业务环境假设

假设

  1. 公司当前网络部署在 AWS Global Region, 本次 Workshop 会以 us-east-2 region 为例。
  2. 为了模拟组织本地数据中心,本次 workshop 会单独建议一个 VPC (DC1-tgw, CIDR 10.4.0.0/16) 模拟本地数据中心。
  3. 在本地数据中心会部署4个子网,用于部署 StrongSwan 来搭建 IPSec Site-to-Site VPN。

业务环境

VPC 逻辑划分如下: Speficy Details Screenshot

VPC 划分

在本workshop 中,我们将提供四种类型的vpc:

  1. Non-production VPCs:

    • 目的: 我们可以创建vpc用于组织内部的培训、开发和QA/测试。
    • CIDR:10.16.0.0/13
    • 一共有两个 VPC (红色表示)
      • Non-Prod VPC1 CIDR:10.16.0.0/16
      • Non-Prod VPC2 CIDR:10.17.0.0/16

  2. Datacenter Service VPCs

    • 目的: 用于我们想要在所有vpc中共享的资源和服务。
    • CIDR:10.0.0.0/16
    • 一共有1个 VPC (绿色表示)
      • Datacenter Services VPC

  3. Production VPCs:

    • 目的: 用于生产环境。
    • CIDR:10.8.0.0/13
    • 一共有1个 VPC (蓝色表示)
      • Production VPC1

  4. Datacenter VPC:

    • 目的: 我们会新建一个VPC来模拟本地数据中心(一个在云端模拟的模拟的数据中心)
    • CIDR:10.4.0.0/16
    • 一共有1个 VPC (白色表示)
      • DataCenter VPC1

随后我们会使用 Cloudformation 自动创建如上 5 个 VPC。

网段设计

  1. Non-Production VPC CIDR:10.16.0.0/13是10.16.0.0-10.23.255.255。 我们可以将其划分为8个 /16的子网,每个VPC对应一个。在本 workshop 仅仅使用了其中的两个。 Non-Prod VPC1 (10.16.0.0/16) 和 Non-Prod VPC2 (10.17.0.0/16)

  2. Production VPC CIDR:10.8.0.0/13是10.8.0.0-10.15.255.255。 我们还可以将其划分为8个 /16子网。 在本 workshop 仅仅使用了其中的一个, Production VPC1 (10.8.0.0/16)。

  3. Datacenter service CIDR:10.0.0.0/16-10.0.0.0-10.0.255.255。 我们将用于1个Datacenter Services VPC。