IP 位址。這可防止使用不同應用程式的工作負載部分發生路由問題。
未建立此最佳實務時的曝險等級:中
實作指引
利用 IPAM,例如 Amazon VPC IP Address Manager 來監控和管理 CIDR 的使用情況。AWS Marketplace 也提供多套 IPAM 系統。評估您在 AWS 上的潛在使用情況,將 CIDR 範圍新增到現有 VPC,並建立 VPC 以允許計劃的用量增長。
實作步驟
-
擷取當前的 CIDR 消耗 (例如,VPC 和子網路等)。
-
使用服務 API 操作來收集當前的 CIDR 消耗。
-
-
記錄當前的子網路用量。
-
使用服務 API 操作來收集每個區域中每個 VPC 的子網路。
-
-
記錄當前用量。
-
確定是否建立了任何重疊的 IP 範圍。
-
計算備用容量。
-
識別重疊的 IP 範圍。如果需要連線重疊的範圍,可以移轉至新的位址範圍,也可以考慮使用私有 NAT 閘道或 AWS PrivateLink 之類的技術。
資源
相關的最佳實務:
相關文件:
相關影片:
