Quản lý địa chỉ Giao thức Internet (IP) là một phần quan trọng trong kế hoạch và quản lý mạng, và việc tạo một kế hoạch địa chỉ có khả năng mở rộng giúp mạng AWS và mạng kết hợp của bạn mở rộng, đáp ứng các yêu cầu của tải công việc của bạn. Việc xem xét cẩn thận về cách phân bổ không gian địa chỉ IP của bạn giảm thiểu nguy cơ chồng chéo các khối Classless Inter-Domain Routing (CIDR) và tình trạng cạn kiệt không gian IP.

Ngoài ra, việc lập kế hoạch về cách phân bổ không gian IP giúp bạn xây dựng môi trường cơ sở hạ tầng của bạn để hỗ trợ cấu hình các quy tắc định tuyến tối ưu, cũng như tập hợp CIDR đều đặn. Việc phân bổ không gian IP không chồng lấn và theo dõi các môi trường đã chồng lấn, lập kế hoạch cho việc gán IP đồng nhất dựa trên môi trường, tổ chức hoặc đơn vị kinh doanh, và theo dõi việc sử dụng trở thành các phần quan trọng của việc mở rộng mạng toàn cầu trên AWS. Hơn nữa, việc mua và bán ảnh hưởng đến cách bạn quản lý địa chỉ IP ở mức tổ chức, và có kế hoạch địa chỉ IP đúng cách có thể giúp tăng tốc quy trình này.

Trong bài viết này, chúng ta sẽ tập trung vào các best practice và xem xét mà bạn có thể sử dụng khi thiết kế kế hoạch địa chỉ IP của bạn, với sự trợ giúp của Amazon Virtual Private Cloud IP Address Manager (VPC IPAM), một dịch vụ AWS giúp đơn giản hóa việc lập kế hoạch, theo dõi và theo dõi địa chỉ IP cho các tải công việc AWS của bạn.

Yêu cầu tiên quyết Chúng tôi giả định rằng bạn đã quen thuộc với các tính năng và dịch vụ mạng AWS cơ bản. Sự tập trung của chúng tôi sẽ vào các khái niệm IPAM của Amazon VPC. Do đó, hãy xem xét các cấu trúc IPAM phổ biến nhất:

Phạm vi (Scope): Phạm vi là khái niệm cấp cao nhất trong một IPAM, và nó đại diện cho việc địa chỉ IP cho một mạng duy nhất. Khi bạn tạo một IPAM, bạn nhận được hai phạm vi mặc định: phạm vi công cộng và phạm vi riêng tư. Phạm vi công cộng được sử dụng cho tất cả các tải công việc công cộng, và phạm vi riêng tư được sử dụng cho tất cả các tải công việc riêng tư. Dải (Pool): Bạn có thể có nhiều dải trong mỗi Phạm vi IPAM. Một dải chứa một hoặc nhiều khối CIDR. Phân bổ (Allocation): Một phân bổ là việc gán CIDR tĩnh cho một tài nguyên cụ thể. Bạn có thể tạo một phân bổ cho một VPC cụ thể hoặc cho tất cả các VPC được gán cho một bộ phận/chức năng cụ thể của Tổ chức của bạn. Ngoài ra, bạn có thể sử dụng các phân bổ IPAM tùy chỉnh cho bất kỳ tải công việc nào được triển khai bên ngoài AWS.

Các biểu đồ trong bài viết sử dụng phạm vi địa chỉ IPv6 RFC3849 với dãy địa chỉ là 2001:db8::/32, chỉ để minh họa. Amazon VPC hỗ trợ địa chỉ IPv6 Global Unicast Addresses (GUA), do đó bạn phải cấu hình các địa chỉ IPv6 phù hợp trong môi trường của bạn. Bây giờ, chúng ta sẽ bắt đầu khám phá một số best practice về Amazon VPC IPAM cho mạng AWS và mạng kết hợp.

• Mở rộng quản lý địa chỉ IP với VPC IPAM và tổ chức AWS Các tổ chức khác nhau có thể có các mô hình vận hành khác nhau có thể định hướng quản lý VPC, kết nối mạng và cơ sở hạ tầng ứng dụng. Ví dụ, nhóm mạng có thể sở hữu kết nối tới AWS Transit Gateway, AWS Cloud WAN hoặc AWS Direct Connect, trong khi các nhóm ứng dụng sở hữu cơ sở hạ tầng của họ, bao gồm các VPC. Hoặc, nhóm mạng có thể sở hữu và duy trì tất cả các dịch vụ mạng, cùng với các VPC. Điều này phản ánh trong cấu trúc Tổ chức AWS. Do đó, tùy thuộc vào mô hình vận hành của bạn, các tài khoản có thể tạo VPC bằng cách sử dụng các IPAM pool được chia sẻ với họ hoặc nhiệm vụ này được quản lý trung tâm.

Amazon VPC IPAM có thể tích hợp với cấu trúc tổ chức của bạn. Đối với việc phân bổ địa chỉ IP, nên thực hiện việc tách biệt nhiệm vụ và quyền hạn bằng cách tạo một tài khoản quản trị IPAM cho Tổ chức của bạn. Dưới đây là một số xem xét về tài khoản này:

Nó phải là thành viên của Tổ chức và không thể là tài khoản Root của Tổ chức. Nó sẽ quản lý việc tạo Phạm vi IPAM, Dải và các chính sách phân bổ CIDR được quản lý nội bộ cho các IPAM pool. Nó có thể là tài khoản trung tâm cơ sở hạ tầng/kết nối mạng tập trung của bạn hoặc một tài khoản quản trị IPAM riêng biệt để tách biệt nhiệm vụ sâu hơn. Amazon VPC IPAM và AWS Control Tower Bạn có thể sử dụng AWS Control Tower để thiết lập và quản lý cơ cấu Tổ chức của bạn và cấp tài khoản. Với Control Tower, bạn phải cung cấp tài khoản quản trị mạng trung tâm hoặc tài khoản cơ sở hạ tầng, với các quyền IAM AWS Identity and Access Management (IAM) phù hợp để tạo cơ sở hạ tầng mạng cho triển khai đa tài khoản của bạn. Bạn cũng phải cấp các quyền IAM cần thiết cho tài khoản này để thực hiện các thao tác VPC IPAM. Để biết thêm chi tiết về quyền cần thiết cho VPC IPAM, hãy xem tài liệu. Ngoài ra, bài viết này cung cấp thông tin chi tiết hơn về việc sử dụng IPAM với AWS Control Tower.

• Best practice thiết kế địa chỉ IP và thiết kế IPAM Pool Mô hình địa chỉ IP có tính phân cấp và có thể tóm tắt được Một mô hình địa chỉ IP có tính phân cấp cho phép bạn tuân theo chính sách phân bổ IP tốt nhất phù hợp với nhu cầu của bạn. Ví dụ, bạn có thể tạo các CIDR IP khu vực và sau đó chia mỗi CIDR khu vực thành các CIDR cụ bộ phận cụ thể. Do đó, bạn có thể dễ dàng tóm tắt CIDR của bạn theo khu vực, đơn giản hóa quản lý mạng và quản lý tốt các hạn ngạch dịch vụ của bạn. Hơn nữa, một mô hình địa chỉ IP có tính phân cấp và liền kề cho phép bạn dễ dàng cấu hình các cấu trúc phân đoạn mạng, ví dụ như security groups (SGs), Network Access Control Lists (NACLs) và quy tắc tường lửa.

Khi bạn tạo một IPAM pool VPC, bạn cung cấp một CIDR cho pool. Pool gán không gian trong CIDR đó cho các phân bổ. Bạn có thể tạo phân cấp IPAM của riêng bạn, với nhiều pool, bằng cách bắt đầu bằng một số mô hình phân đoạn tiêu chuẩn và sau đó điều chỉnh chúng theo nhu cầu của bạn. Pool đầu tiên sẽ là pool cấp cao nhất. Ở đó, bạn có thể cung cấp một CIDR với một mạng mặt nạ lớn hơn và phân đoạn nó. Ví dụ, pool cấp cao nhất có thể là khối CIDR toàn doanh nghiệp, mà bạn có thể phân đoạn dựa trên khu vực hoặc các bộ phận khác như dev và test, bằng cách sử dụng các pool bổ sung:

Pool cấp cao nhất Môi trường AWS (10.0.0.0/8) Pool khu vực ở khu vực AWS us-west-1 (10.0.0.0/16) Pool phát triển (10.0.0.0/24) Pool sản xuất (10.0.1.0/24) Hình sau cho thấy một ví dụ triển khai trong một vùng duy nhất. Pool cấp 1 được cấp cho vùng us-west-1, với hai pool con: một cho môi trường phát triển và sản xuất mỗi cái một:

Hình 1: Một ví dụ về cấu hình phân cấp trong VPC IPAM tại một khu vực

Bạn cũng có thể thực hiện phân đoạn theo các dòng kinh doanh, sản phẩm và các yếu tố khác. Cấu trúc bạn sử dụng phụ thuộc vào thiết kế doanh nghiệp và mô hình quyền hạn của bạn, và VPC IPAM không giới hạn bạn chỉ trong một kịch bản. Do đó, bạn có thể sử dụng nó để tổ chức các CIDR theo cách tốt nhất cho Tổ chức của bạn. Bạn có thể tạo cấu trúc VPC IPAM Pool với độ sâu lên đến 10. Để mở rộng ví dụ của chúng tôi thành một triển khai đa khu vực, chúng ta phải cấu hình thêm các Pool theo khu vực và môi trường. Hình sau đây cho thấy một ví dụ về cấu hình IPAM cho ba khu vực.

Với các CIDR IPv4 và IPv6 công cộng, AWS quảng cáo địa chỉ IP công cộng theo vùng. Khi lập kế hoạch cho các hệ thống tiền tố công cộng của bạn, được khuyến nghị rằng các Regional-IPv4-Pools của bạn nên có kích thước là /24 hoặc lớn hơn, và các Regional-IPv6-Pools của bạn nên có kích thước là /48 hoặc lớn hơn. Khi tạo tiền tố, các cài đặt của nó xác định xem nó có thể được sử dụng để trực tiếp địa chỉ hóa tài nguyên hay không và vùng mà tiền tố này dành cho. Khi bạn tạo và chia sẻ các tiền tố trong phạm vi IPAM công cộng VPC, các tài khoản trong toàn tổ chức của bạn có thể sử dụng chúng để cấp phát địa chỉ IPv4 linh hoạt cho tài nguyên của họ hoặc các tiền tố IPv6 cho các VPC của họ.

Bạn có thể quảng cáo hoặc rút lại các tiền tố liên quan độc lập với các tiền tố công cộng của bạn trong VPC IPAM. Điều này cho phép bạn dễ dàng Mang theo IP của riêng bạn (BYOIP) đến AWS, vì bạn có thể cấu hình riêng lẻ các tiền tố IPAM VPC, cung cấp các CIDR(s) và cấp phát địa chỉ IP cho các tài nguyên mà không gây gián đoạn cho các tiền tố hiện có được quảng cáo trên internet. Thêm chi tiết về các bước BYOIP có thể được tìm thấy trong các hướng dẫn BYOIP IPAM VPC.

Xác định các quy tắc phân bổ CIDR Bạn có thể sử dụng VPC IPAM để xác định các quy tắc về việc sử dụng CIDR tiền tố IPAM Pool cho các VPC trong môi trường của bạn. Những quy tắc này được gọi là quy tắc phân bổ và chúng xác định xem tài nguyên có tuân thủ quy tắc hay không.

Được khuyến nghị rằng bạn nên tạo ra các quy tắc phân bổ phù hợp với mô hình kinh doanh của bạn. Ví dụ, bạn có thể đặt một quy tắc phân bổ chỉ định rằng chỉ có các VPC có thẻ ‘prod’ mới có thể nhận CIDR từ tiền tố IPAM mang tên Production. Hơn nữa, một quy tắc có thể bắt buộc rằng các CIDR được cấp phát từ một tiền tố không được lớn hơn /24. Trong trường hợp này, một tài nguyên vẫn có thể được tạo ra bằng cách sử dụng một CIDR lớn hơn /24 từ tiền tố này, nếu không gian có sẵn. Tuy nhiên, làm như vậy vi phạm quy tắc phân bổ trên tiền tố và sau đó IPAM đánh dấu tài nguyên này là không tuân thủ.

Phân chia địa chỉ IP mạng tại cấp độ VPC Sau khi bạn đã tạo VPC IPAM và các tiền tố tương ứng cho triển khai của bạn, các tài nguyên như VPC có thể sử dụng VPC IPAM để nhận CIDR phù hợp. Bước tiếp theo là lập kế hoạch để phân chia CIDR của một VPC trên nhiều Khu vực Khả dụng (AZs) và các mạng con. Trong IPv4, việc xác định địa chỉ thường dựa trên số lượng máy chủ hoặc tài nguyên được lập kế hoạch cho một mạng con. Trong IPv6, được khuyến nghị sử dụng phương pháp phân chia thưa thớt để giữ một bộ đệm của các tiền tố IPv6 không được sử dụng giữa các AZ khác nhau, các loại mạng con, vv. Điều này giúp bạn dễ dàng điều chỉnh sự phát triển, trong khi giữ các ranh giới tổng hợp đơn giản. Một ví dụ về phân chia tiền tố IPv6 tại cấp độ VPC được trình bày trong hình sau đây.

Hình 3: Một ví dụ về phân bổ IPv6 tại mức VPC

• Tích hợp VPC IPAM vào môi trường AWS hiện có của bạn Khi bạn tạo các nhóm IP, nên đề xuất rằng bạn cho phép IPAM tự động nhập bất kỳ tài nguyên hiện có nào vào các nhóm IPAM tương ứng. Các tài nguyên được phát hiện bởi IPAM sẽ được đánh dấu là quản lý nếu chúng nằm trong một CIDR của một nhóm IPAM và đang được theo dõi bởi IPAM để xem xét khả năng trùng lắp CIDR và tuân thủ các quy tắc phân bổ nhóm. Nếu không, chúng mặc định là không quản lý và vẫn được theo dõi và IPAM để xem xét khả năng trùng địa chỉ IP. Hình dưới đây cho thấy một VPC không quản lý đã được phát hiện bởi VPC IPAM:

Hình 4: IPAM phát hiện VPC không quản lý, không trùng lắp

Nhập các tài nguyên vào IPAM không ảnh hưởng đến trạng thái của công việc trong các VPC hoặc kết nối và cung cấp thông tin về trạng thái hiện tại của quy mô địa chỉ IP của bạn. Nếu IPAM phát hiện các tài nguyên có CIDR IPv4 riêng tư, các CIDR tài nguyên này sẽ được nhập vào phạm vi riêng tư mặc định và không xuất hiện trong bất kỳ phạm vi riêng tư bổ sung nào bạn tạo. Hãy lưu ý rằng bạn không thể bỏ qua các tài nguyên trong phạm vi công cộng.

• Sử dụng IPAM với nhiều mạng AWS không kết nối Nhóm các địa chỉ IPv4 riêng tư trong các phạm vi IPAM khác nhau có thể giúp bạn kiểm soát các tài nguyên trùng lắp trong môi trường của bạn. Khi bạn tạo một phiên bản IPAM, hai phạm vi mặc định (một phạm vi riêng tư và một phạm vi công cộng) được tạo cho bạn. Bạn có thể tạo thêm các phạm vi riêng tư, mà bạn có thể ánh xạ môi trường sử dụng CIDR trùng lắp, chẳng hạn như sự thụ động hoặc các đơn vị kinh doanh. Kết nối với các môi trường này phải được đánh giá kỹ lưỡng, vì quyết định tiếp tục sử dụng CIDR trùng lắp có thể ảnh hưởng đến yêu cầu kinh doanh.

Đề xuất rằng bạn nên tạo các phạm vi riêng tư riêng biệt cho mỗi môi trường không kết nối của bạn. Điều này sẽ cho phép bạn giám sát kế hoạch địa chỉ IP cho các môi trường không kết nối khác nhau từ VPC IPAM, mà không tạo ra xung đột và cảnh báo trùng lắp trong IPAM. Khi IPAM phát hiện các tài nguyên có CIDR IPv4 riêng tư, chúng sẽ được nhập vào phạm vi riêng tư mặc định và không xuất hiện trong bất kỳ phạm vi riêng tư bổ sung nào bạn tạo. Bạn có thể di chuyển các CIDR từ phạm vi riêng tư mặc định sang một phạm vi riêng tư khác để ánh xạ môi trường của bạn vào thiết kế phạm vi đã chọn.

Trong một môi trường nơi không cần tạo các phạm vi riêng tư khác nhau, bạn có thể sử dụng cấu trúc hình thức hình cấu trúc để cung cấp sự phân đoạn cần thiết cho VPC IPAM. Hãy xem xét một ví dụ về cấu hình các hồ bơi IPAM cho hai phạm vi trùng lắp, cho một công ty và một giao dịch, trong hai hình sau đây:

Phạm vi riêng tư IPAM của AnyCompany:

AnyCompany IPAM private scope:

Figure-5: Configuration of multiple scopes in IPAM, AnyCompany scope

Acquired company IPAM private scope:

Figure-6: Configuration of multiple scopes in IPAM, acquired company scope

Tạo các phạm vi riêng biệt cho bạn cái nhìn về cấu trúc địa chỉ IP của hai công ty, ngay cả khi chúng trùng nhau. Sau đó, bạn có thể sử dụng thông tin này để tạo mô hình kết nối và định tuyến phù hợp để kết nối các công ty sau khi thâu tóm.

Một phiên bản IPAM VPC được tạo với một phạm vi công cộng mặc định, và bạn không thể tạo thêm. Địa chỉ IPv4 công cộng và IPv6 GUA được thông báo qua internet và chúng không thể trùng nhau. Do đó, không cần nhiều phạm vi. Để phân đoạn phân bổ tiền đề IPv4 và IPv6 công cộng của bạn, bạn có thể quản lý các bể phân cấp trong một phạm vi.

• IPAM Amazon VPC và thiết kế mạng lai Để quản lý phân bổ tiền đề IPv4 riêng tư của mạng lai của bạn, nên khuyến nghị bạn tạo các phân bổ IPAM tùy chỉnh có thể đại diện cho CIDR có mặt trong các trung tâm dữ liệu on-premises của bạn. Điều này đảm bảo rằng các CIDR dành riêng cho các tải đặt không phải AWS của bạn không bị gán ngẫu nhiên cho bất kỳ tài nguyên AWS nào và tránh rủi ro về việc gặp sự trùng lặp về IP. Hình dưới đây cho thấy một ví dụ trong đó 172.16.16.0/20 đại diện cho các CIDR trên on-premises và nó được đặt trữ trong Pool IPAM VPC bằng cách sử dụng một phân bổ tùy chỉnh.

Hình 7: Một ví dụ về phân bổ tùy chỉnh, đại diện cho các CIDR trên on-premises

Để quản lý công cộng IPv4 và IPv6 của mạng lai của bạn một cách trung tâm, bạn có thể sử dụng chiến lược phân bổ tùy chỉnh tương tự trong phạm vi công cộng của IPAM của bạn. Khi việc cung cấp CIDR công cộng đã hoàn tất, bạn có thể tạo phân bổ để dự trữ thủ công không gian trong các pool IPAM của bạn để đại diện cho các mạng lai của bạn đối diện với internet. IPAM sẽ quản lý việc dự trữ và chỉ ra nếu có bất kỳ CIDR nào trong môi trường AWS của bạn trùng với không gian IP trên on-premises của bạn.

Những điều cần biết Amazon VPC IPAM có thể quản lý và giám sát các CIDR IPv4 riêng tư và CIDR IPv4/IPv6 công cộng mà bạn sở hữu. Nó chỉ có thể giám sát (không quản lý) không gian IP công cộng của Amazon. Bạn có thể tạo một chính sách kiểm soát dịch vụ (SCP) trong Tổ chức AWS yêu cầu các thành viên trong tổ chức của bạn sử dụng IPAM khi họ tạo một VPC. Các ví dụ về SCP có thể được tìm thấy trong tài liệu. Chia sẻ AWS Resource Access Manager (RAM) chỉ có sẵn trong Vùng AWS gốc của IPAM của bạn. Bạn phải tạo chia sẻ trong Vùng AWS mà IPAM đang ở, không phải trong Vùng của pool IPAM. Chi tiết về việc sử dụng RAM để chia sẻ các pool IPAM VPC có thể được tìm thấy trong tài liệu. Kết luận Amazon VPC IPAM cung cấp cho bạn các công cụ cần thiết để quản lý không gian địa chỉ IP toàn cầu của bạn. Trong bài viết này, chúng tôi đã thảo luận về các thực hành tốt để sử dụng VPC IPAM và cách bạn có thể tận dụng nó để tạo các kế hoạch phân bổ IP có khả năng mở rộng, quản lý các môi trường hiện tại, không gian IP trùng lấn và tạo một kế hoạch IP được thiết kế tốt cho sự phát triển của các tải công việc của bạn trên AWS. Nếu bạn có câu hỏi về bài viết này, hãy bắt đầu một luồng mới trên AWS re:Post, hoặc liên hệ với AWS Support.